BiznetBiznet

By Murat Aydemir

NMAP Kullanılarak EKS/SCADA Sistemlerinde Aktif Tarama/Bilgi Toplama

Endüstriyel Kontrol Sistemleri(EKS) ve Supervisory Control and Data Acquisition (SCADA) sistemleri, elektrik iletim/üretim ve dağıtım işletmelerinde, enerji ve nükleer santrallerde, kimyasal fabrikalarda, rafinerilerde, su ve arıtma işletmelerinde ve daha büyük endüstriyel komplekslerde bulunan kritik altyapıların bir parçasıdır. Endüstriyel işletmelerin artan verimlilik talepleri, tüm dünyayı etkisi altına alan dijitalleşme trendi ve belkide en önemlisi; IT-OT yakınsamasının kontrolsüz bir şekilde artması Kritik Altyapılar için yeni atak yüzeyleri oluştururken, izleme (monitoring) teknolojilerinin gelişmesi ve OT bileşenler arasındaki bağlantıyı(connectivity) iyileştirmeyi amaçlayan yeni nesil ağ teknolojileri, EKS ve Kritik Altyapıları “özelleşmiş OT ağı saldırıları” olarak isimlendirilen yeni atak vektörlerinin hedefi haline getirmeye başladı.

EKS güvenliği alanında yapılan çalışmalar incelendiğinde, endüstriyel organizasyonlarda bulunan izole edilmiş şebeke ve yapıların bir parçası olduğu düşünülen OT ağ ve sistemlerinin, İnternet’e doğrudan veya dolaylı bir şekilde bağlı ve uzaktan erişilebilir olduğu görülmektedir. İstatistiki analiz sonuçlarına göre; bu şekilde internete doğrudan erişimi bulunan kritik altyapıların sayısının sürekli olarak arttığı görülmektedir. Siber güvenlik uzmanlarının EKS’ ler üzerine yaptığı analizler; bu alanda kullanılan birçok protokol ve ürünün evrensel güvenlik gerekliliklerini sağlamadığı ve bunun sonucu olarak siber saldırılara karşı savunmasız olduğunu işaret etmektedir.

Nmap; EKS-OT ağların için sızma testleri yapılırken, aktif bilgi toplama(active information gathering) aşamalarında kullanılan open source bir araçlardan bir tanesidir. Nmap bilinenin aksine sadece port taraması yapmakla kalmaz, desteklediği Nmap Script Engine(NSE) paketleriyle birlikte işletim sistemi bilgisi, kullanıcı listeleme(user enumeration), framework ve versiyon bilgisi gibi çok çeşitli özelleşmiş amaçlar içinde kullanılabilmektedir.

Biznet Bilişim EKS ekibi olarak yaptığımız saha çalışmalarında, “geleneksel IT güvenlik araçlarının OT ortamlarında nasıl kullanılabileceği” sıkça karşılaştığımız sorulardan bir tanesiydi. Bu sebepten dolayı “NMAP Kullanılarak EKS/SCADA Sistemlerinde Aktif Tarama/Bilgi Toplama” isimli bu yazıyı kaleme aldık

By Murat Aydemir

Endüstriyel Kontrol Sistemleri için Purdue Katmanlı Güvenlik Mimarisi

Endüstriyel Kontrol Sistemleri (EKS), teknolojinin gelişmesi ve bu teknolojilerin endüstriyel ortamlarda kullanılmasıyla beraber her geçen gün daha yetenekli sistemler haline gelmektedir. Bu gelişimin önemli sebeplerinden birisinin geleneksel IT teknoloji/metodlarının endüstriyel kontrol sistemlerine uyarlanması olduğunu söylemek yanlış olmayacaktır. Bu durum IT ve OT teknolojilerinin yakınsamasının bir sonucu olarak ortaya çıkmaktadır. Şüphesiz Endüstri 4.0 devrimi, IoT ve IIoT teknolojilerinin yaygınlaşması ve işletmelerin artan verimlilik, kolay erişilebilirlik gibi taleplerinin bir sonucu olarak IT ve OT ortamlarının birbirine yakınsaması kaçınılmaz oldu. Ancak IT-OT yakınsamasının kontrolsüz şekilde artması kritik altyapılar için yeni saldırı yüzeyleri oluştururken, IoT ve IIoT teknolojilerinin OT ortamlarında aktif olarak kullanılmaya başlanması EKS’ ler için atak vektörü sayısını arttıran diğer bir nokta olmaktadır.

