लगातार दूसरे वर्ष , पॉजिटिव टेक्नोलॉजीज के विशेषज्ञ सबसे बड़े पूर्वी एशियाई सूचना सुरक्षा सम्मेलन पावर ऑफ कम्युनिटी में भाग ले रहे हैं। इस वर्ष, सियोल में आयोजित एक कार्यक्रम में आधुनिक स्वचालित प्रक्रिया नियंत्रण प्रणालियों (SCADA) की कमजोरियों का प्रदर्शन किया गया जो परिवहन, औद्योगिक, ईंधन और ऊर्जा और कई अन्य महत्वपूर्ण सुविधाओं का प्रबंधन करती हैं।
चू चू
हाल के वर्षों में, इस क्षेत्र के सबसे विकसित देश (दक्षिण कोरिया, जापान, चीन, ताइवान, सिंगापुर) उच्च गति वाले भूमि परिवहन के उत्पादन और कार्यान्वयन में अग्रणी विश्व पदों पर काबिज हैं। इलेक्ट्रॉनिक-स्टफ्ड ट्रेनें, जैसे कि हुंडई, सीरीज़ ई 5 हयाबुसा, सीआरएच 380 सीरीज़, सचमुच एशियाई शहरों के बीच उड़ान भरती हैं, जो एक घंटे में 300 किलोमीटर या उससे अधिक को कवर करती हैं।
अगर साइबर ट्रांसपॉर्टिस्ट आधुनिक परिवहन प्रणालियों पर हमला करने की कोशिश करते हैं, तो एक आपदा या संभावित नुकसान के परिणामों की कल्पना करना मुश्किल है। इस बीच, इस तरह के सिस्टम के डेवलपर्स अभी भी सुरक्षा मुद्दों पर पर्याप्त ध्यान नहीं देते हैं, जो चू चू पून प्रतियोगिता के दौरान प्रदर्शित किया गया था, जो सियोल दौरे पर आया था।
पॉजिटिव टेक्नॉलॉजी लैब में बनाया गया चू चू प्वॉइन बूथ एक गेमिंग रेलवे का एक मॉडल है, जिसके सभी तत्व, गाड़ियों से लेकर बाधाओं और ट्रैफिक लाइट तक, तीन SCADA सिस्टम के आधार पर इकट्ठे एक स्वचालित प्रक्रिया नियंत्रण प्रणाली द्वारा नियंत्रित होते हैं।
कोरिया को (और स्टैंड की असेंबली में पूरे एक दिन का समय लगता है) हमें अपनी जरूरत की हर चीज पहुंचाना इतना आसान नहीं था, लेकिन हमने इस काम को पूरा किया।
विभिन्न देशों के प्रतिभागियों को रेलवे मॉडल और कंटेनर लोडिंग कंट्रोल सिस्टम तक पहुंच प्राप्त करना था, औद्योगिक प्रोटोकॉल की कमजोरियों का फायदा उठाना और SCADA सिस्टम के प्रमाणीकरण और औद्योगिक उपकरणों के वेब इंटरफेस को दरकिनार करना था। एसीएस टीपी नेटवर्क, एचएमआई या औद्योगिक नियंत्रकों तक पहुंच प्राप्त करने के बाद, प्रतियोगियों को रेलवे लेआउट के कुछ हिस्सों के संचालन को बाधित करना पड़ा या लक्ष्य प्रणालियों को नियंत्रित करना पड़ा। इसके अलावा, उन्हें सीसीटीवी कैमरों को निष्क्रिय करने की आवश्यकता थी।
चू चू पून स्टैंड की हैकिंग में 30 से अधिक सूचना सुरक्षा विशेषज्ञों ने भाग लिया। विजेता एक साथ कई लोग थे। लिम जंग वोन, ही-चान ली और यूं-चांग ली ने मोडबस प्रोटोकॉल में कमजोरियों की खोज की और कंटेनरों के लिए क्रेन लोडिंग सिस्टम का नियंत्रण प्राप्त किया, जिसे सीमेंस (सिमैटिक विनसीसी फ्लेक्सिबल 2008) और आईसीपी डैस (रिमोट डिवाइस) से उत्पादों का उपयोग करके नियंत्रित किया गया था। आईओ)। ग्रेस किम, जेनी किम और चिन बिन इन, ने बदले में, रेलवे मॉडल प्रबंधन प्रणाली तक पहुँच प्राप्त की, सीमेंस विनसीसी 7.0 SP2 में और सीमेंस SIMATIC S7-1200 कंट्रोलर (S7 प्रोटोकॉल) में सुरक्षा खामियों को खोजा और कार्यान्वित किया।
