Moje konto Zaloguj się
Moje konto Zaloguj się
Nowy użytkownik
Nie masz konta w Elmarku? Stwórz nowe konto i czerp korzyści:
  • Kupuj z rabatem
  • Sprawdzaj stany magazynowe
  • Zamawiaj szybciej
  • Śledź status zamówień
  • Przeglądaj historię zakupów
  • Jedno konto do innych systemów Elmark
    • Załóż konto
22 773 79 37 elmark@elmark.com.pl
Przełącznik Nav
Szukaj
Wyszukiwanie zaawansowane
Wszyscy Advantech Anybus Digilent Durabook Elmatic Getac MEAN WELL MOXA Milestone Systems Neousys Technology RTA RealWear UNITRONICS Universal Robots
Koszyk

Koszyk

Panel konta Dane konta Książka adresowa Moje zamówienia Nierozliczone faktury VAT Oferty Zgody formalne Reklamacje Cennik
Wyloguj się
 
Niższe ceny
 
Informacje o stanach magazynowych
 
Historia zakupów
Załóż konto

Jak ochronić sterowniki Vision i Samba przed atakami hakerskimi?

02.01.2024 How to /
sterownik
Wizerunek autora
Kamil Kucharek
Producent: UNITRONICS

Środki cyberbezpieczeństwa dla kontrolerów Vision i Samba

Jakiś czas temu sterowniki Unitronics stały się obiektami ataków hakerskich. Napastnicy wykorzystując udostępnione przez użytkownika na zewnątrz porty komunikacyjne wgrywali na sterownik PLC pusty program. 

Więcej o samym ataku dowiesz się z tego artykułu: https://www.elmark.com.pl/blog/atak-hakerski-na-plc-unitronics-jak-zabezpieczyc-swoj-sterownik

Jak zabezpieczyć się przed nieautoryzowantym dostępem? Tego dowiesz się z poniższej instrukcji.

Nowa wersja Visilogic

Producent zareagował szybko udostępniając aktualizację zabezpieczeń w nowej wersji oprogramowania Visilogic 9.9.0 (do pobrania tutaj).

Ta wersja wymaga zmiany domyślnych haseł i wdrożenia złożonych haseł, a także zawiera nowe funkcje chroniące kontrolery Vision i Samba. Należą do nich:

  • obowiązkowa ochrona hasłem dla komunikacji PCOM przez Ethernet,
  • metoda umożliwiająca blokowanie działań zdalnego dostępu inicjowanych przez PCOM,
  • zmianę domyślnego hasła trybu informacyjnego (Info Mode) za pomocą drabinki.

Co to jest PCOM?

PCOM to zastrzeżony protokół komunikacyjny firmy Unitronics, używany do komunikacji komputera PC ze sterownikiem Vision lub Samba. Na przykład podczas pobierania aplikacji lub uruchamiania trybu online za pośrednictwem VisiLogic do sterownika. PCOM jest również używany przez narzędzia Unitronics zainstalowane na komputerach PC lub mobilne, takie jak Remote Operator.

Firma Unitronics zdecydowanie zaleca, aby użytkownicy posiadający istniejące aplikacje obejmujące sieciowe kontrolery Vision i Samba dokonali aktualizacji do obecnej wersji VisiLogic, a także do zaktualizowanych wersji narzędzi kompatybilnych z Unitronics.

 

Hasło PCOM

Aby zapewnić bezpieczeństwo kontrolerom, musisz użyć narzędzia Set PCOM (Ethernet) Password znajdującego się w menu Com ->TCP/IP, aby włączyć hasło zapobiegające nieautoryzowanemu dostępowi do PCOM Ethernet. Funkcja ta umożliwia przypisanie hasła do komunikacji PCOM Ethernet. Następnie, gdy VisiLogic lub inne narzędzia spróbują nawiązać komunikację PCOM przez Ethernet, sterownik poprosi o hasło. Jeżeli zostanie podane prawidłowe, kontroler umożliwi nawiązanie komunikacji.

1. Hasła muszą składać się z 8-16 znaków. Aby zoptymalizować ochronę, należy używać złożonego hasła, które wykorzystuje wszystkie 16 znaków.
2. Hasło zostanie zresetowane przez oprogramowanie sprzętowe po włączeniu zasilania. Należy upewnić się, że program drabinkowy ustawia hasło podczas włączania, poprzez SB 2 (bit włączania, ON dla jednego skan po włączeniu zasilania).
3. Remote Operator: jeśli hasło jest ustawione, użytkownicy Remote Operator muszą wprowadzić je na początku sesji.
4. Sterownik.Net: jeśli używasz go w swoich aplikacjach, zwróć uwagę, że dokumentacja sterownika komunikacyjnego .NET Communication Drive została zmieniona w celu zapewnienia zgodności ze środkami cyberbezpieczeństwa. Istniejące aplikacje muszą zostać zaktualizowane w celu zapewnienia cyberbezpieczeństwa

 