Endüstriyel altyapılarda genellikle birbirleriyle ilişkili ve birbirlerini besleyen çok sayıda farklı süreçten oluşmaktadır; bu sebeple yapıları gereği flat(düz) ağ mimarisinden ziyade çok katmanlı mimarilere sahip topolojilerdir. Her katman, kendisiyle ilişkili başka katmanlarla iletişim halinde olmakla beraber, her katman için uygulanması gereken güvenlik kriterlerinin farklı olması sebebiyle, her katman güvenlik mekanizmaları açısından farklılık gösterebilmektedir. Bu nedenle EKS gibi çok katmanlı topolojiler için derinlemesine güvenlik(defense-in-depth) anlayışı uygulanmalıdır. Bu anlayış; siber saldırılara karşı alınan tüm önlemlerin bir şekilde atlatılacağı fikrini baz alarak geliştirilmiştir.  Derinlemesine güvenlik anlayışı; her katman için, ilgili katmanın gerekliliklerine-özelliklerine ve bulundurduğu varklıklara göre önlem alınıp, saldırganın başarı oranını düşürmeyi hedef almaktadır.

Endüstriyel altyapılarda güncel teknolojilerin kullanılması, bu sistemleri daha becerikli hale getirirken, sistemlerin olası atak yüzeylerini arttırarak siber tehditleri de arttırdığından bahsetmiştik. Bu bağlamda gerek atak yüzeylerinin minimum seviyede tutulması, gerekse – her katman için- kontrol sistemlerin yönetimini daha güvenli hale getirmek için Purdue Üniversitesi (Indiana) tarafından “Purdue Model” katmanlı ağ mimarisi geliştirilmiş ve International Society of Automation ISA tarafından EKS’lere uyarlanmıştır. ISA; mühendislik, teknoloji gibi alanlarda iyileştirmeler yapan, aynı zamanda endüstriyel otomasyon ve kontrol sistemleri için standartları oluşturan bir kurum olup ISA-99 standardıyla beraber EKS’ler için siber güvenlik standardını oluşturmuştur.

By Murat Aydemir

Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2019 Yılı Tahminleri


Endüstriyel Kontrol Sistemleri (EKS), hem dünyada hem Türkiye’de siber güvenlik konusunda oldukça yoğun ve hareketli bir seneyi geride bıraktı. 2018 yılı, özellikle devlet destekli ve kritik altyapıları hedef alan saldırıları beraberinde getirirken, yarattıkları sonuçlar akıllarda “Kritik Altyapılar siber saldırılara karşı ne kadar dayanıklı?” sorusunu bir kez daha sormamıza neden oldu.

Hızlı dijitalleşen ve IT yapıları ile daha fazla entegre olan EKS-OT altyapıları yeni ve güncel tehditlerle yüz yüze kalıyor.  Kritik altyapılarda siber güvenlik olgunluğunun geleneksel IT ortamlarına kıyasla istenilen seviyede olmayışı 2019 yılının da en az geçtiğimiz yıllar kadar hareketli geçeceğini rahatlıkla söyleyebiliriz.

Geçtiğimiz yıl boyunca Türkiye, Uzak Doğu, Avrupa ve Kuzey Amerika’dan elde ettiğimiz pazar yönelimleri bilgisi, sürekli olarak takip ettiğimiz uzman raporları, global endüstriyel altyapı üreticileriyle yapılan ikili görüşmeler ve üniversite-sanayi işbirliklerimiz sonucunda elde ettiğimiz bilgi ve tecrübeleri, EKS ekibimizdeki uzmanlarımızın tahminleriyle birleştirerek bu yıl EKS ve Kritik Altyapılar için bizleri nelerin beklediğini özetleyen bir tahmin raporu oluşturduk.

