اطلاعیه

Collapse
No announcement yet.

ارزیابی امنیت و آسیب پذیری های صنعتی و فازینگ پروتکل هاش

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • ارزیابی امنیت Ùˆ آسیب پذیری های صنعتی Ùˆ فازینگ پروتکل هاش

    یکی از مباحثی که برای تمامی کشور ها بسیار مهم و حیاتی است، مبحث امنیت سیستم های کامپیوتری و صنعتی می باشد. اما چرا؟! چرا ما باید به امنیت سیستم های صنعتی و کامپیوتری اهمیت بدهیم؟! دلیل بسیار واضح هست. الخصوص برای افرادی که در کشور ایران زندگی می کنند.

    دیگر مانند گذشته جنگ و نبردهای نظامی در جبه ها صورت نمی گیرد، امروزه مرز جنگ های انسانی به صنعت الکترونیک، کامپیوتر و حتی فرهنگی رسیده است. نمونه این حمله را چند وقت پیش کشور ایران با ویروس استاکس نت تجربه کرد و این موضوع گواه این بود که بیش از گذشته باید به مباحث امنیت سیستم های زیرساخت صنعتی اهمیت داد. برای چند لحظه تصور کنید که ویروس استاکس نت می توانست با موفقیت اهداف خودش را انجام داده و در عملکرد سانتریفیوژ های نیروگاه هسته ای اختلال ایجاد کند، چه اتفاقی می افتاد؟!

    اما ما باید چی کار کنیم تا بتوانیم در این نبردهای الکترونیکی بر دشمنان خود غلبه کنیم؟ متاسفانه کشور هایی مانند آلمان، آمریکا، چین، فرانسه، ایتالیا، روسیه و الخصوص اسرائیل دانش بسیار غنی در زمینه امنیت و طراحی سیستم های صنعتی و کامپیوتری دارند. بطوری که بنده اصلا توانایی توصیف قدرت آنها الخصوص اسرائیلی ها را ندارم. کافیست فقط در مورد پروژه هایی که دانشگاه های موجود در این کشور ها انجام می دهند تحقیق و پژوهشی انجام بدهید، به راحتی تفاوت را متوجه خواهید شد. اما دلیل اینکه آنها در این صنعت به همچین قدرتی رسیده اند چیزی جزء سرمایه گذاری، مدیریت درست نوابغ و اشتراک تجربه های علمی خود نبوده است، چیزی که متاسفانه در کشور ما وجود ندارد و همواره با رفتن نوابغ علمی هم وضعیت بدتر و بدتر می شود.

    به هر حال بنده تصمیم گرفتم برای شروع پایان نامه ارشد دوست عزیزم علی عباسی که در دانشگاه Tsinghua، کشور چین ارائه کرده بود را به زبان پارسی روان ترجمه کرده و در نهایت در اختیار پژوهشگران ایرانی قرار بدهم. شاید ذکر این نکته هم خالی از لطف نباشد. اگر از ده سال پیش، هر شهروند ایرانی وقت می گذاشت و یک مقاله یا یک کتاب را در زمینه صنعت امنیت سیستم های کامپیوتری، الکترونیکی یا زمینه های پژوهشی دیگر ترجمه و تالیف می کرد، الان وضعیت منابع علمی ایران اینقدر خنده دار و مُزحک نبود.


    فهرست مقاله :

    مقدمه
    پیش زمینه ای در مورد سیستم های زیرساخت حیاتی
    بخش های مختلف سیستم اسکادا
    سیستم های کنترل صنعتی
    انگیزه
    مرور محتوا
    سیستم های کنترل صنعتی و زیر ساخت حیاتی
    تجزیه و تحلیل لایه های پروتکل
    پروتکل Modbus
    مقدمه در مورد فازینگ
    فازر پروتکل Modbus
    پروتکل DNP3
    ارزیابی امنیت سیستم های کنترل صنعتی
    آزمایش نفوذ
    معرفی دستگاه های مورد آزمایشمان
    ارزیابی سریع امنیت ASATech RMU-2004 و DCM-2004
    Cross Debugging Ùˆ Cross Compiling
    مهندسی معکوس
    فازینگ پروتکل Modbus TCP
    بررسی سخت افزار
    مولفه های اضافی و تهدید علیه سیستم های حیاتی
    نمونه برداری از کل سیستم
    ارزیابی امنیت Schneider Electric PLC
    نمونه برداری از نرم افزارهای دائمی
    پیوست 1 : اثبات اکسپلویت پذیر بودن دستگاه های ASATech
    پیوست 2 : فازر Mudbus
    پیوست 3 : درگاه مجازی GSM SHIELD برای Arduino


