Кибервойны - мифы и реальность

Очень много в западной прессе раздуто мифов про полчища киборгов из всяких неугодных высшей демократии стран. Не выглядят ли алармистами западные сми, - на фоне того, что западным спецслужбам обеспечен доступ к закладкам в системном софте? Журналюги твердят об угрозе от ботнетов и флешмобов(ака сделай пинг), но в курсе ли они о сетевых спрутах западных спецслужб?
что для вас реальная угроза:
дерзкие пакостники- самоучки?
монопольный теневой мониторинг сети?

Хотел бы запостить это в вооружения, потому, что в этой сфере НАТО пытается представить себя осаждённой крепостью и беззащитной овцой.

Цитата: paulvm от 20.09.2010 02:24:47
Очень много в западной прессе раздуто мифов про полчища киборгов из всяких неугодных высшей демократии стран. Не выглядят ли алармистами западные сми, - на фоне того, что западным спецслужбам обеспечен доступ к закладкам в системном софте? Журналюги твердят об угрозе от ботнетов и флешмобов(ака сделай пинг), но в курсе ли они о сетевых спрутах западных спецслужб?
что для вас реальная угроза:
дерзкие пакостники- самоучки?
монопольный теневой мониторинг сети?

Хотел бы запостить это в вооружения, потому, что в этой сфере НАТО пытается представить себя осаждённой крепостью и беззащитной овцой.

Ну, а что вы хотели-то? Сунь-Цзы  сказал как-то: "Если силен в чем-то прикинься слабым, если слаб- кричи, что силен.."

Полчища киборгов - это, конечно, бред на данный момент. Военные сети также, скорее всего, не пострадают кроме случаев, когда кто-то изнутри запустит что-то.. А вот вся гражданская инфраструктура очень уязвима - сети общего назначения. И тут организованно сейчас идет, ИМХО, только просеивание инфы - "явки, пароли, шифровальные книги" (с). А вот всякие сетевые диверсии, типа ддос или вирусных атак - это больше таки самодеятельность..

Не реально.
Урон какой-либо хоть сколько-нибудь важной гражданском инфраструктуре врятли возможен.
Ибо вон даже бухгалтерия обычно сидит в собственной сети, изорилованной от окружающего мира.
А уж электростанции и прочие объекты - и подавно.

Цитата: k51102 от 20.09.2010 22:11:14
А уж электростанции и прочие объекты - и подавно.

смеялсо.

Цитата: rommel.ua от 20.09.2010 13:40:56
Военные сети также, скорее всего, не пострадают кроме случаев, когда кто-то изнутри запустит что-то.. А вот вся гражданская инфраструктура очень уязвима - сети общего назначения. И тут организованно сейчас идет, ИМХО, только просеивание инфы - "явки, пароли, шифровальные книги" (с). А вот всякие сетевые диверсии, типа ддос или вирусных атак - это больше таки самодеятельность..

Согласен с вами, с поправкой: справедливо на текущий момент. Медведев не так давно презентовал скайп общение (как первую ласточку технологичных коммуникаций) в одну военную часть, хотя этот момент и в перспективе невеликая угроза. Мне кажется, что для "незападных демократий" угроза кроется в закрытом коде и географической локализации программных продуктов. Я знаю, что теоритически, вывоз ноутбуков, даже просто с системным софтом из США, запрещен американским законом (практически это пока трудновыполнимо) - иначе говоря, софт и железо могут отличатся по уровню соответствия демократичности, согласно географии.
Весь современный софт при подключении к инету регулярно ломится за обновлениями - и не факт, что деструктив будет получен в процессе обновления - он может быть зашит в дистрибутив ваших окошек и для его активизации потребуется к примеру 4 байта полученных с сервера - к примеру майкрософта. Любой антивирус проигнорирует раскиданные по библиотекам отдельные команды - где атрибуты файла сменить, где снос тмп файлов, где отсылка отчетов на главный сервер о системных ошибках... А теперь представьте на пару сек, что хотябы в Москве гавкнулись 80% пользовательских систем - это ведь паралич всех коммерческих операций на как минмум несколько дней! А через 10 лет в масштабах России (с развитием ИП телефонии) будет выглядеть информационным блэкаутом н 11 часовых поясов - это вам не игры с активами на бирже, это предпосылки к ним.

