AXForum  
Вернуться   AXForum > Прочие обсуждения > Курилка
All
Забыли пароль?
Зарегистрироваться Правила Справка Пользователи Сообщения за день Поиск

 
 
Опции темы Поиск в этой теме Опции просмотра
Старый 21.09.2010, 11:49   #1  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
Angry Промышленный саботаж.
"Запад" все ни как не успокоится, что Иран реализует атомные технологии.
РФ кстати помогла построить в Бушере АЭС.

Написан серьезный, но специфический вирус Stuxnet

Источник: http://e-kaspersky.livejournal.com/24639.html

Цитата:
Всем привет!

Опять по теме зловредов, какие и почему они бывают. А именно - только что произошла захватывающая история, которую раскопал и разъяснил Aleks у себя на http://secureblog.info/

1. В Инете уже несколько месяцев подряд гуляет "убойный" троянец под названием Stuxnet. Изделие очень и очень профессиональное, можно сказать - шедевр малварно-инженерной мысли. Для своего распространения использует аж четыре(!) свежие уязвимости (главную из них только что пофиксил Микрософт, остальные вроде как до сих пор актуальны). Уязвимости нестандартные, можно сказать - "красивые". Непрофи могут просто этому поверить, профи могут посмотреть на подробности, например, здесь: http://www.securelist.com/en/blog/22...isode_MS10_061

2. Как оказалось, данный зловред нацелен не на корыстные цели очередных кибер-преступников, нет. "Полезная функция" у него активизируется при заражении не просто компьютеров - он атакует программируемые логические контроллеры Siemens PLC (что это такое - http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D1%83%D0%B5%D0%BC%D1%8B%D0%B9_%D0%BB%D0%BE%D0%B3%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%BA%D0%BE%D0%BD%D1%82%D1%80%D0%BE%D0%BB%D0%BB%D0%B5%D1%80 )

3. Основными регионами, пострадавшими от данного зловреда, являются Иран и арабские страны. В основном - Иран. На основе этих и прочих данных Aleks делает очень интересные выводы:

- данный зловред "является оружием промышленного саботажа".
- кто и зачем его сделал и запустил: "Кто — Моссад. Зачем — Бушерская атомная электростанция в Иране".

Источник - http://secureblog.info/articles/655.html

Я знаю Алекса уже очень много лет. Он [обычно] не ошибается... Вот такие "пирожки с котятами".

Вам страшно? Мне - да. Очень страшно.
Источник 2: http://nstarikov.livejournal.com/152967.html#cutid1

На территории СНГ очень много промышленных предприятий используют программируемые логические контроллеры такие как SIMATIC S7-300/400
Сам работал с таким, программировал.

Имхо для РФ этот вирус тоже чрезвычайно опасен.
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.
Старый 21.09.2010, 12:27   #2  
George Nordic is offline
George Nordic
Модератор
Аватар для George Nordic
Злыдни
 
4,479 / 1250 (50) ++++++++
Регистрация: 17.12.2003
Адрес: Moscow
Записей в блоге: 9
Мда. Я не говорю про то, что это полный бред.

Давайте рассуждать логически.

1. Бушер - был оставлен TWC на 90% готовности. Однако специалистам атомэнергопроекта и атомстроя пришлось почти полностью все переделывать, например, вырубать десятки тысяч тонн бетона для размещения оборудования (например, замена вертикальных теплооменников горизонтальными). В частности, все АСУТП также было заменено.
Про АСУТП можно найти много информации. Поверьте, отечественное оборудование врядли совместимо с Siemens, на которой стоит Windows с уязвимостями.

2. Если даже поставить систему управления на Windows То вряд ли данная станция будет подключена к интернету.

3. Пугать Иран вирусом, распространяемом по интернету, уже отдельный прикол. "Пожалуйста, разошлите это сообщение всем Вашим знакомым и отформатируйте свой жесткий диск. Спасибо!"

