Endüstriyel Kontrol Sistemlerine Yönelik Siber Saldırılar - Ahmet Yesevi Üniversitesi Mühendislik Fakültesi Siber Güvenlik Tezsiz Yüksek Lisans Dönem Projesi PDF

Preview

Summary

AHMET YESEVİ ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ SİBER GÜVENLİK TEZSİZ YÜKSEK LİSANS DÖNEM PROJESİ ENDÜSTRİYEL KONTROL SİSTEMLERİNE YÖNELİK SİBER SALDIRILAR HAZIRLAYAN Abdulkadir YÜKSEL (192189042) DANIŞMAN ÖĞRETİM ÜYESİ Assist. Prof. Dr. Abdulkadir KARACI 2020 ETİK İLKELERE UYGUNLUK BEYANI Dönem pro...

Description

AHMET YESEVİ ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ SİBER GÜVENLİK TEZSİZ YÜKSEK LİSANS DÖNEM PROJESİ

ENDÜSTRİYEL KONTROL SİSTEMLERİNE YÖNELİK SİBER SALDIRILAR

HAZIRLAYAN Abdulkadir YÜKSEL (192189042)

DANIŞMAN ÖĞRETİM ÜYESİ Assist. Prof. Dr. Abdulkadir KARACI

2020

ETİK İLKELERE UYGUNLUK BEYANI Dönem proje yazma sürecinde bilimsel ve etik ilkelere uyduğumu, yararlandığım tüm kaynakları kaynak gösterme ilkelerine uygun olarak kaynakçada belirttiğimi ve bu bölümler dışındaki tüm ifadelerin şahsıma ait olduğunu beyan ederim.

Abdulkadir YÜKSEL

iii

ENDÜSTRİYEL KONTROL SİSTEMLERİNE YÖNELİK SİBER SALDIRILAR Abdulkadir YÜKSEL AHMET YESEVİ ÜNİVERSİTESİ SİBER GÜVENLİK YÜKSEK LİSANS 2020 ÖZET Günümüzde enerji, doğalgaz, ulaşım, sağlık, bankacılık nükleer ve iletişim gibi birçok kritik altyapımızın yönetilmesinde önemli bir yeri olan Endüstriyel Kontrol Sistemleri (EKS) uzun yıllardır siber korsanlar tarafından hedef alınmaktadır. Bu sistemlerin siber saldırlar sonucu zarar görmesi veya çalışmasının engellenmesi maddi ve manevi zararlar oluşturmaktadır. Bu çalışmada EKS’lerin genel güvenlik açıklıkları ve tehditleri ele alınmış ve bunlar ile ilgili alınması gereken önlemler hakkında bilgiler verilmiştir. Ayrıca çalışmada son beş yılda yaşanmış ve kamuya açıklanan önemli siber saldırlar işlenmiştir. İhlallerin sosyal mühendislik, kimlik avı sahtekârlığı ve kötücül yazılımlar gibi BT altyapılarına yönelik saldırı vektörlerine dayandığı, saldırganların BT altyapılarındaki zayıf kimlik doğrulama, enjeksiyon (SQL, Komut, Kod) ve zayıf mimarilerinin protokol açıklıklardan yaralanarak EKS ağlarına eriştikleri tespit edilmiştir. Sonuç olarak kritik altyapıları kontrol eden EKS’lere yönelik saldırıların etkilerinin arttığı, saldırganların endüstriyel protokoller üzerine geniş bilgi edindikleri, siber yeteneklerini geliştirdikleri, karmaşık saldırı vektörlerini kullanarak birçok ülkeye maddi ve manevi zarar verdikleri tespit edilmiştir. Bu çalışmanın EKS’lerin siber güvenliğinin önemi ile ilgili farkındalık yaratacağı değerlendirilmektedir.