Цитата: paulvm от 21.09.2010 23:21:58
Согласен с вами, с поправкой: справедливо на текущий момент. Медведев не так давно презентовал скайп общение (как первую ласточку технологичных коммуникаций) в одну военную часть, хотя этот момент и в перспективе невеликая угроза. Мне кажется, что для "незападных демократий" угроза кроется в закрытом коде и географической локализации программных продуктов. Я знаю, что теоритически, вывоз ноутбуков, даже просто с системным софтом из США, запрещен американским законом (практически это пока трудновыполнимо) - иначе говоря, софт и железо могут отличатся по уровню соответствия демократичности, согласно географии.
Весь современный софт при подключении к инету регулярно ломится за обновлениями - и не факт, что деструктив будет получен в процессе обновления - он может быть зашит в дистрибутив ваших окошек и для его активизации потребуется к примеру 4 байта полученных с сервера - к примеру майкрософта. Любой антивирус проигнорирует раскиданные по библиотекам отдельные команды - где атрибуты файла сменить, где снос тмп файлов, где отсылка отчетов на главный сервер о системных ошибках... А теперь представьте на пару сек, что хотябы в Москве гавкнулись 80% пользовательских систем - это ведь паралич всех коммерческих операций на как минмум несколько дней! А через 10 лет в масштабах России (с развитием ИП телефонии) будет выглядеть информационным блэкаутом н 11 часовых поясов - это вам не игры с активами на бирже, это предпосылки к ним.

Отсюда- нужен Линукс. там открытый код, и все наиболее критичное будет просмотрено спецами по информационной безопасности.

Техногенный армагедон.
Тезис выступления - современные системы автоматизации промышленности беззащитны против организованной диверсии.

Сразу оговорюсь, про безопасность и системы управления атомных электростанций, армейских систем и т.п. стратегических объектов ровным счетом ничего не знаю, и говорить не буду. Помолимся.

А вот автоматизация типичного техпроцесса состоит из следующих частей:
1. Исполнительные механизмы
2. Аварийные системы контроля и управления
3. Всевозможные датчики
4. Контроллеры управления узлов и техпроцессов
5. Система сбора данных и управления производством

Исполнительные механизмы - обычно всевозможные задвижки, клапаны и приводы. Если злоумышленник добрался до них или до проводов их управления - остаётся надеяться лишь на всевозможные аварийные блокировки. Обычно исполнительные механизмы управляются либо напрямую вкл/выкл, либо током/напряжением в стандарте 0-10В/4-20мА. Соответственно никакой шифрации и разграничения доступа
Даже продвинутые исполнительные механизмы, управляемые одним из протоколов могут быть введены в заблуждение имитацией сигнала мастера.

Аварийные системы контроля и управления  - механические или электромеханические системы контроля параметра, например давления газа, отключающие источник или сбрасывающие избыточное давление.
Ставятся редко, только в регламентируемых местах техпроцесса. Нетрудно вывести из строя. Реагируют только на существенные выходы за пределы, в противном случае отключаются самими работниками из-за "ложных" срабатываний. Пример - взрыв на шахте в Кемерово, кажется, где все датчики метана были обмотаны пленкой чтобы не мешали работать.

Всевозможные датчики - достаточно надежны сами по себе, могут дублироваться, однако уязвимым является канал передачи информации, т.к. это либо вышеупомянутый стандарт 0-10В/4-20мА, либо один из промстандартов связи, например ModBus, Can, ProfiBus. Стандарты открытые, нешифрованные, без контроля вторжения и подмены устройства. Заглушив ответ датчика на запрос мастера-контроллера можно сформировать фиктивный ответ, содержащий неверные данные, например занизить температуру. Далее контроллер сам повысит мощность нагрева и вуаля, техпроцесс нарушен.

