Дела компьютерные, ответвление из ветки про Фукусиму Опции

[yHuK]

Суть примерно такова.

Кто мог написать:
Команда высоко квалифицированных специалистов на "службе" при помощи Физиков Механиков и специалистов которые описали хорошо суть программы
Как собрать необходимую информацию:
1. Прогеры же у них были которые делали программное обеспечение этой всей станции.
2. Были тестеры которые проверяли систему на этапе проверки моделирования работы.
3. Были те кто вводил это всё в эксплуатацию.

Сознательно отмёл тех кто будет далее эксплуатировать ибо у них какраз возможностей меньше всех.

Заказчик:
Ну это явно не МАГАТЭ, а спец служба страны, кто там у нас соседи говорите? а то склероз. Вы много хороших разведок знаете?

Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

И тут я тоже отметаю тех кто прищёл работать позднее на этих системах Ну не верю я что СБ у них дураки уж совсем.

[eninav]

в теории это все конечно хорошо.. но вот незадача вирусы тоже могут блокировать фаерволы. или маскироватся под другую программу. на крайняк можно имитировать клик мышкой по окну с разрешением (это все не выдуманное а реально что те или иные вирусы умели делать)

Думаю, вы не совсем правы. Это если вирус УЖЕ запущен на компе, он может блокировать ненужные ему проги. Сам такой вирус видел (жена умудрилась подхватить на каком-то говносайте), очень хитрый, косил под мелкософтскую антивирусную утилиту, и блокировал все подряд (редактор реестра, диспетчер задач, одноразовые антивирусы, браузеры - типа "программа заражена").
Однако, если фаервол работает, а вирус вы только собираетесь запускать, то он фаервол никак не сможет заблокировать (он еще не запущен).
Грубо говоря, фаервол останавливает выполнение программы (на уровне ОС) и та ничего не сможет сделать, пока пользователь не даст согласие.
Может быть и бывают вирусы, которые это обходят (пользуясь какими-то дырами), но я че-то про такие не слышал,

по поводу благоразумия пользователе. ну вот как не старайся не разжёвывай яки дети малые все себе в рот тащят (ладно бы домохозяйки... но инженеры тоже этим болеют) а по сути да мозг понимающий что и как может произойти на компе+прямые руки защитят лучше любого антивируса (у меня так вообще бесплатная авира стоит... изредка бывает на сайтах попискивает (по работе приходится на такие сознательно лесть) (чащи кстати несмотря на то что я ВИЖУ что там вирусы вижу как в pdf долбится вирь и т.п. молчит как партизанка) но более чем за год с лишним все чисто тфу-тфу-тфу (постоянно по работе счета оплачиваю кредиткой в нете куча паролей от серверов и т.п. так что если что было простор для действий хакера обширный )

К сожалению да, человеческий фактор.

от себя добавлю к сованию exe в рот ещё пару пунктиков..
1) стараться посещать старые и проверенные сайты. (и качать что либо только с таких) (хотя прецеденты когда на вирус отсылают через рекламу не редкость) да и взломать всеравно могут.
2) обновлять весь софт. особенно что связан с броузеров. то и дело натыкаюсь на сплойты которые бяку на комп сажают через adobe reader или java
лечение зависит так сказать от потенциальной угрозой. если например чем-то поражена нога что нельзя вылечить и есть угроза поражения всего организма.. ногу ампутируют. если цель сделать защищенную от доступа извне сеть которой самой нет необходимости лазить во вне вполне себе нормальный метод

1. Согласен, обновляться надо почаще (и ОС, и браузер). Вот кстати чем меня радует линукс, так это своей концепцией репозиториев - весь софт (проверенный на безопасность) хранится на специальных серверах, обновляется и качается только оттуда, что сразу решает две проблемы: не надо искать софт на левых сайтах, и обновить можно ВЕСЬ софт (а не только ОС) буквально парой кликов мышкой (или одной командой в консоли), причем можно настроить, что бы обновления ставились автоматически.
2. Рекламу вообще лучше всего резать, и браузером пользоваться не IE (я предпочитаю лису).
3. Ну для каких-нибудь критичных применений можно и не подключать к инету вообще (например если комп нужен для управления станком - нахрена ему инет и сеть ваще). Но вообще большинство современных применений компа предполагают, как минимум, локальную сеть.

а вот что их не ломают и нет вирусов под nix не соглашусь.

1) под макось в своё время видел вирус блокировщик компа (поддельный антивирус) но опять стоит братить внимание что их не так много.. грубо говоря мы хакеры и 1 зараженный комп нам приносит $0.01 в день что принесет больше прибыли? заразить 100к виндовых компов или 8к компов под макось или 1.5к компов под linux?