4. Даже если в Бушере стоит оборудование под управление Windows, подключенным без антивируса, шлюзов и прокси к интернету, а операторы вместо работы лазят по проносайтам, то самое последнне, что я бы сделал на месте их соседей - это написал бы вирус, который вносил бы изменение в работу контроллера АЭС Скорее наоборот

С Уважением,
Георгий
Старый 21.09.2010, 13:14   #3  
AndreyS is offline
AndreyS
Moderator
Сотрудники Microsoft Dynamics
Лучший по профессии AXAWARD 2013
Лучший по профессии 2011
Лучший по профессии 2009
 
283 / 61 (3) ++++
Регистрация: 18.05.2006
Насколько я помню, те, кто помогал строить Бушер, не используют windows для критических задач.
Старый 21.09.2010, 14:27   #4  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
:)
Цитата:
Сообщение от George Nordic Посмотреть сообщение
2. Если даже поставить систему управления на Windows То вряд ли данная станция будет подключена к интернету.
Разумеется не будет. Но достаточно вирусу попасть в локальную сеть. Сервер WinCC обслуживающий контроллеры однозначно будет в сети, клиенты же к нему цепляются и управляют процессом.
Обычно на такие сервера не ставят обновления и антивирус (чтоб не мешал.)

WinCC очень специфичный софт Мату с ним много.

Кто писал вирус явно знал для кого пишет, вот почему выбраны такой марки прог. контроллеры.
На сколько я помню, такие вирусы один раз в 5 лет появляются. Ранее были вирусы по пальцам пересчитать.

Будет кому освежить на предприятиях РФ сетевую безопасность
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.
Старый 21.09.2010, 14:38   #5  
Atar is offline
Atar
Консультант
 
287 / 101 (4) +++++
Регистрация: 10.03.2006
Адрес: Москва
Т.е. вирус направлен против развивающихся стран с неустоявшимися практиками управления ИТ и ИТ-безопасностью?
Думаю, что даже если эффект будет именно таким, не факт, что это и было целью.
Старый 21.09.2010, 15:24   #6  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
Post
Цитата:
Сообщение от Atar Посмотреть сообщение
Т.е. вирус направлен против развивающихся стран с неустоявшимися практиками управления ИТ и ИТ-безопасностью?
Думаю, что даже если эффект будет именно таким, не факт, что это и было целью.
Цель одна, сохранить гегемонию США и Великобритании. Заставить танцевать другие страны под их дудку. Саботаж на предприятиях Ирана должен сподвигнуть Иран на ответные действия (желательно показательные и ошибочные), которые так ждет запад, потом обвинить его в разжигании войны и провести "принуждение к миру" (На подобии Югославии, Ирака и Афганистана.)

"Бычок на заклание" не только Иран, но и Северная Корея или Пакистан.
Китаю не нужна война в Северной Кореи. Индии не нужна война в Пакистане.
НО у Ирана есть газ для Набуко, он нужен "западу" чтобы задушить РФ и загнобить Южный поток.
Соседи Ирана готовятся Пресса Британии: страны Персидского залива скупают оружие

Новая война спровоцирует ослабление национальных валют в странах 3-го мира, доллар будет опять востребован и все на время забудут ужасающий долг США.
США немного протянет еще. Дальше надо им еще че нить придумать, может мировой финансовый кризис 2.

Геополитика

Факт с вирусом, это мелочь, но красивый пилотаж разведки и программистов.
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.
Старый 21.09.2010, 15:35   #7  
George Nordic is offline
George Nordic
Модератор
Аватар для George Nordic
Злыдни
 
4,479 / 1250 (50) ++++++++
Регистрация: 17.12.2003
Адрес: Moscow
Записей в блоге: 9
Цитата:
Сообщение от Poleax Посмотреть сообщение
Кто писал вирус явно знал для кого пишет, вот почему выбраны такой марки прог. контроллеры.
Хм. Ну-ну. Явно не для Бушера.

Чтобы не быть голословным, вот несколько презентаций с конференции РЭА этого года:
http://2010.atomexpo.ru/mediafiles/u....4_zverkov.pdf
http://2010.atomexpo.ru/mediafiles/u....4_kishkin.pdf
http://2010.atomexpo.ru/mediafiles/u....4_koltsov.pdf

И еще, на что я обращаю внимание: самое последнние, что я стал бы делать на месте Мосада, это писать вирус для ввода АЭС в нештатный режим

Итак: типичное маркетинговое нагнатание истерии, используя слова - раздражители "Вирус", "АЭС", "Иран". Ста-а-аршно??