Но эти 3 пункта - для любителей-мазохистов. Слишком много работы. Есть путь проще.

Контроллеры управления узлов и техпроцессов - Обычно Пром ПЛК либо программируемое реле. Такие устройства предназначены для профессионалов, и считается, что делать в них чересчур сложную защиту не комильфо. И описывать все эти настройки защиты сложно, потребитель уйдет к конкуренту, у которого не надо заморачиваться "этой не нужной паранойей".
Соответственно наличие пароля для загрузки нового проекта/отладки считается достаточным. В то же время часто пароль можно просто проигнорировать, т.к. система защищается от "случайной" ошибки, а не от серьезного взлома.
Т.о. подменив программу ПЛК на свою с закладкой остается лишь дождаться выключения питания, чтобы ПЛК подхватил новую программу, а иногда и этого не надо, программа "подменится" на ходу.


Система сбора данных и управления производством - Обычно либо мощный ПромПЛК с панелью, либо SCADA на ПК. Не буду акцентироваться на "надежности" ОС ПК. Каналы связи между SCADA и контроллерами процессов также не защищены, используются общеизвестные промстандарты, и можно эмулировать неверные данные о работоспособности процесса и/или отдавать ложные команды.
Более того, многие ПЛК сейчас поддерживают процедуру "удаленной перепрошивки", когда можно не только сменить управляющую программу, но и саму прошивку контроллера. Сделано это для "удобства" потребителя, трудно ему ноутбук таскать по помещениям.

Защитой от вторжения считается физическое разграничение доступа и отсутствие выхода в общедоступные сети.
Однако, многокилометровые линии связи техпроцессов защитить проблематично, а на ПК со SCADA часто бывает Internet, операторы любят початится/ поиграть, особенно со вспомогательных терминалов.

Останавливает преступников только еще малая степень автоматизации и косность мышления. Ведь снайперские винтовки известны уже не одну сотню лет, но монархов взрывали и врывали, пока какой-то гений не придумал использовать винтовку.

Цитата: plazma от 22.09.2010 16:06:00
Техногенный армагедон.
Тезис выступления - современные системы автоматизации промышленности беззащитны против организованной диверсии.

Совершенно согласен.

Есть кстати известная история со взрывом газопровода в 1982 году. Точных данных нет (КГБ и Газпром от комментариев отказываются), но распространенная версия - это был результат грамотной закладки в системе управления газопроводом.

Делали - http://ru.wikipedia.…0%B4%D1%83

Еще история для верующих в надежность современных систем управления:

В большинстве современных авто многие модули компьютеризованы, и общаются между собой через специальную шину - CAN-bus. Эта же шина выведена на разьем в кабине - через этот разьем проводят диагностику, читают уровень CO в выхлопе и т.п. Через эту же шину можно обновить прошивку управляющих контроллеров (что на сервис центре и делают).

Только в этой самой can-bus и связанных системах практически нет защиты. Если подключиться к этой шине - можно делать практически что угодно.

Недавно несколько специалистов по защите информации покопалисть в этой системе, и продемонстрировали занятнейшие вещи - например, можно заменить прошивку управляющего блока добавив свой код, и этот свой код может разогнать двигатель не смотря на положение педали газа. Или например отключить АБС, или заблокировать одно из колес. И активироваться эта штука может при достижении нужных условий - например, после разгона машины до 100 километров/час. А после активации (и аварии) измененная прошивка может сама себя удалить.

Что любопытно, заложить такую штуку можно очень легко. Например, если есть возможность подключиться к разьему в кабине на несколько минут. И следов не будет. Или например малозначительная доп. примочка (вроде радио) установленная после покупки машины может сделать с машиной все что угодно даже не перепрошивая управляющий модуль.

Вот несколько материалов на тему:
http://www.autosec.o…nd2010.pdf

http://news.cnet.com…7-245.html

Еше немного паранои о машинах:

Во многих современных машинах установлена система удаленной телеметрии. В штатах это OnStar, в европейских странах это тоже есть. Большинство машин среднего и дорогого классов приходят с этой системой предустановленной. OnStar включает GPS и модуль связи, и он же подключен к бортовой шине.