    دانلود
    Last edited by c3phalex1n; 02-09-2014, 11:55 AM.
    انقدر نشد چشمه از پاسخ سنگ سرد، به رفتن در اسِتاد و اِبرام کرد
    بسی کَند و کاوید و کوشش نمود، کز آن سنگ خارا رهی برگشود
    ملک الشعرای بهار
    My Blog : c3phalex1n.blogspot.com

    سایت جنبش مصاف، علی اکبر رائفی پور : http://masaf.ir
    خدا خیرش بده واقعا، تا حالا ندیده بودم کسی اینقدر برای جوُنا زحمت بکشه.

  • #2
    فایل PDF کمی ساختارش بهم ریخته بود و مشکل داشت، نسخه جدید رو از لینک زیر دانلود کنید.

    http://www.mediafire.com/download/i8...yer%282%29.zip
    انقدر نشد چشمه از پاسخ سنگ سرد، به رفتن در اسِتاد و اِبرام کرد
    بسی کَند و کاوید و کوشش نمود، کز آن سنگ خارا رهی برگشود
    ملک الشعرای بهار
    My Blog : c3phalex1n.blogspot.com

    سایت جنبش مصاف، علی اکبر رائفی پور : http://masaf.ir
    خدا خیرش بده واقعا، تا حالا ندیده بودم کسی اینقدر برای جوُنا زحمت بکشه.

    Comment


    • #3
      تشکر

      سلام میلاد جان

      دادا مثل همیشه عالی بود
      دمت جیززززززززززززززززززز

      Comment


      • #4
        نوشته اصلی توسط marshal3333 نمایش پست ها
        سلام میلاد جان

        دادا مثل همیشه عالی بود
        دمت جیززززززززززززززززززز
        سلام! فدات داش :x
        انقدر نشد چشمه از پاسخ سنگ سرد، به رفتن در اسِتاد و اِبرام کرد
        بسی کَند و کاوید و کوشش نمود، کز آن سنگ خارا رهی برگشود
        ملک الشعرای بهار
        My Blog : c3phalex1n.blogspot.com

        سایت جنبش مصاف، علی اکبر رائفی پور : http://masaf.ir
        خدا خیرش بده واقعا، تا حالا ندیده بودم کسی اینقدر برای جوُنا زحمت بکشه.

        Comment


        • #5
          میلاد با این مقاله ترکوندی خیلی کاربردی و خوبه دمت گرم امیدوارم مخاطبینش هم از این استفاده کنن
          کاش همه همت و حوصله تو رو داشتن الان ایران وضعیتش این نبود
          فقط بی خیال این رائفی بشو برای جوونا زحمت که چه عرض کنم ظلم و جفا میکنه آدم درستی نیست
          موفق باشی
          Last edited by captain 8l4ck; 02-08-2014, 01:56 PM.
          600d luc1< iM4n

          Comment


          • #6
            ممنون بابت مقاله اگر وقت شد دانلود میکنم و بهره میبرم
            اما در مورد کشف آسیب پذیری در سیستم های صنعتی شاید کار سختی نباشه اما به این دلیل هست که خیلی ها روش کار نمیکننا به دلیل بی سوادی نیست
            ما در ایران زندگی میکنیم و به هر حال کسی که بخواد دنبال همچین قضیه بره اول بایستی از یک نفر که متخصص سیستم های صنعتی و پی ال سی هست مشاوره بگیره ازش . حالا اگر اون هم نباشه زیاد دست آدم بسته نمیشه و با سرچ زدن میشه کاری کرد .
            اما قضیه مهم اینجاست که اگر آدم سیستم صنعتی دم دستش نباشه که روش آزمون های تست و خطا انجام بده یا مهندسی معکوس روش صورت بگیره نمیتونه به جایی برسه
            مثل سیستم بانک
            تا حالا شنیدین که شاید ازتون پرسیده باشند که میتونید عالر بانک هک کنید !
            خوب شاد بشه و خیلی هم راحت اما چون سیستمش دم دست نیست که تست زده بشه به صورت آزادانه و با خیال راحت پس نمیشه باگی ازش در آورد که بشه نفوذ کرد و کسیم جرئت اینو نداره که رو عابر بانک های خیاباون تست بزنه چون 50 50 میشه
            یا میمیره یا نفوذ میکنی که به قیمت جون آدم تموم میشه
            به هر حال بحث جالبی هست و اگر دقت کرده باشید این بحث بعد از ستاکس نت رونق گرفت و اطمینان دارم تا قبل از اون حتی نشنیده بودید چون منم اینطوری بودم
            انشااله بحث ها بدون مشکل بیشتر میشه و تخصصی بچه ها روش کار کنن تا همه بهره ببرند
            www.Ragvel.com