Если чисто на прибыль ориентироваться, то да, а если для души? Вирусов под винду миллион, новый вирус никто и не земетит, а под линукс кадждый новый вирус это событие. Думаю, если бы сложность написания вирусов под вин и под линь была сопоставима, то вирусов бы хоть немного, но было.

2) открытость кода палка о 2х концах. злоумышленник тоже исходник видит и врятли будет писать разработчикам софта чтобы его проверили. да и вообще чужие исходники проверять очень сложно. думаю очень мало програмистов реально какие-то куски проверяет и как правило смотрят их или ищя уязвимость чтобы использовать его. или чтобы что-то под себя поменять.

Обычные пользователи (и даже программисты) конечно не будут читать все исходинки, прежде чем поставить программу. Этим занимаются те, кто создают дистрибутивы. Ну и кончено энтузиасты-хакеры во всем мире. Почему это повышает, а не понижает безопасность? Дело в том, что уязвимости - продукт скоропортящийся. Допустим, один хакер нашел уязвимость, просматривая код. Что с ней делать? Либо использовать сразу (а это не всегда возможно, уязвимости часто очень специфические), - но тогда о ней сразу узнают - либо опубликовать самому (многие фирмы платят хорошие деньги за найденные уязвимости). Придержать ее на полгодика он не сможет - другие опередят. В результате, в худшем случае, найденная уязвимость влечет за собой один-пару успешных взломов, в лучшем - вообще ничего не происходит.
В случае с закрытым софтом, найти уязвимость гораздо сложнее (ковыряться надо не в исходнике, а непосредственно в коде), но и исправляют их гораздо медленнее. Так что вероятность успешного взлома больше.
Но вообще, современные системы все достаточно надежны (особенно в умелых руках), так что больше тут зависит от человеческого фактора.

3) просто как пример. где-то полгода назад по вестям слышал что в netbsd нашли дырку для FBR кем-то сделаную которая там была лет этак 10 никем не замеченной непосредственно линуксах тоже такие случаи были.. и в винде не мало
другое дело что в винде в виду их популярности хакеры их ищют активнее и разработчикам приходится их активнее прикрывать да и наверное уже поднаторели в этом
4) ещё уязвимостей добавляет всякий сторонний софт из репозиторив. как пример SAMBRA 1.5-2 года назад как раз дырку прикрыли которая в ней была много много лет если не путаю через неё как раз можно было получить права суперпользователя в freebsd с год назад дырку такого же характера прикрыли.. скрипт который через дырку в одной из библиотек позволял пользователю стать root'ом (если не путаю с начиная с 6.x версии дырка висела)
ой.. а всякие панели для управление сервером это вообще раздолье для хакеров.. я как-то немного хостером работал... 1 человек брал сервера linux+DirectAdmin себе так ему раз в пару месяцев какой-то из серваков ломали... я ему посоветовал админа (не так чтоб толкового но хотябы не криворукого) и freebsd(просто админ что под рукой был как раз в ней разбирался) с тех пор больше не жаловался. мне когда-то сервер в Plesk панелью ломали.
вообще сервера ломают нередко не ради инфы на серверах а ради как раз ради возможности заразить кучу посетителей сайта и упереть их данные кредитных карт, подсадить вирус блокировщик и т.п. (это если грубо на самом деле причин 100500).

Ну, всякое бывает, но серьезные уязвимости все же всплывают редко. Думаю, в винде их не меньше, просто меньшее число людей о них знают
Как кто-то сказал на одном форуме: если в линуксе исправили 10000 ошибок, а в винде за то же время - 100, это не значит, что винде в сто раз меньше ошибок, это значит что в ней осталось 9900 неисправленных багов.

причем делают это в промышленных масштабах и автоматизированно... у меня например сколько серверов было как сервер сетапят и присылают можно сразу в лог логина по ssh лесть и любоватся как его брутят

Ага, сам такое наблюдал

я не гворю что какая-та ос лучше какая-та хуже. лучше та ос которую админ который за всем этим хозяйством присматривает лучше знает...

вот это +100500

а вот что будет в случае их популярности и выдержат ли разработчики резкий скачек активности вирусописателей это уже сомнительно..

Я надеюсь на лучшее

[yHuK]

Люди вы путаете тёплое с мягким.

Вирус для компа обывателя и вирус такого масштаба поэтому проясню.