Saldırıların ve saldırganların hem niceliği hem de niteliği artacak

2018 yılı içerisinde devlet destekli çeşitli APT gruplarının (Energetic Bear/Crouching, GreyEnergy vb.) bazı ülkelerin EKS ve Kritik Altyapıları hedef alan saldırılarının devam ettiğine şahit olduk. Her olayda devlet desteği doğrudan kanıtlanamasa bile, siber savaşın yeni bir savaş alanı olarak belirlenmesi devletlerin bu tarz APT grupları destekleyerek, caydırıcı bir güç oluşturma istekleri ve savaşların geleneksel yöntemlerden uzaklaşıp siber savaşlara evrilmesi, bu gibi devlet destekli siber saldırıların 2019 yılında artarak devam edeceğine işaret etmektedir. Kritik altyapılar özelinde, bu saldırılardan kimi doğrudan zarar vermeye odaklı saldırılar olacağı gibi uzun vadeye yayılmış bilgi toplama amaçlı saldırıların da olabileceği unutulmamalıdır.

Endüstri 4.0 ile beraber tüm dünyada etkisi altına alan dijitalleşme trendinin Endüstriyel Kontrol Sistemleri’nde de etkisini göstermesi ve endüstriyel işletmelerin artan verimlilik talepleri, IoT ve IIoT cihaz ve teknolojilerinin (wirelessHART, akıllı sayaçlar ve smart grid projeleri vb.) Kritik Altyapılarda ve OT ağlarında kullanım oranını arttırdı. IoT cihaz ve teknolojilerinin OT ağlarında kullanılması, çok sayıda avantaj ve fonksiyonalite sağlarken, -hem cihaz hem de protokol seviyesinde- çok sayıda zafiyeti de beraberinde getiriyor. 2019 yılı, IIoT ve IoT uygulamalarının daha sık kullanılmaya başlanacağı ve bu yeni teknolojilerin de yeni saldırı vektörü olarak karşımıza çıkacağı bir yıl olacak.

İlk olarak 2017 Aralık ayında tespit edilen ve doğrudan Emergency Shut Down(ESD)/Safety Instrumented System(SIS) sistemlerini hedef almasından dolayı bu alanda ilk ve tek olma özelliği gösteren TRITON/TRISIS/HATMAN saldırısı kritik altyapılara yönelik saldırıların doğrudan çevresel zarar ya da can ve mal kaybına neden olabileceğini gözler önüne serdi. Saldırılara yeni bir boyut kazandıran ESD/SIS odaklı saldırılar, saldırganların bilgi birikimi arttırdığına ve daha tehlikeli saldırılar düzenlemeye hazır olduklarına işaret etmektedir. 2019 yılının kapsam ve nicelik bakımından daha sofistike saldırılara şahit olacağımız bir yıl olacağına dair kuvvetli ihtimaller bulunmaktadır.

Son iki yılda EKS sistemlerine gerçekleştirilen gerek saldırılar gerekse doğrudan işletme sahasındaki varlıkları hedef alan zararlı yazılımlar incelendiğinde, saldırıların çok spesifik ve teknik bilgi içerdiğini görmekteyiz. Özellikle 2018 yılında gerçekleştirilen saldırılar gösteriyor ki, saldırganların endüstriyel protokoller hakkındaki bilgilerinin yanı sıra IoT ve endüstriyel proseslere ilişkin bilgileri oldukça fazla. Bu durum saldırganların iyi niyetli çalışma araştırma çıktılarından da beslendiğini göstermektedir. Ek olarak siber karaborsada EKS zafiyetlerine olan talebin arttığını ve EKS zafiyetlerine erişimin oldukça kolay olması eklenince, 2019 yılında kötü niyetli saldırganların EKS spesifik bilgilerini arttırarak daha özelleşmiş ve hedef odaklı saldırılar düzenleyeceğini düşünüyoruz.

Ekosistem ve işbirliği hem yerel hem de küresel anlamda artacak

2018 yılı ekosistemlerin yükselişe geçtiği bir yıl oldu. Küresel boyutta; Avrupa, Kuzey Amerika ve Japonya bilgi paylaşım platformları arası bilgi paylaşım mutabakat anlaşması gerçekleştirildi. Kuzey Amerika ve Polonya ortak siber güvenlik çalıştayı gerçekleştirdi. Ülkemizde “Siber Küme” adı ile ekosistem çalışmaları faaliyetlerine başlandı ve yurt dışı ekosistemleri ile entegre oldu. Biznet Bilişim olarak ekosistem ve üniversite-sanayi işbirliğine olan desteğimizi vurgulamak ve bu alanda gerçekleştirilecek çalışmalara öncülük etmek için “EKS Siber Dayanıklılık Vizyon Planları”nı oluşturduk bu plan kapsamında olan çalışmalarımızı hayata geçirdik.  Bu çalışmaların en önemli iki çıktısı EKS Siber Güvenlik Kampı ve EKS Siber Güvenlik Konferansı oldu.

