Názory k článku Postřehy z bezpečnosti: útoky na Bluetooth, PLC i UEFI

S prumyslovou automatizaci nedelam, tak by me zajimalo, proc by mel nekdo vystavovat PLC do internetu (viz doporuceni CISA)? Pokud bych potreboval umoznit remote pristup napr. dodavateli, tak docasne whitelistnu jeho IP adresu. Jak to chodi v praxi?

Trochu se v tom pohybuju a nikdo trochu soudný to takto bez VPN do internetu nevystrčí a ještě s výchozím heslem pro přístup.

V praxi se na to casto kasle, protoze je to prace navic. A vstupuji do toho casto sami koncovi uzivatele, kteri chteji mit moznost na takove zarizeni pristupovat na dalku - ale soucasne nemaji pevnou IP adresu. A na nejakou VPN ehm... zase nemaji budget. Takovych pasti kolem nas je spousta - a nebavime se jen o prumyslovych PLC, to same plati treba i o kamerach a spouste dalsich veci, co by bylo zahodno nemit univerzalne pristupne z celeho sveta.

A hlavne nemecký model Industry 4.0 (aj japonci majú niečo také, len s iným názvom), kde má mať odberateľ prehľad od tom, ako prebieha výroba v rámci jeho zákazky, priamo na procese

Od toho je VPN, nebo nejak aplikacni proxy, ci zber dat napr. do jineho systemu a az tam to nekdo pozoruje, neni jediny duvod davat nejake zarizeni do internetu.

Whitelist IP - delate si prdel - ne zarizeni musi mit v sobe nejaky SSH tunel, vpen etc. a vy zapnete spojeni do firmy a az pak je nejaky tunel - zarizeni jako takove pak vubec neni v netu, vse je reseno pres NAT a inertni VPN/tunel ze zarizeni - tedy na dane zarizeni neni mozno z internetu navazat spojeni vubec, nebot se nepouziva ani port forwarding na danou IP z FW - u nas to tak maji vsechna zarizeni - bud jen posilaji logy, nebo je remote access resen ze zarizni.

Nebo ala NetApp - je treba nainstalovat virtualni masinu se SW, ta ma pristup na zarizeni a jinou lan ma pristup do internetu a az ta neco posila, pritom ani na dany virtual neni z netu pristup, komunikace je jednosmerna.

Bezpecna reseni jsou pro mnohe zbytecne vicenaklady. Minimalne do chvile, nez se stane nejaky prusvih, jako treba v tom Nachode. Ze mnohdy bezpecnost neresi ani vyvojari ukazal treba slavny hackaton k dalnicnim znamkam - tam to take pojali tak, ze zabezpeceni kdyztak dolepi dodatecne...

Ja se s tim setkavam naprosto bezne tady v US. Mate misto nekde v pousti kde vam neco musi bezet. Navrhne se to se security, stoji to $xxxk. Udela se to castecne se security - stoji to $xxk. Pak v tom neco z te security umre a misto nakupu treba noveho fw se to proste ponecha bez fw. Usetrene prachy. Kdyz mas takovych mist stovky tak usetris hodne penez a ze ti nekdo jednou za cas neco zrusi az tak moc nevadi. Ve finale totiz firma usetri spoustu penez.

Kdyz zminujes US, tak specielne tam, krasny priklad jsou banky a platby. Zabezpeceni je vlastne presne nula. A duvod je presne stejny. Kdyz sem tam nekdo nejaky $$$ slohne, tak je to porad levnejsi, nez to resit.

Bezpečnost je jen o penězích a (ne)akceptaci rizika.

Praxe je zhruba takova, ze ti do firmy prijde dodavatel, neco nekde namontuje, protoze to prece neni pocitac, tak se to ITkovi ani nerekne. Pokracuje to tim, ze pokud je ITk aktivni ul ... tak si dodavatel zacne stezovat ze kvuli nemu nefungije X, Y a Z ... takze se podle toho typicky IT zaridi = necha to vystaveny na net, a tesi se, az to nekdo hackne a celou firmu zastavi.

Opakovane (nejen)osobni zkusenosti.

Vem NB, sedni si na lavicku do arealu nejake nemocnice a zacni se bavit.