Środki cyberbezpieczeństwa dla kontrolerów Vision i Samba
Jakiś czas temu sterowniki Unitronics stały się obiektami ataków hakerskich. Napastnicy wykorzystując udostępnione przez użytkownika na zewnątrz porty komunikacyjne wgrywali na sterownik PLC pusty program.
Więcej o samym ataku dowiesz się z tego artykułu: https://www.elmark.com.pl/blog/atak-hakerski-na-plc-unitronics-jak-zabezpieczyc-swoj-sterownik
Jak zabezpieczyć się przed nieautoryzowantym dostępem? Tego dowiesz się z poniższej instrukcji.
Nowa wersja Visilogic
Producent zareagował szybko udostępniając aktualizację zabezpieczeń w nowej wersji oprogramowania Visilogic 9.9.0 (do pobrania tutaj).
Ta wersja wymaga zmiany domyślnych haseł i wdrożenia złożonych haseł, a także zawiera nowe funkcje chroniące kontrolery Vision i Samba. Należą do nich:
- obowiązkowa ochrona hasłem dla komunikacji PCOM przez Ethernet,
- metoda umożliwiająca blokowanie działań zdalnego dostępu inicjowanych przez PCOM,
- zmianę domyślnego hasła trybu informacyjnego (Info Mode) za pomocą drabinki.
Co to jest PCOM?
PCOM to zastrzeżony protokół komunikacyjny firmy Unitronics, używany do komunikacji komputera PC ze sterownikiem Vision lub Samba. Na przykład podczas pobierania aplikacji lub uruchamiania trybu online za pośrednictwem VisiLogic do sterownika. PCOM jest również używany przez narzędzia Unitronics zainstalowane na komputerach PC lub mobilne, takie jak Remote Operator.
Hasło PCOM
Aby zapewnić bezpieczeństwo kontrolerom, musisz użyć narzędzia Set PCOM (Ethernet) Password znajdującego się w menu Com ->TCP/IP, aby włączyć hasło zapobiegające nieautoryzowanemu dostępowi do PCOM Ethernet. Funkcja ta umożliwia przypisanie hasła do komunikacji PCOM Ethernet. Następnie, gdy VisiLogic lub inne narzędzia spróbują nawiązać komunikację PCOM przez Ethernet, sterownik poprosi o hasło. Jeżeli zostanie podane prawidłowe, kontroler umożliwi nawiązanie komunikacji.
2. Hasło zostanie zresetowane przez oprogramowanie sprzętowe po włączeniu zasilania. Należy upewnić się, że program drabinkowy ustawia hasło podczas włączania, poprzez SB 2 (bit włączania, ON dla jednego skan po włączeniu zasilania).
3. Remote Operator: jeśli hasło jest ustawione, użytkownicy Remote Operator muszą wprowadzić je na początku sesji.
4. Sterownik.Net: jeśli używasz go w swoich aplikacjach, zwróć uwagę, że dokumentacja sterownika komunikacyjnego .NET Communication Drive została zmieniona w celu zapewnienia zgodności ze środkami cyberbezpieczeństwa. Istniejące aplikacje muszą zostać zaktualizowane w celu zapewnienia cyberbezpieczeństwa
Korzystanie z opcji Set PCOM (Ethernet) password
Funkcja ustawiania hasła PCOM (Ethernet) umożliwia ustawienie początku wektora o długości 8 MI (16 bajtów), w którym będzie przechowywane hasło. Aby zoptymalizować ochronę, użyj złożonego hasła składającego się ze wszystkich 16 znaków. Tworzysz je, przechowując żądane wartości hasła w tym wektorze. Następnie, gdy funkcja jest aktywowana i następuje próba nawiązania komunikacji Ethernet, VisiLogic prosi użytkownika o podanie hasła, a następnie weryfikuje wprowadzone. Jeśli wartości się zgadzają, zostanie nawiązana komunikacja Ethernet. Upewnij się, że program Ladder zainicjował kartę Ethernet przy włączeniu zasilania, a także Socket Init (ustawiony na TCP, Slave). Zwróć uwagę, że na następnym obrazie domyślny numer portu został zmieniony (hakerzy zwykle skupiają się na 20256):
Przypisanie hasła przez HMI
Ekran HMI pokazany poniżej umożliwia użytkownikowi wprowadzanie znaków do wektora za pomocą zmiennej String ASCII i Ustawienie hasła do dostępu przez Ethernet. Zauważ, że w tym przykładzie:
• MI 10 jest pierwszym operandem wektora hasła PCOM o długości 8 MI,
• przycisk Set Password jest powiązany z MB 1.