            www.Ahon.ir

            Comment


            • #7
              نوشته اصلی توسط captain 8l4ck نمایش پست ها
              میلاد با این مقاله ترکوندی خیلی کاربردی و خوبه دمت گرم امیدوارم مخاطبینش هم از این استفاده کنن
              کاش همه همت و حوصله تو رو داشتن الان ایران وضعیتش این نبود
              فقط بی خیال این رائفی بشو برای جوونا زحمت که چه عرض کنم ظلم و جفا میکنه آدم درستی نیست
              موفق باشی
              فداتم داداشم.
              البته اصل زحمت این مقاله رو علی عباسی (Black IC3) کشیده بود.
              جا داره همین جا ازش به خاطر وقتی که گذاشت و ترجمه مقاله رو بررسی کرد تشکر کنم.
              واقعا تو این مدت که در زمینه ترجمه مقالات و کتاب امنیتی که دارم کار می کنم، کسی به اندازه علی کمکم نکرده!
              با اینکه درس و دانشگاه و کارش تمام وقتش رو می گیره، اما با این اوصاف همیشه وقت خالیش و صرف کمک به هم می کنه!
              واقعا باس ازش تشکر کنم! امیدوارم همیشه و همه جا تو زندگیش موفق باشه. گرچه که می دونم همین الانم جزوء موفق ها بوده :x
              انقدر نشد چشمه از پاسخ سنگ سرد، به رفتن در اسِتاد و اِبرام کرد
              بسی کَند و کاوید و کوشش نمود، کز آن سنگ خارا رهی برگشود
              ملک الشعرای بهار
              My Blog : c3phalex1n.blogspot.com

              سایت جنبش مصاف، علی اکبر رائفی پور : http://masaf.ir
              خدا خیرش بده واقعا، تا حالا ندیده بودم کسی اینقدر برای جوُنا زحمت بکشه.

              Comment


              • #8
                نوشته اصلی توسط ciph3r نمایش پست ها
                به هر حال بحث جالبی هست و اگر دقت کرده باشید این بحث بعد از ستاکس نت رونق گرفت و اطمینان دارم تا قبل از اون حتی نشنیده بودید چون منم اینطوری بودم
                انشااله بحث ها بدون مشکل بیشتر میشه و تخصصی بچه ها روش کار کنن تا همه بهره ببرند
                انشااله...! :x
                انقدر نشد چشمه از پاسخ سنگ سرد، به رفتن در اسِتاد و اِبرام کرد
                بسی کَند و کاوید و کوشش نمود، کز آن سنگ خارا رهی برگشود
                ملک الشعرای بهار
                My Blog : c3phalex1n.blogspot.com

                سایت جنبش مصاف، علی اکبر رائفی پور : http://masaf.ir
                خدا خیرش بده واقعا، تا حالا ندیده بودم کسی اینقدر برای جوُنا زحمت بکشه.

                Comment


                • #9
                  فهرستشو خوندم خیلی عالی بود و اگه وقت کنیم شوق فراوانی برای خوندنش دارم چون آشنایی زیای با این مبحث ندارم کلا

                  بزار بخونم بعد فردا میام برات شاخ میشم
                  ...

