【专家博客】Digital Bond测试结果表明Tofino工业防火墙能加固SCADA协议安全

       我一直都很期待Digital Bond每年举办的SCADA安全科学研讨会（S4）。它汇集了ICS Security的研究人员和思考家，一直都很精彩。正如去年会议结束后我提到的那样，在这个会议上，我能学到思考PLC安全的新方式。会议上的食物也很可口美味。

       今年的会议对我来说尤其重要，因为会议上研究员Reid Wightman会做关于测试多芬诺工业防火墙的演讲。去年S4研讨会上首现的“Basecamp项目”报道了SCADA和PLC设备中存在的漏洞。S4的创始人Dale Peterson公开展示漏洞以及利用漏洞的攻击代码，是为了激励供应商改善产品的安全性。 

左侧图片：Dale Peterson介绍对多芬诺工业防火墙的高级测试。右侧图片：Eric Byres在会议结束时回答问题

SCADA系统安全需要改善，但现有的系统也不应处于危险之中。
       尽管我也认为需要提高自动化产品的安全性，但我想澄清的是我并不支持S4/Dale为实现这一目标而采用的方法。在我看来，为了表明一种看法就将设施和人们的安全置于危险中的作法是无法接受的。不与ICS-CERT和供应商协商就公布漏洞存在很大的问题。公布利用漏洞的软件则更疯狂。

       我认为Dale的目标（企业在未来1-3年内更换他们的PLC）值得赞扬，但却完全不切实际。自动化和过程控制行业是一些动作最慢的行业。这一点有充分的理由。在处理高温、快速移动设备和化学危险品时，有必要花点时间来确定新的设计是安全的。在未来三年内替换所有的PLC对经营者来说既不经济也不安全。

       同样，对供应商来说，在三年的时间内从使用不安全的工业协议且设计也不安全的产品转向更安全的设计和更好的协议也是不可能的。供应商应负责制定并执行提高安全的计划，但企业组织无法在三年的时间内使一个糟糕的局面变得完美。

为什么允许Basecamp项目测试多芬诺工业防火墙?
       你可能想知道为什么我同意Digital Bond测试多芬诺工业防火墙，将其作为Basecamp项目的一部分。毕竟去年发现并披露供应商产品存在的安全问题，使得很多供应商经历了大规模的困窘。

       有两方面的原因。首先，Tofino致力于提供安全的好产品，能为SCADA和ICS系统提供真正的安全防护。因此我想知道专业的Basecamp项目安全研究人员会发现什么。如果发现了问题，我也能积极主动处理。

       我宁愿面对短期的尴尬，也不愿我们的产品可能会导致破坏性的安全事件。换句话说，我宁愿Dale和他的团队发现问题（令我们陷入尴尬），也不愿意敌对组织发现问题并偷偷利用问题来攻击某些关键系统。

       此外，相比与Basecamp团队对立，我认为与其合作更能提高效率。我们很高兴通过提供我们的设备，保持与首席分析师Reid Wightman的持续沟通来实现双方的合作。针对如何更有效地使用多芬诺工业防火墙，我们提供相应的培训，我们还解释我们的安全策略来帮助提高测试效率。

Basecamp项目做了哪些测试？
       Reid Wightman是IOActive的安全研究员。以前他在Digital Bond，负责一起跟进Basecamp项目。无论作为SCADA设备设计师还是作为安全研究员，Reid的能力都很强。换句话说，Reid既了解产品又了解安全测试，还知道任何产品中可能潜伏的漏洞。

       Reid的初始测试包括对多芬诺组态管理平台（CMP）进行一些逆向工程攻击来寻找可能的密钥、隐藏的密码或软件缺陷。正如他在演讲中解释的那样，他试着使用IDA Pro（交互式反汇编器专业版）和Immunity Debugger（漏洞分析反编译软件）对多芬诺调CMP进行调试。他还试图对多芬诺管理应用程序进行反汇编，但都没能成功。

       接下来，他转向了多芬诺硬件，试图通过串口或电路板上的JTAG接口来寻找硬件后门。但依旧没能成功。

       然后Reid创建了一套攻击工具，生成了有效消息和无效网络消息的组合（包括flood攻击、碎片攻击和模糊攻击）。其目的是为了确认是否能诱导多芬诺工业防火墙阻止正常通信或放行恶意通信。Modbus协议是主要的工业协议之一，Reid重点关注了Modbus协议。多芬诺防火墙成功通过了所有的测试。

Basecamp项目测试多芬诺工业防火墙的结果如何？
       对于我们的产品和用户来说，好消息就是不论是在多芬诺硬件中，还是在管理系统（CMP）中，Reid都无法找到任何重大的安全漏洞。他指出：

       “多芬诺公司提供了极好的安全设备，能很好地保障目前的协议安全，我为那些寻找工业网络安全解决方案的人推荐该产品。总之，多芬工业防火墙给我留下了深刻的印象”。

       Reid还告诉我：“多芬诺工业防火墙能出色地保障Modbus协议安全，阻止禁用功能码通过。”他还说，“我想给防火墙加压，来看能否耗尽内存以及防火墙在内存耗尽时的表现，但是我猜测这一幕不会发生。”

       对这一结果我感到非常高兴。我们的研发人员致力于高级深度包检测（DPI）技术，我们所说的“Tofino Enforcer”就提供此功能。有了这一功能，多芬诺工业防火墙可以判定SCADA消息是读还是写，并阻止写消息。

       Tofino Enforcer技术还可以对所有的通信进行“完整性检查”，确保这些通信符合协议规范。多芬诺工业防火墙不仅针对Modbus TCP协议提供Enforcer功能，对OPC和EtherNet/IP协议也同样提供Enfocer功能。

多芬诺SCADA安全仿真系统是S4蓝帽网络的一部分。参会人员尝试攻击多芬诺工业防火墙，但没能成功。

给予应得的荣誉
       对于这些测试，有许多人值得表扬。首先，多芬诺公司幕后辛勤工作的研发人员值得大大表扬一番。他们严谨的研发实践和反复的威胁分析颇见成效。不错的工作团队。
Reid和Dale也值得大加赞颂。不仅仅是熟练果断的研究人员，他们还很专业。不论我们何时询问，Reid都很坦率友好。感谢Reid和Dale。

       此外，我要感谢所有的安全测试团队，在过去他们测试Tofino的早期版本，帮助我们了解可能隐藏的安全问题。特别感谢西班牙S21sec 的Iñaki López和Daniel Chávarri这两位杰出的研究员。还有许多我不能说出名字的政府机构也帮助我们改善多芬诺产品。尤其是Reid，谢谢你们！

提供切实的SCADA安全防护
       我的理想一直是提供SCADA和ICS安全产品，方便经营者实施，能提供健壮的安全防护且能长久使用。目前许多自动化系统都不安全，这些测试表明多芬诺产品有助于为这些系统提供简单有效的安全防护方案。这些测试还表明无需高额的费用也可以为小型SCADA设备提供健壮的安全保障。我认为这对整个行业来说都是个好消息。