С помощью OnStar можно найти украденную машину, или дистанционно открыть двери если забыли ключ, или вызвать помощь если застрял где-то за городом. OnStar будет автоматически активирован при аварии, и оператор может удаленно определить позицию машины и может пообщатся с пассажирами через встроенную систему громкой связи чтобы узнать все ли живы.

Понятно, что такая система - еще и идеальное средство для постоянного отслеживания и прослушивания владельцев. И кстати она же подключена к can-bus - посмотрите предыдущий пост отн. того что можно сделать с машиной при доступе к can-bus.

Кстати, недавно в европе начали обсуждать введение закона об обязательной установки такой системы на все новые автомобили. Для безопасности.

Вот таки пироги с котятами...

Из блога Евгения Касперского (http://e-kaspersky.l…24639.html):

---

Всем привет!

Опять по теме зловредов, какие и почему они бывают. А именно - только что произошла захватывающая история, которую раскопал и разъяснил Aleks у себя на http://secureblog.info/

1. В Инете уже несколько месяцев подряд гуляет "убойный" троянец под названием Stuxnet. Изделие очень и очень профессиональное, можно сказать - шедевр малварно-инженерной мысли. Для своего распространения использует аж четыре(!) свежие уязвимости (главную из них только что пофиксил Микрософт, остальные вроде как до сих пор актуальны). Уязвимости нестандартные, можно сказать - "красивые". Непрофи могут просто этому поверить, профи могут посмотреть на подробности, например, здесь: http://www.securelis…e_MS10_061

2. Как оказалось, данный зловред нацелен не на корыстные цели очередных кибер-преступников, нет. "Полезная функция" у него активизируется при заражении не просто компьютеров - он атакует программируемые логические контроллеры Siemens PLC (что это такое - http://ru.wikipedia.…0%B5%D1%80 )

3. Основными регионами, пострадавшими от данного зловреда, являются Иран и арабские страны. В основном - Иран. На основе этих и прочих данных Aleks делает очень интересные выводы:

- данный зловред "является оружием промышленного саботажа".
- кто и зачем его сделал и запустил: "Кто — Моссад. Зачем — Бушерская атомная электростанция в Иране".

Источник - http://secureblog.info/articles/655.html

Я знаю Алекса уже очень много лет. Он [обычно] не ошибается... Вот такие "пирожки с котятами".

Вам страшно? Мне - да. Очень страшно.

---

Цитата: Tiger от 22.09.2010 20:20:33
Из блога Евгения Касперского (http://e-kaspersky.l…24639.html):

---

Всем привет!

Опять по теме зловредов, какие и почему они бывают. А именно - только что произошла захватывающая история, которую раскопал и разъяснил Aleks у себя на http://secureblog.info/

1. В Инете уже несколько месяцев подряд гуляет "убойный" троянец под названием Stuxnet. Изделие очень и очень профессиональное, можно сказать - шедевр малварно-инженерной мысли. Для своего распространения использует аж четыре(!) свежие уязвимости (главную из них только что пофиксил Микрософт, остальные вроде как до сих пор актуальны). Уязвимости нестандартные, можно сказать - "красивые". Непрофи могут просто этому поверить, профи могут посмотреть на подробности, например, здесь: http://www.securelis…e_MS10_061

2. Как оказалось, данный зловред нацелен не на корыстные цели очередных кибер-преступников, нет. "Полезная функция" у него активизируется при заражении не просто компьютеров - он атакует программируемые логические контроллеры Siemens PLC (что это такое - http://ru.wikipedia.…0%B5%D1%80 )

3. Основными регионами, пострадавшими от данного зловреда, являются Иран и арабские страны. В основном - Иран. На основе этих и прочих данных Aleks делает очень интересные выводы:

- данный зловред "является оружием промышленного саботажа".
- кто и зачем его сделал и запустил: "Кто — Моссад. Зачем — Бушерская атомная электростанция в Иране".