Ничего общего к проблематике на АЭС, ни Ирана не имеющих.

А вот насчет самих вирусов - идея занятная. По идее, так как "Калина" собирается на том же оборудовании, что и Mazda 3 (следовательно, на данном оборудовании можно собрать одноплатформееников: Ford Focus и Volvo S40). А собирают - роботы. Вот бы вирус написать, что бы вместо Калины Mazda 3 собиралась.

С Уважением,
Георгий
Старый 22.09.2010, 12:02   #8  
ALES is offline
ALES
Участник
Злыдни
 
220 / 45 (2) +++
Регистрация: 11.08.2004
Цитата:
Сообщение от George Nordic Посмотреть сообщение
Вот бы вирус написать, что бы вместо Калины Mazda 3 собиралась.

С Уважением,
Георгий
Георгий, зачем на дорогах Mazda 3 в "качестве" Калины? ) Это ж пострашней вирус будет)))
За это сообщение автора поблагодарили: lev (1).
Старый 22.09.2010, 12:26   #9  
AllB is offline
AllB
Участник
Аватар для AllB
 
9 / 11 (1) +
Регистрация: 22.02.2007
Цитата:
Сообщение от George Nordic Посмотреть сообщение
..А вот насчет самих вирусов - идея занятная. По идее, так как "Калина" собирается на том же оборудовании, что и Mazda 3 (следовательно, на данном оборудовании можно собрать одноплатформееников: Ford Focus и Volvo S40). А собирают - роботы. Вот бы вирус написать, что бы вместо Калины Mazda 3 собиралась..
Ни в коем разе!
Из этой кучи автохлама Калина хотя бы самая дешевая...
__________________
(орфо. и пунктуация, недостающее прилагаю: "абвгджеё...я .,-!?:" ;o)
Старый 24.09.2010, 10:24   #10  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
Червь Stuxnet создан для саботажа на ядерных предприятиях
Цитата:


Прочитав такой заголовок, я бы подумал, что речь идет о попытке привлечь внимание «проходящего мимо» читателя — но нет, такой заголовок соответствует содержанию статьи целиком и полностью. Дело в том, что специалист по информационной безопасности из Германии, Ральф Ленгнер, подверг червя детальному анализу. Результаты анализа весьма впечатляют — забегая наперед, скажу, что этот самый Ленгнер предполагает, что за созданием червя может стоять целое государство, а не какой-то там хакер-студент или их группа.

Конечно, частенько и один талантливый студент может сделать то, над чем целые НИИ работают длительное время, не получая результат. Но здесь, скорее всего, не тот случай. Напомню, что Stuxnet предназначен в первую очередь для ПК с программным обеспечением компании Siemens, которое обычно используется в различных промышленных системах управления производственными процессами. И это касается не мелких предприятий, а целых ядерных заводов. В коде Stuxnet содержится участок, который, теоретически, может позволить злоумышленникам получить доступ к тем самым системам управления. Stuxnet предназначен для атаки компонентов управления предприятием (SCADA), которые используются на химических, ядерных и прочих крупных (крупнейших) предприятиях.

Ленгнер не голословен — сделав такое заявление на одной из конференций по информационной безопасности на производстве, он также опубликовал детальный анализ участков кода вируса на собственном сайте. Причем «безопасник» сделал это еще на прошлой неделе, хотя известно об этом стало только сейчас.

«Stuxnet является 100%-но направленной атакой, которая направлена на нарушение хода обычных промышленных процессов в обычном же, а не виртуальном, мире», — говорит Ральф Ленгнер.

Три крупнейших специалиста по информационной безопасности из США, включая Майкла Ассанте, согласны с теорией Ленгнера. До сих пор код червя изучен недостаточно, слишком уж он сложен, однако работы продолжают вестись.

Интересно, что специалисты пришли к общему мнению, что иранский ядерный завод Bushehr является главной целью для этого червя — в принципе, несложно догадаться, кому же не терпится уничтожить подобное предприятие в этой стране. Правда, червь обнаруживается по всему миру, а не только в Иране, так что его можно назвать чрезвычайно эффективным. На ПК Stuxnet проникает посредством использования трех уязвимостей (в ОС Windows), из которых с июня месяца закрыта только одна.