Антивирус.
Это Программа с набором функций которая имеет базу данных вирусов.
+ модули поведенческого анализа (т.е. отлов вредоносов на уровне их работы по типо это такая работа Вирус и блочит)

Фаервол
блочит То о чём он знает бытует мнение что блочит в Режиме запрещено ВСЁ то и блочит всё, Но это Далеко не так.
если программа работает на уровне ядра с разрешениями уровня Оси то ей глубоко пофигу на ваш антивирь да и фаервол ибо он изначально уже На более "высоком" уровне права имеет.

А то что мы тут обсуждаем Эксклюзивный проект. чтоб было понятнее расскажу историю которая всплыла в мае 2011

Жила была фирма и как то у неё начали по тихому пропадать клиент и уходить к конкурентам.
И задумался ген дир той фирма как это так. И купил он услуги 1 сотрудника на приличной должности у Важеской компании чтоб тот прознал что случилось и как это клиенты уходят.
И выяснилось что логи почты их компании появляются как то у Конкурентов.
Но боже подумал Ген дир у меня же МАС ОС он же не ломаем))
И отдал он свой Мак бук добрым людям так сказать делайте что хотите но найтите.
И нашли.. и оказало что логи текли уже примерно год. и никакой софт о той программе не знал потому что она ЭКСКЛЮЗИВНАЯ т.е. написана для 1 использования, а не для Массового распространения.

[eninav]

Поэтому в общих чертах конструкция иранских центрифуг понятна. Неизвестны мелкие технические подробности, а в них и кроется дьявол

Вот именно! В этих мелочах и проблема. Я сам программист, и представляю как это бывает. Ставится задача, вроде бы все кристально ясно. Начинаешь продумывать детали, и очень часто натыкаешься на ситуацию, которую хрен его знает как обрабатывать. В ТЗ либо ничего по этому поводу не говорится, либо можно толковать двояко, либо вообще пункты противоречат друг другу. Иду к заказчикам, справшиваю, че они собственно имели в виду. Часто бывают, что и они начинают чесать репу, т.к. никогда не задумывались над такими деталями. (Хотя иногда и сразу скажут).
Так вот, это обычный прикладной софт. Здесь ситуация сложнее на порядки, т.к. программировать надо на низком уровне для неизвестно какого железа. Я для контроллеров сам не писал, но наслышан о проблемах. Даже для известного контроллера могут быть разные тонкости, когда работает не так, как положено по документам. если там другой (даже и родственный) то вероятность такого резко возрастает. Нет ни точных данных, ни возможности отладки. Думаю, что и про компьютерный парк (железо, ОС) в иранском ядерном центре инфы не очень много. Очень, очень маловероятно, что при всех таких неопределенностей все сработает.

Подводя итог. У МАГАТЭ есть достаточно данных, чтобы контролировать иранскую программу в целом. Но нет технических деталей, которые позволили бы, скажем, написать вирус для разрушения центрифуг.

Абсолютно согласен.

[yHuK]

Так вот, это обычный прикладной софт. Здесь ситуация сложнее на порядки, т.к. программировать надо на низком уровне для неизвестно какого железа. Я для контроллеров сам не писал, но наслышан о проблемах.

А если к тебе приходят люди и дают Исходники Кода самой системы. Потом подкидывают тип марки модели железа, потом подходит пару умных людей которые понимают что эта вся система делает и что надо сделать дописать дополнить чтоб она делать перестала.
А уж людей кто это поломает в хорошей стране вагон. Если не забывать что все страни вот уже много лет "хакерам" предлагают Работу ну или Сесть на пяток лет) и выбор у тех очевиден.

[eninav]

Фаервол
блочит То о чём он знает бытует мнение что блочит в Режиме запрещено ВСЁ то и блочит всё, Но это Далеко не так.
если программа работает на уровне ядра с разрешениями уровня Оси то ей глубоко пофигу на ваш антивирь да и фаервол ибо он изначально уже На более "высоком" уровне права имеет.

Тогда нужен тот, кто установит этот вирус, что бы он запускался на уровне ядра. Т.е .как драйвера. (Весь пользовательский софт запускается на 3 кольце, в том числе и с админскими/рутовыми правами).
Теоретически, такое можно придумать, например вирус встроен в драйвер, скажем, для сетевухи.
Только сложновато будет реализовать.
Например.
1. Узнать у кого иранцы закупают железо.
2. Выйти на поставщиков.
3. Уговорить встроить свой вирус в дрова.
4. И что бы при этом никто ничего не заподозрил.
Ну или вместо всего этого подкупить админа (но тогда можно и не извращаться с уровнем ядра, просто попросить что бы фаервол отключил).


