Дела компьютерные, ответвление из ветки про Фукусиму Опции

[kandid]

Плюс вопрос сохранности при внешних воздействиях, всякие антивирусные заморочки...В общем деньги большие получаются.

А Вы что - на форточках это все организуете? Если да, то отчего же с пингвинами не играете?
Тут недавно встретил ссылку на нашего пингвина. Который ребята в пику пильщикам бабла сделали. Сам еще не смотрел. Но люди брали, хвалили...

[anarxi]

Нет, там целая концепция сортировки, отбраковки и сохранения данных, плюс онлайн передача данных по нескольким адресам (но это сделано). Это кроме речевых данных. Плюс вопрос сохранности при внешних воздействиях, всякие антивирусные заморочки...В общем деньги большие получаются.

Что это вы ребята делаете?Ведь это опасней любой цунами.Какие антивирусные заморочки.В тысячелетней битве нападения и защиты первое всегда на шаг впереди.

Предположительно схема атаки выглядит следующим образом [4]. Stuxnet проник в закрытую сеть иранского ядерного центра в Натанзе (Natanz) через сменный накопитель (типа USB-Flash) и смог инфицировать диспетчерские компьютеры, работающие под управлением SCADA системы WinCC. По крайней мере с одного из таких компьютеров с установленной системой Step 7 произошло несанкционированное перепрограммирование работы контроллеров (ПЛК), которые через частотно-регулирующие приводы (ЧРП) управляют скоростью вращения двигателями центрифуг, осуществляющими обогащение ядерных материалов. Активизация новой программы произошла не сразу, а спустя некоторое время, когда удалось «перепрошить» максимальное количество ПЛК. Все это время червь Stuxnet осуществлял запись данных в нормальном режиме работы центрифуг. Затем, при активизации новой программы на всех ПЛК, мощные двигатели, следуя командам на резкие изменения скорости вращения, вывели около 1000 центрифуг из строя. Одновременно с «раскачиванием» центрифуг Stuxnet воспроизводил для диспетчеров предварительно записанные нормальные данные о процессе с тем, чтобы диспетчеры подняли тревогу как можно позже, и не смогли остановить работу центрифуг в ручном режиме до их повреждения и/или разрушения. Так была осуществлена «точечная» диверсионная атака на иранский ядерный центр в Натанзе, отодвинувшая сроки получения обогащенного урана для его ядерной программы по некоторым оценкам не менее, чем на два года.

Источникhttp://www.phocus-scada.com/rus/pub/Stuxnet&IndustrialSecurity.html#Toc41 Как то вот беспокойно и боюсь клизма не поможет.Тем более у нас в стране богатый опыт внедрений в работу государственных серверов. Извиняюсь за офтоп

[str]

Нет, там целая концепция сортировки, отбраковки и сохранения данных, плюс онлайн передача данных по нескольким адресам (но это сделано). Это кроме речевых данных. Плюс вопрос сохранности при внешних воздействиях, всякие антивирусные заморочки...В общем деньги большие получаются.

Это копейки. Реплицировать данные на пяток серверов в изолированной сети по защищенным каналам в радиусе 100 км от объекта не представляет сложности, включая запись речи. Проблематично будет ацапы накинуть существующее оборудование. но это решаемо.

[Nut]

Ведь это опасней любой цунами.

Примите успокоительное, пациент. Система не является управляющей.


- Доктор, помогите, я писаю кипятком!
- Вынимайте пальцы из розетки. Следующий!

[AtomInfo.Ru]

Что это вы ребята делаете?Ведь это опасней любой цунами.

Anarxi,

дело в том, что никаких значимых признаков снижения количества произведенного обогащённого урана в Иране не наблюдается. В 2009 году месячные объёмы колебались вокруг среднего значения, в 2010 году медленно росли.

В 2009 году в Иране наблюдалась постепенная деградация центрифуг на одном из модулей. Постепенная, а не мгновенная. Есть простое объяснение - центрифуги данного модуля были сделаны действительно в Иране, как Иран и заявлял. А для других модулей комплектующие могли быть куплены за границей.

То есть, никаких результатов якобы атаки обнаружить не удалось.

Добавка. Это тот случай, когда заявленный результат может быть проверен. На иранском заводе стоят камеры, транслирующие картинку в режиме онлайн в Вену. Никаких чрезвычайных событий, вызванных якобы атакой вируса, на картинке никто не видел

Более того. Вирус не мог нанести центрифугам никакого ущерба. В прессу вбрасывались фальшивые данные о частотах центрифуг. Им верили, аналитики их брали в работу, анализировали, писали простыни, которых переначитались авторы вируса и использовали в своём коде. Естественно, после этого вирус и не мог сработать как задумано, у него условия не выполнялись

Так что вирус, если его атака действительно была, выстрелил мимо. А под шумок народ обделал кучу своих делишек. Иран арестовал несколько десятков человек, которых давно собирался арестовать. Куча народа на Западе получила гранты. Финны сидят как оплёванные, потому что авторы вируса почему-то решили - финны продают иранцам контроллеры для каскадов центрифуг. Немцы вообще в трауре, потому что в вирусе много всяких заточек на оборудование от "Зименса" (казалось бы, с какой стати?).

В общем, эффект потрясающий, кроме одного - успешной атаки на ядерный объект не состоялось. И это далеко не случайно.

[Nut]

антивирусные заморочки.

Похоже сказал больше, чем хотел. Возможно я неправильно интерпретировал "защита и сохранность информации". Предлагаю считать, что я ошибся и дальше не углубляться.

"А Вы что - на форточках это все организуете? Если да, то отчего же с пингвинами не играете?" - Тото я думаю, почему многие пациенты стали ходить вразвалку с оттопыренными руками. Некоторые пытаются высиживать яйца. А оказалось, что они считают себя пингвинами и пытаются пролезть в форточки.

[AtomInfo.Ru]

И добавлю. В России в отрасли есть вполне обоснованная паранойя на предмет закладок.

Поэтому системы, у которых не открыт код, могут претендовать максимум на работу в интересах сотрудников клининговых служб за пределами 30-км зоны

Это к вопросу о форточках.

[AtomInfo.Ru]

Предлагаю считать, что я ошибся и дальше не углубляться.

Да, лучше бы не углубляться. А то товарищи майоры начнут нервничать. А оно нам надо?

[eninav]

Мне история про вирусы в иранских центрифугах тоже показалась байкой, в стиле голивудских фильмов про хакеров.
1. Винда на ядерном объекте - это сильно (особенно если учесть "теплые" отношения между ираном и америкой.
2. Я так понял, там диспетчер воткнул флешку с вирусом в свой комп, и пошло заражение.
2а) любой нормальный админ (и вообще продвинутый пользователь) первым делом отключает автозапуск флешек, т.к. эту вредительскую фичу, кажется, специально создали в подарок писателям вирусов.
2б) вообще то левые флешки в серьезных конторах втыкать не позволят (вплоть до того что усб-порты эпоксидкой заливают)
3. Антивируса там тоже не было видимо?
4. Диспетчеры сидят под админскими правами? (Потому что с порезанными правами более-менее критичные операции невозможны).
Т.е. из пунктов 2-4 следует, спецы по компьютерной безопасности в иране - полные идиоты, которых бы даже админом-эникейщиком в игровой клуб бы не взяли (а если бы и взяли, то через неделю бы выгнали пинками после того как вся сеть ляжет из за вирусов, принесенных юзерами на флешках).
5. Да и вообще, вирус уж больно продвинутый, логи подделывает для диспетчеров и т.д. Столь же правдоподобно было бы написать, что вирус выводил на экран гипнокартинку, посмотрев которую диспетчер пошел и кувалдой расхреначил все 1000 центрифуг.
Чушь и желтизна, короче.

[anarxi]

Примите успокоительное, пациент.