                  Comment


                  • #10
                    نوشته اصلی توسط l4tr0d3ctism نمایش پست ها
                    بزار بخونم بعد فردا میام برات شاخ میشم
                    دهنت سرویس )) خیلی حرف سنگین و پر محتوایی بود =))))
                    انقدر نشد چشمه از پاسخ سنگ سرد، به رفتن در اسِتاد و اِبرام کرد
                    بسی کَند و کاوید و کوشش نمود، کز آن سنگ خارا رهی برگشود
                    ملک الشعرای بهار
                    My Blog : c3phalex1n.blogspot.com

                    سایت جنبش مصاف، علی اکبر رائفی پور : http://masaf.ir
                    خدا خیرش بده واقعا، تا حالا ندیده بودم کسی اینقدر برای جوُنا زحمت بکشه.

                    Comment


                    • #11
                      نوشته اصلی توسط ciph3r نمایش پست ها
                      اما در مورد کشف آسیب پذیری در سیستم های صنعتی شاید کار سختی نباشه اما به این دلیل هست که خیلی ها روش کار نمیکننا به دلیل بی سوادی نیست
                      ما در ایران زندگی میکنیم و به هر حال کسی که بخواد دنبال همچین قضیه بره اول بایستی از یک نفر که متخصص سیستم های صنعتی و پی ال سی هست مشاوره بگیره ازش . حالا اگر اون هم نباشه زیاد دست آدم بسته نمیشه و با سرچ زدن میشه کاری کرد .
                      اما قضیه مهم اینجاست که اگر آدم سیستم صنعتی دم دستش نباشه که روش آزمون های تست و خطا انجام بده یا مهندسی معکوس روش صورت بگیره نمیتونه به جایی برسه
                      دقیقا همین طوره . یادمه من و علی میخواستیم مقاله بدیم تو همین موضوعات که قرار بود research ها با من باشه وقتی الان به من گفت باید رو چه device هایی کار کنیم. رفتم دنبالش دیدم تو ایران حتی نمی زارن تو با مجوز به device ها نزدیک بشی چه برسه به این که بخوای بری روشون مهندسی معکوس و.... انجام بدی.
                      کلا پروژه در نطفه خفه شد.
                      My Crime Is My Advisory

                      Hacking Is The Best But Security Is The First

                      My Crime Is That Of Curiosity

                      هميشه راهي براي نفوذ است و هيچ سيستمي به طور مطلق امن نيست. بلكه بايستي آن راه نفوذ را كشف كرد .هنر هك هم در همين نكته متبلور ميشود

                      Best Secure Hosting

                      قبل پست دادن اینو بخون

                      Comment


                      • #12
                        جا داره از علی تشکر کنم .
                        علی جون مرسی
                        My Crime Is My Advisory

                        Hacking Is The Best But Security Is The First

                        My Crime Is That Of Curiosity

                        هميشه راهي براي نفوذ است و هيچ سيستمي به طور مطلق امن نيست. بلكه بايستي آن راه نفوذ را كشف كرد .هنر هك هم در همين نكته متبلور ميشود

                        Best Secure Hosting

                        قبل پست دادن اینو بخون

                        Comment


                        • #13
                          @dangerous : دقیقا هم همینطور نیست :-p خدایش به این سادگی ها نیست.
                          مثلا در حین ترجمه این مقاله وقتی با علی حرف میزدم تو اسکایپ و مراحل کار و توضیح می داد کلی متفاوت بود.
                          بستر کار متفاوته، معماری متفاوته و حتی مکانیزم های امنیتی هم که دستگاه ها به کار گرفتن یکم عجیب و قریبه.
                          ولی خب اصل همونه که بوده.

                          راستی ویدیو کنفرانس علی تو آمریکا رو هم خواستید دانلود کنید و ببینید )
                          گرچه که به نقل از خودش، بدترین ارائه اش بوده!
                          ولی برای دیدن خوبه.
                          http://www.mediafire.com/download/z3....+on+Vimeo.mp4
                          Last edited by c3phalex1n; 02-11-2014, 06:44 AM.
                          انقدر نشد چشمه از پاسخ سنگ سرد، به رفتن در اسِتاد و اِبرام کرد
                          بسی کَند و کاوید و کوشش نمود، کز آن سنگ خارا رهی برگشود
                          ملک الشعرای بهار
                          My Blog : c3phalex1n.blogspot.com

                          سایت جنبش مصاف، علی اکبر رائفی پور : http://masaf.ir
                          خدا خیرش بده واقعا، تا حالا ندیده بودم کسی اینقدر برای جوُنا زحمت بکشه.

                          Comment

                          Working...
                          X