जोनास जेडडैच को विशेष पुरस्कार प्रदान किए गए, जिन्होंने डीओएस हमले के लिए एस 7-1200 पीएलसी में शून्य-दिन की भेद्यता का इस्तेमाल किया, और उनके सहयोगी लुसियन कोजोकर, जिन्होंने इसे पाया। यह ध्यान देने योग्य है कि जेनी किम - विजेताओं में एकमात्र लड़की जिसने अपने दृढ़ संकल्प और दृढ़ता से सभी को चकित कर दिया। और लिम जंग वोन सबसे पहले मोडबस प्रोटोकॉल को समझते थे और रेल लोडिंग क्रेन को नियंत्रित करने के लिए एक अर्ध-स्वचालित स्क्रिप्ट लिखते थे।
SCADA सुरक्षा
पॉजिटिव टेक्नोलॉजीज के विशेषज्ञों द्वारा प्रस्तुत
रियल एससीडीए एंड आईसीएस सिस्टम्स की तकनीकों की रिपोर्ट, ने इसी विषय को कवर किया। अलेक्जेंडर तिमोरिन, यूरी गोलत्सेव और इल्या कारपोव ने SCADA प्रणालियों के औद्योगिक प्रोटोकॉल की सुरक्षा और महत्वपूर्ण बुनियादी सुविधाओं की सूचना प्रणालियों के ऑडिटिंग में समृद्ध व्यावहारिक अनुभव के क्षेत्र में नवीनतम शोध परिणामों को साझा किया।
सर्गेई गोर्डेइक और एलेक्सी मोस्कविन द्वारा प्रस्तुति, जिन्होंने
एप्लिकेशन सोर्स कोड एनालिसिस के लिए ऑटोमैटिक एक्सप्लॉइट जनरेशन की रिपोर्ट प्रस्तुत की
, वह भी बहुत रुचि के थे।
इस प्रस्तुति के दौरान, छात्रों ने स्रोत कोड का विश्लेषण करने के लिए एक नई तकनीक के बारे में सीखा जो आपको कमजोरियों के लिए खोज को स्वचालित करने, "बुकमार्क" का पता लगाने और अनुप्रयोगों में अघोषित सुविधाओं की अनुमति देता है।
इसके अलावा, POC'2013 में, दक्षिण कोरियाई बाजार के लिए स्थानीयकृत दो नए उच्च-तकनीकी पॉजिटिव टेक्नोलॉजीज सॉफ्टवेयर उत्पादों को प्रस्तुत किया गया: पीटी एप्लीकेशन फायरवाल, नवीनतम स्व-सीखने की क्षमताओं के साथ पारंपरिक काले और सफेद सूचियों का संयोजन, साथ ही साथ पीटी एप्लीकेशन इंस्पेक्टर, सुरक्षा निगरानी प्रणाली। स्थैतिक, गतिशील और इंटरैक्टिव स्रोत कोड विश्लेषण के लाभों के संयोजन के अनुप्रयोग।
महिला सी.टी.एफ.
यह ध्यान दिया जाना चाहिए कि पावर ऑफ कम्युनिटी 2013 के ढांचे के भीतर कैप्चर द फ्लैग के सिद्धांतों के आधार पर सबसे मूल प्रतियोगिताओं को पारंपरिक रूप से आयोजित किया जाता है: सुबह की ताजगी के देश ने सीटीएफ पावर ऑफ एक्सएक्स के साथ दुनिया को प्रस्तुत किया, जहां केवल लड़कियां भाग लेती हैं।
उनमें से सबसे अच्छा, सॉन्ग जोंग हयांग विश्वविद्यालय (किम आ-सोल, किम जी-यंग, किम हक-सू, पार्क सा-यान, पार्क जियॉन्ग-मिन) से सिक्योरिटीफर्स्ट टीम के सदस्य मई 2014 में रूस में मिल सकते हैं - सियोल सीटीएफ के विजेता इस बार क्वालीफाइंग राउंड को दरकिनार करते हुए सीधे
पीएचडीईएस 2014 सीटीएफ के मुख्य टूर्नामेंट में आते हैं।
पुनश्च चू चू पून प्रतियोगिता को विशेष रूप से अंतरराष्ट्रीय मंच PHDays III के लिए डिज़ाइन किया गया था, जिसकी तैयारी आप हमारी फिल्म के बारे में जान सकते हैं: