Дела компьютерные, ответвление из ветки про Фукусиму Опции

[kandid]

Плюс вопрос сохранности при внешних воздействиях, всякие антивирусные заморочки...В общем деньги большие получаются.

А Вы что - на форточках это все организуете? Если да, то отчего же с пингвинами не играете?
Тут недавно встретил ссылку на нашего пингвина. Который ребята в пику пильщикам бабла сделали. Сам еще не смотрел. Но люди брали, хвалили...

[anarxi]

Нет, там целая концепция сортировки, отбраковки и сохранения данных, плюс онлайн передача данных по нескольким адресам (но это сделано). Это кроме речевых данных. Плюс вопрос сохранности при внешних воздействиях, всякие антивирусные заморочки...В общем деньги большие получаются.

Что это вы ребята делаете?Ведь это опасней любой цунами.Какие антивирусные заморочки.В тысячелетней битве нападения и защиты первое всегда на шаг впереди.

Предположительно схема атаки выглядит следующим образом [4]. Stuxnet проник в закрытую сеть иранского ядерного центра в Натанзе (Natanz) через сменный накопитель (типа USB-Flash) и смог инфицировать диспетчерские компьютеры, работающие под управлением SCADA системы WinCC. По крайней мере с одного из таких компьютеров с установленной системой Step 7 произошло несанкционированное перепрограммирование работы контроллеров (ПЛК), которые через частотно-регулирующие приводы (ЧРП) управляют скоростью вращения двигателями центрифуг, осуществляющими обогащение ядерных материалов. Активизация новой программы произошла не сразу, а спустя некоторое время, когда удалось «перепрошить» максимальное количество ПЛК. Все это время червь Stuxnet осуществлял запись данных в нормальном режиме работы центрифуг. Затем, при активизации новой программы на всех ПЛК, мощные двигатели, следуя командам на резкие изменения скорости вращения, вывели около 1000 центрифуг из строя. Одновременно с «раскачиванием» центрифуг Stuxnet воспроизводил для диспетчеров предварительно записанные нормальные данные о процессе с тем, чтобы диспетчеры подняли тревогу как можно позже, и не смогли остановить работу центрифуг в ручном режиме до их повреждения и/или разрушения. Так была осуществлена «точечная» диверсионная атака на иранский ядерный центр в Натанзе, отодвинувшая сроки получения обогащенного урана для его ядерной программы по некоторым оценкам не менее, чем на два года.

Источникhttp://www.phocus-scada.com/rus/pub/Stuxnet&IndustrialSecurity.html#Toc41 Как то вот беспокойно и боюсь клизма не поможет.Тем более у нас в стране богатый опыт внедрений в работу государственных серверов. Извиняюсь за офтоп

[str]

Нет, там целая концепция сортировки, отбраковки и сохранения данных, плюс онлайн передача данных по нескольким адресам (но это сделано). Это кроме речевых данных. Плюс вопрос сохранности при внешних воздействиях, всякие антивирусные заморочки...В общем деньги большие получаются.

Это копейки. Реплицировать данные на пяток серверов в изолированной сети по защищенным каналам в радиусе 100 км от объекта не представляет сложности, включая запись речи. Проблематично будет ацапы накинуть существующее оборудование. но это решаемо.

[Nut]

Ведь это опасней любой цунами.

Примите успокоительное, пациент. Система не является управляющей.


- Доктор, помогите, я писаю кипятком!
- Вынимайте пальцы из розетки. Следующий!

[AtomInfo.Ru]

Что это вы ребята делаете?Ведь это опасней любой цунами.

Anarxi,

дело в том, что никаких значимых признаков снижения количества произведенного обогащённого урана в Иране не наблюдается. В 2009 году месячные объёмы колебались вокруг среднего значения, в 2010 году медленно росли.

В 2009 году в Иране наблюдалась постепенная деградация центрифуг на одном из модулей. Постепенная, а не мгновенная. Есть простое объяснение - центрифуги данного модуля были сделаны действительно в Иране, как Иран и заявлял. А для других модулей комплектующие могли быть куплены за границей.

То есть, никаких результатов якобы атаки обнаружить не удалось.

Добавка. Это тот случай, когда заявленный результат может быть проверен. На иранском заводе стоят камеры, транслирующие картинку в режиме онлайн в Вену. Никаких чрезвычайных событий, вызванных якобы атакой вируса, на картинке никто не видел

Более того. Вирус не мог нанести центрифугам никакого ущерба. В прессу вбрасывались фальшивые данные о частотах центрифуг. Им верили, аналитики их брали в работу, анализировали, писали простыни, которых переначитались авторы вируса и использовали в своём коде. Естественно, после этого вирус и не мог сработать как задумано, у него условия не выполнялись

Так что вирус, если его атака действительно была, выстрелил мимо. А под шумок народ обделал кучу своих делишек. Иран арестовал несколько десятков человек, которых давно собирался арестовать. Куча народа на Западе получила гранты. Финны сидят как оплёванные, потому что авторы вируса почему-то решили - финны продают иранцам контроллеры для каскадов центрифуг. Немцы вообще в трауре, потому что в вирусе много всяких заточек на оборудование от "Зименса" (казалось бы, с какой стати?).

В общем, эффект потрясающий, кроме одного - успешной атаки на ядерный объект не состоялось. И это далеко не случайно.

[Nut]

антивирусные заморочки.

Похоже сказал больше, чем хотел. Возможно я неправильно интерпретировал "защита и сохранность информации". Предлагаю считать, что я ошибся и дальше не углубляться.

"А Вы что - на форточках это все организуете? Если да, то отчего же с пингвинами не играете?" - Тото я думаю, почему многие пациенты стали ходить вразвалку с оттопыренными руками. Некоторые пытаются высиживать яйца. А оказалось, что они считают себя пингвинами и пытаются пролезть в форточки.

[AtomInfo.Ru]

И добавлю. В России в отрасли есть вполне обоснованная паранойя на предмет закладок.

Поэтому системы, у которых не открыт код, могут претендовать максимум на работу в интересах сотрудников клининговых служб за пределами 30-км зоны

Это к вопросу о форточках.

[AtomInfo.Ru]

Предлагаю считать, что я ошибся и дальше не углубляться.

Да, лучше бы не углубляться. А то товарищи майоры начнут нервничать. А оно нам надо?

[eninav]

Мне история про вирусы в иранских центрифугах тоже показалась байкой, в стиле голивудских фильмов про хакеров.
1. Винда на ядерном объекте - это сильно (особенно если учесть "теплые" отношения между ираном и америкой.
2. Я так понял, там диспетчер воткнул флешку с вирусом в свой комп, и пошло заражение.
2а) любой нормальный админ (и вообще продвинутый пользователь) первым делом отключает автозапуск флешек, т.к. эту вредительскую фичу, кажется, специально создали в подарок писателям вирусов.
2б) вообще то левые флешки в серьезных конторах втыкать не позволят (вплоть до того что усб-порты эпоксидкой заливают)
3. Антивируса там тоже не было видимо?
4. Диспетчеры сидят под админскими правами? (Потому что с порезанными правами более-менее критичные операции невозможны).
Т.е. из пунктов 2-4 следует, спецы по компьютерной безопасности в иране - полные идиоты, которых бы даже админом-эникейщиком в игровой клуб бы не взяли (а если бы и взяли, то через неделю бы выгнали пинками после того как вся сеть ляжет из за вирусов, принесенных юзерами на флешках).
5. Да и вообще, вирус уж больно продвинутый, логи подделывает для диспетчеров и т.д. Столь же правдоподобно было бы написать, что вирус выводил на экран гипнокартинку, посмотрев которую диспетчер пошел и кувалдой расхреначил все 1000 центрифуг.
Чушь и желтизна, короче.

[anarxi]

Примите успокоительное, пациент.

А Забарханская АЭС онлайн будет? Камера на бщу каждого блока и в турбинном зале? Всё равно слово антивирусный предпологает либо опасность вирусов,либо крупный распил бабла.

[AtomInfo.Ru]

А Забарханская АЭС онлайн будет? Камера на бщу каждого блока и в турбинном зале? Всё равно слово антивирусный предпологает либо опасность вирусов,либо крупный распил бабла.

Nut уже поправился. "Защита и сохранность информации" - это немного иное, чем антивирусная защита.

Я хочу сказать, что проблема есть, но её видят и занимаются ей ещё с времён СССР. Тогда боролись с закладками (например, в Семске на полигоне военные расчётчики не использовали штатовских программ, которые добывались для гражданских расчётчиков; а для гражданских разведка тащила программы только с исходными текстами, и то сначала предпочитали обкатать и проверить программы где-нибудь в Польше).

Теперь добавились другие заморочки. Но, в общем, на них обращают большое внимание. Так что это Вы зря, у нас IT-шники тоже есть.

[eNeR]

В 2009 году в Иране наблюдалась постепенная деградация центрифуг на одном из модулей. Постепенная, а не мгновенная.

Ну там есть различные мнения на сей счёт. Причём весьма обоснованные.
А вообще разработчики вируса — красавцы. Всё втихую. Мастера, слов нет.

[anarxi]

Nut уже поправился. "Защита и сохранность информации" - это немного иное, чем антивирусная защита.

Так что это Вы зря, у нас IT-шники тоже есть.

Дык я в Наших и не сомневаюсь Простото не сильна ли велика зависимость человеков от компов в последнее время.И Япония тому яркий пример.

[AtomInfo.Ru]

Ну там есть различные мнения на сей счёт. Причём весьма обоснованные.

Различные мнения возникают по следующей причине. МАГАТЭ даёт данные по иранским центрифугам дискретно, с периодичностью раз в квартал. Поэтому на графиках числа центрифуг могут возникать скачки. Но длительность скачка - три месяца. Большей деталировки МАГАТЭ не даёт. Публично не даёт. В реальности, агентство видит ещё и онлайн-картинку с завода, но эти данные должны быть закрыты даже от государств-членов МАГАТЭ.

Если интересно, по ссылке на стр.6 есть рис.1 - число центрифуг на иранском заводе. Чёрные столбики - центрифуги с ураном, зелёные - общее число центрифуг. Данные взяты из докладов МАГАТЭ, все доклады сейчас открыты и есть на сайте агентства.

Мы видим два момента. Весь 2009 год шло снижение числа центрифуг, загруженных ураном (т.е., производящих продукт). А в феврале 2010 года мы видим резкий провал в общем числе центрифуг, полностью восстановившийся уже к маю. Вот этот провал служит основанием для утверждений, что на заводе отработал вирус.

Встречные возражения. Известно из докладов МАГАТЭ, что демонтировались центрифуги из второго иранского модуля, по которому есть предположения о более низком качестве оборудования (комплектующие иранские, а не импортные). Быстрое восстановление числа центрифуг заставляет предположить, что их просто снимали для осмотра. Вряд ли для замены - запасных центрифуг у Ирана не так много.

Второе. Число центрифуг с ураном в феврале 2010 года практически не изменилось. Что тогда атаковал вирус, если это была атака? Пустые центрифуги? Если да, то он очень помог иранцам, потому что с ноября 2010 года у них начался устойчивый рост числа центрифуг с ураном, выдающих продукт.

И третий, косвенный аргумент. Человек, который имел доступ по долгу службы к картинке с завода (Олли Хейнонен, бывший замглавы МАГАТЭ), сразу и публично отмёл версию вируса напрочь. Позже он поправился и сказал, что теоретически вирусы могут наносить вред ядерным объектам. Но первая реакция самая очевидная - можно считать, что по картинке они не видели ничего подозрительного.

Для этой ветки это оффтоп. Если есть желание, можно продолжить в отдельной ветке.

[ktotom7]

Нет, там целая концепция сортировки, отбраковки и сохранения данных, плюс онлайн передача данных по нескольким адресам (но это сделано). Это кроме речевых данных. Плюс вопрос сохранности при внешних воздействиях, всякие антивирусные заморочки...В общем деньги большие получаются.

у меня работа связанна с интернетом и нередко приходится сталкиватся со всякими бяками. ни один антивирус не даст сколь нибудь надёжной защиты.
вирусы на то и вирусы чтобы их не находили так просто. всегда можно сделать новый вирус который пока не извествен антивирусам. и пока его кто-то не поймает не отправит какой-то антивирусной компании которая его припарирует... никто его определять как вирус не будет. если вирус какой-то специфический.. тихий там заражает не в промышленных масштабах процесс его обнаружения может затянутся на годы. к тому же нередко вирусы шифруют. хз как этот процесс работает но итог этого процесса что меняется сигнатура вируса и многие антивирусы перестают его обнаруживать.

так что от антивируса объективно толку не так много.

на мой взгляд более менее идеальная защита от вируса получается как-то так.
1) отдельная сеть. никакого контакта с интернетом и другими сетями.
2) режим работы с компьютерами такой что никакие носители информации туда не ставятся (флешки и т.п.) если надо записать что-то с компа этого берётся cd болванка чистая и на неё пишется.


по поводу вирусостойкости пингвина не более чем миф.
дырок в них нередко находят больше чем в винде... но даже не в этом суть. линукс просто мало кому интересен из хакеров в виду низкой распространенности. как пример. сейчас посмотрел на 1м из своих сайтах (не большой относительно.. порядка 15к-30к посещений в сутки) статистику по OS

Windows 87,74 %
Macintosh 8,68 %
Linux 1,36 %
Android 0,64 %
...
дальше ещё меньше.
скажем так на месте хакера что было перспективнее заражать чтобы получить максимально большой ботнет?
вот и получается.. линуксы пока никому особо не нужны чтоб их ломать будет их 30-50% в трафики тогда дырки во всю полезут..

извиняюсь за офтоп . просто на работе действительно часто приходится сталкиваться с вирусами и примерно представляю положение дел.

Сообщение отредактировал ktotom7 - 11.7.2011, 11:11

[ktotom7]

Мне история про вирусы в иранских центрифугах тоже показалась байкой, в стиле голивудских фильмов про хакеров.
2. Я так понял, там диспетчер воткнул флешку с вирусом в свой комп, и пошло заражение.
2а) любой нормальный админ (и вообще продвинутый пользователь) первым делом отключает автозапуск флешек, т.к. эту вредительскую фичу, кажется, специально создали в подарок писателям вирусов.
2б) вообще то левые флешки в серьезных конторах втыкать не позволят (вплоть до того что усб-порты эпоксидкой заливают)

в бытность преподователем в институте таскал с собой ноут на занятия у студентов принимать задания.. какого только заапарка не навидался) 1 вирь например делает невидимым все папки и файлы на флешке вместо них ставит файлы с такими же иконками как были. думаеш что открываеш папку а на деле это запускается вирус заражающий машину (правда потом он и папку откроет чтоб не спалится) ну и потом делает такое же со всеми съемными носителями втыкаемыми в системму) вообщем голь на выдумки хитра и всегда найдет лазейку

4. Диспетчеры сидят под админскими правами? (Потому что с порезанными правами более-менее критичные операции невозможны).
Т.е. из пунктов 2-4 следует, спецы по компьютерной безопасности в иране - полные идиоты, которых бы даже админом-эникейщиком в игровой клуб бы не взяли (а если бы и взяли, то через неделю бы выгнали пинками после того как вся сеть ляжет из за вирусов, принесенных юзерами на флешках).

как бы очень много дырок в любой OS есть которые позволяют из под непривилегированного юсера получить права суперпользователя..