А Забарханская АЭС онлайн будет? Камера на бщу каждого блока и в турбинном зале? Всё равно слово антивирусный предпологает либо опасность вирусов,либо крупный распил бабла.

[AtomInfo.Ru]

А Забарханская АЭС онлайн будет? Камера на бщу каждого блока и в турбинном зале? Всё равно слово антивирусный предпологает либо опасность вирусов,либо крупный распил бабла.

Nut уже поправился. "Защита и сохранность информации" - это немного иное, чем антивирусная защита.

Я хочу сказать, что проблема есть, но её видят и занимаются ей ещё с времён СССР. Тогда боролись с закладками (например, в Семске на полигоне военные расчётчики не использовали штатовских программ, которые добывались для гражданских расчётчиков; а для гражданских разведка тащила программы только с исходными текстами, и то сначала предпочитали обкатать и проверить программы где-нибудь в Польше).

Теперь добавились другие заморочки. Но, в общем, на них обращают большое внимание. Так что это Вы зря, у нас IT-шники тоже есть.

[eNeR]

В 2009 году в Иране наблюдалась постепенная деградация центрифуг на одном из модулей. Постепенная, а не мгновенная.

Ну там есть различные мнения на сей счёт. Причём весьма обоснованные.
А вообще разработчики вируса — красавцы. Всё втихую. Мастера, слов нет.

[anarxi]

Nut уже поправился. "Защита и сохранность информации" - это немного иное, чем антивирусная защита.

Так что это Вы зря, у нас IT-шники тоже есть.

Дык я в Наших и не сомневаюсь Простото не сильна ли велика зависимость человеков от компов в последнее время.И Япония тому яркий пример.

[AtomInfo.Ru]

Ну там есть различные мнения на сей счёт. Причём весьма обоснованные.

Различные мнения возникают по следующей причине. МАГАТЭ даёт данные по иранским центрифугам дискретно, с периодичностью раз в квартал. Поэтому на графиках числа центрифуг могут возникать скачки. Но длительность скачка - три месяца. Большей деталировки МАГАТЭ не даёт. Публично не даёт. В реальности, агентство видит ещё и онлайн-картинку с завода, но эти данные должны быть закрыты даже от государств-членов МАГАТЭ.

Если интересно, по ссылке на стр.6 есть рис.1 - число центрифуг на иранском заводе. Чёрные столбики - центрифуги с ураном, зелёные - общее число центрифуг. Данные взяты из докладов МАГАТЭ, все доклады сейчас открыты и есть на сайте агентства.

Мы видим два момента. Весь 2009 год шло снижение числа центрифуг, загруженных ураном (т.е., производящих продукт). А в феврале 2010 года мы видим резкий провал в общем числе центрифуг, полностью восстановившийся уже к маю. Вот этот провал служит основанием для утверждений, что на заводе отработал вирус.

Встречные возражения. Известно из докладов МАГАТЭ, что демонтировались центрифуги из второго иранского модуля, по которому есть предположения о более низком качестве оборудования (комплектующие иранские, а не импортные). Быстрое восстановление числа центрифуг заставляет предположить, что их просто снимали для осмотра. Вряд ли для замены - запасных центрифуг у Ирана не так много.

Второе. Число центрифуг с ураном в феврале 2010 года практически не изменилось. Что тогда атаковал вирус, если это была атака? Пустые центрифуги? Если да, то он очень помог иранцам, потому что с ноября 2010 года у них начался устойчивый рост числа центрифуг с ураном, выдающих продукт.

И третий, косвенный аргумент. Человек, который имел доступ по долгу службы к картинке с завода (Олли Хейнонен, бывший замглавы МАГАТЭ), сразу и публично отмёл версию вируса напрочь. Позже он поправился и сказал, что теоретически вирусы могут наносить вред ядерным объектам. Но первая реакция самая очевидная - можно считать, что по картинке они не видели ничего подозрительного.

Для этой ветки это оффтоп. Если есть желание, можно продолжить в отдельной ветке.