Korzystanie z opcji Set PCOM (Ethernet) password

Funkcja ustawiania hasła PCOM (Ethernet) umożliwia ustawienie początku wektora o długości 8 MI (16 bajtów), w którym będzie przechowywane hasło. Aby zoptymalizować ochronę, użyj złożonego hasła składającego się ze wszystkich 16 znaków. Tworzysz je, przechowując żądane wartości hasła w tym wektorze. Następnie, gdy funkcja jest aktywowana i następuje próba nawiązania komunikacji Ethernet, VisiLogic prosi użytkownika o podanie hasła, a następnie weryfikuje wprowadzone je. Jeśli wartości się zgadzają, zostanie nawiązana komunikacja Ethernet. Upewnij się, że program Ladder zainicjował kartę Ethernet przy włączeniu zasilania, a także Socket Init (ustawiony na TCP, Slave). Zwróć uwagę, że na następnym obrazie domyślny numer portu został zmieniony (hakerzy zwykle skupiają się na 20256):

Przypisanie hasła przez HMI

Ekran HMI pokazany poniżej umożliwia użytkownikowi wprowadzanie znaków do wektora za pomocą zmiennej String ASCII i Ustawienie hasła do dostępu przez Ethernet. Zauważ, że w tym przykładzie:
• MI 10 jest pierwszym operandem wektora hasła PCOM o długości 8 MI,
• przycisk Set Password jest powiązany z MB 1.

Po naciśnięciu logika aplikacji zapisze wprowadzone znaki w wektorze hasła MI, a sterownik poprosi o hasło przed zezwoleniem na komunikację Ethernet.
• binary Image Variable, Card Exists, jest powiązana z SB 141.
• binary Image Variable, Secured, jest powiązana z XB 4; gdy jest włączone, sterownik żąda hasła przed zezwoleniem na komunikację PCOM przez Ethernet.

 

 

Program w Ladder

    1. Zbuduj warunki do implementacji Ethernetu dla PCOM przy włączeniu zasilania przez SB2, dołączając TCP/IP Card Init i PCOM socket ustawione na TCP, Serwer (slave).

Musisz zmienić domyślny numer portu.
Listę numerów portów można znaleźć pod adresem
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Registered_ports

2. Umieść funkcję Set PCOM Password w swojej drabince i wybierz: 

      • Adres początkowy wektora hasła
        Należy pamiętać, że wektor w tym przykładzie zaczyna się od MI 10 do MI 17, aby zaakceptować znaki wprowadzone na ekranie HMI pokazanym powyżej. VisiLogic automatycznie ustawia adres końcowy, aby utworzyć wektor wystarczająco długi, aby pomieścić hasło o długości od 8 do 16 znaków.
      • Operand stanu
        1 = hasło jest poprawne. Oznacza to, że zostało utworzone.
        Jeśli Status pokazuje inną wartość, wektor MI zawiera niedozwolone wartości, nie ustawiono żadnego hasła.

 

3. Pozostała część sieci obsługuje dane wyjściowe z operandu Status:

      • Jeśli Status wynosi 1, hasło PCOM jest prawidłowe; zmienna Secured na HMI zostanie włączona, a sterownik poprosi o podanie hasła przed zezwoleniem na nawiązanie komunikacji Ethernet.
      • Jeśli stan to nie 1, hasło zostanie usunięte i należy ustawić nowe hasło.

Podanie hasła powoduje wprowadzenie wartości do pamięci sterownika PLC:

Przy następnej próbie nawiązania komunikacji Ethernet ze sterownikiem, na przykład za pomocą VisiLogic lub Remote Operator, sterownik poprosi o podanie hasła:

 

SDW 10

Użycie SDW10 (Deny PCOM Access Bitmap) pozwoli na zablokowanie dostępu do sterowników Vision i Samba podłączonych do sieci.
Włączenie następujących bitów blokuje dostęp zgodnie z poniższym opisem:
• Bit 0 – Blokuj Run, Stop, Init, Reset, Download
• Bit 1 – Blokuj zmianę parametrów RS232/CANbus
• Bit 2 – Blokuj Remote access dla klawiatury
• Bit 3 – Blokuj zapis do tabel danych oraz pobieranie (obrazy i ciągi znaków)
• Bit 4 – Blokuj zapis do rejestrów (MB, MI, etc.)
• Bit 5 – Blokuj operacje na karcie SD

Ustaw hasła trybu informacyjnego

Ten element umożliwia użytkownikowi zmianę domyślnego hasła trybu informacyjnego poprzez Ladder. Gdy użytkownik próbuje wejść do trybu informacyjnego, kontroler żąda i sprawdza przed zezwoleniem na wejście:


W razie pytań zachęcam do kontaktu: sterowniki@elmark.com.pl 

Produkty powiązane

Więcej na temat

Skontaktuj się ze specjalistą Elmark

Masz pytania? Potrzebujesz porady? Zadzwoń lub napisz do nas!

Skontaktuj się z nami

elmark@elmark.com.pl +48 22 541 84 60
Formularz kontaktowy