Po naciśnięciu logika aplikacji zapisze wprowadzone znaki w wektorze hasła MI, a sterownik poprosi o hasło przed zezwoleniem na komunikację Ethernet.
• binary Image Variable, Card Exists, jest powiązana z SB 141.
• binary Image Variable, Secured, jest powiązana z XB 4; gdy jest włączone, sterownik żąda hasła przed zezwoleniem na komunikację PCOM przez Ethernet.
Program w Ladder
- Zbuduj warunki do implementacji Ethernetu dla PCOM przy włączeniu zasilania przez SB2, dołączając TCP/IP Card Init i PCOM socket ustawione na TCP, Serwer (slave).
Listę numerów portów można znaleźć pod adresem
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Registered_ports
2. Umieść funkcję Set PCOM Password w swojej drabince i wybierz:
- Adres początkowy wektora hasła
Należy pamiętać, że wektor w tym przykładzie zaczyna się od MI 10 do MI 17, aby zaakceptować znaki wprowadzone na ekranie HMI pokazanym powyżej. VisiLogic automatycznie ustawia adres końcowy, aby utworzyć wektor wystarczająco długi, aby pomieścić hasło o długości od 8 do 16 znaków. - Operand stanu
1 = hasło jest poprawne. Oznacza to, że zostało utworzone.
Jeśli Status pokazuje inną wartość, wektor MI zawiera niedozwolone wartości, nie ustawiono żadnego hasła.
3. Pozostała część sieci obsługuje dane wyjściowe z operandu Status:
- Jeśli Status wynosi 1, hasło PCOM jest prawidłowe; zmienna Secured na HMI zostanie włączona, a sterownik poprosi o podanie hasła przed zezwoleniem na nawiązanie komunikacji Ethernet.
- Jeśli stan to nie 1, hasło zostanie usunięte i należy ustawić nowe hasło.
Podanie hasła powoduje wprowadzenie wartości do pamięci sterownika PLC:
Przy następnej próbie nawiązania komunikacji Ethernet ze sterownikiem, na przykład za pomocą VisiLogic lub Remote Operator, sterownik poprosi o podanie hasła:
SDW 10
Użycie SDW10 (Deny PCOM Access Bitmap) pozwoli na zablokowanie dostępu do sterowników Vision i Samba podłączonych do sieci.
Włączenie następujących bitów blokuje dostęp zgodnie z poniższym opisem:
• Bit 0 – Blokuj Run, Stop, Init, Reset, Download
• Bit 1 – Blokuj zmianę parametrów RS232/CANbus
• Bit 2 – Blokuj Remote access dla klawiatury
• Bit 3 – Blokuj zapis do tabel danych oraz pobieranie (obrazy i ciągi znaków)
• Bit 4 – Blokuj zapis do rejestrów (MB, MI, etc.)
• Bit 5 – Blokuj operacje na karcie SD
Ustaw hasła trybu informacyjnego
Ten element umożliwia użytkownikowi zmianę domyślnego hasła trybu informacyjnego poprzez Ladder. Gdy użytkownik próbuje wejść do trybu informacyjnego, kontroler żąda i sprawdza przed zezwoleniem na wejście:
W razie pytań zachęcam do kontaktu: sterowniki@elmark.com.pl
Skontaktuj się ze specjalistą Elmark
Masz pytania? Potrzebujesz porady? Zadzwoń lub napisz do nas!