[ktotom7]

Нет, там целая концепция сортировки, отбраковки и сохранения данных, плюс онлайн передача данных по нескольким адресам (но это сделано). Это кроме речевых данных. Плюс вопрос сохранности при внешних воздействиях, всякие антивирусные заморочки...В общем деньги большие получаются.

у меня работа связанна с интернетом и нередко приходится сталкиватся со всякими бяками. ни один антивирус не даст сколь нибудь надёжной защиты.
вирусы на то и вирусы чтобы их не находили так просто. всегда можно сделать новый вирус который пока не извествен антивирусам. и пока его кто-то не поймает не отправит какой-то антивирусной компании которая его припарирует... никто его определять как вирус не будет. если вирус какой-то специфический.. тихий там заражает не в промышленных масштабах процесс его обнаружения может затянутся на годы. к тому же нередко вирусы шифруют. хз как этот процесс работает но итог этого процесса что меняется сигнатура вируса и многие антивирусы перестают его обнаруживать.

так что от антивируса объективно толку не так много.

на мой взгляд более менее идеальная защита от вируса получается как-то так.
1) отдельная сеть. никакого контакта с интернетом и другими сетями.
2) режим работы с компьютерами такой что никакие носители информации туда не ставятся (флешки и т.п.) если надо записать что-то с компа этого берётся cd болванка чистая и на неё пишется.


по поводу вирусостойкости пингвина не более чем миф.
дырок в них нередко находят больше чем в винде... но даже не в этом суть. линукс просто мало кому интересен из хакеров в виду низкой распространенности. как пример. сейчас посмотрел на 1м из своих сайтах (не большой относительно.. порядка 15к-30к посещений в сутки) статистику по OS

Windows 87,74 %
Macintosh 8,68 %
Linux 1,36 %
Android 0,64 %
...
дальше ещё меньше.
скажем так на месте хакера что было перспективнее заражать чтобы получить максимально большой ботнет?
вот и получается.. линуксы пока никому особо не нужны чтоб их ломать будет их 30-50% в трафики тогда дырки во всю полезут..

извиняюсь за офтоп . просто на работе действительно часто приходится сталкиваться с вирусами и примерно представляю положение дел.

Сообщение отредактировал ktotom7 - 11.7.2011, 11:11

[ktotom7]

Мне история про вирусы в иранских центрифугах тоже показалась байкой, в стиле голивудских фильмов про хакеров.
2. Я так понял, там диспетчер воткнул флешку с вирусом в свой комп, и пошло заражение.
2а) любой нормальный админ (и вообще продвинутый пользователь) первым делом отключает автозапуск флешек, т.к. эту вредительскую фичу, кажется, специально создали в подарок писателям вирусов.
2б) вообще то левые флешки в серьезных конторах втыкать не позволят (вплоть до того что усб-порты эпоксидкой заливают)

в бытность преподователем в институте таскал с собой ноут на занятия у студентов принимать задания.. какого только заапарка не навидался) 1 вирь например делает невидимым все папки и файлы на флешке вместо них ставит файлы с такими же иконками как были. думаеш что открываеш папку а на деле это запускается вирус заражающий машину (правда потом он и папку откроет чтоб не спалится) ну и потом делает такое же со всеми съемными носителями втыкаемыми в системму) вообщем голь на выдумки хитра и всегда найдет лазейку

4. Диспетчеры сидят под админскими правами? (Потому что с порезанными правами более-менее критичные операции невозможны).
Т.е. из пунктов 2-4 следует, спецы по компьютерной безопасности в иране - полные идиоты, которых бы даже админом-эникейщиком в игровой клуб бы не взяли (а если бы и взяли, то через неделю бы выгнали пинками после того как вся сеть ляжет из за вирусов, принесенных юзерами на флешках).

как бы очень много дырок в любой OS есть которые позволяют из под непривилегированного юсера получить права суперпользователя..