Эксперты по безопасности также называют Stuxnet первым виртуальным супер-оружием, созданным для уничтожения реальных объектов.
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.
Старый 25.09.2010, 14:42   #11  
Волчара is offline
Волчара
Участник
 
210 / 29 (1) +++
Регистрация: 08.02.2003
Адрес: Москва
Цитата:
Сообщение от Poleax Посмотреть сообщение
Эксперты по безопасности также называют Stuxnet первым виртуальным супер-оружием, созданным для уничтожения реальных объектов.
В этом тексте много журналистких загибов... Боюсь, что не первый супер - а первым экспериментальный, но неудачный образец...

Наибольший вред серьезному объекту может нанести только человек, который обладает большим опытом и пониманием принципов работы объекта и имеет на него доступ. В этом смысле вспоминаются доинтернетовские вирусы - которые изобретательно использовали психологию пользователей. Например, один из них не делал ни каких зловредных действий, а начинал выводить на экран сообщения типа:
удален файл Autoexec.bat
удален файл Config.sys
удален файл ....
и так далее - заканчивалось тем, что пользователь срочно нажимал кнопку и сбрасывал компьютер.

Может вирусописателям в эту сторону посмотреть?
__________________
Благодарю за поддержку ИЦ Кариатиду и Koder Logic
Старый 27.09.2010, 11:08   #12  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
1) Первую иранскую АЭС заразил компьютерный вирус
Цитата:

Непредвиденные проблемы возникли на первой иранской атомной электростанции в Бушере, открытие которой должно состояться через несколько дней.

Как сообщает агентство Associated Press, персональные компьютеры работников АЭС были атакованы компьютерным вирусом Stuxnet.

В Тегеране признали наличие проблемы и заявили, что команда специалистов действительно проверяет несколько компьютеров на предмет уничтожения вредоносной программы. При этом утверждается, что "серьезного ущерба системе нанесено не было".

Отметим, что Stuxnet был обнаружен и на других промышленных объектах в Иране. Министр промышленности Исламской республики Махмуд Лиаи заявил, что заражены около 30 тысяч компьютеров по всей стране, и речь идет о спланированной атаке.

Однако эксперты сомневаются, что речь идет о преднамеренном нападении на Иран. Ранее компьютерный вирус был обнаружен и в других азиатских странах – Индии, Пакистане и Индонезии.

Как рассказал журналистам глава Центра стратегических исследований в Вашингтоне Джеймс Льюис, Stuxnet в основном действует там, где установлено оборудование Siemens. Есть оно и на АЭС в Бушере, строительством которой занимались специалисты из России. Что же касается авторов вируса, то ими могли быть как американцы, так и израильтяне, британцы и французы. "Нельзя исключать и русских с китайцами", - заявил он.

Статья полностью: http://top.rbc.ru/incidents/26/09/2010/472179.shtml
.

2) «Демократический» вирус
Цитата:
США и Израиль прессингуют Иран по всем статьям. Но напасть не могут. Из-за позиции России, Китая, Турции и некоторых других стран. Не могут атаковать ракетами – приходится действовать по-другому.
3) Stuxnet таки добрался до иранского ядерного завода в Бушехре
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.

Последний раз редактировалось Poleax; 27.09.2010 в 11:11.
Старый 27.09.2010, 11:19   #13  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
Цитата:
Сообщение от Волчара Посмотреть сообщение
В этом тексте много журналистких загибов... Боюсь, что не первый супер - а первым экспериментальный, но неудачный образец...

Наибольший вред серьезному объекту может нанести только человек, который обладает большим опытом и пониманием принципов работы объекта и имеет на него доступ. В этом смысле вспоминаются доинтернетовские вирусы - которые изобретательно использовали психологию пользователей. Например, один из них не делал ни каких зловредных действий, а начинал выводить на экран сообщения типа:
удален файл Autoexec.bat
удален файл Config.sys
удален файл ....
и так далее - заканчивалось тем, что пользователь срочно нажимал кнопку и сбрасывал компьютер.