5. Да и вообще, вирус уж больно продвинутый, логи подделывает для диспетчеров и т.д. Столь же правдоподобно было бы написать, что вирус выводил на экран гипнокартинку, посмотрев которую диспетчер пошел и кувалдой расхреначил все 1000 центрифуг.
Чушь и желтизна, короче.

ну как бы с точки зрения программирования что-то подобное написать особых проблем не представляет особенно если хорошо представлять себе как работает тот или иной объект.

снова извиняюсь за офтоп

[eNeR]

Для этой ветки это оффтоп. Если есть желание, можно продолжить в отдельной ветке.

Попробую обойтись двумя линками.
http://www.warandpeace.ru/ru/commentaries/view/55638/ —тут общий анализ действий
http://phocus-scada.com/rus/pub/Stuxnet-CodeAnalys-rus.pdf — анализ кода от ф.Симантек, самое интересное с 24 страницы.

В принципе самая жесть ситуации состояла в тихой работе вируса. И то, что его заметили практически сразу— это очень и очень большая удача.
Почему: Вмешательство производилось только на реально работающие центрифуги (от 13 дней сроку) и очень-очень незаметно и ненадолго (от 15 до 50 минут) на превышающих режимах

В технологическом модуле A26 было отключено 11 из 18 каскадов центрифуг, иными словами, 1804 машины.

Вирус успел поработать только здесь.
Всё втихую, зачем шуметь в таких делах? Я готов поверить, что деза лилась рекой, но разработчики вируса всё таки далеко не лохи слепые котята и наличие результата (1000) это подтверждает. Инсайд был хорош, а последовательность "С" из кода вируса вообще позволяла сидеть у них в контрол руме и играть в пасьянс за компом диспетчера.
Моё видение ситуации:
В зону действия вируса попали все реально находившиеся в эксплуатации центрифуги и хорошо, что вирус быстро обнаружили. Поработай Иран на всех 9000 своих центрифугах - списать пришлось бы всё. ИМХО

Сообщение отредактировал eNeR - 11.7.2011, 11:32

[AtomInfo.Ru]

Сам же ещё раз пооффтоплю.

eNeR,

посмотрите, пожалуйста, ещё раз на график.

В 2007-2008 годах Иран имеет первый модуль каскадов и использует его почти на 100%. Зелёных столбиков практически не видно. Комплектующие для модуля, как предполагается, Иран купил за границей.

С 2009 года Иран монтирует второй модуль, из местных комплектующих. В мае 2009 года видна попытка начать его использовать. Неудачная - довольно быстро число работающих центрифуг откатывается назад, к числу центрифуг в первом модуле (уровень 2008 года).

В феврале 2010 года мы видим демонтаж тысячи центрифуг из второго модуля. В мае 2010 года их вернули на место. С ноября 2010 года начался устойчивый рост числа работающих центрифуг, т.е. Иран сумел начать использовать центрифуги второго модуля.

Вы думаете, что где-то здесь проходил вирус? Ваше право Как по мне, они в феврале'2010 искали явный заводской брак у центрифуг второго модуля. Или наоборот, пытались вычленить работоспособные центрифуги (разрушение при работе одной центрифуги выведет из строя, как минимум, весь каскад из 164 машин, а возможно, и соседние - осколки от ротора разлетаются как от гранаты).

Всё, оффтоп off. Дальше, если хотите, сделаю отдельную ветку под эту тему.

[AtomInfo.Ru]

Попробую обойтись двумя линками.
http://www.warandpeace.ru/ru/commentaries/view/55638/ —тут общий анализ действий

А вот тут-то я и присел. Это наша статья.

http://atominfo.ru/news4/d0249.htm

[eNeR]

Это наша статья.
http://atominfo.ru/news4/d0249.htm

Я всё, в принципе. Что нашел-написал.
Ещё раз снимаю шляпу. Мастерски и без шума. Даже если не удалось, всё равно мастерски. Не торопясь, по чуть чуть, в перспективе все 9000. Класс.

Сообщение отредактировал eNeR - 11.7.2011, 11:36

[kandid]

Да, лучше бы не углубляться. А то товарищи майоры начнут нервничать. А оно нам надо?

Я не майор, но честно говоря, тоже начал нервничать. Потому и спросил о форточках и пингвинах.
Спасибо, господа. Вы меня успокоили. А то я что-то разволновался. Честно, честно.

[eninav]

у меня работа связанна с интернетом и нередко приходится сталкиватся со всякими бяками. ни один антивирус не даст сколь нибудь надёжной защиты.
вирусы на то и вирусы чтобы их не находили так просто. всегда можно сделать новый вирус который пока не извествен антивирусам. и пока его кто-то не поймает не отправит какой-то антивирусной компании которая его припарирует... никто его определять как вирус не будет. если вирус какой-то специфический.. тихий там заражает не в промышленных масштабах процесс его обнаружения может затянутся на годы. к тому же нередко вирусы шифруют. хз как этот процесс работает но итог этого процесса что меняется сигнатура вируса и многие антивирусы перестают его обнаруживать.
так что от антивируса объективно толку не так много.

Во-первых, можно и без антивируса жить и без заразы - просто надо соблюдать минимальные правила гигиены. Например, не тащить в рот левые ехе-шники с левых файлопомоек. Автозагрузку с флешек отключать обязательно (относится к винде ХР, в новых автозапуска как такового нет).
Во вторых. Поиск по сигнатурам - только один из видов поиска. Гораздо надежнее поиск по "подозрительным действием". Это умеют делать все более-менее нормальные антивири. Смысл такой: когда какая-нибудь новая прога делает что-то подозрительное (лезет в инет, пытается изменить реестр/ситсемные фалы, или чужой exe, и т.д.) - то выскакивает окошко с сообщением: разрешить/запретить. Если точно уверен что прога надежная, можно добавить ее в надежные файлы, больше спрашивать не будет. Такое умеет любой нормальный фаервол, в т.ч. и бесплатные. (кстати вещь удобная не только для вирусов, например некоторые проги умеют лезть в инет и проверять, лицушные они или ломанные, запрещаешь такой проге доступ в инет, и все работает )

на мой взгляд более менее идеальная защита от вируса получается как-то так.
1) отдельная сеть. никакого контакта с интернетом и другими сетями.
2) режим работы с компьютерами такой что никакие носители информации туда не ставятся (флешки и т.п.) если надо записать что-то с компа этого берётся cd болванка чистая и на неё пишется

С эти спорить трудно, но это примерно как бороться с венерическими болезнями методом полного воздержания: слишком радикально.

по поводу вирусостойкости пингвина не более чем миф.
дырок в них нередко находят больше чем в винде...

Это не миф. Под линуксом вирусов действительно нет. (есть десяток, которые на современных системах уже не заводятся).
Дырки к вирусам отношения имеют довольно слабое, т.к. влияют на вероятность взлома, а не заражения вирусом. А дырок находят больше потому что линь открытый и все дырки на виду, а винда закрытая, и поэтому там дырки не фиксятся годами.

но даже не в этом суть. линукс просто мало кому интересен из хакеров в виду низкой распространенности. как пример. сейчас посмотрел на 1м из своих сайтах (не большой относительно.. порядка 15к-30к посещений в сутки) статистику по OS
дальше ещё меньше.
скажем так на месте хакера что было перспективнее заражать чтобы получить максимально большой ботнет?
вот и получается.. линуксы пока никому особо не нужны чтоб их ломать будет их 30-50% в трафики тогда дырки во всю полезут..
извиняюсь за офтоп . просто на работе действительно часто приходится сталкиваться с вирусами и примерно представляю положение дел.

А вот это как раз миф. Да, среди десктопов линукса немного, зато среди серверов - чуть ли не большая часть (ну десятки процентов точно). Что полезнее заразить, сервер или десктоп? Да один сервер стоит тысячи десктопов перспективности взлома. Не говоря уж о том что инфа на серверах на порядки ценнее. Но вирусов нет. Почему?
Просто юникс-подобная архитектура действительно практически неподвержена вирусам. Причин много, но основнае - грамотная система распределения прав доступа. Система централизованного распространения софта (через репозитории) тоже не дает разгуляться вирусным инфекциям. Открытость, конечно, тоже.
Кстати, популярность маков (по вашей же ссылке) не так уж мала, 8%, а под макос (тоже юникс-подобную) тоже вирусов нету. С чего бы это?

[eninav]

в бытность преподователем в институте таскал с собой ноут на занятия у студентов принимать задания.. какого только заапарка не навидался) 1 вирь например делает невидимым все папки и файлы на флешке вместо них ставит файлы с такими же иконками как были. думаеш что открываеш папку а на деле это запускается вирус заражающий машину (правда потом он и папку откроет чтоб не спалится)

Ага, видел такое. Был как-то в гостях у родственников, посмотрел комп, это такой заповедник вирусов, какого я не видел ни до, ни после. Я то пользуюсь Тотал Командером, поэтому как открыл флешку, сразу увидел странный прикол, у каждой папки дубликат, скрытый файл с таким же именем и значком папки, но с расширением ехе Как воткнул флешку, сразу на ней появилась туча левых ехешников и авторанов
Однако дома я спокойно фтыкал эту флешку, т.к. авторан отключен, и свой комп не заразил (а это еще было во времена ХП, семерка в этом плане безопаснее т.к. сразу авторан с флешки не запускает).

вообщем голь на выдумки хитра и всегда найдет лазейку

Тем не менее, исполнение простых правил помогает обойти минимум 99% угроз. Никогда кстати не любил скрывать расширения файлов, и как оказалось не зря - штука потенциально опасная

как бы очень много дырок в любой OS есть которые позволяют из под непривилегированного юсера получить права суперпользователя..

Есть, но такие ошибки фиксятся довольно оперативно.

ну как бы с точки зрения программирования что-то подобное написать особых проблем не представляет особенно если хорошо представлять себе как работает тот и
ли иной объект.

Как раз проблема в том, что надо ОЧЕНЬ хорошо знать все тонкости. Например, точно знать, какие чипы там стоят, что бы их перепрограммировать. (не думаю, что эта информация сильно открытая).
Больше всего меня удивило, что вирус выдавал типа "правильные данные" с центрифуг во время диверсии. Я как-то с трудом представляю, как это вообще физически возможно (не факт что там на комп все завязано, мне кажется что должно на них стоять какое-то подобие автоматической защиты, отключающее центрифуги, например, по сигналу вибраций, перегрева и т.д.), но даже если предположить что теоретическая возможность есть, надо во всех тонкостях знать особенности используемого софта, характеристики датчиков и т.д.
А вообще редко какая прога запустится сразу и без глюков с первого раза, это вам любой программист подтвердит

з.ы. если оффтоп, пусть перенесут в другую ветку (хотя после обсуждение медведей и рыбы с пивом это не очень то и оффтоп )

[Велла]

в бытность преподователем в институте таскал с собой ноут на занятия у студентов принимать задания.. какого только заапарка не навидался) 1 вирь например делает невидимым все папки и файлы на флешке вместо них ставит файлы с такими же иконками как были. думаеш что открываеш папку а на деле это запускается вирус заражающий машину (правда потом он и папку откроет чтоб не спалится)

в компе эта гадость отключает диспетчер задач. лечила я у одного товарища такое)) Правда, кардинально - сносила фсё, так как там кроме этого, флэшного, еще куча живности была

[kandid]

в компе эта гадость отключает диспетчер задач. лечила я у одного товарища такое)).

Ну это что-то древнее и примитивное.
Сейчас так не делают. Навострились прятать процессы из списка. Причем очень глубоко. Именно в этом месте имеется радикальное отличие пингвинов от форточек: у пингвинов так глубоко не зарыться.

Кроме того, мелкгомягкие сами навязывают опасные технологии.
Кто, кроме профессиональных системных программистов, может уверенно сказать, чем занимается каждый процесс, идущий на его компьютере?
А если вспомнить родовую мозговую травму форточек, то вообще ... Это же надо догадаться рекомендовать начинающим писать всякую хрень, связанную исключительно с работой только одной вымученной начинающим программой, в системный реестр.

Правда, кардинально - сносила фсё, так как там кроме этого, флэшного, еще куча живности была

Я так вообще в антивирусную терапию не верю - только хирургия. Радикальная.

Сообщение отредактировал kandid - 11.7.2011, 13:42

[yHuK]

Всем привет вот уже с марта читаю вашу эту тему. Но отписаться ну не мог по причине наверно не компетентности т.к. я IT шник.
Собственно по вирусам докладываю.
1. Приватные эксклюзивные однозадачные под конкретный заказ вирусы Никогда не заметит ни 1 существующий антивирус (для этого их проверяют специально)
2. По исследованию того объекта про который вы говорите в Иране у ИТшников есть информация которая просочилась в интернет что специалисты вирусологи пришли к выводу что алгоритм что должен был делать вирус писался людям очень даже не ОЧЕНЬ хорошо понимающим ту технику которую нужно вывести из строя.
3. Операционная система не влияет на вирусы, автозапуск на флешке не обязательно должен быть + добавить я знаю ещё десяток способов как можно при желании притащить вир туда и там его запустить, начиная от зашивки его в в железо на уровне продажи (или у нас что Иран сам весь свой парк компов что там стоит создавал??)
4. Специализированные Вирусы которые пишут чтоб выводить из строя Заводы и т.д. не Диковинка… уже давно есть и успешно их создают. Это 1-но разовые программы цены на их разработку стартуют думаю крайне высоко (приватный вир для корпоративной сетки в Виндовом домене щас стоит от 10 000 евро заказать)

Тут поясню. Если Взять Физика Добавить к нему Технолога процессов, и к ним подключить Программеров то получится тот самый «Вип» набор людей необходимых для создания вируса. А если прикинуть что есть страны ОЧЕНЬ богатые и готовы финансово оплатить такой заказ, а главное имеющие возможности доставить куда надо этот вирус или вшить не важно. То думаю ваш спор о вирусах тут не должен быть как «Верю» «Не верю» а должен быть «Как защититься самим»

[eninav]

А вот тут-то я и присел. Это наша статья.
http://atominfo.ru/news4/d0249.htm

Почитал статью. Оказывается, подробностей про технические характеристики иранских центрифуг не знают даже в магатэ. Так, кое какие догадки, ничего больше. Неизвестно например какие там стоят преобразователи:

Но есть факт, с которым трудно поспорить. МАГАТЭ и другие заинтересованные ведомства не располагают ни одним подтверждением тому, что на центрифугах в Натанзе установлены преобразователи от "Fararo Paya" или "Vacon".

По такому ТЗ - "напиши вирус неизвестно для чего" - ни один хакер работать не будет

Но мне больше всего интересно, как вирус блокировал индикацию нестандартного поведения центрифуг, что диспетчеры ни о чем не догадывались.
Ясно, что на центрифугах использутся какие-то датчики, и их показания как-то отображаются. Как? Если непосрественно (как по старинке, циферблатами, шкалами и т.д.) то вирусу тут вообще делать нечего. Если с помощью компьютера - то программа наверняка самописная, и вмешаться в ее поведения, не зная программу, совершенно невозможно. К тому же такой комп и к сети то вообще не подключен.
Такой вирус-многостаночник получается: и центрифуги раскручивает, и программы для мониторинга ломает, и все это практически на незнакомом железе и софте?

Вы серьезно в это верите??? Это же байка и махровая голивудщина, в стиле Дня Независимости, где вирусом заразили комп инопланетян.

[yHuK]

По такому ТЗ - "напиши вирус неизвестно для чего" - ни один хакер работать не будет

Вы серьезно в это верите??? Это же байка и махровая голивудщина, в стиле Дня Независимости, где вирусом заразили комп инопланетян.

Собственно весь вопрос упрется в Деньги. Не больше не меньше.
Скажу вам что допустим Система сетевой безопасности банка практически полностью убивает возможность утечки информации. Но Инсайдеры не дремлят и за хорошие деньги они эту информацию передают тем кому нужно.
никто не будет изобретать велосипед. Купят програмную оборочку как вариант на прямую у спецов допустим которые её и писали. А в замен допустим Гражданство хорошое и деньги предложат))) И т.д.

[eNeR]

Сервак SCADA заданной конфигурации поднять (с условно двумя контроллерами, хотя можно и без них), гораздо дешевле, чем вы себе представляете.
Правильно говорят, инсайд и прикрытие раза в два больше денег на себя утянули, чем дела компьютерные.
Жаль, подробностей немного. Событие знаковое.

Сообщение отредактировал eNeR - 11.7.2011, 13:55

[ktotom7]

Во-первых, можно и без антивируса жить и без заразы - просто надо соблюдать минимальные правила гигиены. Например, не тащить в рот левые ехе-шники с левых файлопомоек. Автозагрузку с флешек отключать обязательно (относится к винде ХР, в новых автозапуска как такового нет).
Во вторых. Поиск по сигнатурам - только один из видов поиска. Гораздо надежнее поиск по "подозрительным действием". Это умеют делать все более-менее нормальные антивири. Смысл такой: когда какая-нибудь новая прога делает что-то подозрительное (лезет в инет, пытается изменить реестр/ситсемные фалы, или чужой exe, и т.д.) - то выскакивает окошко с сообщением: разрешить/запретить. Если точно уверен что прога надежная, можно добавить ее в надежные файлы, больше спрашивать не будет. Такое умеет любой нормальный фаервол, в т.ч. и бесплатные. (кстати вещь удобная не только для вирусов, например некоторые проги умеют лезть в инет и проверять, лицушные они или ломанные, запрещаешь такой проге доступ в инет, и все работает )

в теории это все конечно хорошо.. но вот незадача вирусы тоже могут блокировать фаерволы. или маскироватся под другую программу. на крайняк можно имитировать клик мышкой по окну с разрешением (это все не выдуманное а реально что те или иные вирусы умели делать)

по поводу благоразумия пользователе. ну вот как не старайся не разжёвывай яки дети малые все себе в рот тащят (ладно бы домохозяйки... но инженеры тоже этим болеют) а по сути да мозг понимающий что и как может произойти на компе+прямые руки защитят лучше любого антивируса (у меня так вообще бесплатная авира стоит... изредка бывает на сайтах попискивает (по работе приходится на такие сознательно лесть) (чащи кстати несмотря на то что я ВИЖУ что там вирусы вижу как в pdf долбится вирь и т.п. молчит как партизанка) но более чем за год с лишним все чисто тфу-тфу-тфу (постоянно по работе счета оплачиваю кредиткой в нете куча паролей от серверов и т.п. так что если что было простор для действий хакера обширный )
от себя добавлю к сованию exe в рот ещё пару пунктиков..
1) стараться посещать старые и проверенные сайты. (и качать что либо только с таких) (хотя прецеденты когда на вирус отсылают через рекламу не редкость) да и взломать всеравно могут.
2) обновлять весь софт. особенно что связан с броузеров. то и дело натыкаюсь на сплойты которые бяку на комп сажают через adobe reader или java

С эти спорить трудно, но это примерно как бороться с венерическими болезнями методом полного воздержания: слишком радикально.
Это не миф. Под линуксом вирусов действительно нет. (есть десяток, которые на современных системах уже не заводятся).
Дырки к вирусам отношения имеют довольно слабое, т.к. влияют на вероятность взлома, а не заражения вирусом. А дырок находят больше потому что линь открытый и все дырки на виду, а винда закрытая, и поэтому там дырки не фиксятся годами.

лечение зависит так сказать от потенциальной угрозой. если например чем-то поражена нога что нельзя вылечить и есть угроза поражения всего организма.. ногу ампутируют. если цель сделать защищенную от доступа извне сеть которой самой нет необходимости лазить во вне вполне себе нормальный метод

А вот это как раз миф. Да, среди десктопов линукса немного, зато среди серверов - чуть ли не большая часть (ну десятки процентов точно). Что полезнее заразить, сервер или десктоп? Да один сервер стоит тысячи десктопов перспективности взлома. Не говоря уж о том что инфа на серверах на порядки ценнее. Но вирусов нет. Почему?
Просто юникс-подобная архитектура действительно практически неподвержена вирусам. Причин много, но основнае - грамотная система распределения прав доступа. Система централизованного распространения софта (через репозитории) тоже не дает разгуляться вирусным инфекциям. Открытость, конечно, тоже.
Кстати, популярность маков (по вашей же ссылке) не так уж мала, 8%, а под макос (тоже юникс-подобную) тоже вирусов нету. С чего бы это?

с тем что nix распространены как os для серверов спорить не буду у самого штук 7 под freebsd на глаз серверов на nix порядка 70-80% из тех на которых крутятся сайты.

а вот что их не ломают и нет вирусов под nix не соглашусь.
1) под макось в своё время видел вирус блокировщик компа (поддельный антивирус) но опять стоит братить внимание что их не так много.. грубо говоря мы хакеры и 1 зараженный комп нам приносит $0.01 в день что принесет больше прибыли? заразить 100к виндовых компов или 8к компов под макось или 1.5к компов под linux?
2) открытость кода палка о 2х концах. злоумышленник тоже исходник видит и врятли будет писать разработчикам софта чтобы его проверили. да и вообще чужие исходники проверять очень сложно. думаю очень мало програмистов реально какие-то куски проверяет и как правило смотрят их или ищя уязвимость чтобы использовать его. или чтобы что-то под себя поменять.
3) просто как пример. где-то полгода назад по вестям слышал что в netbsd нашли дырку для FBR кем-то сделаную которая там была лет этак 10 никем не замеченной непосредственно линуксах тоже такие случаи были.. и в винде не мало
другое дело что в винде в виду их популярности хакеры их ищют активнее и разработчикам приходится их активнее прикрывать да и наверное уже поднаторели в этом
4) ещё уязвимостей добавляет всякий сторонний софт из репозиторив. как пример SAMBRA 1.5-2 года назад как раз дырку прикрыли которая в ней была много много лет если не путаю через неё как раз можно было получить права суперпользователя в freebsd с год назад дырку такого же характера прикрыли.. скрипт который через дырку в одной из библиотек позволял пользователю стать root'ом (если не путаю с начиная с 6.x версии дырка висела)
ой.. а всякие панели для управление сервером это вообще раздолье для хакеров.. я как-то немного хостером работал... 1 человек брал сервера linux+DirectAdmin себе так ему раз в пару месяцев какой-то из серваков ломали... я ему посоветовал админа (не так чтоб толкового но хотябы не криворукого) и freebsd(просто админ что под рукой был как раз в ней разбирался) с тех пор больше не жаловался. мне когда-то сервер в Plesk панелью ломали.

вообще сервера ломают нередко не ради инфы на серверах а ради как раз ради возможности заразить кучу посетителей сайта и упереть их данные кредитных карт, подсадить вирус блокировщик и т.п. (это если грубо на самом деле причин 100500). причем делают это в промышленных масштабах и автоматизированно... у меня например сколько серверов было как сервер сетапят и присылают можно сразу в лог логина по ssh лесть и любоватся как его брутят

я не гворю что какая-та ос лучше какая-та хуже. лучше та ос которую админ который за всем этим хозяйством присматривает лучше знает... я говрю что под виндус сейчас просто вирусов пишется больше.. вот и кажущаяся его дырявость... а вот nix'ы пока с точки зрения массового взлома мало интересны. а вот что будет в случае их популярности и выдержат ли разработчики резкий скачек активности вирусописателей это уже сомнительно..

Сообщение отредактировал ktotom7 - 11.7.2011, 13:58

[AtomInfo.Ru]

Почитал статью. Оказывается, подробностей про технические характеристики иранских центрифуг не знают даже в магатэ. Так, кое какие догадки, ничего больше.

Верно, но частично.

МАГАТЭ известна родословная иранских центрифуг. Известно, что их рабочая лошадка IR-1 основана на пакистанской P-1, которая, в свою очередь, сделана по образу и подобию старых европейских центрифуг. То есть, агентство может описать иранскую центрифугу с хорошей точностью.

В руках у США есть документы и даже целая партия центрифуг, выданных Ливией (покупались у того же источника). Но - ливийские центрифуги относятся ко второму поколению, это центрифуги P-2.

Поэтому в общих чертах конструкция иранских центрифуг понятна. Неизвестны мелкие технические подробности, а в них и кроется дьявол

Получить от Ирана такую информацию МАГАТЭ не может. Инспектора имеют право требовать данные только в соответствии с соглашением, которому следует проверяемая страна. В случае Ирана, это самое простое соглашение о гарантиях, и объём выдаваемой информации Ираном минимален. Инспектора могут проверять завод и проводить аудит количества урана. Но, скажем, посещать заводы, где собираются центрифуги, права не имеют. Более того, Иран даже имеет право не называть эти заводы.

Какой-то информацией могут обладать разведки. Но станут ли они делиться добытыми знаниями с МАГАТЭ? Это вопрос, зависит от решения правительств (выгодно или невыгодно в каждом конкретном случае). МАГАТЭ своей разведки не имеет, хотя предыдущий глава МАГАТЭ Эльбарадей предлагал её создать. Хейнонен, которого я поминал выше по теме, стал бы ей (разведки МАГАТЭ) первым руководителем.

Подводя итог. У МАГАТЭ есть достаточно данных, чтобы контролировать иранскую программу в целом. Но нет технических деталей, которые позволили бы, скажем, написать вирус для разрушения центрифуг.

[ktotom7]

Как раз проблема в том, что надо ОЧЕНЬ хорошо знать все тонкости. Например, точно знать, какие чипы там стоят, что бы их перепрограммировать. (не думаю, что эта информация сильно открытая).
Больше всего меня удивило, что вирус выдавал типа "правильные данные" с центрифуг во время диверсии. Я как-то с трудом представляю, как это вообще физически возможно (не факт что там на комп все завязано, мне кажется что должно на них стоять какое-то подобие автоматической защиты, отключающее центрифуги, например, по сигналу вибраций, перегрева и т.д.), но даже если предположить что теоретическая возможность есть, надо во всех тонкостях знать особенности используемого софта, характеристики датчиков и т.д.
А вообще редко какая прога запустится сразу и без глюков с первого раза, это вам любой программист подтвердит

з.ы. если оффтоп, пусть перенесут в другую ветку (хотя после обсуждение медведей и рыбы с пивом это не очень то и оффтоп )

тут спорить не буду. сам тонкости того случая не знаю.. а из вашего сообщения создалось впечатление что просто была подделана информация которая показывалась диспетчерам.. вот про это и писал что ничего сложного если представлять какие данные правдоподобны какие нет. и что и как в этой программе.
1) можно тупо убрать окошко той программы и вывеси своё 1в1 выглядящее как то
2) программа как-то общается с датчиками и т.п. врятли в этом плане они изобретали велосипед и скорее всего протокол был какой-то стандартный.. зная его ввести программу в заблуждение можно вклинившись между ней и датчиками..

[AtomInfo.Ru]

Инсайдеры не дремлят и за хорошие деньги они эту информацию передают тем кому нужно.

Просто к слову. Insider threat на ядерных объектах считается одной из главных угроз для физической безопасности объекта.

[kandid]

Подводя итог. У МАГАТЭ есть достаточно данных, чтобы контролировать иранскую программу в целом. Но нет технических деталей, которые позволили бы, скажем, написать вирус для разрушения центрифуг.

Ну так вряд ли вирусописательством занималось МАГАТЭ. Если что, так как раз те самые разведки, которые с МАГАТЭ делиться информацией не очень хотят.

[ktotom7]

а вообще я от темы отдалился правильно такие закрытые компы проще взломать дав взятку человеку имеющего к ним доступ.

[AtomInfo.Ru]

Ну так вряд ли вирусописательством занималось МАГАТЭ. Если что, так как раз те самые разведки, которые с МАГАТЭ делиться информацией не очень хотят.

Да, конечно. Я просто ответил на реплику о МАГАТЭ. Точнее, о том, что оно могло бы знать.

[eninav]

Сервак SCADA заданной конфигурации поднять (с условно двумя контроллерами, хотя можно и без них), гораздо дешевле, чем вы себе представляете.
Правильно говорят, инсайд и прикрытие раза в два больше денег на себя утянули, чем дела компьютерные.
Жаль, подробностей немного. Событие знаковое.

Проблема в том, что конфигурация иранского железа неизвестна.

Вообще, конечно, можно предположить, что вирусная атака имела место быть. Но слишком уж много допущений надо сделать:
1. Подкупили тучу народу (один передал спецификации железа, другой притащил софт оболочки, третий готовый вирус притащил на флешке - и это еще наверняка не все)
2. Служба безопасности - полные идиоты (флешки доступны сотрудникам, сетка одна на всех, антивирусов нет, короче - бардак и анархия) - и это не в задрипанном офисе, а на ядерном объекте!
3. Инженеры - тоже полные идиоты, т.к. не предусмотрели никакой защиты (у них центрифугу можно раскрутить в полтора раза быстрее нормы, а никто и не почешется). Блин, даже в утюге современном есть реле, что бы не перегрелся и не сжег ничего, а тут в таком оборудовании защиты нет.

Не слишком ли много допущений? Да чисто по принципу Оккама я скорее поверю, что это банальная утка.

[yHuK]

Форум он такой у нас тут открытый((( что собственно и хорошо и плохо.
Поэтому наверно в ветке про Фоку пишут цензурно.
Давайте примем факт что Вирус имел место быть. И это ни разу не мулька...
А вот как и кто его создал тут уже загадка... точнее не такая она в общем то и загадка ибо ограничен круг заинтересованных лиц.
И как это не печально и прискорбно мир входит в Фазу когда 100 строчек кода могут угробить больше чем 5-6 тамагавков.

[ktotom7]

а я вот думаю немного в ключе конспирологии.
вот чисто теоретический. могли Иранцы сами написать подобный вирус?) просто чтоб была отмазка что типа вот нам цинтрифуги сломали злые американцы.

далее как варианты.
1) пишем что цинтрифуги не работают сами делаем "лишний уран"/списываем центрифуги как сломанные на деле куда нить увозим и пусть там работают
2) ????
3) PROFIT

зы
по поводу антивирусов писал выше. по поводу инженеров идиотов. теоретический ведь можно предположить что система защиты тоже представлена компом или каким-то программируемым контролером. которые по сети подключен к диспетчерскому компу и передает инфу на него а с него какое-то управление возможно.... у них же цель чтоб все это хорошо работало а не с вирусами бороться

[kandid]

Просто к слову. Insider threat на ядерных объектах считается одной из главных угроз для физической безопасности объекта.

Не думаю, что в этом смысле ядерные объекты сильно отличаются от всех остальных.
Даже уголовные банды считают insider threat главной угрозой, хотя и называют ее иначе. Там только из-за подозрений в этих делах убить могут.

Сообщение отредактировал kandid - 11.7.2011, 14:55

[yHuK]

Суть примерно такова.

Кто мог написать:
Команда высоко квалифицированных специалистов на "службе" при помощи Физиков Механиков и специалистов которые описали хорошо суть программы
Как собрать необходимую информацию:
1. Прогеры же у них были которые делали программное обеспечение этой всей станции.
2. Были тестеры которые проверяли систему на этапе проверки моделирования работы.
3. Были те кто вводил это всё в эксплуатацию.

Сознательно отмёл тех кто будет далее эксплуатировать ибо у них какраз возможностей меньше всех.

Заказчик:
Ну это явно не МАГАТЭ, а спец служба страны, кто там у нас соседи говорите? а то склероз. Вы много хороших разведок знаете?

Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

И тут я тоже отметаю тех кто прищёл работать позднее на этих системах Ну не верю я что СБ у них дураки уж совсем.

[eninav]

в теории это все конечно хорошо.. но вот незадача вирусы тоже могут блокировать фаерволы. или маскироватся под другую программу. на крайняк можно имитировать клик мышкой по окну с разрешением (это все не выдуманное а реально что те или иные вирусы умели делать)

Думаю, вы не совсем правы. Это если вирус УЖЕ запущен на компе, он может блокировать ненужные ему проги. Сам такой вирус видел (жена умудрилась подхватить на каком-то говносайте), очень хитрый, косил под мелкософтскую антивирусную утилиту, и блокировал все подряд (редактор реестра, диспетчер задач, одноразовые антивирусы, браузеры - типа "программа заражена").
Однако, если фаервол работает, а вирус вы только собираетесь запускать, то он фаервол никак не сможет заблокировать (он еще не запущен).
Грубо говоря, фаервол останавливает выполнение программы (на уровне ОС) и та ничего не сможет сделать, пока пользователь не даст согласие.
Может быть и бывают вирусы, которые это обходят (пользуясь какими-то дырами), но я че-то про такие не слышал,

по поводу благоразумия пользователе. ну вот как не старайся не разжёвывай яки дети малые все себе в рот тащят (ладно бы домохозяйки... но инженеры тоже этим болеют) а по сути да мозг понимающий что и как может произойти на компе+прямые руки защитят лучше любого антивируса (у меня так вообще бесплатная авира стоит... изредка бывает на сайтах попискивает (по работе приходится на такие сознательно лесть) (чащи кстати несмотря на то что я ВИЖУ что там вирусы вижу как в pdf долбится вирь и т.п. молчит как партизанка) но более чем за год с лишним все чисто тфу-тфу-тфу (постоянно по работе счета оплачиваю кредиткой в нете куча паролей от серверов и т.п. так что если что было простор для действий хакера обширный )

К сожалению да, человеческий фактор.

от себя добавлю к сованию exe в рот ещё пару пунктиков..
1) стараться посещать старые и проверенные сайты. (и качать что либо только с таких) (хотя прецеденты когда на вирус отсылают через рекламу не редкость) да и взломать всеравно могут.
2) обновлять весь софт. особенно что связан с броузеров. то и дело натыкаюсь на сплойты которые бяку на комп сажают через adobe reader или java
лечение зависит так сказать от потенциальной угрозой. если например чем-то поражена нога что нельзя вылечить и есть угроза поражения всего организма.. ногу ампутируют. если цель сделать защищенную от доступа извне сеть которой самой нет необходимости лазить во вне вполне себе нормальный метод

1. Согласен, обновляться надо почаще (и ОС, и браузер). Вот кстати чем меня радует линукс, так это своей концепцией репозиториев - весь софт (проверенный на безопасность) хранится на специальных серверах, обновляется и качается только оттуда, что сразу решает две проблемы: не надо искать софт на левых сайтах, и обновить можно ВЕСЬ софт (а не только ОС) буквально парой кликов мышкой (или одной командой в консоли), причем можно настроить, что бы обновления ставились автоматически.
2. Рекламу вообще лучше всего резать, и браузером пользоваться не IE (я предпочитаю лису).
3. Ну для каких-нибудь критичных применений можно и не подключать к инету вообще (например если комп нужен для управления станком - нахрена ему инет и сеть ваще). Но вообще большинство современных применений компа предполагают, как минимум, локальную сеть.

а вот что их не ломают и нет вирусов под nix не соглашусь.

1) под макось в своё время видел вирус блокировщик компа (поддельный антивирус) но опять стоит братить внимание что их не так много.. грубо говоря мы хакеры и 1 зараженный комп нам приносит $0.01 в день что принесет больше прибыли? заразить 100к виндовых компов или 8к компов под макось или 1.5к компов под linux?

Если чисто на прибыль ориентироваться, то да, а если для души? Вирусов под винду миллион, новый вирус никто и не земетит, а под линукс кадждый новый вирус это событие. Думаю, если бы сложность написания вирусов под вин и под линь была сопоставима, то вирусов бы хоть немного, но было.

2) открытость кода палка о 2х концах. злоумышленник тоже исходник видит и врятли будет писать разработчикам софта чтобы его проверили. да и вообще чужие исходники проверять очень сложно. думаю очень мало програмистов реально какие-то куски проверяет и как правило смотрят их или ищя уязвимость чтобы использовать его. или чтобы что-то под себя поменять.

Обычные пользователи (и даже программисты) конечно не будут читать все исходинки, прежде чем поставить программу. Этим занимаются те, кто создают дистрибутивы. Ну и кончено энтузиасты-хакеры во всем мире. Почему это повышает, а не понижает безопасность? Дело в том, что уязвимости - продукт скоропортящийся. Допустим, один хакер нашел уязвимость, просматривая код. Что с ней делать? Либо использовать сразу (а это не всегда возможно, уязвимости часто очень специфические), - но тогда о ней сразу узнают - либо опубликовать самому (многие фирмы платят хорошие деньги за найденные уязвимости). Придержать ее на полгодика он не сможет - другие опередят. В результате, в худшем случае, найденная уязвимость влечет за собой один-пару успешных взломов, в лучшем - вообще ничего не происходит.
В случае с закрытым софтом, найти уязвимость гораздо сложнее (ковыряться надо не в исходнике, а непосредственно в коде), но и исправляют их гораздо медленнее. Так что вероятность успешного взлома больше.
Но вообще, современные системы все достаточно надежны (особенно в умелых руках), так что больше тут зависит от человеческого фактора.

3) просто как пример. где-то полгода назад по вестям слышал что в netbsd нашли дырку для FBR кем-то сделаную которая там была лет этак 10 никем не замеченной непосредственно линуксах тоже такие случаи были.. и в винде не мало
другое дело что в винде в виду их популярности хакеры их ищют активнее и разработчикам приходится их активнее прикрывать да и наверное уже поднаторели в этом
4) ещё уязвимостей добавляет всякий сторонний софт из репозиторив. как пример SAMBRA 1.5-2 года назад как раз дырку прикрыли которая в ней была много много лет если не путаю через неё как раз можно было получить права суперпользователя в freebsd с год назад дырку такого же характера прикрыли.. скрипт который через дырку в одной из библиотек позволял пользователю стать root'ом (если не путаю с начиная с 6.x версии дырка висела)
ой.. а всякие панели для управление сервером это вообще раздолье для хакеров.. я как-то немного хостером работал... 1 человек брал сервера linux+DirectAdmin себе так ему раз в пару месяцев какой-то из серваков ломали... я ему посоветовал админа (не так чтоб толкового но хотябы не криворукого) и freebsd(просто админ что под рукой был как раз в ней разбирался) с тех пор больше не жаловался. мне когда-то сервер в Plesk панелью ломали.
вообще сервера ломают нередко не ради инфы на серверах а ради как раз ради возможности заразить кучу посетителей сайта и упереть их данные кредитных карт, подсадить вирус блокировщик и т.п. (это если грубо на самом деле причин 100500).

Ну, всякое бывает, но серьезные уязвимости все же всплывают редко. Думаю, в винде их не меньше, просто меньшее число людей о них знают
Как кто-то сказал на одном форуме: если в линуксе исправили 10000 ошибок, а в винде за то же время - 100, это не значит, что винде в сто раз меньше ошибок, это значит что в ней осталось 9900 неисправленных багов.

причем делают это в промышленных масштабах и автоматизированно... у меня например сколько серверов было как сервер сетапят и присылают можно сразу в лог логина по ssh лесть и любоватся как его брутят

Ага, сам такое наблюдал

я не гворю что какая-та ос лучше какая-та хуже. лучше та ос которую админ который за всем этим хозяйством присматривает лучше знает...

вот это +100500

а вот что будет в случае их популярности и выдержат ли разработчики резкий скачек активности вирусописателей это уже сомнительно..

Я надеюсь на лучшее

[yHuK]

Люди вы путаете тёплое с мягким.

Вирус для компа обывателя и вирус такого масштаба поэтому проясню.

Антивирус.
Это Программа с набором функций которая имеет базу данных вирусов.
+ модули поведенческого анализа (т.е. отлов вредоносов на уровне их работы по типо это такая работа Вирус и блочит)

Фаервол
блочит То о чём он знает бытует мнение что блочит в Режиме запрещено ВСЁ то и блочит всё, Но это Далеко не так.
если программа работает на уровне ядра с разрешениями уровня Оси то ей глубоко пофигу на ваш антивирь да и фаервол ибо он изначально уже На более "высоком" уровне права имеет.

А то что мы тут обсуждаем Эксклюзивный проект. чтоб было понятнее расскажу историю которая всплыла в мае 2011

Жила была фирма и как то у неё начали по тихому пропадать клиент и уходить к конкурентам.
И задумался ген дир той фирма как это так. И купил он услуги 1 сотрудника на приличной должности у Важеской компании чтоб тот прознал что случилось и как это клиенты уходят.
И выяснилось что логи почты их компании появляются как то у Конкурентов.
Но боже подумал Ген дир у меня же МАС ОС он же не ломаем))
И отдал он свой Мак бук добрым людям так сказать делайте что хотите но найтите.
И нашли.. и оказало что логи текли уже примерно год. и никакой софт о той программе не знал потому что она ЭКСКЛЮЗИВНАЯ т.е. написана для 1 использования, а не для Массового распространения.

[eninav]

Поэтому в общих чертах конструкция иранских центрифуг понятна. Неизвестны мелкие технические подробности, а в них и кроется дьявол

Вот именно! В этих мелочах и проблема. Я сам программист, и представляю как это бывает. Ставится задача, вроде бы все кристально ясно. Начинаешь продумывать детали, и очень часто натыкаешься на ситуацию, которую хрен его знает как обрабатывать. В ТЗ либо ничего по этому поводу не говорится, либо можно толковать двояко, либо вообще пункты противоречат друг другу. Иду к заказчикам, справшиваю, че они собственно имели в виду. Часто бывают, что и они начинают чесать репу, т.к. никогда не задумывались над такими деталями. (Хотя иногда и сразу скажут).
Так вот, это обычный прикладной софт. Здесь ситуация сложнее на порядки, т.к. программировать надо на низком уровне для неизвестно какого железа. Я для контроллеров сам не писал, но наслышан о проблемах. Даже для известного контроллера могут быть разные тонкости, когда работает не так, как положено по документам. если там другой (даже и родственный) то вероятность такого резко возрастает. Нет ни точных данных, ни возможности отладки. Думаю, что и про компьютерный парк (железо, ОС) в иранском ядерном центре инфы не очень много. Очень, очень маловероятно, что при всех таких неопределенностей все сработает.

Подводя итог. У МАГАТЭ есть достаточно данных, чтобы контролировать иранскую программу в целом. Но нет технических деталей, которые позволили бы, скажем, написать вирус для разрушения центрифуг.

Абсолютно согласен.

[yHuK]

Так вот, это обычный прикладной софт. Здесь ситуация сложнее на порядки, т.к. программировать надо на низком уровне для неизвестно какого железа. Я для контроллеров сам не писал, но наслышан о проблемах.

А если к тебе приходят люди и дают Исходники Кода самой системы. Потом подкидывают тип марки модели железа, потом подходит пару умных людей которые понимают что эта вся система делает и что надо сделать дописать дополнить чтоб она делать перестала.
А уж людей кто это поломает в хорошей стране вагон. Если не забывать что все страни вот уже много лет "хакерам" предлагают Работу ну или Сесть на пяток лет) и выбор у тех очевиден.

[eninav]

Фаервол
блочит То о чём он знает бытует мнение что блочит в Режиме запрещено ВСЁ то и блочит всё, Но это Далеко не так.
если программа работает на уровне ядра с разрешениями уровня Оси то ей глубоко пофигу на ваш антивирь да и фаервол ибо он изначально уже На более "высоком" уровне права имеет.

Тогда нужен тот, кто установит этот вирус, что бы он запускался на уровне ядра. Т.е .как драйвера. (Весь пользовательский софт запускается на 3 кольце, в том числе и с админскими/рутовыми правами).
Теоретически, такое можно придумать, например вирус встроен в драйвер, скажем, для сетевухи.
Только сложновато будет реализовать.
Например.
1. Узнать у кого иранцы закупают железо.
2. Выйти на поставщиков.
3. Уговорить встроить свой вирус в дрова.
4. И что бы при этом никто ничего не заподозрил.
Ну или вместо всего этого подкупить админа (но тогда можно и не извращаться с уровнем ядра, просто попросить что бы фаервол отключил).


В общем, резюмирую. Теоретически, заражение возможно. При наличии:
1. Очень квалифицированных и опытных хакеров.
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).
3. Очень безолаберной службы безопасности.

Лично я считаю, что такое сочетание обстоятельств невозможно.

[yHuK]

Тогда нужен тот, кто установит этот вирус, что бы он запускался на уровне ядра. Т.е .как драйвера. (Весь пользовательский софт запускается на 3 кольце, в том числе и с админскими/рутовыми правами).
Теоретически, такое можно придумать, например вирус встроен в драйвер, скажем, для сетевухи.
Только сложновато будет реализовать.
Например.
1. Узнать у кого иранцы закупают железо.
2. Выйти на поставщиков.
3. Уговорить встроить свой вирус в дрова.
4. И что бы при этом никто ничего не заподозрил.
Ну или вместо всего этого подкупить админа (но тогда можно и не извращаться с уровнем ядра, просто попросить что бы фаервол отключил).
В общем, резюмирую. Теоретически, заражение возможно. При наличии:
1. Очень квалифицированных и опытных хакеров.
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).
3. Очень безолаберной службы безопасности.

Лично я считаю, что такое сочетание обстоятельств невозможно.

Как то ты слишком сильно много хочешь для столь простой задачи))

Больше ничего не нужно) А самое смешное
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).


Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

Любой из перечисленных обладает необходимой информацией и ещё на Этапе проектирование системы может её исходники передать и в неё вмонтируют всё что надо ещё до установки.