5. Да и вообще, вирус уж больно продвинутый, логи подделывает для диспетчеров и т.д. Столь же правдоподобно было бы написать, что вирус выводил на экран гипнокартинку, посмотрев которую диспетчер пошел и кувалдой расхреначил все 1000 центрифуг.
Чушь и желтизна, короче.

ну как бы с точки зрения программирования что-то подобное написать особых проблем не представляет особенно если хорошо представлять себе как работает тот или иной объект.

снова извиняюсь за офтоп

[eNeR]

Для этой ветки это оффтоп. Если есть желание, можно продолжить в отдельной ветке.

Попробую обойтись двумя линками.
http://www.warandpeace.ru/ru/commentaries/view/55638/ —тут общий анализ действий
http://phocus-scada.com/rus/pub/Stuxnet-CodeAnalys-rus.pdf — анализ кода от ф.Симантек, самое интересное с 24 страницы.

В принципе самая жесть ситуации состояла в тихой работе вируса. И то, что его заметили практически сразу— это очень и очень большая удача.
Почему: Вмешательство производилось только на реально работающие центрифуги (от 13 дней сроку) и очень-очень незаметно и ненадолго (от 15 до 50 минут) на превышающих режимах

В технологическом модуле A26 было отключено 11 из 18 каскадов центрифуг, иными словами, 1804 машины.

Вирус успел поработать только здесь.
Всё втихую, зачем шуметь в таких делах? Я готов поверить, что деза лилась рекой, но разработчики вируса всё таки далеко не лохи слепые котята и наличие результата (1000) это подтверждает. Инсайд был хорош, а последовательность "С" из кода вируса вообще позволяла сидеть у них в контрол руме и играть в пасьянс за компом диспетчера.
Моё видение ситуации:
В зону действия вируса попали все реально находившиеся в эксплуатации центрифуги и хорошо, что вирус быстро обнаружили. Поработай Иран на всех 9000 своих центрифугах - списать пришлось бы всё. ИМХО

Сообщение отредактировал eNeR - 11.7.2011, 11:32

[AtomInfo.Ru]

Сам же ещё раз пооффтоплю.

eNeR,

посмотрите, пожалуйста, ещё раз на график.

В 2007-2008 годах Иран имеет первый модуль каскадов и использует его почти на 100%. Зелёных столбиков практически не видно. Комплектующие для модуля, как предполагается, Иран купил за границей.

С 2009 года Иран монтирует второй модуль, из местных комплектующих. В мае 2009 года видна попытка начать его использовать. Неудачная - довольно быстро число работающих центрифуг откатывается назад, к числу центрифуг в первом модуле (уровень 2008 года).

В феврале 2010 года мы видим демонтаж тысячи центрифуг из второго модуля. В мае 2010 года их вернули на место. С ноября 2010 года начался устойчивый рост числа работающих центрифуг, т.е. Иран сумел начать использовать центрифуги второго модуля.

Вы думаете, что где-то здесь проходил вирус? Ваше право Как по мне, они в феврале'2010 искали явный заводской брак у центрифуг второго модуля. Или наоборот, пытались вычленить работоспособные центрифуги (разрушение при работе одной центрифуги выведет из строя, как минимум, весь каскад из 164 машин, а возможно, и соседние - осколки от ротора разлетаются как от гранаты).

Всё, оффтоп off. Дальше, если хотите, сделаю отдельную ветку под эту тему.

[AtomInfo.Ru]

Попробую обойтись двумя линками.
http://www.warandpeace.ru/ru/commentaries/view/55638/ —тут общий анализ действий

А вот тут-то я и присел. Это наша статья.

http://atominfo.ru/news4/d0249.htm

[eNeR]

Это наша статья.
http://atominfo.ru/news4/d0249.htm

Я всё, в принципе. Что нашел-написал.
Ещё раз снимаю шляпу. Мастерски и без шума. Даже если не удалось, всё равно мастерски. Не торопясь, по чуть чуть, в перспективе все 9000. Класс.

Сообщение отредактировал eNeR - 11.7.2011, 11:36