Anahtar Kelimeler: endüstriyel kontrol sistemi, kritik altyapı, scada, siber saldırı, siber güvenlik Danışman: Assist. Prof. Dr. Abdulkadir KARACI

iv

CYBER ATTACKS FOR INDUSTRIAL CONTROL SYSTEMS Abdulkadir YÜKSEL AHMET YESEVI UNIVERSITY CYBER SECURITY MASTER 2020 ABSTRACT Today, Industrial Control Systems (ICS), which has an important place in the management of many critical infrastructures such as energy, natural gas, transportation, health, banking nuclear and communication, have been targeted by cyber pirates for many years. Damage or operation of these systems as a result of cyber attacks results in material and moral damages. In this study, general vulnerabilities and threats of ICS is are discussed and information is given about the precautions to be taken. In addition, the study has been experienced in the last five years and significant cyber attacks that have been disclosed to the public have been processed. It has been determined that violations are based on attack vectors for IT infrastructures such as social engineering, phishing fraud and malware, and attackers' weak authentication, injection (SQL, Command, Code) and weak architectures in IT infrastructures have accessed ICS networks by using protocol openings. As a result, it has been determined that the effects of attacks against ICS is controlling critical infrastructures have increased, attackers have gained extensive knowledge on industrial protocols, have improved their cyber capabilities, and have inflicted material and moral damage on many countries using complex attack vectors. It is evaluated that this study will create awareness about the importance of cybersecurity of ICS.

Keywords: industrial control system, critical infrastructure, scada, cyber attack, cyber security Advisor: Assist. Prof. Dr. Abdulkadir KARACI

v

TEŞEKKÜR Öncelikle dönem projesi konusunun seçimde bana yardımcı olan, katkılarıyla beni yönlendiren değerli proje danışmanım Sayın Assist. Prof. Dr. Abdulkadir KARACI hocama teşekkürü bir borç bilirim. Yüksek Lisans eğitimim süresince manevi desteklerini esirgemeyen ve kendilerine yeterince vakit ayırmadığım halde bana her zaman destek olan başta değerli eşim Nuray YÜKSEL, güzel kızım Beren Nur YÜKSEL, aile büyüklerim ve tüm dostlarıma anlayışları için teşekkür ederim.

vi

İÇİNDEKİLER ETİK İLKELERE UYGUNLUK BEYANI............................................................................. ÖZET ................................................................................................................................... iii ABSTRACT .......................................................................................................................... iv TEŞEKKÜR ........................................................................................................................... v İÇİNDEKİLER ..................................................................................................................... vi ŞEKİLLER LİSTESİ ......................................................................................................... viii TABLOLAR LİSTESİ .......................................................................................................... ix SİMGELER VE KISALTMALAR........................................................................................ x 1.

BÖLÜM GİRİŞ ............................................................................................................. 1 1.1. Problem ....................................................................................................................... 6 1.2. Araştırmanın Amacı .................................................................................................... 7 1.3. Araştırmanın Önemi .................................................................................................... 7 1.4. Varsayımlar ................................................................................................................. 7 1.5. Sınırlılıklar .................................................................................................................. 8

2.

BÖLÜM KAVRAMSAL ÇERÇEVE ........................................................................... 9 2.1. Endüstriyel Kontrol Sistemlerine Özgün Genel Güvenlik Açıklıkları ve Tehditler ... 9 2.1.1. Kötü amaçlı yazılımlar, çıkarılabilir ortam ve harici donanımlar ........................ 9 2.1.2. İnsan hataları, sosyal mühendislik ve sabotaj ..................................................... 10 2.1.3. Kaynak kodu uygulama açıklıkları ..................................................................... 11 2.1.4. Bellek taşırma (Buffer Overflow)....................................................................... 12 2.1.5. SQL enjeksiyonu ................................................................................................ 13 2.1.6. Siteler arası betik çalıştırma ............................................................................... 14 2.1.7. Gereksiz portların ve servislerin açık olması ..................................................... 14 2.1.8. Zayıf kimlik doğrulama ...................................................................................... 15 2.1.9. Etkili yama yönetimi uygulaması ....................................................................... 15 2.1.10. Sıfır gün açıkları ............................................................................................... 16 2.1.11. Dos/Ddos saldırıları .......................................................................................... 17 2.1.12. Haberleşme kanalı açıklıkları ........................................................................... 18 2.1.13. Haberleşme protokolleri açıklıkları (Modbus, DNP3, Profinet) ...................... 18

3.