[ktotom7]

Думаю, вы не совсем правы. Это если вирус УЖЕ запущен на компе, он может блокировать ненужные ему проги. Сам такой вирус видел (жена умудрилась подхватить на каком-то говносайте), очень хитрый, косил под мелкософтскую антивирусную утилиту, и блокировал все подряд (редактор реестра, диспетчер задач, одноразовые антивирусы, браузеры - типа "программа заражена").
Однако, если фаервол работает, а вирус вы только собираетесь запускать, то он фаервол никак не сможет заблокировать (он еще не запущен).
Грубо говоря, фаервол останавливает выполнение программы (на уровне ОС) и та ничего не сможет сделать, пока пользователь не даст согласие.

фаервол чисто разграничивает инет и комп. или 2 сети брандмауер определяет можно или нет запускатся.. но и это обходят. (если не путаю терминалогию. я им всеравно особо не доверяю.. руки и мозги лучше защитят)

Может быть и бывают вирусы, которые это обходят (пользуясь какими-то дырами), но я че-то про такие не слышал,
К сожалению да, человеческий фактор.
1. Согласен, обновляться надо почаще (и ОС, и браузер). Вот кстати чем меня радует линукс, так это своей концепцией репозиториев - весь софт (проверенный на безопасность) хранится на специальных серверах, обновляется и качается только оттуда, что сразу решает две проблемы: не надо искать софт на левых сайтах, и обновить можно ВЕСЬ софт (а не только ОС) буквально парой кликов мышкой (или одной командой в консоли), причем можно настроить, что бы обновления ставились автоматически.
...

ой как-то обновил я php не посмотрев с 5.2 на 5.3 как я потом ругался и все вертал взад

Если чисто на прибыль ориентироваться, то да, а если для души? Вирусов под винду миллион, новый вирус никто и не земетит, а под линукс кадждый новый вирус это событие. Думаю, если бы сложность написания вирусов под вин и под линь была сопоставима, то вирусов бы хоть немного, но было.

ну так они и есть тока мало иначе откуда появился термин руткит?) по поводу души.. душа душой а обед по расписанию вообще на всяких конференциях по безопасности и т.п. их и ломают для души так скзаать.. вот помню недавно что-то по мобильным броузером было.. там 1 спец за пару минут на iphone через броузер взломал тело. при том что он эту дырку сдал яблочникам ранее и накануне был апдейт браузера.. могу в деталях ошибатся.. но суть примерно такая...

Обычные пользователи (и даже программисты) конечно не будут читать все исходинки, прежде чем поставить программу. Этим занимаются те, кто создают дистрибутивы. Ну и кончено энтузиасты-хакеры во всем мире. Почему это повышает, а не понижает безопасность? Дело в том, что уязвимости - продукт скоропортящийся.

да я на самом деле думаю 1 фиг примерно... что опенсорс что нет. но НЕ в опенсорсе закладку проще сделать а так... не опенсорс уязвимостями не светит. опенсорс выставляет на показ. но в принцепе и то и то ломают

Допустим, один хакер нашел уязвимость, просматривая код. Что с ней делать? Либо использовать сразу (а это не всегда возможно, уязвимости часто очень специфические), - но тогда о ней сразу узнают - либо опубликовать самому (многие фирмы платят хорошие деньги за найденные уязвимости). Придержать ее на полгодика он не сможет - другие опередят. В результате, в худшем случае, найденная уязвимость влечет за собой один-пару успешных взломов, в лучшем - вообще ничего не происходит.

ну как бы есть же уязвимости которым много лет... вообще если хакер - злоумышленник он или напишет приватный вирус и будет за дорого продавать (типа 5-10к зелени за копию) или будет сам потихоньку пользоватся (предварительно посмотрев старые исходники и определив сколькож этой дырке лет )..

В случае с закрытым софтом, найти уязвимость гораздо сложнее (ковыряться надо не в исходнике, а непосредственно в коде), но и исправляют их гораздо медленнее. Так что вероятность успешного взлома больше.

почему медленее?) у меня вон винда апдейты пачками качает

Но вообще, современные системы все достаточно надежны (особенно в умелых руках), так что больше тут зависит от человеческого фактора.
Ну, всякое бывает, но серьезные уязвимости все же всплывают редко. Думаю, в винде их не меньше, просто меньшее число людей о них знают
Как кто-то сказал на одном форуме: если в линуксе исправили 10000 ошибок, а в винде за то же время - 100, это не значит, что винде в сто раз меньше ошибок, это значит что в ней осталось 9900 неисправленных багов.

тут скорее надо винду и линь местами поменять) винду активнее ломают... хотя фиг их знает) в целом пофиг.. если будет большое финансирование и цель взломать такой-то сервер..взломают практический все что угодно.. (вон кстати сони недавно ломали и приватную инфу уперли.. )

Сообщение отредактировал ktotom7 - 11.7.2011, 16:03

[eNeR]

Господа, я вижу тут мало уделили внимания тому, как всё произошло.
Итак:
Тип контроллеров приводов был известен, Сименс поставил пилотную партию Ирану до введения санкций, остальное было докуплено через третьих лиц.
Вирус попал во внутреннюю сеть на флешке вместе с настройщиком. Задетектить вирус современными средствами было не реально, использовалась уязвимость .Lnk-ов, в результате которой винда автоматом подгружала и запускала маленькую безобидную библиотечку. Никаких авторанов, запуск на уровне логики работы файловой системы винды — величайший пилотаж).
Вирус в течении 13 дней делал рекогносцировку внутри сети, в т. числе собирал данные о типах используемых контроллеров и режимах их работы. Это помимо вшитой атаки на контроллеры Сименс. Перестраховка такая, если там не Сименсы стояли.
Потом после рекогносцировки вирь производил деструктивные действия в среднем по 15 минут за период в 26 дней. Пока не поймают. Короед, млин. Хрен найдёшь, активировался только на работающих центрифугах, по мелочи но в итоге очень неприятно.
Инфицирование состояло в замене библиотек управляющей SCADA системы таким образом, что логика работы нарушалась и возникал барьер между системой и контроллерами. Все изменения в винде вносились по валидным сертефикатам от громких фирм, ни одна система защиты винды не пикнула даже. Причём с правами администратора. В целом использовались 4+1 таких уязвимости, что давало вирю возможность скрыто запускаться с сменного носителя, прекрасно размножаться и встраиваться куда угодно с высокими привелегиями. ... короче там много много высшего пилотажа. Всё описывать нет смысла. Лучше сами почитайте как следует.

Если служба безопасности отработала нормально,обнаружив нездоровый интерес определённого сотрудника или может админ чего запалил, тогда конечно затея могла вскрыться. Можно начать сливать дезинформацию и поиграть в кошки мышки... Наш модератор о таком рассказывал, этот вариант в принципиально возмжен.

Но по факту официально раскрутка дела началась после того, как тело виря попало к белоруским антивирь-разработчкам.
если бы этого не случилось и система распространения была искусно ограничена локальной сетью предприятия Иран бы искал причину очень и очень долго. ИМХО.
Возможно не по разу сменив парк центрифуг. Система действительно очень живуча и детектируется с трудом, если работать вслепую. Самым вкусным было то, что упор делался не на громкие спецЫфекты, а для нанесения макс урона при общем уровне «ниже радаров».
Такие мысли после прочтения. Где-то возможно и упростил, где-то не понял до конца, но про оптовую покупку персонала вместе со спецоперациями по захвату планов и чертежей вы зря думаете. Я вообще в восторге от увиденного. Очень тонко.

[yHuK]

А если добавить к выше сказанному

Страшный прогноз CSIS

Многие военные эксперты считают одним из самых опасных конфликтов в современной истории противостояние Израиля и Ирана. (с)
http://svpressa.ru/war21/article/42115/


А Массад это одна из лучших разведок Мира + Добить в уравнение США. То мы найдём и Где крутых хакеров взять и прогеров) и деньги и разведку ))) т.е. все необходимые слагаемые успешного результата.

Да и тем более если аппаратура всё таки была известна заранее...

[eninav]

фаервол чисто разграничивает инет и комп. или 2 сети брандмауер определяет можно или нет запускатся.. но и это обходят. (если не путаю терминалогию. я им всеравно особо не доверяю.. руки и мозги лучше защитят)

Ну я тоже не особо в терминологии, я имел в виду такие программы которые блокируют (запрашивают подтверждение) на подозрительные действия программ. Многие фаерволы это умеют (например комодо, да и стандартный виндовый), поэтому я называю их фаерволами, хотя классический фаервол это только межсетевой экран.

ой как-то обновил я php не посмотрев с 5.2 на 5.3 как я потом ругался и все вертал взад

Бывает, но обычно отваливатеся что-то при крупных обновлениях, типа на другой дистрибутив. Обычные обновления (исправления ошибок) крайне редко приводят к проблемам.

ну так они и есть тока мало иначе откуда появился термин руткит?)

руткит это ни разу не вирус.
Кстати, небезызвесный хакер Крис Касперски, ака Мыщх, всенародно обещал написать вирус для линукса, да так и не написал. Может конечно тупо забил, а может и не осилил

ну как бы есть же уязвимости которым много лет... вообще если хакер - злоумышленник он или напишет приватный вирус и будет за дорого продавать (типа 5-10к зелени за копию) или будет сам потихоньку пользоватся (предварительно посмотрев старые исходники и определив сколькож этой дырке лет )..

Дело в том, что редко какой взлом оказывается незамеченным (если взломанная контора маломальски серьезная), и баг будет обнаружен рано или поздно, а там начнут копать, и докопаются до дыры. Так что, вряд ли хакер успеет продать много копий. Уязвимости - товар, как правило. одноразовый.

почему медленее?) у меня вон винда апдейты пачками качает

Ну, чисто на взгляд линукс качает больше
Вот приведу пример бага, который с 95 винды благополучно дожил до семерки. Если какая-нибудь программа, которая не имеет окна, но отображается в трее, зависнет, и будет убита, ее значок в трее так и останется висеть, пока не наведешь на него мышкой. Глюк, конечно, вполне безобидный, но тем не менее показательно, как весьма очевидный глюк не фиксится 16 (!!!) лет. Интересно, до совершеннолетия доживет?

тут скорее надо винду и линь местами поменять) винду активнее ломают... хотя фиг их знает) в целом пофиг..

Дык исходники закрыты, а без исходников очень немногие хакеры смогут уязвимость найти.

[eninav]

Как то ты слишком сильно много хочешь для столь простой задачи))

Больше ничего не нужно) А самое смешное
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).
Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

Любой из перечисленных обладает необходимой информацией и ещё на Этапе проектирование системы может её исходники передать и в неё вмонтируют всё что надо ещё до установки.

Тоже мне, "простой задачи". Вы, фактически, описываете нормальный процесс разработки серьезного проекта. Только тут все усложняется тем, что работы надо вести тайно. Прогеры пишут вирус, тестеры запускают на целевеом железе (да так что бы СБ не спалила), каким-то образом отчитываются о результатах, те пишут новую версию.... Учитывая, что из-за того что все работы надо вести тайно, скорость разработки падает в разы. Работа растянется на годы. И на каждом шаге есть неплохая вероятность что СБ все таки отловят. (А если спешить, вероятность возрастает.)

[eninav]

Кстати про вирусы. Есть еще такой вид антивирусов: он сначала запоминает все исполняемые (точнее вообще все потенциально заражаемые) файлы, и потом просто сравнивает конрольные суммы. При такой системе никакое заражение в принципе не может пройти незмаченным. У меня такая штука стояла еще во времена 98 винды (не помню как называется). Это к слову о невозможности отловить заражение неизвестным вирусом. Еще как можно!

Вирус попал во внутреннюю сеть на флешке вместе с настройщиком. Задетектить вирус современными средствами было не реально, использовалась уязвимость .Lnk-ов, в результате которой винда автоматом подгружала и запускала маленькую безобидную библиотечку. Никаких авторанов, запуск на уровне логики работы файловой системы винды — величайший пилотаж).

Попасть в сеть мало. Надо уметь распространяться. А незаметно это сделать при грамотной системе сетевой безопасности невозможно в принципе. Т.е. идиотизма СБ/админов это не отменяет. (флешки разрешены + винда + общая сеть на всех + никакой сетевой безопасности)
Расчитывать на конкретные уязвимиости тоже опасно, а вдруг прикроют - и весь проект к чертям.

Вирус в течении 13 дней делал рекогносцировку внутри сети, в т. числе собирал данные о типах используемых контроллеров и режимах их работы.

Это блин Штирлиц какой-то.
Ну допустим, собрал он данные. Как передать то в "центр"? "Юстас алексу"? Или Кэт с флешкой должна зайти?

Потом после рекогносцировки вирь производил деструктивные действия в среднем по 15 минут за период в 26 дней. Пока не поймают. Короед, млин. Хрен найдёшь, активировался только на работающих центрифугах, по мелочи но в итоге очень неприятно.

И что, превышение в 1.5 раза номинальных оборотов никак не заметно? это идиотизм уже конструкторов (или, может,диспетчеров)

Все изменения в винде вносились по валидным сертефикатам от громких фирм, ни одна система защиты винды не пикнула даже.

Это предполагает сговор с этими фирмами, что довольно-таки маловероятно.

В целом использовались 4+1 таких уязвимости, что давало вирю возможность скрыто запускаться с сменного носителя, прекрасно размножаться и встраиваться куда угодно с высокими привелегиями. ... короче там много много высшего пилотажа. Всё описывать нет смысла. Лучше сами почитайте как следует.

А ссылка то где, почитать?
На уязвимости, как я уже писал, опасно расчитывать, вдруг прикроют.

Если служба безопасности отработала нормально,обнаружив нездоровый интерес определённого сотрудника или может админ чего запалил, тогда конечно затея могла вскрыться. Можно начать сливать дезинформацию и поиграть в кошки мышки... Наш модератор о таком рассказывал, этот вариант в принципиально возмжен.

В любом случае, в аферу замешано слишком много людей. Что бы ничто не всплыло - очень маловероятно.

Но по факту официально раскрутка дела началась после того, как тело виря попало к белоруским антивирь-разработчкам.

Значит все-таки что-то заподозрили?

если бы этого не случилось и система распространения была искусно ограничена локальной сетью предприятия Иран бы искал причину очень и очень долго. ИМХО.
Возможно не по разу сменив парк центрифуг.

Так вирус, если и был, ничего не смог сделать с центрифугами. Я бы вооще на месте разработчиков сделал, что бы рандомно раз в год одна из центрифуг раскручивается до макс. оборотов (что бы разорвало). Выходит из строя весь каскад. А тут что? До предела прочности же все равно не дошли. Ну подшипники немного сильнее износились. В чем деструктивное действие - непонятно.

Система действительно очень живуча и детектируется с трудом, если работать вслепую. Самым вкусным было то, что упор делался не на громкие спецЫфекты, а для нанесения макс урона при общем уровне «ниже радаров».

Да не видно максимального урона. А заметность целиком и полностью упирается в пряморукость админов и службы безопасности.

[dddv]

...почему медленее?) у меня вон винда апдейты пачками качает
...

А вы уверены что это апдейты, а не трояны или алкоголь?

1. наиболее опасен путь заражения через драйвер, причём может быть до ввода пароля виндовс.

2. В виндовс есть невидимые нити "treads"

3. "Каспер" довольно хорош.

4. драйвера вполне легко сканируются отладчиками типа SoftAce.

5. контроллеры моторов должны быть отделены от программной цепи, только вкл-выкл + данные в комп.

6. все важные программы должны быть с сигнализаторами взлома и только самописные.

7. а можно и видеодрайвер самим написать, дело нехитрое и опен сорс опятьже

8. Линукс понятно лучше, а ещё лучше своя ОС как у китайцев.

