Кибервойны - мифы и реальность
31,354 51
 

  Mozgun ( Слушатель )
23 сен 2010 17:24:28

Тред №258242

новая дискуссия Дискуссия  1.021

http://malaya-zemlya…84125.html
http://malaya-zemlya…86908.html
еще кое какие подробности о Stuxnet.
в частности
ЦитатаТочнее, он атакует индустриальные системы контроля и управления, использующие софт под названием Simatic WinCC. Что еще сенсационней, Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код знчит, пока неизвестно. Это, кстати, объясняет способ распространения через флешки - промышленные системы редко подключены к Интернету.

ЦитатаНа сайте Symantec вышла статья  с детальным разбором того, как StuxNet заражает контроллеры. Очень рекомендую прочесть в оригинале, но вкратце перескажу. Он прячется в компе, на котором инсталлирован сименсофский софт Step7 (работающий с контроллером) и перехватывает запросы на чтение/записи данных на контроллер. Запросы на запись, разумеется, для того, чтобы заражать чипы, запросы на чтение - чтобы тщательно стирать следы своей деятельности. Если посмотреть на инфицированный контроллер на компе, где уже есть вирус, то ничего подозрительного не видно вообще.
Перед заражением вирус проверяет версию контроллера и подключенного к нему хардвера. Исследователи выяснили, что злоумышленников интересовали контроллеры 6ES7-417 и 6ES7-315-2, и индустриальные сети стандарта Profibus-DP. Тут вирус вклинивается в коммуникации между контроллером и заводской автоматикой. Раньше я писал, что он просто обрубает какой-то таймер, но это не так. Он создает целый хитрый блок логики, слушающий приходящие от сенсоров сигналы, и на лету подменяющий отдаваемые команды.
Отдельно упоминается еще один режим заражения, через Memory Mapped IO, про который дается мало информации, только говорят, что он еще сложнее.

нифига на самодельщину не тянет, работа команды профи с солидной поддержкой.
АУ на усмотрение.
  • +0.58 / 5
  • АУ
ОТВЕТЫ (5)
 
 
  AndreyK-AV ( Слушатель )
23 сен 2010 21:48:06

Прочел улыбнуло. Особенно скриншоты экранов и заумные рассуждения о WinCC и реакторах. Мужикам блин надо на шнобелевку подавать, они же искуственный супер интелект придумали:
-------------------------------
Тут вирус вклинивается в коммуникации между контроллером и заводской автоматикой. Раньше я писал, что он просто обрубает какой-то таймер, но это не так. Он создает целый хитрый блок логики, слушающий приходящие от сенсоров сигналы, и на лету подменяющий отдаваемые команды.
------------------------------
Это надо же, понять где контроллер поставлен, чем управляет, разобраться в технологии, разобраться с КИП и управляющими механизмами, обойти автономные ПАЗ, блин это точно шнобелевка.ВеселыйВеселыйВеселый
Хороша трава у писателя.Веселый
  • +0.99 / 4
  • АУ
 
 
  Mozgun ( Слушатель )
24 сен 2010 11:01:35
Это если упорно не предполагать что вирус был заточен под очень конкретное оборудование, на которое спецификацию достать еще можно(хотябы промшпионажем у производителя) а вот прямо поучаствовать в внедрении саботажного ПО на стадии изготовления\монтажа уже нет...

Сильно притянуто за уши? А взрывы на иранской обогатительной урановой фабрике и отставка тогдашнего министра - видимо чистое совпадение и паранойя...Целующий
http://wikileaks.org…esignation

Думаю что не сильно ошибусь если предположу что центрифуги были там ниразу не уникальные или штучной сборки а самые что ни есть типовые которые вполне доступны к изучению "на стороне" и подгонке к ним этой "вирусной бомбы".