Может вирусописателям в эту сторону посмотреть?
Вопрос не в технологии, вопрос как придавить пуск АЭС в Иране.
вирус удачный он неплохо расползся по миру, факты заражения есть и в Германии.
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.
Старый 27.09.2010, 11:35   #14  
George Nordic is offline
George Nordic
Модератор
Аватар для George Nordic
Злыдни
 
4,479 / 1250 (50) ++++++++
Регистрация: 17.12.2003
Адрес: Moscow
Записей в блоге: 9
1. Нигде не написано, а какими же контроллерами управляется АЭС в Бушере.

2. Нигде не указанно, что на контроллерах стоит Windows, да еще незащищенная, с "уязвимостями"

3. Нигде не передано, как АЭС соединена с интернетом (и зачем).
Цитата:
А возможность проникновения вируса на ПК через USB-накопители позволяет в короткие сроки получить большую распространенность», — прокомментировал ситуацию Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства Eset.
4. Не указано, что "Непредвиденные проблемы возникли на первой иранской атомной электростанции в Бушере" вызвани именно действием вируса. Хотя есть вероятность: я бы тоже отложил запуск, чтобы все перероверить в виду подобных обстоятельств (даже если оборудование несовместимо и выхода в интернет нет).

У меня ощущения, что люди о работе АЭС судят по Гомеру Симпсону.

Но появление подобных "промышленных вирусов" - действительно тревожный признак.
И репутации Siemens нанесен урон.
Старый 27.09.2010, 13:23   #15  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
Цитата:
Сообщение от George Nordic Посмотреть сообщение
1. Нигде не написано, а какими же контроллерами управляется АЭС в Бушере.

2. Нигде не указанно, что на контроллерах стоит Windows, да еще незащищенная, с "уязвимостями"

3. Нигде не передано, как АЭС соединена с интернетом (и зачем).

4. Не указано, что "Непредвиденные проблемы возникли на первой иранской атомной электростанции в Бушере" вызвани именно действием вируса. Хотя есть вероятность: я бы тоже отложил запуск, чтобы все перероверить в виду подобных обстоятельств (даже если оборудование несовместимо и выхода в интернет нет).

У меня ощущения, что люди о работе АЭС судят по Гомеру Симпсону.

Но появление подобных "промышленных вирусов" - действительно тревожный признак.
И репутации Siemens нанесен урон.
Если че серьезно сломается, то напишут. Подождем.

http://www.newsru.com/world/27sep2010/aesvirus.html
Цитата:

Мощный вирус, атаковавший ранее промышленные объекты Ирана, проник в персональные компьютеры сотрудников первой в Иране атомной электростанции, расположенной в Бушере.

Основная операционная система АЭС не пострадала. Электростанцию по-прежнему предполагается ввести в строй в течение нескольких недель, передает BBC со ссылкой на иранское информагентство IRNA.

В настоящее время несколько инфицированных компьютеров очищаются с помощью антивирусных программ, сообщил руководитель проекта станции Махмуд Джафари.

Сетевой "червь" Stuxnet способен захватывать контроль над промышленными объектами. Он атаковал такие предприятия, как электростанции, водоочистные сооружения и заводы по всему миру, но больше всего случаев было отмечено в Иране.

Некоторые западные эксперты считают, что его создавал коллектив высококвалифицированных специалистов, за которым стоит некое "национальное государство".

Stuxnet нацелен на системы немецкой компании Siemens, которая изготовляла оборудование для иранской ядерной программы. Запад опасается, что Иран намерен в конечном итоге произвести ядерное оружие. Однако Тегеран уверяет, что его программа имеет исключительно мирное предназначение.

"Против Ирана начата электронная война, - сказал государственной газете Iran Daily глава Совета по информационной технологии министерства промышленности Ирана Махмуд Лиайи. - Вирус заразил в нашей стране почти 30 тысяч IP-адресов". Для обсуждения вопроса борьбы с компьютерной "эпидемией" на прошлой неделе в Иране собиралась группа экспертов.

Stuxnet был впервые идентифицирован фирмой, расположенной в Белоруссии, в июне 2010 года. Но не исключено, что он циркулировал с 2009 года. В отличие от обычных вирусов, этот "червь" атакует системы, которые, как правило, не подсоединяются к интернету из соображений безопасности.

