Re: Bezpečnost připojení - was: Bezpecnost ESP8266

Jindroush jindroush na seznam.cz
Neděle Říjen 23 15:39:02 CEST 2016


On 23.10.2016 15:04, Zdeněk wrote:
> Dovolím si téma zobecnit:
>
> Programuji PLC pro výrobní stroje a linky různého zaměření. Poslední dobou
> se často setkávám s požadavkem na připojení se k PLC z PC, tabletu nebo
> mobilu. Osobně v tom žádný přínos nevidím a naopak vnímám bezpečnostní
> rizika, ale to se některým lidem špatně vysvětluje.
> Při podrobnější diskusi dokonce zazněl požadavek na možnost dálkového
> spouštění strojů. To už mi přijde úplně proti zdravému rozumu a bezpečnosti
> práce...
>
> Když to vezmu po technické stránce, tak přichází v úvahu Wifi nebo BT. U BT
> si nejsem jistý spolehlivostí v průmyslovém prostředí. Výrobce PLC ani
> nenabízí BT modul.
> Z hlediska SW mi přijde uživatelsky přívětivější aplikace než přístup přes
> prohlížeč.
>
> Můžete se někdo podělit o zkušenosti s touto tématikou?


Zase jen obecne:
1) Prumyslove kontrolni systemy maji jak ovladaci, tak i dohlizeci 
software a u toho dohlizeni je pomerne logicke, proc nemit personal doma 
'v pohotovosti' a dohlizet na jednotlive systemy, s tim, ze se v pripade 
nutnosti dojede (pripadne, o krok dal, zasahne pres internet). (Proc 
jste vlastne vynechal moznost pripojeni stroje pres Ethernet?)
Jinak zase, pouziti neceho generickeho, jako je teamviewer nebo prave 
prohlizec, zase zjednodusuje a zlevnuje pristup. Ovsem i utocnikovi.
Co se tyce bezpecnosti wifi, nevim, zda bych si troufnul ji nastavit 
tak, aby byla opravdu bezpecna. Co kdyz nekdo muze vysilat na stejnem 
SSID se smerovou antenou mimo provoz?
Viz povidani zde 
http://cecs.wright.edu/~pmateti/InternetSecurity/Lectures/WirelessHacks/Mateti-WirelessHacks.htm

2) V rade PLC byla nalezena rada chyb, vcetne hardcoded hesel. Jakmile 
utocnik zjisti, ze mate dany stroj, muze toho zneuzit. Viz napr toto 
https://www.wired.com/2011/08/siemens-hardcoded-password/
Motivace utocniku muze byt ruzna: blbost, plana zaskodnicka radost, 
vydirani, prumyslova spionaz, u nejakych exponovanych firem pak i 
'cyber-neco' (hrozne se mi termin cyberwar ekluje)

Existuje rada stranek se seznamy default hesel do ruznych systemu, 
vyhledavace existujiciho hardware (Shodan) - viz https://icsmap.shodan.io/
Treba francouzska hydroelektrarna 
http://money.cnn.com/gallery/technology/security/2013/05/01/shodan-most-dangerous-internet-searches/4.html

-- 
Jindroush <jindroush at seznam.cz>


Další informace o konferenci Hw-list