• 20 Eylül 2019 13:13:01
    KURULUSTAN KONUYA ILISKIN YAPILAN BASIN ACIKLAMASI ASAGIDA BULUNUYOR: KASPERSKY ICS CERT ARASTIRMACILARI; PROGRAMLANABILIR MANTIK DENETLEYICILERI (PLC) VE INSAN MAKINE ARAYUZU (HMI) GIBI ENDUSTRIYEL CIHAZLAR GELISTIRMEK ICIN KULLANILAN POPULER BIR SISTEMDE COK SAYIDA ACIK KESFETTI. BU CIHAZLAR, KRITIK ALTYAPIDAN URETIM SURECLERINE KADAR TUM OTOMATIK ENDUSTRIYEL TESISLERIN KALBINDE YER ALIYOR. KESFEDILEN BU ACIKLAR, SALDIRGANLARA BU SISTEM ILE GELISTIRILEN PLC`LERIN KULLANILDIGI KURUMLARA UZAKTAN VE ICERIDEN GIZLI SALDIRILAR DUZENLEME FIRSATI VERIYORDU. CODESYS® TARAFINDAN GELISTIRILEN SISTEMDEKI ACIKLAR, KASPERSKY`NIN HAZIRLADIGI RAPOR SONRASINDA KAPATILDI. PLC`LER ONCEDEN MANUEL OLARAK YA DA KARMASIK ELEKTROMEKANIK CIHAZLAR KULLANILARAK YAPILAN ISLERI OTOMATIK HALE GETIRIYOR. PLC`LERIN DUZGUN CALISABILMESI ICIN PROGRAMLANMALARI GEREKIYOR. BU PROGRAMLAMA, MUHENDISLERE KODLAMA VE OTOMASYON PROGRAM KOMUTLARINI PLC`YE YUKLEMEDE YARDIMCI OLAN OZEL BIR YAZILIM SISTEMIYLE YAPILIYOR. BU SISTEM AYRICA PLC PROGRAM KODU ICIN BIR CALISMA ZAMANI YURUTME ORTAMI SUNUYOR. BU YAZILIM; URETIM, ENERJI URETIMI, AKILLI SEHIR ALTYAPILARI VE DAHA BIRCOK FARKLI ALANDA KULLANILIYOR. KASPERSKY ARASTIRMACILARI BU TUR YAZILIMLARA DA DISARIDAN MUDAHALE EDILEBILECEGINI KESFETTI. ARASTIRMACILAR, PLC PROGRAMLARINI GELISTIRMEK VE DENETLEMEK ICIN TASARLANAN GUCLU VE GELISMIS BIR ARACI INCELEDI. SONUCTA, SISTEMIN ANA AG PROTOKOLU VE CALISMA ZAMANINDA BIR DUZINEDEN FAZLA GUVENLIK SORUNU TESPIT EDILDI. BUNLARIN DORDU OZELLIKLE CIDDI OLARAK TANIMLANDI VE CVE-2018-10612, CVE-2018-20026, CVE-2019-9013 VE CVE-2018-20025 SEKLINDE AYRI ISIMLENDIRILDI. BU ACIKLAR SALDIRGANLARA AGDAKI VARLIKLARINI GIZLEYEREK; AG KOMUTLARI VE OLCUM VERILERI AKISLARINA MUDAHALE ETME, PAROLA VE DIGER KIMLIK DOGRULAMA BILGILERINI CALIP YENIDEN KULLANMA, CALISMA ZAMANINA ZARARLI KOD YERLESTIREREK SISTEMDEKI YETKILERINI ARTIRMA VE YETKISIZ DAHA BIRCOK SEY YAPMA OLANAGI TANIYORDU. PRATIKTE BU DURUM, SALDIRGANIN OPERASYON TEKNOLOJILERI PERSONELININ FARKINDA OLMADAN BELIRLI BIR TESISTEKI PLC`LERIN ISLEVINI BOZABILECEGI VEYA KONTROLUNU TAMAMEN ELE ALABILECEGI ANLAMINA GELIYOR. BU DA SALDIRGANLARA, CALISMALARI AKSATMA VEYA FIKRI MULKIYETLER, FABRIKA URETIM KAPASITELERI VEYA URETIMDEKI YENI URUNLER GIBI HASSAS VERILERI CALMA FIRSATI SUNUYORDU. BUNLARA EK OLARAK TESISTEKI CALISMALARIN IZLENMESI VE SALDIRIYA UGRAYAN KURUM ICIN HASSAS OLABILECEK DIGER BILGILERIN TOPLANMASI DA MUMKUN OLUYORDU. KASPERSKY, YAZILIMDA KESFETTIGI BU SORUNLARI ILGILI MARKAYA ANINDA ILETTI. RAPORLANAN