Page 2 sur 2

Re: antivirus

Publié : 21 mars 2018, 13:18
par sinced
Kallysto a écrit : 21 mars 2018, 08:39 Ou on utilise la bonne vieille méthode :

-> réseau production séparé du reste. Aucun accès internet
-> embauche d'automaticiens pour assurer la maintenance sur place au lieu de tout télédéléguer ailleurs dans le monde.

Plus de boulot pour nous et sécurité au top du top.
Je suis d'accord avec toi. Mais en plus de cela, il faut l'antivirus, désactiver les ports USB sur les stations opérateurs, bloquer les ports des switchs non utilisés, inculquer la culture de la cybersécurité au personnel etc.

Souvent, on retrouve sur le réseau d'informatique industrielle des virus à cause des clés USB infectés.

Re: antivirus

Publié : 21 mars 2018, 15:21
par Mantysse
sinced a écrit : 21 mars 2018, 13:18

... il faut l'antivirus,...

Bonjour,

Je ressors d'un entretien avec l'ANSSI, et en substance sur les réseau industriel l'anti virus est plus nocif qu'autre chose... Pourquoi?
Bein parce qu'un antivirus ce n'est rien d'autre qu'un gros virus, ça ouvre des portes qui normalement sont close...
Un antivirus n'est efficace que s'il est mis a jour régulièrement, et l'on sait, vous comme moi, qu'une mise a jour sur un systeme industriel qui tourne ça ne se fait pas (ou peu question de budget et de temps alloué aux tests plateforme)...
Ce qui est ressorti de cette discution il y a bien évidement le verrouillage physique de tout type de port (RJ45, USB, etc) mais que le firewall logiciel en mode "bloque tout sauf exception" est plus efficient qu'un anti-virus jamais mis à jour.

Après si vous souhaitez que l'on discute des architectures que je propose pour connecter un réseau administratif et un réseau technique sans que le SI s'en mèle, je peux en discuter en MP (désolé la cyber sécurité passe aussi par de la discretion sur les architectures).

A+
Mant'

Re: antivirus

Publié : 21 mars 2018, 17:41
par sinced
Mantysse,

Je suis partiellement d'accord avec toi.

J'ai mis en oeuvre des architectures avec antivirus. Sur mon dernier projet, au niveau de la mise à jour des antivirus, on a déployé un serveur antivirus et ce serveur est lui même mis à jour avec un CD-ROM sur lequel les définitions antivirus sont gravées à partir d'un ordinateur isolé connecté au net pour le téléchargement des mises à jour.

Ne pas mettre du tout d'antivirus représente une vulnérabilité pour le réseau.

Il y a aussi des patches de sécurité des systèmes d'exploitation. Il faut faire la mise à jour. Rappelez vous de Wannacry. Tous les ordinateurs qui n'avaient pas le patch Microsoft Windows étaient vulnérables même avec des antivirus.

Pour finir, je dirai qu'il n y a pas le risque zéro. Il y a un ensemble de pratiques qui peuvent être dites "bonnes" mais représenter aussi des risques d'intrusion si elles sont mal implémentées.

Re: antivirus

Publié : 22 mars 2018, 08:41
par Mantysse
Ah non on est d'accord plus que partiellement :mrgreen:

Ton anti-virus est mis a jour régulièrement donc point de soucis la dessus. Le point critique c'est quand l'anti virus n'est pas mis a jours la il devient une faille.

Les mises jours de l'OS sont elles aussi indispensable, seulement il faut passer par des essais plateformes avant de les déployer.
1 mises a jour critique sur 2 te plante ton PC de production, des adaptations dans le soft sont souvent nécessaire.

Le problème sur ces 2 points c'est que les service maintenance et industrialisation sont souvent a des années lumières de ces problématiques:
- ils ne prennent pas en compte la sécurité informatique
- ils ne budgetent pas ces mises a jours
Les services SI ne les préviennent pas lorsqu'il forcent des mises a jours... ces mecs la sont encore un peu dans leurs tour d'ivoire lorsqu'il s'agit du réseau technique.
Pour moi il y a encore un problème de gouvernance intra entreprise sur les réseaux d'ateliers...