Üniversite-sanayi-devlet sarmalında 2019 yılında yurt dışında da örneklerini gördüğümüz ulusal test yataklarının daha fazla gündeme geleceği ve bu alanda somut adımların atılacağı bir yıl olacağını tahmin ediyoruz.

2018 yılında Endüstriyel Kontrol Sistemleri’ne yönelik saldırıların sayısı dramatik bir şekilde artış gösterdi. Sadece 2018 yılı ilk çeyreğinde tespit edilen saldırıların sayısı, 2017 yılının ilk çeyreğiyle karşılaşılan saldırılardan %40 oranında daha fazla olduğu görülmekte. Bu durum EKS ve Kritik Altyapılar için siber istihbarat konusunun ne kadar önemli olduğunu bir kez daha kanıtladı. 2019 yılında, gerek kamu kuruluşları ve özel endüstriyel işletmelerin, gerekse devletlerarasındaki siber istihbarat paylaşımının sınırları çizilerek (hangi tehdit hangi kurum/kuruluşlarla paylaşılacak, hangi bilgileri içerecek, ne şekilde ve hangi ortamda paylaşılacak vb.), bu alandaki siber istihbarat paylaşımının globalde artarak devam edeceğini, Türkiye’de ise kurumlararası siber istihbarat paylaşımının ilk adımlarının atılacağını düşünüyoruz. Bu anlamda kurum ve kuruluşların daha fazla simülasyon, test ve tatbikat çalışması gerçekleştireceklerini de öngörüyoruz.

Regülasyonlar endüstrilere özelleşerek hem kapsamı hem sayısı artacak

Avrupada’ki regülasyon kurulunun (Networking and Information Security-NIS) yayımladığı direktifler incelendiğinde, her endüstri için (petrol&doğalgaz, elektrik, enerji, su ve arıtma, sağlık ve medikal vb.) farklı standartlar belirlediğini görmekteyiz. 2019 yılında, ülkemizde bu alanda regülasyon ve standartları belirleyen Enerji Piyasası Denetleme Kurulu(EDPK)’nın enerji sektörüne yönelik siber güvenlik çalışmalarının sayısını arttırarak, yeni regülasyonları hayata geçirmelerini öngörüyoruz.

EKS alanındaki Siber Milliyetçilik hassasiyeti artarak devam edecek

Kritik altyapıların ve ulusal bilgi sistemlerinin güvenliğini sağlayan yazılımlarda yerli teknolojiler kullanılması hassasiyeti ilk olarak 2017 yılında ortaya çıkmış olup, giderek artan bir grafik çizerek dünya çapında hızla yükselen trendlerden biri oldu. 2018 yılında da artarak devam eden bu hassasiyet sonucunda, Amerika Birleşik Devletleri ve Birleşik Krallık’ın uygulamaya koyduğu üretici kara liste uygulamasından çok-uluslu teknoloji şirketleri etkilendi. Bu yaklaşım sadece yeterli ve yerli teknolojiye sahip olan ülkelerin uygulayabileceği bir strateji olmakla beraber, kendi teknolojisini üretemeyen ülkelerin müttefik ülkelere yönelmesi ya da ihtiyaç duydukları teknolojileri üretebilir hale gelmesini gerektirmekle beraber, aksi halde ulusal kritik altyapılarının siber saldırıların odak noktası olacağı bilincini de beraberinde getirmektedir. Kritik altyapıların ekonomi ve ulusal güvenlik bakış açısıyla çok önemli olmasından dolayı Siber Milliyetçilik akımının en yoğun hissedileceği alanlardan birinin EKS Siber Güvenliği olacağını öngörüyoruz.

Satınalma ve Birleşmeler artarak devam edecek

2018 yılı içerisinde ticari birleşmelerin ve ikili iş birliklerin arttığı bir yıl oldu. Bunlardan başlıcaları, ForeScout’ın endüstriyel siber güvenlik firması Security Matters’ı satın alması, BMW’nin Claroty’e yatırım yapması ve Dragos’un GE ile iş birliği anlaşması oldu. 2019 yılında, satın almalar, birleşmeler ve ticari iş birliklerinin daha da artacağını öngörüyoruz. Bu etkileşim hem siber güvenlik üreticilerinin kendi arasında hem de endüstriyel üreticilerin siber güvenlik üreticileri arasında olacağını tahmin ediyoruz.