9. а usb-порт можно и оставить, эмулировать виндовс и шпиёнов ловить.

[ktotom7]

Ну я тоже не особо в терминологии, я имел в виду такие программы которые блокируют (запрашивают подтверждение) на подозрительные действия программ. Многие фаерволы это умеют (например комодо, да и стандартный виндовый), поэтому я называю их фаерволами, хотя классический фаервол это только межсетевой экран.
Бывает, но обычно отваливатеся что-то при крупных обновлениях, типа на другой дистрибутив. Обычные обновления (исправления ошибок) крайне редко приводят к проблемам.
руткит это ни разу не вирус.
Кстати, небезызвесный хакер Крис Касперски, ака Мыщх, всенародно обещал написать вирус для линукса, да так и не написал. Может конечно тупо забил, а может и не осилил

да господи) просто что в гугле попалось под руку по темме
http://www.xakep.ru/vulnerability/Linux%20kernel/
http://forum.xakep.ru/m_1073063/tm.htm
http://habrahabr.ru/blogs/linux/74284/
http://www.linux.org.ru/news/security/625591
что будет если подругженный как-то через дырку пусть не линуксе скрипт что-то из этого эксплуатировал?)
с иконкой в винде не баг а фичя

ну и так на закуску
http://ru.wikipedia.org/wiki/%D0%92%D1%80%...%82%D0%B5%D0%BC

реально просто он пока никому не интересен для больших масштабов. вот и ломают скорее под какие-то цыели. и ломают не редко. не всегда через дырки линукса иногда через стороний софт
да хотяб так
http://www.opennet.ru/opennews/art.shtml?num=27960

Дело в том, что редко какой взлом оказывается незамеченным (если взломанная контора маломальски серьезная), и баг будет обнаружен рано или поздно, а там начнут копать, и докопаются до дыры. Так что, вряд ли хакер успеет продать много копий. Уязвимости - товар, как правило. одноразовый.

гугль с вами не согласен. ещё как продают
http://www.google.com/search?num=100&h...138&bih=544
как вариант
http://www.google.com/search?num=100&h...138&bih=544
у кого-то обновления отключенны у кого-то винда пиратская. у кого-то адобе ридер не обновлялся 1000 лет так как вроде чисто книжки читать и схемы смотреть
да и не все конторы серьёзные.. да и серьёзная может не сразу заметить если злоумышленник не наглеет. админ что? он все настроил себе себе в кваку режется или спит в обнимку с системником время от времени обновляя софт, он не телепат знать что его сломали если ломают конечно акуратно... это плохой админ что-то бегает суетится постоянно вся попа в мыле и ни фига у него не работает

Ну, чисто на взгляд линукс качает больше
Вот приведу пример бага, который с 95 винды благополучно дожил до семерки. Если какая-нибудь программа, которая не имеет окна, но отображается в трее, зависнет, и будет убита, ее значок в трее так и останется висеть, пока не наведешь на него мышкой. Глюк, конечно, вполне безобидный, но тем не менее показательно, как весьма очевидный глюк не фиксится 16 (!!!) лет. Интересно, до совершеннолетия доживет?
Дык исходники закрыты, а без исходников очень немногие хакеры смогут уязвимость найти.

вот кстати вам уязвимость в софте под линукс с 2005-2006 года
http://stoplinux.org.ru/opensource-securit...uyazvimost.html

Кстати про вирусы. Есть еще такой вид антивирусов: он сначала запоминает все исполняемые (точнее вообще все потенциально заражаемые) файлы, и потом просто сравнивает конрольные суммы. При такой системе никакое заражение в принципе не может пройти незмаченным. У меня такая штука стояла еще во времена 98 винды (не помню как называется). Это к слову о невозможности отловить заражение неизвестным вирусом. Еще как можно!
Попасть в сеть мало. Надо уметь распространяться. А незаметно это сделать при грамотной системе сетевой безопасности невозможно в принципе. Т.е. идиотизма СБ/админов это не отменяет. (флешки разрешены + винда + общая сеть на всех + никакой сетевой безопасности)
Расчитывать на конкретные уязвимиости тоже опасно, а вдруг прикроют - и весь проект к чертям.

эта старая такая утилита.. у меня тоже стояла правда плохо её помню .. вроде не антивирус кстати она.. по моему она больше целостность данных проверяла.. на hdd на 2tb или недайбог raid'е каком нить на 10-20 TB проще убится чем с ней работать

А вы уверены что это апдейты, а не трояны или алкоголь?

1. наиболее опасен путь заражения через драйвер, причём может быть до ввода пароля виндовс.
...
3. "Каспер" довольно хорош.

ещё как вариант заражения BIOS, прошивки у железа.
каспер.. хм ну у каждого своё мнение.. но в целом я считаю правильно его называют свиньей касперского

зы
на закуску
http://www.opennet.ru/openforum/vsluhforum...352.html?n=test
вполне себе опенсорс и считается одной из самых надежный. на ней строят фаерволы, сетевое оборудование и т.п.

Сообщение отредактировал ktotom7 - 12.7.2011, 0:58

[ktotom7]

дабл потёр

Сообщение отредактировал ktotom7 - 12.7.2011, 0:41

[eNeR]

Это блин Штирлиц какой-то.
Ну допустим, собрал он данные. Как передать то в "центр"? "Юстас алексу"? Или Кэт с флешкой должна зайти?

Каждая распростнраняемая копия просилась в интернет. Стучалась сначала на узел майкрософт а потом по левому адресу футбольного фан клуба, зарегестрированного хацкерами. Далее в виде ссылок осуществлялся обмен инфой (даже с возможностью обновления кода). Второй вариант: Кэт с флэшкой должна была выйти и вынести вирь из интранета. Эта вынесенная копия уже содержала информацию о том, достиг ли вирус SCADA сервера и что там на сервере понаставлено. Далее так-же вирь стучал в интернети обменивался инфой с «футболистами»

И что, превышение в 1.5 раза номинальных оборотов никак не заметно? это идиотизм уже конструкторов (или, может,диспетчеров)

Блин, ну как ещё объяснить. Воздействие незаметное. В логах не отражалось. Скорость вращения на глаз не детектится, там же не в открытых чанах уран вертят Только по интегральному энергопотреблению, ИМХО. Но это уже извращения.

Это предполагает сговор с этими фирмами, что довольно-таки маловероятно.

Есть достоверная информация — сертификаты стащили у фирм.

А ссылка то где, почитать?

http://phocus-scada.com/rus/pub/Stuxnet-CodeAnalys-rus.pdf — анализ кода от ф.Симантек, самое интересное с 24 страницы.

На уязвимости, как я уже писал, опасно расчитывать, вдруг прикроют.

Использовались 4 ранее неизвестных уязвимости. Антивири таких не берут а обычному админу где тягаться с таким зверьём, написанным профессионалами... На каждый объект Крисов Касперски не напасёшьси.

В любом случае, в аферу замешано слишком много людей. Что бы ничто не всплыло - очень маловероятно.

Ну ударная работа СБ как раз более вероятна, чем админская. Этих сложнее было провести. Всё может быть...
Но и инсайдеров там много не надо. Одного-двух нужных людей вполне достаточно. 50/50 допустим, что СБ отработала. Информации в этом направлении мало.

Значит все-таки что-то заподозрили?

Ну как сказать заподозрили. Далеко не факт, что белорусам принесли флэшку и сказали— тут вирус с Иранского завода. Белорусская фирма, занимающаяся тех.поддержкой своего (не названного) иранского заказчика в один прекрасный момент столкнулась (сама столкнулась, про завод ни слова) с новым вирусом в сети заказчика. Декомпилировали код, посмотрели что вирь делает, покричали караул и наделали много шума. Запалила всё по факту специализированная контора. На заводе таких спецов не держат. Соответственно сколько вирь сидел на заводе и сколько бы ещё сидел, не распространись до белорусов - неизвестно. Повезло, устроит? Вирус всё таки распространился на какое-то расстояние от завода, хотя имел в себе механизм трёх «хоп»-ов (не путать с Гоп-ами). В один прекрасный день попал на стол к профи и к нему пришла мировая известность.

Так вирус, если и был, ничего не смог сделать с центрифугами. Я бы вооще на месте разработчиков сделал, что бы рандомно раз в год одна из центрифуг раскручивается до макс. оборотов (что бы разорвало). Выходит из строя весь каскад. А тут что? До предела прочности же все равно не дошли. Ну подшипники немного сильнее износились. В чем деструктивное действие - непонятно.
Да не видно максимального урона. А заметность целиком и полностью упирается в пряморукость админов и службы безопасности.

Ну вот попахала бы на таких режимах с годика полтора — было бы заметно на всех центрифугах, и подшипниками дело бы не обошлось. Просто взломщики не шумели и не торопились. 1000 центрифуг иранцы всё таки заменили (не подшипников). Что лучше: чтобы с диким воем разорвало один каскад или когда в течении года по непонятным причинам потихоньку рассыпаются весь парк? Это ведь не Голливуд, тут эффективность и скрытость решают.
Админов, способных задетектить ранее неизвестный и профессионально написанный вирус (не скрытый авторан а именно профессионально написанный вирус) мало. В основном это всё таки поле деятельности антивирусных контор. Админ просто должен понять в определённый момент, что что-то идёт не так и подключить спецов. Но если вирь писался умными людьми админ ничего не поймёт. Данный вирь именно ими и писался, наследил по минимуму, распространялся незаметно, через доселе нивиданные дыры. Если админ имел полное представление о активности своей сетки, кто там может шевелиться, а кто нет—тогда мог заметить.
Но высокий проф. уровень всей затеи это не отменяет. Короче шЫдевр. В мемориз

Сообщение отредактировал eNeR - 12.7.2011, 6:27

[eNeR]

это плохой админ что-то бегает суетится постоянно вся попа в мыле и ни фига у него не работает

---------------------------------------------------
Ещё линк на описание работы руткит-а «Стухнета»
http://www.securelist.com/ru/descriptions/...Win32.Stuxnet.a

Сообщение отредактировал eNeR - 12.7.2011, 7:22

[eNeR]

http://www.ixbt.com/news/soft/index.shtml?13/84/76
Интересная оценка (в т.ч стоимости) от ESET

[yHuK]

Тоже мне, "простой задачи". Вы, фактически, описываете нормальный процесс разработки серьезного проекта. Только тут все усложняется тем, что работы надо вести тайно. Прогеры пишут вирус, тестеры запускают на целевеом железе (да так что бы СБ не спалила), каким-то образом отчитываются о результатах, те пишут новую версию.... Учитывая, что из-за того что все работы надо вести тайно, скорость разработки падает в разы. Работа растянется на годы. И на каждом шаге есть неплохая вероятность что СБ все таки отловят. (А если спешить, вероятность возрастает.)

Что то вы как то ну очень всё усложняете. Подкупленный разраб всё сделает быстро чётко и в сроки) А дальше перекинут его в соседнюю страну благо там вокруг баз "миротворческих" как грязи и там уже новая жизнь в крутой стране ))) Самый замороченный план всегда идёт криво просто потому что в нём очень много узких мест и точек где может быть отказ.

[yHuK]

http://www.ixbt.com/news/soft/index.shtml?13/84/76
Интересная оценка (в т.ч стоимости) от ESET

Учитывая все это, только стоимость технической реализации Win32/Stuxnet достигает суммы превышающей 500.000 Евро. Это очень большие вложения, и, учитывая тот факт, что прямой схемы монетизации данная вредоносная программа не имеет, вероятнее всего, злонамеренное ПО было создано какой-то влиятельной или правительственной организацией. Истинные мотивы и цели создания Win32/Stuxnet могут раскрыть только самим авторы этой атаки, но, судя по всему, их так никто и не поймает.

Ну собственно)) к тем же выводам я и сам притопал))))

[ktotom7]

Админов, способных задетектить ранее неизвестный и профессионально написанный вирус (не скрытый авторан а именно профессионально написанный вирус) мало. В основном это всё таки поле деятельности антивирусных контор. Админ просто должен понять в определённый момент, что что-то идёт не так и подключить спецов. Но если вирь писался умными людьми админ ничего не поймёт. Данный вирь именно ими и писался, наследил по минимуму, распространялся незаметно, через доселе нивиданные дыры. Если админ имел полное представление о активности своей сетки, кто там может шевелиться, а кто нет—тогда мог заметить.
Но высокий проф. уровень всей затеи это не отменяет. Короче шЫдевр. В мемориз

админ кстати только в теории умный и всезнающий. следов работы "тихого" вируса он не заметит. то что вирус что-то делает с центрифугами это вообще не его область.. за центрифуги отвечают тамошние техники админ должен
1) сделать так чтоб все работало и не ломалось
2) обеспечить защиту сети от атак из вне
3) по возможности защитить комп от юзеров дураков.

вот чем действия хорошо спрятанного вируса будут отличатся от нормальной работы системы?) ну бегают пакеты по сети.. компы друг с другом ими обмениваются и с центрифугами все на стандартных портах.. программы все называются правильно чтобы админу понять что набор команд ушедших к центрифуге не правильный ему надо точно знать как устроенна эта центрифуга и как управляется. а это не его собачье дело а если и попытается что-то выяснит... сразу же отправится в застенки местной гэбни для "антивирусной" проверки на скрытого шпиона

[eNeR]

2) обеспечить защиту сети от атак из вне

Не хотелось бы холиварить, но программа, подписанная Realtek и JMicron, шастающая по сетке и сующаяся в системные процессы это не есть гуд. Такие активности на серваке можно отмониторить.
Ну а больше никак, согласен. Только на их маслокрутках и ЧПУ ставить независимые цифровые индикаторы и сидеть возле каждого каскада 24/7 Ну либо автоматизировать сей процесс наблюдения по независимой нитке, работающей на аналоговых значениях с записью на магнитную ленту.
Дожили, блин.

[ktotom7]

Не хотелось бы холиварить, но программа, подписанная Realtek и JMicron, шастающая по сетке и сующаяся в системные процессы это не есть гуд. Такие активности на серваке можно отмониторить.

я скорее расписал как и что выглядит в теории да есть свои нюансы. но и каждый день смотреть кто и что шастает по сети никто не будет имхо

[eNeR]

я скорее расписал как и что выглядит в теории да есть свои нюансы. но и каждый день смотреть кто и что шастает по сети никто не будет имхо

Согласен.
Ну тут либо раздвинуть ноги и ждать.
Либо мониторить активность, избегать любого «лишнего софта», чтобы всё прозрачненько было и в логах системы и с точки зрения закладок.
Ну это тоже в идеале
Первый вариант всё таки ближе к истине.
Пример:

... Если сервер обнаружен, вредонос пытается подключиться к базе данных используя имя пользователя и пароль WinCCConnect/2WSXcder после чего пытается получить данные таблиц...

Хакерам были слиты сервисные коды к БД, в которых хранились и по которым мониторились параметры системы. Или хацкеры угадали сервисные пароли, которые Сименс зашил?

[yHuK]

Еще одной интересной уязвимостью нулевого дня является CVE-2010-2772. На этот раз она была найдена в системах Siemens Simatic WinCC и PCS 7 SCADA. Заключается она в жестко прошитом пароле для доступа к базе данных Microsoft SQL из программы WinCC.