Вместо этого вирус распространяется по машинам с операционной системой Windows через порты USB - с помощью зараженных флэш-карт и других подобных приспособлений. Попав в машину, входящую во внутреннюю сеть компании, вирус определяет специфическую конфигурацию программного обеспечения промышленного контроля, которое разрабатывает компания Siemens.
Однако:
Цитата:
По поводу "сложности" проноса флешек на промышленные объекты через службы безопасности - дело в том, что при использовании различного оборудования Флешки в "Законе", так как на флешках находятся фирменные средства авторизации - поэтому службы безопасности на такие флешки не обращают внимание - они же фирменные.
У Сименса в качестве ключей авторизации используются скрытые системные каталоги и файлы на флешках - поэтому ВСЕ программисты носят ключи на флешках и вставляют их ВЕЗДЕ.
К тому же, чтобы ключи работали по технологии авторизации Сименса флешка не должна быть защищена от записи.
Поэтому и был выбран метод проникновения на "объект" в виде флешки - флешка идёт в коробке с фирменным программным обеспечением и её на любой стадии транспортировки можно модифицировать (кстати как и носитель DVD диска).
Обрадовался бы я (инженер-программист) если бы "случайно нашёл" "фирменную" флешку с ключами и серийным номером к программе стоимостью десятки тысяч евров и воткнул бы я её в комп для просмотра наличия там ключей?
Обычный метод социальной психологии.
Мирт и гуава: Эпизод MS10-061

http://www.kaspersky.ru/find?words=S...0&y=0&search=1
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.

Последний раз редактировалось Poleax; 27.09.2010 в 13:31.
За это сообщение автора поблагодарили: George Nordic (5).
Старый 27.09.2010, 14:04   #16  
George Nordic is offline
George Nordic
Модератор
Аватар для George Nordic
Злыдни
 
4,479 / 1250 (50) ++++++++
Регистрация: 17.12.2003
Адрес: Moscow
Записей в блоге: 9
Да, серъезно ребята к вопросу подошли.

Вон оно как - даже проанализировали, как лучше проникать, через систему идентификации сотрудника. Похоже на правду.

Ну, если чего поломается, то, боюсь, и без новостей узнаем

Спасибо за подробную информацию.

Георгий
Старый 29.09.2010, 17:00   #17  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
Для любителей конспиралогии, типа меня
Есть стеб-статья по вирусу Stuxnet:

Цитата:
Неудержимый червь Stuxnet, или о плюшевом вредителе

В последние дни все мировые СМИ внезапно вспомнили о черве WIN32/Stuxnet, обнаруженном еще в июне сего года. По компьютерным меркам трехмесячный срок – это как в обычной жизни несколько лет. Даже неторопливая Microsoft успела выпустить патч, закрывающий одну из четырех уязвимостей, присутствующих в Windows и используемых зловредом. Правда, не для всех версий операционной системы, а только для Vista и «семерки», тогда как 2000 и XP остались Stuxnet-неустойчивыми, и вся надежда только на сторонние антивирусные программы. Которые все равно понадобятся, благо остальные уязвимости живут и здравствуют.

И вдруг Stuxnet снова замелькал в заголовках новостных ресурсов. Оказывается, это не просто очередной «червяк», пусть и довольно заковыристо написанный (полмегабайта шифрованного кода, где используется сразу несколько языков программирования, от C/C++ до ассемблера), а цифровой шпион-диверсант. Он пробирается на промышленные объекты, где используются аппаратно-программные комплексы Siemens, получает доступ к системе Siemens WinCC, отвечающей за сбор данных и оперативное диспетчерское управление производством, и через нее пытается перепрограммировать логические контроллеры (PLC).

Вам уже страшно? Погодите, это только начало! Stuxnet заточен не под какие-то там цеха по разливу пива. Его главная цель – иранская атомная станция в городе Бушере! Якобы, именно под ее конфигурацию заточена вся злая сила червя, и он то ли уже успел сильно напортачить иранцам, раз они с августа не могут запустить станцию, то ли втихаря прошил контроллеры, и, когда АЭС заработает, даст команду на взрыв. И вот тогда…

Позволю себе процитировать несколько мнений знающих людей. Так, Евгений Касперский в своем блоге называет Stuxnet «шедевром малварно-инженерной мысли» и, в свою очередь, приводит выдержки из материала Александра Гостева, по мнению которого речь идет вообще об «оружии промышленного саботажа». Сделал его, понятное дело, израильский Моссад, дабы остановить работу Бушерской атомной станции.