Mais on est bien d'accord ce que tu décris c'est ce qu'il faut faire dans le meilleurs de monde.

A+
Mant'

Re: antivirus

Publié : 22 mars 2018, 19:00
par fish
Kallysto a écrit : 19 mars 2018, 12:00
sinced a écrit : 16 mars 2018, 09:18 J'espere que vous etes au courant de ce qui s'est passe recemment au Middle East.

Un virus sur le reseau d'informatique industrielle denomme TRITON qui a commence a modifie le programme des automates de securite TRICONEX charges de gerer la securite process. Les automates etant tripliques. La CPU est passee en mode Failsafe ce qui a eu pour effet de provoquer un arret complet/soudain des installations.
ça s'est passé quand ?

Salut,
Pour précision, les systèmes Triconex sont basés comme son nom l'indique sur de la tri redondance pour des systèmes pétro-chimiques à hautes exigences de sécurité. En aucun cas ils ne pilotent les process.
Le piratage s'est passé en décembre 2017, il s'avère que la faille venait du fait que la clé n'avait pas été remise dans la bonne position sur l'UC et donnait donc un accès distant à la programmation. Cette procédure n'est donc pas normale, un correctif est donc pris en compte pour interdire une telle situation.

Re: antivirus

Publié : 22 mars 2018, 21:49
par sinced
Fish je suis très familier avec les automates Triconex.
La clé était en position Programmation et le virus a pu agir. C'est vrai que en fonctionnement normal elle est sensée être en run. Mais il arrive de la passer en programmation pour faire des petites modifications et dans ce cas si la console de programmation est infectée, paf le virus fait son boulot. En matière de prévention Schneider recommande de laisser les clés en mode Run. Par contre, ils prennent une grosse douche parce que il va falloir prendre en compte cette faille de sécurité pour le développement des futurs produits. Nous savons tous qu'il faut sur le cycle de vie d'un automate passer quelques modifications ou forcer des variables. Donc en fait la clé changera toujours de position.

Re: antivirus

Publié : 23 mars 2018, 18:31
par fish
sinced a écrit : 22 mars 2018, 21:49 Fish je suis très familier avec les automates Triconex.
La clé était en position Programmation et le virus a pu agir. C'est vrai que en fonctionnement normal elle est sensée être en run. Mais il arrive de la passer en programmation pour faire des petites modifications et dans ce cas si la console de programmation est infectée, paf le virus fait son boulot. En matière de prévention Schneider recommande de laisser les clés en mode Run. Par contre, ils prennent une grosse douche parce que il va falloir prendre en compte cette faille de sécurité pour le développement des futurs produits. Nous savons tous qu'il faut sur le cycle de vie d'un automate passer quelques modifications ou forcer des variables. Donc en fait la clé changera toujours de position.
D'où l'utilité d'utiliser des consoles "blanches" dans ce type de process.

Re: antivirus

Publié : 27 mars 2018, 10:08
par Kallysto
Mantysse a écrit : 22 mars 2018, 08:41 Le problème sur ces 2 points c'est que les service maintenance et industrialisation sont souvent a des années lumières de ces problématiques:
- ils ne prennent pas en compte la sécurité informatique
- ils ne budgetent pas ces mises a jours
Les services SI ne les préviennent pas lorsqu'il forcent des mises a jours... ces mecs la sont encore un peu dans leurs tour d'ivoire lorsqu'il s'agit du réseau technique.
Je suis dans la maintenance, et je plussoie.

Quand je suis arrivée sur mon site en 2014, il n'y avait jamais de mise à jour de faite sur les API, juste des corrections de bug de fonctionnement (et encore).
J'ai commencé à faire des MAJ firmware sur les automates où je passais en intervention. Le client m'a reproché le temps passé, genre 30 minutes ça va changer la face du monde sur une intervention totale de 4h (on est payé à l'heure). Il y avait un problème récurent d'automates qui "figeaient" sur le site. En gros ils passaient en "halt" et donc nous faisait un bel arrêt sur image.
On a fini par identifier que ça venait du réseau. J'ai été la seule à chercher si il y avait une corrélation avec la position géographique des API (routeur défectueux, mauvaise requête réseau d'un autre équipement, etc) et les plantages, avec le type d'installation, etc.

