Bizim sektörü baltalamışsınız bu kafa ayarında.
Ortalama bir AVM'de 15-20 arası substation olduğunu düşünelim, her birine nemlendirme ve nem alma cihazları, kazanlar, soğutma grupları, klima santralleri, sirkülasyonu sağlayan pompalar, aydınlatmalar, UPS'ler, trafolar, jeneratörler vs. (saymaktan yoruldum) bağlı. Plazalar, bankalar, akıllı hava alanları daha neler neler. Bunlara saldırırsanız sadece İstanbul içerisinde yüzlerce firmaya, binlerce insana zarar verebilirsiniz.
Bunlardan değil virüs ayıklamak, normal yazılımla firmware yükleyip programlarını atmak bile kart başına, sorunsuz bir işlemle, yarım saat kadar zaman alabiliyor. Programı test etmek, hata ayıklamak, sistemi devreye almak günler alıyor.
Bir de endüstriyel tarafı var bu işin. Yediğiniz makarnayı bile PLC ile sürülen sistemler üretip paketliyor.
HES'ler konuşuluyor, o hidro elektrik santrallerini üretime sokan, üretimden alan Siemens S7 teknolojileri.
Siemens bu işi yapan tek şirket de değil, Honeywell var, Johnson Controls var, bu işi Omron ile Mitshubishi ile yapan tonla firma var.
Stuxnet virüsünü elektrik santrallerin bulaştırırsanız ki türkiyede ki güvenlik sistemleri alt seviyede o zaman o Watch Dogs oyununda ki gibi elektrikleri bir anda kesebilirsiniz. Trafodan keserseniz o bölgenizde ki elektrik gider.
Şimdi şöyle anlatayım, elektrik santrallerine böyle bir sistemle saldırırsan, trafodan değil direk jenerasyon seviyesinden üretimi durdurabilirsin. Tabi sistem elektro-mekanik olarak yazılımsız olarak kontrol edilen, operatör gücüne dayalı bir sistemse ki eski termik santrallerin bir kısmının böyle olduğundan eminim, saldırın bir işe yaramaz.
Bizim çalıştığımız firmalarda, kontrol bilgisayarı ve kartların kendi haberleşme ağı ayrıdır. Zaten Internet Protocol (IP) üzerine kurulu olmadığı için bu sistemler ayrı da olmak zorundadır. Her otomasyon firmasının kendi haberleşme protokolleri bulunur.
Bilgisayarları zaten çoğunlukla sistemi kuran firma müşteriye satar. Pek çoğunda ikinci bir ethernet kartı bile olmaz bu bilgisayarların. Üzerilerindeki ethernet portundan da iç networklerine bağlı çalışırlar. Bazı durumlarda, uzaktan hizmet verilebilmesi ya da internet üzerinden arıza raporlarının iletilebilmesi gibi işlemler için, nadir olarak internet bağlantısı istenir.
Bu durumda bu sistemlere saldırmanın iki belirgin yolu kalır. Bunlar çok güldüğümüz, dalga geçtiğimiz USB bellek ile otomasyon bilgisayarına saldırmak veya kartların üzerindeki portlardan network'e saldırmaktır.
Otomasyon bilgisayarına saldırsanız bile, kartların içinde bulunan yazılıma müdahale edebilmeniz için, kartlara yazma yapabilmeniz için geliştirme ara yüzünün, mühendis lisansı içeren bir versiyonunun, ki bu müşteride bulunmaz, o bilgisayarda kurulu olması lazım. Yani ya kartlara, ya da sistemi güncelleyen, bakımını yapan, devreye alan mühendislik lisansına sahip bilgisayara saldırmalısınız. Ya da o lisansın o bilgisayarda bulunmasını sağlamalısınız.
Burada atladığım bir nokta olmuş, otomasyon bilgisayarına, SCADA ara yüzüne müdehale edebilen bir programla saldırırsanız, operatörün manuel yapabildiği tüm ayarları yaparsınız. Yani bir binada, istediğiniz kazanı yakar, istediğiniz vanaları kapatır, motorları çalıştırır, basıncı kontrolden çıkarıp boruları patlatabilirsiniz.
Bunun önlemi de MCC panolarında alınmaktadır, bazı kritik değerler oluştuğunda, elektriksel kilitlemeler ile programdan bağımsız olarak, life safety measures dediğimiz tedbirler alınır.
Özet: Bunu bildiğimiz virüs yazılımcısı yapamaz. İlla ki bir destek lazım. Bana göre o sistem patlarken tesiste çalışan en az bir iki kişi de vardır ekipte.