Аппаратно-программные комплексы Siemens используются на очень разных производствах. Ладно, если речь идет о литье чугуна…



… но представьте, как дрогнут сердца сотен тысяч мужчин, если червь навредит линии по производству пива?

Аналитики ESET чуть менее эмоциональны. Они не уверены, что цель Stuxnet именно БАЭС, однако отдают должное качеству кода и красоте задумки. «Win32/Stuxnet разработан группой высококвалифицированных специалистов, которые хорошо ориентируются в слабых местах современных средств информационной безопасности. Червь сделан таким образом, чтобы оставаться незамеченным как можно дольше. В качестве механизмов распространения вредоносная программа использует несколько серьезных уязвимостей с возможностью удаленного выполнения кода, некоторые из которых остаются незакрытыми и сегодня. Стоимость таких уязвимостей на черным рынке может достигать 10 тысяч евро за каждую. А цена уязвимости в обработке LNK/PIF-файлов (MS10-046), позволяющей червю распространяться через внешние носители, еще выше».
http://www.3dnews.ru/_imgdata/img/20...-04_300dpi.jpg
Оговорка про внешние носители очень важна. Как мы понимаем, системы управления заводами и атомными станциями не имеют доступа в Интернет, поэтому Stuxnet умеет заражать флэшки, и уже с них пробираться в закрытые сети. Службы безопасности? Да, они, конечно, работают, и порой – весьма эффективно. Однако наряду с банальным человеческим фактором (читаем – разгильдяйством) существуют довольно хитрые способы маскировки флэш-накопителей. Например, аккуратно подкупленный сотрудник может пронести на рабочее место мышку со встроенной флэш-памятью, и подменить ей казенную. Спросите, а зачем тогда вообще нужно распространение по Интернету? Так ведь для отвода глаз, чтобы те же руководители службы безопасности не врага в коллективе искали, а уверенно кивали на случайное проникновение извне. Между тем, для облегчения работы червя некоторые компоненты Win32/Stuxnet были подписаны легальными цифровыми сертификатами компаний JMicron и Realtek. В результате, вплоть до отзыва сертификатов Stuxnet был способен обходить большое количество реализаций технологии защиты от внешних воздействий HIPS (Host Intrusion Prevention System).

ESET еще приводит чудесную табличку с географией зафиксированных заражений вирусом, которая, с одной стороны, подтверждает намеки Гостева, а с другой – заставляет любителей конспирологии еще активнее строчить комментарии в форумах и блогах. Шутка ли, зараза поражает крупнейшие развивающиеся страны, и для завершенности картины в таблице не хватает только Китая вместо Индонезии.

Вам уже страшно, как и Евгению Касперскому? Подождите. Давайте переведем дух.

Во-первых, надо понимать – почему производители средств защиты от кибер-угроз с таким удовольствием говорят о Stuxnet. Да, разумеется, они хотят спасти нашу маленькую планету. Но еще это и новый гигантский рынок. Не только Siemens производит средства управления и контроля для самых разных производств, от атомных станций до цехов по разливу пива. Кроме немцев есть еще американцы, японцы и прочая, и прочая. Стоят такие комплексы, мягко говоря, недешево, и если к каждому получится прикладывать свой продукт-защитник… Да-да, вы меня правильно поняли.

Во-вторых, при всей красоте версии о Моссаде, верить в нее не стоит. Если на червя действительно было потрачено немало человеко-месяцев или даже человеко-лет, как об этом заявляют эксперты, то подобное завершение операции – грандиознейший провал. Жуткое для любого разведчика сочетание отсутствия результата и огласки. Обычно для решения задач получения информации и саботажа прибегают к старой, как мир, вербовке, и у Моссада есть огромный опыт работы такого рода в арабских странах. Нет, можно, конечно, предположить, что программа была написана специально для тихого внедрения одним из сотрудников АЭС, а когда что-то пошло не так – червя запустили в Интернет для прикрытия агента. Но это если Stuxnet точно готовили для Бушера, в чем есть немало сомнений. О них – в следующем пункте.