BÖLÜM YÖNTEM ..................................................................................................... 23 3.1. Geçmişte Yaşanan Endüstriyel Kontrol Sistemlerine Yönelik Siber Saldırlar ......... 23 3.1.1. Ukrayna Elektrik Şebekesi Saldırısı (2015) ....................................................... 24 3.1.2. Kemuri (bir takma ad) su şirketi saldırısı (2016) ............................................... 27 3.1.3. Shamoon (W32.Distrack)’un dönüşü (2016) ..................................................... 29 3.1.4. İkinci Ukrayna elektrik şebekesi saldırısı (2016) ............................................... 30 3.1.5. Crashoverride/Indostroyer (2017) ...................................................................... 31 3.1.6. APT33 (2017) ..................................................................................................... 34

vii

3.1.7. NotPetya (2017) .................................................................................................. 35 3.1.8. Dragonfly 2.0 (2017) .......................................................................................... 36 3.1.9. Triton/Trisis/ Hatman (2017) ............................................................................. 37 3.1.10. LockerGoga (2019)........................................................................................... 38 4.

BÖLÜM SONUÇ VE DEĞERLENDİRMELER ....................................................... 41

KAYNAKÇA ....................................................................................................................... 44

viii

ŞEKİLLER LİSTESİ Şekil

Sayfa

Şekil 1.1. Endüstriyel kontrol sisteminin şematik gösterimi (Micro, 2020) .......................... 1 Şekil 1.2. Kritik altyapı bilgi sistemleri (Bakanlığı, 2013).................................................... 2 Şekil 1.3. Üçüncü nesil standart scada ağı mimarisi (Vinay M.Igure, 2006) ........................ 3 Şekil 3.1. Kyivoblenergo şirketinin siber saldırı ile ilgili kamu duyurusu (Trivellato & Murphy, 2018) .................................................................................................... 24 Şekil 3.2. Kyivoblenergo’nun çağrı merkezindeki teknik arıza duyurusu (Trivellato & Murphy, 2018) .................................................................................................... 25 Şekil 3.3. Ukrayna saldırısının teknik bileşenleri (Case, 2016). ......................................... 26 Şekil 3.4. KWC ağının bir diyagramı (Verizon, 2016)........................................................ 28 Şekil 3.5. Industroyer saldırı şeması (Cherepanov & Lipovsky, 2017)............................... 31 Şekil 3.6. Siemens siprotec 4 koruma, kontrol, ölçüm cihazı (Siemens, 2020) .................. 32 Şekil 3.7. APT33 kötü amaçlı bir .hta dosyasının alıntısı (Jacqueline O'Leary, 2017) ....... 34 Şekil 3.8. Bir petya zararlı yazılımı mağdurunun ekran görüntüsü (Mohanta, Hahad, & Velmurug, 2018) ................................................................................................. 36 Şekil 3.9. Triconex SIS cihazı (Triconex, 2020) ................................................................. 38 Şekil 3.10. LockerGoga'nın adını aldığı dosya yolu (CIS, 2019) ........................................ 39

ix

TABLOLAR LİSTESİ Çizelge

Sayfa

Çizelge 4.1. 2015-2020 yılları arasında meydana gelen önemli siber olaylar (Kevin E. Hemsley, 2018) ................................................................................................ 41 Çizelge 4.1. (devam) 2015-2020 yılları arasında meydana gelen önemli siber olaylar (Kevin E. Hemsley, 2018)................................................................................ 42

x

SİMGELER VE KISALTMALAR Bu çalışmada kullanılmış simgeler ve kısaltmalar, açıklamaları ile birlikte aşağıda sunulmuştur. Kısaltmalar