Догадки что как где после этого отпадают сами собой)))) Закрытый вшитый пасс никто не ломал это 100% потому что процес взлома спалили бы сразу.
Вывод ))) Эти данные были непосредственно переданы разрабам вируса.

Наличие функциональности, позволяющей ему отправлять интересующие злоумышленников параметры системы на удаленный сервер;
Возможность обновлять себя и расширять свою функциональность с удаленного сервера.

Вот тут же в явном виде указано по сути что сначала его подрубили а потом уже виром управляли, а под какой там траф и прочее его маскировали дело 10. Если там был выход в инет (А это уже АХТУНГ!!!) всё дальнейшее дело техники.
И не надо гнать на админов))) Вот лично у меня в ящике пылится серт по сетевой безопасности от касперского. пачка от MS в частности щас MSITPsa.
И я 100% уверен что там стояла защита периметра сети + цискари + сниф всего трафика + фаерволы ну и антивири. А вир был вшит там на этапе проектирования. Потому что при всех других вариантах его бы спалили.

[eNeR]

И не надо гнать на админов))) Вот лично у меня в ящике пылится серт по сетевой безопасности от касперского. пачка от MS в частности щас MSITPsa.
И я 100% уверен что там стояла защита периметра сети + цискари + сниф всего трафика + фаерволы ну и антивири.

Добавлю вам информации, чтобы пояснить «раскладку»:
http://habrahabr.ru/blogs/infosecurity/123030/
Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора
Ну и тут по сслыкам есть чё посмотреть С первых дней обнаружения вируса «вели».

Сообщение отредактировал eNeR - 12.7.2011, 13:52

[yHuK]

Добавлю вам информации, чтобы пояснить «раскладку»:
http://habrahabr.ru/blogs/infosecurity/123030/
Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора
Ну и тут по сслыкам есть чё посмотреть С первых дней обнаружения вируса «вели».

Авторы червя знали о пяти потенциальных субподрядчиках атомной электростанции, будучи уверенными в том, что работник как минимум одного из них войдет на закрытую территорию с рабочим ноутбуком и использует флеш-носитель для того чтобы загрузить обновления ПО в компьютеры, контролирующие контроллеры.

Итого даказано считай Инсайдеры))))

не существовало возможности обнаружить его используя стандартные процедуры дебаггинга, для того чтобы понять, какой код был добавлен авторами Stuxnet в код управления контроллерами — они выглядели идентично. Это очень хитроумное программирование.

Ещё 1 доказательство моих слов )))

Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

Червь был спроектирован для этого, единственного, архитектурного плана. Stuxnet не смог бы навредить другой атомной станции, использующей то же самое оборудование Siemens.

и возвращаемся к Разрабам) и прогерам))

[dddv]

Итого даказано считай Инсайдеры))))

не существовало возможности обнаружить его используя стандартные процедуры дебаггинга, для того чтобы понять, какой код был добавлен авторами Stuxnet в код управления контроллерами — они выглядели идентично. Это очень хитроумное программирование.

...

инсайдеры, хренайдеры Я на днях ради интереса взломал и подменил протокол одного из контроллеров. так что снифь (и обрезай ненужное) через буфер пакеты контроллера с другого компа и пофигу стуксы с их тупыми миллиардами

А вообще контроллер должен быть оторван от управления. Релюшкой вкл-выкл и аналогом скорость снял. Режимы по месту. с замком и двумя охранниками.

Сообщение отредактировал dddv - 12.7.2011, 21:59

[anarxi]

А вообще контроллер должен быть оторван от управления. Релюшкой вкл-выкл и аналогом скорость снял. Режимы по месту. с замком и двумя охранниками.

золотые слова,чем проще система тем сложней её повредить.

[ktotom7]

золотые слова,чем проще система тем сложней её повредить.

+1 любой компьютер подвержен массе потенциальных проблем и болячек. в идеале все критическое что выводится на комп где-то должно дублировать простейшей аналоговой техникой (без свистоперделок в виде сенсорных экранов и т.п.). Комп конечно штука надежная (тем более в таких местах)... но вот например взяли и посыпались там харды.. или сетевая плата сдохла, накрайняк тот кто его собирал забыл термопасту положить под кулер (да не на одном а сразу на всей партии ), пришло лето комп стал перегреваться и отрубатся..... или те же вирусы...

зы
кстати землетрясение включенному компу может больше вреда нанести в разы чем любому аналоговому измерительному прибору... уронил я помнится как-то включеный хард (буквально с высоты 10-15см).... прожил он потом не очень долго... если с включенными компами хорошенько треханет то думаю эффект будет ещё лучше

Сообщение отредактировал ktotom7 - 13.7.2011, 8:33

[yHuK]

инсайдеры, хренайдеры Я на днях ради интереса взломал и подменил протокол одного из контроллеров. так что снифь (и обрезай ненужное) через буфер пакеты контроллера с другого компа и пофигу стуксы с их тупыми миллиардами

А вообще контроллер должен быть оторван от управления. Релюшкой вкл-выкл и аналогом скорость снял. Режимы по месту. с замком и двумя охранниками.

Яб сказал что тут не снифить нужно)) а заниматься Хэшированием если вы знаете что это. и тогда при проверке команд от контролера будет понятно сразу что пришло. точно также еслиб весь траф содержащий переданные управляющие команды (именно родной траф который идёт от родной софтины) запихивался в Хэш и поверху шифровался) то тогдаб подмешать в него что либо и как либо было очень сложно, НО если всё так как я думаю и там замешаны сами прогеры софта разрабы и тестеровщико наладчики)) то тут что не делай напишут так что не заметишь)))

Ну а как Одмин с бородой могу сказать что. чем система проще - тем она надёжнее. Лучшее враг хорошего. И Везде обязательно должны ставиться Ручные "Рубильники" которыми можно чисто физически изолировать и отключать посегментно или что то в целом или просто глушить систему. Никакая поганая автоматика не заменит их.

Имхо на Атомных объектах ОБЯЗАНЫ использовать полностью уникальное программное обеспечение с грифом "сов сек"

[yHuK]

+1 любой компьютер подвержен массе потенциальных проблем и болячек. в идеале все критическое что выводится на комп где-то должно дублировать простейшей аналоговой техникой (без свистоперделок в виде сенсорных экранов и т.п.). Комп конечно штука надежная (тем более в таких местах)... но вот например взяли и посыпались там харды.. или сетевая плата сдохла, накрайняк тот кто его собирал забыл термопасту положить под кулер (да не на одном а сразу на всей партии ), пришло лето комп стал перегреваться и отрубатся..... или те же вирусы...

зы
кстати землетрясение включенному компу может больше вреда нанести в разы чем любому аналоговому измерительному прибору... уронил я помнится как-то включеный хард (буквально с высоты 10-15см).... прожил он потом не очень долго... если с включенными компами хорошенько треханет то думаю эффект будет ещё лучше

1.
+1 любой компьютер подвержен массе потенциальных проблем и болячек.
Особенно винда!
2.
в идеале все критическое что выводится на комп где-то должно дублировать простейшей аналоговой техникой (без свистоперделок в виде сенсорных экранов и т.п.).

Мысль супер но реализовать в современности сложно. Поэтому должно быть дублирование Компов также как серверов Кластерами. и кластеры делать не 1+1, а 1+2 Постоянно рабочих +1 в затушенном виде. Просто чтоб перестраховка была.

3.
но вот например взяли и посыпались там харды..
Рейды давно есть )) и работают в любых ПК даже самых простых домашках) + никто не мешает делать так что сама инфа как бы в "облаке" на серверах в каких нить блейдовых стойках

или сетевая плата сдохла
Проблем сделать их 2-3 вроде нет)) и задублировать)

накрайняк тот кто его собирал забыл термопасту положить под кулер
Современный ПК и без термухи будет работать годами)

(да не на одном а сразу на всей партии smile.gif )
Ну это уже если только деверсия))

пришло лето комп стал перегреваться и отрубатся.....
кулеры 80 и 120 )) цена от 100 до 300 р )))

или те же вирусы... smile.gif
ну а тут как повезёт))) всё зависит от эксклюзивности вируса)))

[eNeR]

Все молодцы.
Давайте не забывать о целях создания АСУ ТП систем и предпосылках к их созданию. Это сложные технологические процессы. Управление и мониторинг БАК-а тоже на релюшки переведём ?
Не, ну мониторинг там возможно было организовать, на том заводе. Пусть даже через аналоговые системы.
Ну а с управлением таким технологичным оборудованием шо бум делать, отцы?
Давайте конкретизирую, чтобы облегчить ответ на вопрос.
Как «просто» организовать систему управления сложнейшими технологическими процессами? Желательно с возможностью гибкого управления и обратными связями внутри системы...

[yHuK]

Все молодцы.
Давайте не забывать о целях создания АСУ ТП систем и предпосылках к их созданию. Это сложные технологические процессы. Управление и мониторинг БАК-а тоже на релюшки переведём ?
Не, ну мониторинг там возможно было организовать, на том заводе. Пусть даже через аналоговые системы.
Ну а с управлением таким технологичным оборудованием шо бум делать, отцы?
Давайте конкретизирую, чтобы облегчить ответ на вопрос.
Как «просто» организовать систему управления сложнейшими технологическими процессами? Желательно с возможностью гибкого управления и обратными связями внутри системы...

1. Разработка своей собственно операционной системы.
2. Разработка системы мониторинга и проверки результатов. т.е. Система должна быть задублированна так, чтоб 2 изолированая система получала все входящие данные также их обрабатывала и показывала результат причём Эталонный! который можно было бы сравнить с Живым.
3. Многократное резервирование системы, её узлов и т.д.
4. Система должна быть децентрализованной! так чтоб вывод 1 узла не выводил всю систему из строя.
5. Создание специальных отделов технических для изучения всего что будет ставиться и вноситься в качестве изменений в программу. Т.е. ещё на этапе внесения обновлений они должны быть разобраны до самой последней строчки кода.
6. Ограничение доступа в целом к этой системе.
7. Желательно разработка своего собственного Железа, ну точнее всецело самый лучший ход был бы создание своих компьютеров, специально разработанных и заточенных под это Вот она 1 далёкая весточка.

[kandid]

Давайте конкретизирую, чтобы облегчить ответ на вопрос.
Как «просто» организовать систему управления сложнейшими технологическими процессами? Желательно с возможностью гибкого управления и обратными связями внутри системы...

Такие вопросы так не конкретизируются, потому что ответ на него денег стоит. И именно в этом месте возникает порочный круг: неизвестному ответчику никто денег не даст, а известные ответчики шпарят известные ответы, которые ответами как раз и не являются.
Именно из этого порочного круга растут ноги ходячей "истины": цена достаточной надежности достаточна для надежного банкротства предприятия.

[eNeR]

1. Разработка
2. Разработка
3. резервирование
.....

У нас тут ветка для идеалистов

Такие вопросы так не конкретизируются, потому что ответ на него денег стоит. И именно в этом месте возникает порочный круг: неизвестному ответчику никто денег не даст, а известные ответчики шпарят известные ответы, которые ответами как раз и не являются.

Ладно, ладно. Погорячился.
Всего лишь хотел напомнить, что нельзя впихнуть невпихнуемое. Это я про многоуровневую АСУ ТП и ламповые транзисторы.

[yHuK]

У нас тут ветка для идеалистов

Ладно, ладно. Погорячился.
Всего лишь хотел напомнить, что нельзя впихнуть невпихнуемое. Это я про многоуровневую АСУ ТП и ламповые транзисторы.

Ну а как Вы себе представляете. Всё стоит денег. И нет ничего невозможного.
из чего делается баланс Стоимость-Качество.

в ПВО с-300 )) Лампочки и многоуровневое АСУ))) Или мы Ракеты на скоростях 8000 км/ч корректировать в полёте умеем Лампочками, а остальное разучились?



пока Все занимаются Покупкой всего и вся железа у Иностранцев мы активно вкладываем бабки в их разработки и на корню Гробим отечественные если так продолжится ещё десяток лет то Россия окажется в технологическом каменном веке, где она будет зависима от всех и вся и полностью, мы ничего не изобретаем отечественная техническая мысль встала колом на уровне 1990 года и продолжает находится на нём. Поэтому извините конечно но мы щас глубого в Ж... и если ничего не изменится мы в ней не просто останемся мы в неё ещё глубже погрузимся.

[kandid]

Всего лишь хотел напомнить, что нельзя впихнуть невпихнуемое. Это я про многоуровневую АСУ ТП и ламповые транзисторы.

И все же: невпихнуемое, потому что не то пихается.
В частности, ламповые транзисторы бывают разные. Сейчас кое-где порой такие делают...
Но проблема мне видится, тем не менее, не столько в "железе", сколько в концепции.

Тысячи лет как известно: надежность резко повышается за счет ортогональности.
Так нет же: строим иерархические системы с упованием на параллельное дублирование.

[eNeR]

в ПВО с-300 ))

Ну там не на столько всё плохо. ТТЛ-логика использовалась. Хотя и в лохматом году создавалась система.
Создать действительно можно всё, только не окупится такой подход?

[yHuK]

Ну там не на столько всё плохо. ТТЛ-логика использовалась. Хотя и в лохматом году создавалась система.
Создать действительно можно всё, только не окупится такой подход?

Т.е. ты предлагаешь сознательно вливать бабло в иностранные разработки?
http://ru.wikipedia.org/wiki/%D0%91%D0%AD%...D0%9C#5.D0.AD26

Может всёж начнём уже казазывать строительство АЭС у Америкосов, Фрацузев ? япов напрягать не будем они репутацию свою подмочили, хотя Америкосы тоже (а если подумать то у япов их проект) Итого Товарищи Лягушатники Вэлком строить Рашен АЭС

[yHuK]

Энергоблок[17] Тип реакторов Мощность Начало строительства Энергетический пуск Ввод в эксплуатацию

Ростов-1 ВВЭР-1000/320 950 МВт 1000 МВт 01.09.1981 30.03.2001 25.12.2001
Ростов-2 ВВЭР-1000/320 950 МВт 1000 МВт 01.05.1983 18.03.2010 10.12.2010[5]


и что мы тут видим? 30 лет долгостроя)) и Проект 1976 года) и какая же там скажите мне АСУ?))) Мы пользуемся тем что было сделано при "царе горохе" и вот почему то уверен что блок 2010 года там стоит с той же системой управления что была заложена "Технический проект Ростовской (Волгодонской) АЭС был разработан Нижегородским отделением института «Атомэнергопроект» в соответствии с постановлением Совета Министров СССР от 21.10.76"

[ktotom7]

>1.
>+1 любой компьютер подвержен массе потенциальных проблем и болячек.
>Особенно винда!
мне например с линуксами не везет стабильно) centOS,ubuntu,fedora как где-то на сервере появляется так сразу какие-то глюки (в не зависимости от того администю я или кто-то другой) лезут freebsd тфу-тфу все нормально винда тоже нормально (правда на 2008 r2 обплевался и обматерился пока поставил и все её глюки поборол. зато как настроил так все ОК)

>3.
> но вот например взяли и посыпались там харды..
>Рейды давно есть )) и работают в любых ПК даже самых простых домашках) + никто не мешает делать так что сама инфа как бы в >"облаке" на серверах в каких нить блейдовых стойках
если HDD покупались пачкой сыпатся они тоже начнут боле менее синхронно. где-то подсчеты выдел.. при серьёзной наработке харда (при условии что харды брались пачкой) при ребилде raid5 достаточно большого вероятность потерять ещё 1 хард 30-50% (а для рейд 5 это смерть) но в целом согласен он много проблем решит. за исключением наверное если трехнет. тут с вами согласен.. под рукой надо всегда держать "сменну" с бекапом.