ACIKLARIN TAMAMI KAPATILDI VE YAMALAR SISTEM KULLANICILARINA SUNULDU. KASPERSKY ICS CERT GUVENLIK ARASTIRMACISI ALEXANDER NOCHVAY, `KESFETTIGIMIZ ACIKLAR POTANSIYEL ZARARLI FAALIYETLER ICIN SON DERECE GENIS BIR ALAN SUNUYORDU. BAHSI GECEN YAZILIMIN NE KADAR YAYGIN KULLANILDIGI DUSUNULDUGUNDE, DURUMA HIZLI MUDAHALE EDEN VE SORUNLARI COZEN GELISTIRICIYE TESEKKUR EDIYORUZ. BU ARASTIRMA ILE SALDIRGANLARIN ISINI DAHA DA ZORLASTIRDIGIMIZA INANIYORUZ. ANCAK GUVENLIK TOPLULUGU, AG ILETISIM PROTOKOLUNUN GELISTIRILME SURECINE DAHA ONCEDEN DAHIL OLABILSEYDI BU ACIKLAR DAHA ONCEDEN TESPIT EDILEBILIRDI. ENDUSTRIYEL SISTEMLER ICIN DONANIM VE YAZILIM BILESENLERI GELISTIRENLERIN GUVENLIK TOPLULUGUYLA BIRLIKTE CALISMAYI BIR ALISKANLIK HALINE GETIRMESI GEREKTIGINE INANIYORUZ. BU DURUM, OZELLIKLE DE MODERN OTOMASYON TEKNOLOJILERINI TEMEL ALAN ENDUSTRI 4.0`A GECIS YAPTIGIMIZ BU DONEMDE BUYUK ONEM TASIYOR.` DEDI. CODESYS URUN PAZARLAMA MUDURU ROLAND WAGNER, `CODESYS GROUP ICIN URUN GUVENLIGI SON DERECE ONEMLIDIR. KASPERSKY`NIN KAPSAMLI ARASTIRMA SONUCLARI, CODESYS`I DAHA DA GUVENLI HALE GETIRMEMIZE YARDIMCI OLDU. CODESYS`IN GUVENLIK OZELLIKLERINI GELISTIRMEK ICIN TEKNIK VE IDARI CALISMALARA UZUN YILLARDIR ONEMLI YATIRIMLAR YAPIYORUZ. TESPIT EDILEN TUM ACIKLAR ANINDA INCELENDI, DEGERLENDIRILDI, ILK ONCELIK HALINE GETIRILDI VE GUVENLIK RAPORUNDA YAYINLANDI. ACIKLARI KAPATAN YAZILIM GUNCELLEMELERI HIZLA GELISTIRILDI VE CODESYS STORE UZERINDEN TUM CODESYS KULLANICILARINA SUNULDU.` KASPERSKY UZMANLARI, RAPORLANAN ACIKLARDAN YARARLANILMASIYLA OLUSABILECEK POTANSIYEL RISKLERIN ORTADAN KALKMASI ICIN SU ONLEMLERIN ALINMASINI TAVSIYE EDIYOR: ` SISTEMI KULLANAN GELISTIRICILER GUNCEL SURUMU ISTEMELI VE BU SISTEMIN YARDIMIYLA OLUSTURULAN ARACLARIN AYGIT YAZILIMLARINI DA GUNCELLEMELI. ` BU SISTEMIN YARDIMIYLA OLUSTURULAN CIHAZLAR VARSA VE CIHAZI GELISTIRENLER URUNLERI ICIN ILGILI BIR GUNCELLEME YAYINLADIYSA, ENDUSTRI MUHENDISLERI KURUMLARININ YAMA YONETIMI PROSEDURLERINE UYGUN BIR SEKILDE CIHAZLARIN YAZILIMLARINI GUNCELLEMELI. ` GELISTIRME ORTAMLARI VE/VEYA SCADA`LARDAKI CIHAZLARA GEREKLI KORUMA ONLEMLERI ALINMALI. ` ENDUSTRIYEL ORTAMLARDA KULLANILAN CIHAZLAR, IZOLE EDILMIS VE KISITLI BIR AGDA CALISMALI. ` YAZILIM GUNCELLEMELERI YAPILANA KADAR, ENDUSTRIYEL AGLARI KORUMAKLA GOREVLI GUVENLIK EKIPLERI; HEDEFLI SALDIRI TESPIT COZUMLERI, ENDUSTRIYEL AG IZLEME, BT VE OT EKIPLERINE GUVENLIK EGITIMLERI VE KARSMASIK TEHDITLERE KARSI KORUMA SAGLAYAN DIGER ONLEMLERI ALMALI. ARASTIRMA HAKKINDA DAHA FAZLA BILGI ICIN RAPORUN TAMAMINI KASPERSKY ICS CERT WEB SITESINDE BULABILIRSINIZ.