Источник - http://secureblog.info/articles/655.html

Я знаю Алекса уже очень много лет. Он [обычно] не ошибается... Вот такие "пирожки с котятами".

Вам страшно? Мне - да. Очень страшно.

---

Это всего лишь бета )
примечателен характер участия Майкрософт в деле - как тут не поверить во властные рычаги АНБ?
история похожа на пилотную версию - ибо довольно палевно делать червя со своим очевидным интересом без "концов в воду". Хотя с другой стороны - левый слив траффа с ботов, увеличил бы уязвимость загрузок, да и "клиентов" напрягла бы отсылка от них пакетов куданибудь в Нидерланды, тем более с режимных объектов.

Цитата: Tiger от 22.09.2010 20:20:33
Из блога Евгения Касперского (http://e-kaspersky.l…24639.html):

...скип...

Источник - http://secureblog.info/articles/655.html

Я знаю Алекса уже очень много лет. Он [обычно] не ошибается... Вот такие "пирожки с котятами".

Вам страшно? Мне - да. Очень страшно.

---

Касперский (а точнее Алекс которого он цитирует)совершенно прав. Это действительно самая правдоподобная теория. (и мне тоже страшно - это все совсем не игрушки и не мелкое мошенничество как при обычных вирусах)

Там еще был любопытный нюанс - вирус первыми обнаружили некие Белорусские специалисты. Что подвигает меня к мысли что атака не удалась, благодаря бдительным белоруссам (ну или кто там им слил информацию). Еще один возможный вариант - это была демонстрация возможностей и намек. А в остальном я с Алексом на 100% согласен.

Цитата: Midland от 22.09.2010 19:28:32
Еще история для верующих в надежность современных систем управления:

В большинстве современных авто многие модули компьютеризованы, и общаются между собой через специальную шину - CAN-bus. Эта же шина выведена на разьем в кабине - через этот разьем проводят диагностику, читают уровень CO в выхлопе и т.п. Через эту же шину можно обновить прошивку управляющих контроллеров (что на сервис центре и делают).

Только в этой самой can-bus и связанных системах практически нет защиты. Если подключиться к этой шине - можно делать практически что угодно.
...

Авария на особо опасном объекте, из за вируса возможна только в одном случае, если грубо нарушены правила проектирования систем АСУ ТП особо опасных объектов.
Есть понятие ПАЗ - противоаварийная защита. Она должна срабатывать автономно, при переходе управляемого объекта на пограничные режимы. К примеру: отключить электродвигатель когда начинается разрешение привода, и тут уже контроллер роли не играет. Разрушение же отслеживается по скорости вращения, вибрации и другим параметрам, элементарными датчиками. В реализации подход, чем проще тем лучше, зачастую в основе не мозги, а релейная автоматика.
Ну нет у вируса туда путей, при соблюдении норм и правил.

еиОна развязана от контролера.

Цитата: plazma
Все правильно.
Но недавняя авария на ГЭС показала, что даже безусловно особоопасные объекты автоматизируют не специалисты, а деньги и связи.
Т.к. нет четких ГОСТов по этому направлению для каждого производства, нет жесткого, с уголовной ответственностью, контроля, и что самое главное, нет понимания что они нужны, каждый делает/не делает ПАЗ как ему вздумается.

Так данная проблема не в защите от вирусов и поиске злоумышленника, а в элементарном наведении порядка, и жестком соблюдении тех норм что есть, если нет то пока не создадут, отталкиваться от старых (ГОСТ) и плевать на вопли что прогресс тормозят. Слишком дорого не апробированные новшества обходятся. Ну и УК обязательно.
И надо понимать что абсолютной безопасности не существует, всегда есть риск человеческого фактора и риск неучтенных вновь появившихся техногенных факторов.

http://malaya-zemlya…84125.html
http://malaya-zemlya…86908.html
еще кое какие подробности о Stuxnet.
в частности

ЦитатаТочнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. Это, кстати, объясняет способ распространения через флешки - промышленные системы редко подключены к Интернету.