Açıklamalar

BT

Bilgi Teknolojileri

CC

Komuta Kontrol

COM

Yerel Seri Bağlantı

DCS

Dağıtık Kontrol Sistemleri

DDOS

Dağıtık Hizmet Engelleme

DMZ

Arındırılmış Bölge

DOS

Hizmet Engelleme

EKS

Endüstriyel Kontrol Sistemleri

EMS

Enerji Yönetim Sistemleri

HMI

İnsan Makine Arayüzü

HMI

İnsan Makine Arayüzü

IDS

Saldırı Tespit Sistemi

IP

İnternet Protokolü

IPS

Saldırı Önleme Sistemit

KW

Kilovat

KWC

Kemuri Water Company

LAN

Yerel Ağ Bağlantısı

MBR

Ana Önyükleme Kaydı

MBR

Ana Yükleme Alanı

MTU

Ana Terminal Ünitesi

NSTB

Ulusal SCADA Deney Düzeneği

OT

Operasyonel Teknolojiler

PCS

Süreç Kontrol Sistemleri

PLC

Programlanabilir Mantık Kontrolörleri

RTU

Uzak Terminal Ünitesi

SCADA

Merkezi Denetleme Kontrol ve Veri Toplama

SQL

Yapılandırılmış Sorgu Dili

TCP

Geçiş Kontrol Protokolü

xi

Kısaltmalar

Açıklamalar

USB

Evrensel Seri Veriyolu

VPN

Sanal Özel Ağ

WAN

Geniş Alan Bağlantısı

WHO

Dünya Sağlık Örgütü

XSS

Siteler Arası Betik

1

1. BÖLÜM GİRİŞ Bilgi ve iletişim teknolojilerinin hızla gelişmesi insan hayatını kolaylaştırmış, sosyal hayatta, enerji, sağlık, ekonomi, eğitim, finans, haberleşme, sanayi ve endüstri gibi sektörlerde bilgi sistemlerinin temel alındığı bir altyapı oluşturulmuştur. Sanayide robotların, bilgisayarların ve bilgi teknolojilerin kullanımı bir devrim yaratmıştır. İnsan gücünün yerini alabilen EKS’ler hızla gelişmiş, üretim süreçlerinin kalitesinin ve esnekliğinin artması sağlanmıştır. EKS’ler, insan faktörünü en aza indirerek üretimi otomatikleştirmeye veya manuel olarak idare etmeye imkân vermektedir. EKS, Danışmalı Kontrol ve Veri Toplama Sistemleri (Supervisory Control And Data Acquisition, SCADA), Dağıtılmış Kontrol Sistemleri (Distributed Control Systems,

DCS) ve Programlanabilir Mantık Kontrolörleri

(Programmable Logic Controller, PLC) gibi diğer kontrol sistemi yapılandırmaları dahil olmak üzere çeşitli kontrol sistemlerini kapsayan genel bir terimdir (Stouffer, Lightman, Pillitteri, Abrams, & Hahn, 2015). Enerji Yönetim Sistemleri (Energy Management Systems, EMS) ve Süreç Kontrol Sistemleri (Process Control Systeam, PCS) gibi kontrol sistemlerinde kullanılan arayüzler de EKS’ler arasında sayılabilir. Sektöre bağlı olarak, her EKS farklı şekilde çalışır ve görevleri elektronik olarak etkin bir şekilde yönetmek için üretilmiştir. Şekil 1.1.’de bir ürün veya hizmet sunma gibi ortak bir hedefe ulaşmak için kullanılan çeşitli kontrol sistemlerinin gösterildiği bir EKS mimarisi şematik gösterilmiştir.

Şekil 1.1. Endüstriyel kontrol sisteminin şematik gösterimi (Micro, 2020)

2

EKS’ler, enerji, doğalgaz, savunma ve endüstri altyapıları, sağlık sistemleri, su şebekeleri, hava ve raylı ulaşım test sistemleri, nükleer ve üretim tesisleri gibi birçok kritik altyapıda kullanılmaktadır. Ülkelerin kritik altyapı olarak kabul ettiği birçok sistemi kontrol eder ve izler. Birbirleriyle bağıntılı bu sistemler kritik altyapıların işletilmesi için çok önemlidir. “Kritik altyapı, işlediği bilginin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda, can kaybına, büyük ölçekli ekonomik zarara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini veya EKS’leri barındıran sistemlerdir" (Bakanlığı, 2013). Ülkemiz’de Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’na göre “Ulaşım, enerji, haberleşme, finans, sağlık, su yönetimi, kritik kamu hizmetleri” gibi yapılar da kritik altyapılar olarak belirlenmiştir (TC Ulaştırma, 2013). Şekil 1.2.’de kritik altyapı bilgi sistemleri şematik olarak gösterilmiştir.

Şekil 1.2. Kritik altyapı bilgi sistemleri (Bakanlığı, 2013) EKS’ler topolojilerine ve içerdikleri bileşenlere göre SCADA ve DCS olarak ikiye ayrılmaktadır. SCADA; geniş alana yayılmış tüm sahalardan sürekli olarak veri toplayan, kontrol eden, izleyen ve sonuçlarını raporlayan merkezi sistemleri ifade etmektedir. Topladığı verileri değerlendirerek erken uyarı mesajları atabilmektedir. Böylelikle üretime katkı sağlayan birimleri tek bir merkezden yöneterek, sahadaki kontrol noktalarını uzaktan denetleyebilme ve izleme imkânı sunmaktadır.