Savunmanın önemi artacak

Bu yıl konuşmacı olarak da yer aldığımız yılın en önemli EKS siber güvenlik etkinliklerinden biri olan SANS ICS etkinliğinin ana söylemi “Defense is doable” idi. Bu söylemin önemine ve içeriğine inanıyoruz. Tüm bu gelişmeler ışığında savunmanın hala yapılabilir olduğunu düşünüyoruz. Savunmanın bir parçası olarak Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2018 Yılı Tahminleri raporunda özetlediğimiz, gibi uçtan uca güvenlik, fiziksel güvenlik, tedarikçi güvenliği, güvenli tasarım ve yetkin uzman ihtiyaçları kritik altyapılarda artarak devam edecek.

Bunlara ek olarak savunma için endüstriyel altyapılarda görünürlük ihtiyacı artacak. Ağ görünürlüğünü arttırıp EKS-OT altyapılarının siber dayanıklılığını iyileştirmek için anomali tespit çözümleri daha popüler hale gelecek ve işletmelerin ana gündem maddelerin biri haline gelecek. Endüstriyel Kontrol Sistemleri’nin güvenliğinin tek bir metot yada yöntemle sağlanamayacağını geçen sene yayımlamış olduğumuz “Endüstriyel Kontrol Sistemleri’nde Siber Güvenlik 2018 Yılı Tahminleri” raporunda altını çizmiştik. 2019 yılında şirketlerin olası tüm siber risklerini minimize etmek ve bilgi güvenliğinde büyük resmi tamamlayacak şekilde bir yapılandırmaya gideceklerini öngörüyoruz. Bu öngörünün bir yansıması olarak, kritik altyapılara sahip işletmelerin geleneksel hizmet ve ürünlerin yanı sıra Olay Müdahale ve EKS spesifik Güvenlik Operasyon Merkezleri(SOC) gibi derin teknik bilgi gerektiren hizmetlere olan taleplerinde bir artış bekliyoruz.

By Murat Aydemir

ManageEngine OPManager Unrestricted/Arbitrary File Upload Güvenlik Açıklığı

CVE: CVE-2018-18475

CVSS:9.6 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Risk Seviyesi: Acil

Ürün: ManageEngine OPManager

Etkilenen Sürümler: OPManager version 12.3

Yama Tarihi: 16.10.2018

Raporlayan: Murat Aydemir

Problem Detayları:İlgili uygulama içerisinde iş tanımı yapılırken kullanılan dosya yükleme fonksiyonunun content-type ve extension kontrollerini eksiz/geçersiz yapması, kötü niyetli saldırganların, sunucu üzerinde kod çalıştırmalarını sağlayacak zararlı kodları sisteme yüklemesine olanak tanımaktadır.

Çözüm/Öneri:ManageEngine ilgili zafiyeti giderek yeni bir sürüm çıkarmıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir.

Referanslar:

https://seclists.org/fulldisclosure/2018/Oct/42
https://www.manageengine.com/network-monitoring/help/read-me.html
https://bugbounty.zoho.com/bb/info#hof

By Murat Aydemir

ManageEngine OPManager Stored XSS Güvenlik Açıklığı

CVE: CVE-2018-18262

CVSS: 9.6 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Risk Seviyesi: Acil

Ürün: ManageEngine OPManager

Etkilenen Sürümler: OPManager version 12.3

Yama Tarihi: 15.10.2018

Raporlayan: Murat Aydemir

Problem Detayları: Uygulamanın kullandığı kategori ekleme fonksiyonu Cross Site Scripting zafiyetinden etkilenmektedir. Zafiyetin sömürülmesi halinde oturum cookieleri çalınabilir, hedef sunucu üzerinde yetkisiz olarak javascript kodları yorumlatılabilir.

Çözüm/Öneri: ManageEngine ilgili zafiyeti giderek yeni bir sürüm çıkarmıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir.

Referanslar:

https://seclists.org/fulldisclosure/2018/Oct/34

https://www.manageengine.com/network-monitoring/help/read-me.html

https://www.manageengine.com/network-monitoring/download.html

 

1 2