ЦитатаВ доказательство он приводит интересную деталь: вирус, по его словам, содержит систему синхронизациями между множеством копий в одной промышленной сети (как я понимаю, это как раз процедура, подключенная к Profibus). Такой подход имееет смысл в ситуации, где имеется большое количество одинаковых сложных устройств, каждое из которых управляется своим контроллером. Центрифуги для разделения изотопов вполне подходят по описание.
это из ссылки.
Мне лично не смешно ни разу. Потому что если даже совсем не брать во внимание теорию заговора и прочие кунштюки - факт наличия уникального по своим характеристикам вируса не исчезнет никуда и главное - симантек или Касперского обвинять в некомпетентности имхо самонадеянно. А они весьма удивлены и озадачены назначением и функционалом сего зверя...
ЗЫ: вот прошло несколько часов и появилась новость имхо относящаяся к этой истории.
http://www.polit.ru/…k_rel.html
Сибирский химический комбинат завершает процесс модернизации физзащиты двух заводов.
ЦитатаС 21 по 24 сентября в ОАО «СХК» (входит в Топливную компанию «ТВЭЛ» Госкорпорации «Росатом») проходил визит представителей Ведомства по вопросам поставки и разработки военного имущества ФРГ и немецкого общества по безопасности ядерных реакторов и установок. В ходе визита германские специалисты посетили реакторный завод и завод разделения изотопов комбината. Как пояснил заместитель директора ОАО «СХК» по безопасности Евгений Корнев, делегация намерена ознакомиться с результатами работ по модернизации систем физической защиты реакторного завода и завода разделения изотопов, посмотреть, что уже реально сделано и насколько эффективно используются немецкие финансовые средства.
------
В настоящее время ОАО «СХК» входит в Топливную компанию «ТВЭЛ» (www.tvel.ru  ), основной деятельностью которой является разработка, производство и реализация (включая экспорт) ядерного топлива, а также сопутствующей ядерной и неядерной продукции. Целью создания Топливной компании является выстраивание оптимальной структуры управления предприятиями ядерно-топливного цикла для повышения эффективности работы и конкурентоспособности на глобальном рынке. На первом этапе Топливная компания объединит предприятия по производству газовых центрифуг, разделительно-сублиматные заводы и заводы по фабрикации топлива.

то есть в Иране чипы Сименса на скорее всего наших центрифугах(а мы в мире лучшие по центрифугам, если Добряку верить, а я ему верю), и были аварии непонятные во время 0ное, а у нас немцы приехали проверять безопасность на завод по их производству. Вскоре после того как прояснилась картина с вирусом.
Можете считать меня параноиком но (с)это жжжж неспроста...
  • +0.43 / 3
  • АУ
 
 
 
  AndreyK-AV ( Слушатель )
25 сен 2010 02:08:53

Давайте различать угрозы.
Вот то что вирус может на правильно спроектированной системе устроить бум, не поверю. Не знаю как на АЭС, но точно знаю, как бы там не глюкнул контроллер, на КНС, ДНС и т.п. резервные системы и ПАЗ остановят и заглушат все, и "бум" не будет. Я это знаю точно по тем объектам что проектировало и запускало наше предприятие. Были бум по человеческому фактору и халатности, но отношения к автоматике они не имели. Тип контролера роли не играет, у любого оборудования есть граничные режимы, на которые можно настроить автономную системы противоаварийной защиты.

Зато вывести из строя всю систему управления и контроля предприятия, сделать ее неработоспособной вирусом скорее всего можно. Но это не бум, это останов, что тоже плохо, но уже не так смертельно. Здесь конечно основное комплекс мер по ИБ и защите от внешних атак. Но тут я с Вами согласен, полностью не защитится.

Конечно если какие то бараны будут проектировать особо опасный объект слушая сказки производителей о неубиваемости и 100% надежности их контроллеров, и наплюют на дублировании и ПАЗ, и другие подобные штучках, то возможно все. Ну это и без вируса возможно, типа как пьяный электрик перепутает фазу и нольПодмигивающий.
  • +0.73 / 4
  • АУ
 
 
 
 
  Mozgun ( Слушатель )
25 сен 2010 11:33:09
У меня чуть не на глазах был случай когда на опытном электролизном производстве оставили без присмотра комп АСУП а в него залезли практиканты из любопытства и давай там нажимать на всякое в опциях. Притом залезли и запустили программу коррекции управления ваннами не напрямую а через локалку. От серьезного бума спас мастер участка который на свой страх и риск отрубил секцию питания на подстанции вовремя. Заметил что приборы показывают чертечто и ванны начинают идти в разнос и не понимая до конца природы явления не нашел ничего доступнее как отрубить все. Был большой тихий скандал и дрючка айтишников заводских. Хотя возможно что опасность и преувеличивали...да и производство опытное, там наверное автоматика не настолько совершенна..
Я это вот к чему - а если точно такое же начал бы творить подобный вирус?
  • +0.27 / 1
  • АУ
 
  Midland ( Слушатель )
24 сен 2010 06:13:08


Совершенно согласен - это явно не любители и даже не стандартные вирусописатели.
  • +0.56 / 2
  • АУ