Re: Bezpečnost připojení - was: Bezpecnost ESP8266
Jindroush
jindroush na seznam.cz
Neděle Říjen 23 15:39:02 CEST 2016
On 23.10.2016 15:04, Zdeněk wrote:
> Dovolím si téma zobecnit:
>
> Programuji PLC pro výrobní stroje a linky různého zaměření. Poslední dobou
> se často setkávám s požadavkem na připojení se k PLC z PC, tabletu nebo
> mobilu. Osobně v tom žádný přínos nevidím a naopak vnímám bezpečnostní
> rizika, ale to se některým lidem špatně vysvětluje.
> Při podrobnější diskusi dokonce zazněl požadavek na možnost dálkového
> spouštění strojů. To už mi přijde úplně proti zdravému rozumu a bezpečnosti
> práce...
>
> Když to vezmu po technické stránce, tak přichází v úvahu Wifi nebo BT. U BT
> si nejsem jistý spolehlivostí v průmyslovém prostředí. Výrobce PLC ani
> nenabízí BT modul.
> Z hlediska SW mi přijde uživatelsky přívětivější aplikace než přístup přes
> prohlížeč.
>
> Můžete se někdo podělit o zkušenosti s touto tématikou?
Zase jen obecne:
1) Prumyslove kontrolni systemy maji jak ovladaci, tak i dohlizeci
software a u toho dohlizeni je pomerne logicke, proc nemit personal doma
'v pohotovosti' a dohlizet na jednotlive systemy, s tim, ze se v pripade
nutnosti dojede (pripadne, o krok dal, zasahne pres internet). (Proc
jste vlastne vynechal moznost pripojeni stroje pres Ethernet?)
Jinak zase, pouziti neceho generickeho, jako je teamviewer nebo prave
prohlizec, zase zjednodusuje a zlevnuje pristup. Ovsem i utocnikovi.
Co se tyce bezpecnosti wifi, nevim, zda bych si troufnul ji nastavit
tak, aby byla opravdu bezpecna. Co kdyz nekdo muze vysilat na stejnem
SSID se smerovou antenou mimo provoz?
Viz povidani zde
http://cecs.wright.edu/~pmateti/InternetSecurity/Lectures/WirelessHacks/Mateti-WirelessHacks.htm
2) V rade PLC byla nalezena rada chyb, vcetne hardcoded hesel. Jakmile
utocnik zjisti, ze mate dany stroj, muze toho zneuzit. Viz napr toto
https://www.wired.com/2011/08/siemens-hardcoded-password/
Motivace utocniku muze byt ruzna: blbost, plana zaskodnicka radost,
vydirani, prumyslova spionaz, u nejakych exponovanych firem pak i
'cyber-neco' (hrozne se mi termin cyberwar ekluje)
Existuje rada stranek se seznamy default hesel do ruznych systemu,
vyhledavace existujiciho hardware (Shodan) - viz https://icsmap.shodan.io/
Treba francouzska hydroelektrarna
http://money.cnn.com/gallery/technology/security/2013/05/01/shodan-most-dangerous-internet-searches/4.html
--
Jindroush <jindroush at seznam.cz>
Další informace o konferenci Hw-list