ЦитатаНа сайте Symantec вышла статья  с детальным разбором того, как StuxNet заражает контроллеры. Очень рекомендую прочесть в оригинале, но вкратце перескажу. Он прячется в компе, на котором инсталлирован сименсофский софт Step7 (работающий с контроллером) и перехватывает запросы на чтение/записи данных на контроллер. Запросы на запись, разумеется, для того, чтобы заражать чипы, запросы на чтение - чтобы тщательно стирать следы своей деятельности. Если посмотреть на инфицированный контроллер на компе, где уже есть вирус, то ничего подозрительного не видно вообще.
Перед заражением вирус проверяет версию контроллера и подключенного к нему хардвера. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, и индустриальные сети стандарта Profibus-DP. Тут вирус вклинивается в коммуникации между контроллером и заводской автоматикой. Раньше я писал, что он просто обрубает какой-то таймер, но это не так. Он создает целый хитрый блок логики, слушающий приходящие от сенсоров сигналы, и на лету подменяющий отдаваемые команды.
Отдельно упоминается еще один режим заражения, через Memory Mapped IO, про который дается мало информации, только говорят, что он еще сложнее.

нифига на самодельщину не тянет, работа команды профи с солидной поддержкой.
АУ на усмотрение.

По поводу Stuxnet все больше и больше инфы появляется...
Например такой факт что драйвера являющиеся частью кода вируса были подписаны легальной подписью Realtek, что означает что большинство антивирусов такой код игнорировало. Подпись "протухла" 12 июня, и в этот же день вирус обнаружили.

Тут я думаю весьма отчетливо становится понятно, что уязвимость современных виндовз-сетей к атакам профессионалов просто критически высока. А если предположить, что в атаке будут участвовать представители фирм-разработчиков, например Майкрософт, то это значит что такую атаку пресечь будет вообще невозможно.

Цитата: Mozgun от 23.09.2010 17:24:28
http://malaya-zemlya…84125.html
http://malaya-zemlya…86908.html
еще кое какие подробности о Stuxnet.
в частности нифига на самодельщину не тянет, работа команды профи с солидной поддержкой.
АУ на усмотрение.

Прочел улыбнуло. Особенно скриншоты экранов и заумные рассуждения о WinCC и реакторах. Мужикам блин надо на шнобелевку подавать, они же искуственный супер интелект придумали:
-------------------------------
Тут вирус вклинивается в коммуникации между контроллером и заводской автоматикой. Раньше я писал, что он просто обрубает какой-то таймер, но это не так. Он создает целый хитрый блок логики, слушающий приходящие от сенсоров сигналы, и на лету подменяющий отдаваемые команды.
------------------------------
Это надо же, понять где контроллер поставлен, чем управляет, разобраться в технологии, разобраться с КИП и управляющими механизмами, обойти автономные ПАЗ, блин это точно шнобелевка.
Хороша трава у писателя.

Я бы не циклился на промышленных диверсиях(если только не как тактический ход в объявленной или почти объявленной войны),
атака на глобальную элементную базу - это при объявленной и даже проигранной войне нереально (мотивы Израиля), а атака на локальную элементую базу = объявлению войны, без гарантии даже на тактический успех.

Я вообще другие аспекты вопроса предлагал;
Масштабы контроля США над всей цифрой, как полем боя:
1. Софт => лицензирование => датацентры => Эшелон <= социальные сети, мыльники, коммуникаторы (скайп, айська...)

Это наверное звучит банально, но на месте амераканцев, я бы имел проекты обрушения для "хайтечных" экономик. а промышленный шпионаж, политический и тд..., имхо, наверняка сейчас выглядит так: есть некое лицо в КБ Сухой, его имя и возраст известны ЦРУ, которое передаёт запрос в Эшелон, который ищет в базах сотрудничающих с ним "партнеров" этот профайл...

Сорри за оффтоп, но сейчас улыбнулся сам, может вас тоже улыбнёт:
Путин, вообще якобы не пользуется инетом и у него нет мобильного...