Il y a eu un gros pic de ces plantages environ 8/10 mois après mon arrivée. Premier gros plantage d'une des 2 chaufferies. Un intégrateur qui était bien vu par le client est arrivé avec une solution sortie de son chapeau... Selon lui ça viendrait du fait que les automates ne sont pas tous fait par sa boite mais aussi par d'autres intégrateurs. Que en gros les autres intégrateurs viendraient perturber le réseau avec des échanges de données entre API qui n'iraient pas au bon automate. J'ai pu expliquer, service technique du fabriquant à l'appui, que c'était pas possible puisque qu'aucun API n'avait la même adresse IP, RAF côté client. On a donc lancé une procédure pour contrôler les paramètres de communications de chaque automate et leur mettre à chacun un numéro de station unique et un ID unique... Ce qui ne servait à rien. Mais bon "machin a dit que"...
Comme je passe partout sur ma partie (en gros le site était divisé entre "machin" et moi, même si officiellement c'est moi qui doit faire toute la maintenance), j'en profite pour mettre à jour mes FW sur ma partie... Nouveaux reproches.

Grosse accalmie. On rebranche les chaufferies sur le réseau... Et bim, un petit mois après, second plantage des chaufferies.

Branle bas de combat.
On entend enfin ce que je disais depuis le début (ça fait 18 mois que ça dure) : peut-on demander une surveillance réseau sur les API qui plantent ? Pour savoir d'où vient la trame qui fait planter... Le client demande à son service IT qui le renvoie au service sécurité info. Et là on se prend un mail de 3 pages pour nous expliquer que nos API c'est de la merde ("ils sont peu fiables et pas robustes"), qu'ils résistent pas aux scans réseau ("qui sont pourtant gentils"), que les mots de passe sont ceux par défaut (ho encore un truc que je répétais depuis des mois), que les mots de passes des pages webs sont accessibles en clair (machin qui sait tout il s'est jamais mis à jour et le nouveau système de mot de passe intègre un chiffrement... et on est sur 10 API de machin), etc et "qu'on doit lui virer ces merdes de son réseau" (oui, dans ces termes).

ça fait au moins 18 mois que le service sécurité info nous fait planter nos équipements régulièrement, voit que nos équipements sont mis HS par leurs scan de sécurité et ils ne nous ont pas fait remonté une seule fois l'info ! Pourquoi faire des scans pour identifier des problèmes sécurité si on ne fait pas remonter l'information ?!

Je récupère les données des chaufferies, images automates, paramètres et j'envoie tout ça au constructeur avec en copie le mail du chef de la sécurité info.
Et il me revient un document de 5 pages disant en gros : "Mettez à jour les FW et apprenez à vous servir du logiciel de programmation" Puisque la faille de sécurité identifiée par le scan réseau était résolu depuis près de 2 ans...
Et vu que j'avais mis à jour toute ma partie du site, forcément on avait beaucoup moins de plantage du coup...

Bref... chacun dans sa tour, dans son monde, 0 communication...

Bon pour l'histoire, le service sécurité info s'est un peu plus interressé à nous et a réussi à nous pirater un de nos automates... Mais bon du coup ils nous ont donné le patch pour virer cette faille de nos automates en même temps, donc ça va.

Re: antivirus

Publié : 27 mars 2018, 19:07
par bipcoyote
slt Kallysto

Quand tu parles du problème de sécurité :
1 - c'était il y a longtemps ?
2 - c'est sur quel automate ?
3 - et si c'est récent, ton patch sécurité est-il en droit d'auteur ou partageable ?

En attente de te lire.
++

Re: antivirus

Publié : 28 mars 2018, 08:27
par Kallysto
Pas tant que ça, fin 2014 et toute l'année 2015
SAIA
il est partageable, je l'ai d'ailleurs donné au support France.

Ce qui nous faisait planter c'était une requête de type FTP. Il faut avoir au moins le firmware 1.22.48

Pour le "patch" c'est la duplication d'un fichier par un fichier de même nom mais vide dans le dossier des pages web de l'automate.