>или сетевая плата сдохла
>Проблем сделать их 2-3 вроде нет)) и задублировать)
у меня например очень интересно сетевая платка дохла.. хз что с ней случилось но выглядело это так.
1) запускаемся все нормально все пингуется
2) минуты через 2-3 пинги отваливаются комп через неё не доступен
3) ещё через пару минут комп виснет намертво
(дело кстати было на убунту на домашнем сервере. с нормальным серверным оборудованием вероятность такого в разы меньше)
вообще я просто как пример привел.

>накрайняк тот кто его собирал забыл термопасту положить под кулер
>Современный ПК и без термухи будет работать годами)
это вы зря.. может примеры и найдутся.. но при серьёзном нагрузе имеет тенденцию зависать и отрубаться при условии плохого охлаждения системника даже с наличием термопасты может хватить пыли на радиаторе за пару лет но это именно если системник так стоит что нифига толком не вентелируется и сильно нагружен (реальный случай был ).

>(да не на одном а сразу на всей партии smile.gif )
>Ну это уже если только деверсия))
или сборщик 1 партию собирал и забыл тупо про пасту.. но согласен пример за уши притянут

> пришло лето комп стал перегреваться и отрубатся.....
>кулеры 80 и 120 )) цена от 100 до 300 р )))
ну начнем с того что нормальные сервера обычно стоят в хорошо кондиционированных помещениях (чутли не с индивидуальным климат контролем) и т.п. рабочии станции конечно нет.. опять просто как пример привел.

[ktotom7]

Все молодцы.
Давайте не забывать о целях создания АСУ ТП систем и предпосылках к их созданию. Это сложные технологические процессы. Управление и мониторинг БАК-а тоже на релюшки переведём ?
Не, ну мониторинг там возможно было организовать, на том заводе. Пусть даже через аналоговые системы.
Ну а с управлением таким технологичным оборудованием шо бум делать, отцы?
Давайте конкретизирую, чтобы облегчить ответ на вопрос.
Как «просто» организовать систему управления сложнейшими технологическими процессами? Желательно с возможностью гибкого управления и обратными связями внутри системы...

а я и не предлагал систему управление аналоговой делать. только съем критических параметров продублировать наиболее простыми датчиками.

а если нужна система с минимальной вероятностью воздействия.
1) изолированная сеть. может несколько разграниченных.
2) жестко порезанной фаерволом трафик.
3) правила и техника безопасности такая что никаких сменных носителей на предприятие вносится не должно. если нужна связь с внешним миром делаем сколько надо рабочих станций подключенных к инету и любые данные с нашей закрытой сети передаются через одноразовую болванку во вне.
вот если из вне надо что-то на компы передать тут уже проблемы.. по факту любой носитель информации может быть заражен. т.ч. наверное самое такое что видится это компы максимально закрытый под личным пользованием админа на который он закачивает что надо из вне и таскает на компы изолированной сети.

теоретический ещё можно выделить отдельный сегмент сети который будет подключен к датчикам и т.п. для 1 мониторинга показателей. 2 аварийного управления. эти компы должны быть в отдельной сети никак не перекликатся с основной сеть. и контактировать только с датчиками нужными им.

для увеличения вирусостойкости все машины где не надо сохранять какие либо данные повесить на виртуальные машины с откатом к начальной установке системмы.

насчет разработки своего железа и OS вариант конечно отличный.. но вот только сильно опасаюсь что мало кто это потянет в требуемых масштабах. и стоимость 1го такого компа какбы была не $100к-500к при постоянных глюках и меньшей вычислительной мощьности.. да и os разрабатывая всегда будет желание свиснуть кусок кода с какого-то опенсорса со всеми его дырками а уж обкатка всего этого хозяйства может занять не 1 десяток лет

зы
как вариант.. вроде немного пореалистичнее.. OS пихать в ПЗУ (постоянное запоминающее устройство) без возможности перезаписи. это как альтернатива виртуальным машинам с постоянным откатом. тут любой вирус если он не внедрен в железе будет испарятся с перезагрузкой ПК
ззы
так на правах бреда

Сообщение отредактировал ktotom7 - 13.7.2011, 16:40

[yHuK]

1. Про рейды отвечу просто. Много винтов с 1 серии в солидных фирмах не берут)) особенно после чумового обвала паганцев Фуджиков)) если вы помните)
2. про сетевухи есть много отказов разных но их может быть 1-2-3-4)) в конце концов да и отказы по сетевухам на всяких блейдах Евах и т.д. это такая редкость)))
3. про охлаждение не буду палить где но везде давно надежды возложены на кандеи и 16-17 градусов в серверной (правда был 1 сбой как то когда 1 знаменитая фирмочка ... эхх в обще кандеи все отрубились в серверно 52 сервака стояло )) в закрытом пространстве когда защли туда там было около 60 градусов парилка и половина серваков попередохла (но то были старые матери у них кондёры повскрывались) на твердых новых кандерах врядли такое уже будет ну и надо зарезервировать)) систему охлаждение )) личная моя теперь наука )))
а термопасты ну да )) ну проверить долго чтоль??

а по ОС )) скажу что РЖД работает на своей самописке))) и знаете как бы стока лет работает)) тока 1 трабла)) там серваки из за этого многие "вечно ремонтные" потому что на новое железо это всё просто не встаёт и не запускается.

а по поводу прав рекламы ))) есть системы с замороженными системами которые всё что делают то создаётся уже в отдельном Кэше. а основная ось изменению не подлежит. но у неё Ну ОЧЕНЬ много глюков пока))

[mikle20]

ак вариант.. вроде немного пореалистичнее.. OS пихать в ПЗУ

В комплексе для учета газа в магистральных газапроводов Superflow 2E Газпром так и сделал. Когда потребовалась доработка меняли Пзу

[dddv]

У нас тут ветка для идеалистов
...Всего лишь хотел напомнить, что нельзя впихнуть невпихнуемое. Это я про многоуровневую АСУ ТП и ламповые транзисторы.

кстати ламповая техника самая надёжная, её даже излучение от ядерного взрыва не берёт. Да и точность для кассетных ракет неважна, штатам писец, а как точно это потом, может быть, археологи выяснят.

а про эксклюзив и деньги, дайте трём "пацанам-программерам" по три "лимона" рублей (я патриот) и будет и своя система и дрова и АСУ ТП с контроллерами.

Друган у меня как раз свою ОС собирался когда-то писать, а я дрова на видюху писал полноцветные (родные тормозили, тогда компы были слабыми, приходилось оптимизировать софт) так что это я вам точно говорю.
А в союзе, советских социалистических, бесплатно бы написали, из спортивного интереса, да и квартиры бесплатно давали и денег хватало и время на увлечения оставалось.

[alex_bykov]

И добавлю. В России в отрасли есть вполне обоснованная паранойя на предмет закладок.

Поэтому системы, у которых не открыт код, могут претендовать максимум на работу в интересах сотрудников клининговых служб за пределами 30-км зоны

Это к вопросу о форточках.

Ничего не путаем? Открытый код только для СБ. Для СВБ такого требования нет даже на уровне пожеланий, а тем более в нормативке или техтребованиях. Причина очень проста, раскрытие кода моментально удорожает высокотехнологичный продукт для заказчика минимум на порядок, поскольку допускает его размножение на неограниченное число аналогичных систем.
Мы свое ПО СВРК /СВБ/ не открываем, коллеги из РНЦ КИ - тоже. А по поводу закладок, уж извините, все работающие на отрасль под рентгеном, это так, к слову...

[eNeR]

Diginotar
http://www.computerra.ru/vision/632724/
Иранские хакеры начали использовать сходный принцип (краденные сертефикаты) в своих атаках.
Радует профессионализм товарищей.

[Gerst]

Энергоблок[17] Тип реакторов Мощность Начало строительства Энергетический пуск Ввод в эксплуатацию

Ростов-1 ВВЭР-1000/320 950 МВт 1000 МВт 01.09.1981 30.03.2001 25.12.2001
Ростов-2 ВВЭР-1000/320 950 МВт 1000 МВт 01.05.1983 18.03.2010 10.12.2010[5]
и что мы тут видим? 30 лет долгостроя)) и Проект 1976 года) и какая же там скажите мне АСУ?))) Мы пользуемся тем что было сделано при "царе горохе" и вот почему то уверен что блок 2010 года там стоит с той же системой управления что была заложена "Технический проект Ростовской (Волгодонской) АЭС был разработан Нижегородским отделением института «Атомэнергопроект» в соответствии с постановлением Совета Министров СССР от 21.10.76"

Можете разувериться. Для окончательного разрыва шаблона можете погуглить "ВНИИАЭС концепция АСУТП" и это не "красивые картинки", а работающее железо.
Очень мягко говоря - зарубежным коллегам еще пилить и пилить, чтобы добиться нашей информационности блока.
На тему закрытого/открытого кода - особой напряжности в использовании разработчиками вин/линь не заметил. В большинстве именно АСУ стоят собственные разработки на линуксах, в информационных системах - в большинстве винда.
Траблов именно по ОС за свою практику не встречал. Хотя текущая тенденция перехода на *nix системы не радует из-за трудности обслуживания подобных систем, *nix специалисты не добираются до АЭС - их итак неплохо кормят в других конторах.

[alex_bykov]

Траблов именно по ОС за свою практику не встречал.

Я уже встречал жалобы на win-системы от украинских атомщиков в связи с массовым "падежом" при вирусной атаке (дык, нефиг экономить на антивирусах). При этом сам факт "падежа" становится аргументом в пользу nix-систем

[anarxi]

А как вам такое:Множество американских боевых беспилотников поразил вирус

Вирус заразил воздушный флот американских беспилотников, с помощью которых армия США осуществляет военные операции в горячих точках планеты.

Пока что вирус не наносит существенного вреда американским беспилотникам. Он постоянно посылает информацию на какой-то внешний источник. Все попытки вычистить из серверов на авиабазе ВВС США Крич в Неваде не привели к успеху.


Мы постоянно вытираем его, но он продолжает возвращаться", заявил один из источников, знакомый с проблемой инфекции дронов.

"Мы считаем, что это доброкачественный вирус, но реально мы пока не знаем о нем ничего", - заявил он

Военные специалисты по сетевой безопасности не уверены, что вирус и его так называемый "кейлоггер" были введены намеренно или случайно. Специалисты не знают точно, насколько вирус широко распространился. Но они уверены, что инфекция поразила множество беспилотников на авиабазе в Крич.
http://hvylya.org/news/exclusive/13694-mno...azil-virus.html

[eNeR]

«Ложечки» нашлись
http://www.nytimes.com/2012/06/01/world/mi...-iran.html?_r=1

Obama Order Sped Up Wave of Cyberattacks Against Iran
By DAVID E. SANGER

WASHINGTON — From his first months in office, President Obama secretly ordered increasingly sophisticated attacks on the computer systems that run Iran’s main nuclear enrichment facilities, significantly expanding America’s first sustained use of cyberweapons, according to participants in the program.

Собственно мало кто сомневался в разработчике Стакснета

[eNeR]

Собственно мало кто сомневался в разработчике Стакснета

ФБР проверит обстоятельства утечки о кибератаках США
http://oko-planet.su/politik/politwar/1207...takah-ssha.html

ФБР начало расследование обстоятельств утечки, в результате которой достоянием общественности стала информация о кибератаках против Ирана, организованных правительством США. Об этом пишет The Wall Street Journal со ссылкой на источники, близкие к следствию.

[AtomInfo.Ru]

Собственно мало кто сомневался в разработчике Стакснета

В разработчике - да.

Основной спор был об эффективности атаки.

[eNeR]

В разработчике - да.

Основной спор был об эффективности атаки.

А этого нам так и не рассказали ))))
Знаем из ваших материалов, что они сменили один каскад (1000), но... В этой истории наверняка много другого интересного !
Почему не over9000... Обстоятельства обнаружения выглядят "сказочно". Да мало-ли...

[AtomInfo.Ru]

А этого нам так и не рассказали ))))

Хороший косвенный признак - высказывания Олли Хейнонена, бывшего главного в МАГАТЭ по гарантиям. Человек реально очень и очень грамотный и осведомлённый.

Сначала он категорически отрицал саму возможность вируса. Потом изменил мнение на то, что вирус мог быть. О результативности он говорит до сих пор крайне уклончиво.

Если когда-нибудь Хейнонен скажет: "Да, попали!", значит, было. И тогда, не дожидаясь 20-30-летних сроков рассекречивания документов правительственных американских структур, можно будет считать, что диверсия имела успех.

[alex_bykov]

Возвращаясь к Stuxnet.
На ВиМ появилась статья http://www.warandpeace.ru/ru/reports/view/85500/. Новой информации в ней практически нет, но вот это мне показалось крайне интересным:

У автора своя версия: "Скорее всего, подрядчики, работавшие в Натанзе, пришли со своими лэптопами, зараженными Stuxnet, к своим второстепенным клиентам и подключили лэптопы к "локальным" сетям клиентов". Так червь в итоге распространился в другие страны и (когда люди осуществляли дистанционное обслуживание по интернету) на другие континенты.

"Поскольку Stuxnet докладывал об IP-адресах и хост-именах зараженных систем в свои центры управления, по-видимому, атакующие ожидали его распространения на "системы мирных граждан", мирились с этим и охотно желали внимательно отследить это распространение", - говорится в статье. На взгляд автора, так была добыта информация о подрядчиках из Натанза, их других клиентах и, возможно, даже секретных ядерных объектах Ирана.

Stuxnet также указал удобный путь к проникновению на хорошо защищенные объекты. "Заражались уязвимые цели, имевшие законный допуск в "эпицентр", - подрядчики", - пишет автор. Рано или поздно подрядчики нечаянно принесли на комбинат зараженные мобильные устройства и флешки.

Автор предостерегает: практически все промышленные и военные объекты зависимы от подрядчиков, многие из которых попросту не умеют соблюдать меры безопасности.

Грубо говоря, основную цель с саботажа следовало бы поменять на разведку (засветку технологических цепочек).

[pappadeux]

Ничего не путаем? Открытый код только для СБ. Для СВБ такого требования нет даже на уровне пожеланий, а тем более в нормативке или техтребованиях.
...
Мы свое ПО СВРК /СВБ/ не открываем, коллеги из РНЦ КИ - тоже. А по поводу закладок, уж извините, все работающие на отрасль под рентгеном, это так, к слову...

в здешнем цырке есть такая удобная штука - эскроу

[anarxi]

Computer at Monju reactor found infected with virus

TOKYO, Jan. 6, Kyodo


A computer at the offline Monju experimental nuclear reactor complex in central Japan was found to be infected with a virus, a source close to the project said Monday.

The server administrator noticed last Thursday that a single employee-use workstation at the prototype fast-breeder reactor in Tsuruga, Fukui Prefecture, was not operating normally, the source said.

According to the source at the reactor operator, the Japan Atomic Energy Agency, while data on the computer could have been breached outside the server, none of it is crucial to safety at the reactor.