В-третьих, как удалось выяснить, для автоматизации электростанций ( в том числе и в Бушере) используется лицензионное оборудование Siemens, отличающееся от традиционных PLC примерно также, как боевой истребитель от дельтаплана. Удел PLC – это, в лучшем случае, автоматизация пивоваренного завода или газо-/нефтеперекачивающей станции. Остается совершенно непонятным – какие такие PLC Stuxnet собрался перешивать в Бушере?

Наконец, в-четвертых. Обратите внимание на Win32 в полном названии вируса. Ни на одном серьезном заводе, не говоря уж об атомной станции, операционную систему Microsoft не допустят к управлению действительно важными процессами. Там царят системы семейства *nix (в частности, QNX), и вирус из стана Windows для них абсолютно безвреден. Так что сенсация получается из серии баек о секретарше, которая боялась заразиться вирусом от компьютера. Правда, самые суровые авторы страшилок уточняют, что-де Windows PLC не управляет, но под ними есть средства для перепрограммирования контроллеров, и вот их-то Stuxnet и использует. Так немножко страшнее, однако на серьезных производствах никто не отменял Большие Рубильники, отвечающие за действительно важные вещи. Их можно дернуть исключительно вручную, потому что так гораздо надежнее. И безопаснее. Компьютер к ним если и подпустят, то не сегодня и не завтра. А на атомной станции, скорее всего, вообще никогда.

Не хочется навязывать читателю свое мнение, но пока от Stuxnet очень сильно попахивает недобросовестной конкуренцией. Откуда эта ненависть именно к решениям Siemens? Кому не лень было потратить столько сил и времени на большого жирного червя, который, по большому счету, напакостить не может, но осадочек после себя оставляет крайне неприятный. Глядишь, инвесторы новых заводов с электростанциями подумают, да и купят комплекс другого производителя. Когда речь идет о сотнях миллионов и даже миллиардах долларов, не жалко потратить пару миллионов на черный PR.

Так что оружие-то он оружие, но до реальных взрывов дойдет вряд ли. Разве что взрывов негодования при очередном визите в магазин или получении счета за электроэнергию. Все эти промышленные войны ведутся в конечном итоге за счет нас, потребителей.

При написании этой статьи были обижены в лучших чувствах сотни конспирологов
http://www.3dnews.ru/offsyanka/neude...vom-vreditele/
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.
Старый 30.09.2010, 09:40   #18  
George Nordic is offline
George Nordic
Модератор
Аватар для George Nordic
Злыдни
 
4,479 / 1250 (50) ++++++++
Регистрация: 17.12.2003
Адрес: Moscow
Записей в блоге: 9
Цитата:
Сообщение от Poleax Посмотреть сообщение
...полмегабайта шифрованного кода...
Вот оно - развитие технологий. Представил себе перенос данного вируса на дискете 3,5". Нет Win32? Ну-ка попробуем int21h.

Ну а все остальное - точь-в-точь что я говорил.

С Уважением,
Георгий
Старый 01.10.2010, 15:59   #19  
lev is offline
lev
Ищущий знания...
Аватар для lev
Oracle
MCBMSS
Axapta Retail User
 
1,723 / 491 (20) +++++++
Регистрация: 18.01.2005
Адрес: Москва
ну вот и Китай заговорил о масштабном заражении вирусом Stuxnet
Иранский компьютерный вирус атаковал миллионы компьютеров в Китае
__________________
"Страх перед возможностью ошибки не должен отвращать нас от поисков истины." (с)
С Уважением,
Елизаров Артем
Старый 01.10.2010, 16:29   #20  
Poleax is offline
Poleax
Модератор
Аватар для Poleax
MCP
MCBMSS
Злыдни
 
1,353 / 595 (22) +++++++
Регистрация: 17.02.2005
Адрес: msk
Записей в блоге: 34
Цитата:
Сообщение от lev Посмотреть сообщение
ну вот и Китай заговорил о масштабном заражении вирусом Stuxnet
Иранский компьютерный вирус атаковал миллионы компьютеров в Китае
Ну наконец то. 3-4 месяца в Китай полз червяк Хм.
__________________

This posting is provided "AS IS" with no warranties, and confers no rights.
За это сообщение автора поблагодарили: lev (1).
Теги
кризис

 


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Рейтинг@Mail.ru
Часовой пояс GMT +3, время: 13:20.