3

SCADA teknolojisi, 1960’ların başlarından beri mevcuttur. Kurulum ve bakım maliyetlerinin yüksek olmasından dolayı ilk yıllarda tercih edilmemişlerdir. Teknolojinin gelişmesine paralel olarak maliyetleri düşmüş, bilgi sistemleri ile birlikte kullanım alanları genişlemiştir. Günümüzde gaz, petrol, nükleer enerji, üretim ve dağıtımında yaygın olarak kullanılmaktadır. Mimari yapı olarak SCADA sistemlerindeki bu gelişme üç nesil olarak şu şekilde incelenmektedir (Semiz, Göztepe, & Kılıç, 2013). 

Birinci nesil, monolitik: Bu sistemlerde ağ yapısı ve yedekleme mevcut değildir, özel protokoller aracılığı ile haberleşmektedir.



İkinci nesil, dağıtık: Yerel ağ bağlantısı (Local Area Network, LAN) üzerinden bağlantı kurularak çoklu istasyonlar arasında bilgi gerçek zamanlı paylaşılır.



Üçüncü nesil, ağ tabanlı: Genellikle açık sistem protokolleri kullanılarak Genel ağ bağlantısı (Wide Area Network, WAN) üzerinden bağlantı sağlanır, taşınabilir depolama birimleri ve yazıcı gibi üçüncü parti çevre aygıtları da sisteme bağlanabilir. Şekil 1.3’de üçüncü nesil ağ tabanlı standart bir SCADA ağı mimarisi gösterilmiştir.

Şekil 1.3. Üçüncü nesil standart scada ağı mimarisi (Vinay M.Igure, 2006)

4

SCADA sistemleri hem donanım hem de yazılımdan oluşur. Genellikle, Ana Terminal Ünitesi (Master Terminal Unit, MTU) adı verilen en az bir merkezi kontrolör ve tesis boyunca gerekli kontrol noktalarında dağıtılan bir veya daha fazla Uzak Terminal Ünitesi (Remote Terminal Unit, RTU) ile ağa bağlanır (Boyer, 2009). MTU ve RTU, giriş ve çıkışlarından gelen bilgileri saklar ve işler. RTU veya PLC yerel işlemi kontrol eder. SCADA sistemleri tüm kontrol faaliyetlerini PLC aracılığı ile yerine getirir. “PLC; giriş birimlerine bağlı anahtarlar ve sensörlerden gelen, hem analog hem de sayısal veriyi, yüklenen program bloklarında işleyerek sonuçlarını çıkış birimlerine bağlı röle, kontaktör, pnömatik-hidrolik devreler ve sabit göstergeleri sürmek için çıkışları kontrol eden bir endüstriyel bilgisayardır” (Ergül & Gezegin, 2013). “Çoğunlukla fabrika imalatında kullanılan PLC’ler, otomasyon alanında kullanılan en önemli donanımlardandır” (Bayrak & Kaya, 2011). PLC’ler gibi İnsan Makine Arayüz (Human Machine Interface, HMI)’leri otomasyon sistemlerinin önemli bir parçasıdır. HMI işlenen verileri operatöre ileten bir cihazdır. İşlemleri kontrol etmek için operatör tarafından HMI kullanılmaktadır. Tanılama verileri, yönetim bilgileri ve lojistik bilgileri, belirli makineler veya sensörler için ayrıntılı grafikler, bakım prosedürleri ve sorun giderme yönergeleri gibi trend bilgileri sağlamak için SCADA veritabanına bağlanır (İnternet, 2019). Saldırganların sömürdüğü alanlardan biridir (Jaswal, 2018). SCADA veya EKS temel bileşenleri arasında iletişimin hızlı ve güvenilir olması için özel haberleşme protokolleri kullanılmaktadır. Bunlardan en bilinenleri Fieldbus, Profibus, Modbus, CanBus, DeviceNet, ControlNet, AS-i ve Hart haberleşme protokolleridir. Protokollerde bilgi aktarımı ve kontrolü ile ilgili tüm detaylar belirlenmiş ve sabitlenmiştir. Ayrıca alıcı ve verici cihazların bu protokollerin biri ...