В общем, резюмирую. Теоретически, заражение возможно. При наличии:
1. Очень квалифицированных и опытных хакеров.
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).
3. Очень безолаберной службы безопасности.

Лично я считаю, что такое сочетание обстоятельств невозможно.

[yHuK]

Тогда нужен тот, кто установит этот вирус, что бы он запускался на уровне ядра. Т.е .как драйвера. (Весь пользовательский софт запускается на 3 кольце, в том числе и с админскими/рутовыми правами).
Теоретически, такое можно придумать, например вирус встроен в драйвер, скажем, для сетевухи.
Только сложновато будет реализовать.
Например.
1. Узнать у кого иранцы закупают железо.
2. Выйти на поставщиков.
3. Уговорить встроить свой вирус в дрова.
4. И что бы при этом никто ничего не заподозрил.
Ну или вместо всего этого подкупить админа (но тогда можно и не извращаться с уровнем ядра, просто попросить что бы фаервол отключил).
В общем, резюмирую. Теоретически, заражение возможно. При наличии:
1. Очень квалифицированных и опытных хакеров.
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).
3. Очень безолаберной службы безопасности.

Лично я считаю, что такое сочетание обстоятельств невозможно.

Как то ты слишком сильно много хочешь для столь простой задачи))

Больше ничего не нужно) А самое смешное
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).


Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

Любой из перечисленных обладает необходимой информацией и ещё на Этапе проектирование системы может её исходники передать и в неё вмонтируют всё что надо ещё до установки.

[ktotom7]

Думаю, вы не совсем правы. Это если вирус УЖЕ запущен на компе, он может блокировать ненужные ему проги. Сам такой вирус видел (жена умудрилась подхватить на каком-то говносайте), очень хитрый, косил под мелкософтскую антивирусную утилиту, и блокировал все подряд (редактор реестра, диспетчер задач, одноразовые антивирусы, браузеры - типа "программа заражена").
Однако, если фаервол работает, а вирус вы только собираетесь запускать, то он фаервол никак не сможет заблокировать (он еще не запущен).
Грубо говоря, фаервол останавливает выполнение программы (на уровне ОС) и та ничего не сможет сделать, пока пользователь не даст согласие.

фаервол чисто разграничивает инет и комп. или 2 сети брандмауер определяет можно или нет запускатся.. но и это обходят. (если не путаю терминалогию. я им всеравно особо не доверяю.. руки и мозги лучше защитят)

Может быть и бывают вирусы, которые это обходят (пользуясь какими-то дырами), но я че-то про такие не слышал,
К сожалению да, человеческий фактор.
1. Согласен, обновляться надо почаще (и ОС, и браузер). Вот кстати чем меня радует линукс, так это своей концепцией репозиториев - весь софт (проверенный на безопасность) хранится на специальных серверах, обновляется и качается только оттуда, что сразу решает две проблемы: не надо искать софт на левых сайтах, и обновить можно ВЕСЬ софт (а не только ОС) буквально парой кликов мышкой (или одной командой в консоли), причем можно настроить, что бы обновления ставились автоматически.
...

ой как-то обновил я php не посмотрев с 5.2 на 5.3 как я потом ругался и все вертал взад

Если чисто на прибыль ориентироваться, то да, а если для души? Вирусов под винду миллион, новый вирус никто и не земетит, а под линукс кадждый новый вирус это событие. Думаю, если бы сложность написания вирусов под вин и под линь была сопоставима, то вирусов бы хоть немного, но было.

ну так они и есть тока мало иначе откуда появился термин руткит?) по поводу души.. душа душой а обед по расписанию вообще на всяких конференциях по безопасности и т.п. их и ломают для души так скзаать.. вот помню недавно что-то по мобильным броузером было.. там 1 спец за пару минут на iphone через броузер взломал тело. при том что он эту дырку сдал яблочникам ранее и накануне был апдейт браузера.. могу в деталях ошибатся.. но суть примерно такая...

Обычные пользователи (и даже программисты) конечно не будут читать все исходинки, прежде чем поставить программу. Этим занимаются те, кто создают дистрибутивы. Ну и кончено энтузиасты-хакеры во всем мире. Почему это повышает, а не понижает безопасность? Дело в том, что уязвимости - продукт скоропортящийся.

да я на самом деле думаю 1 фиг примерно... что опенсорс что нет. но НЕ в опенсорсе закладку проще сделать а так... не опенсорс уязвимостями не светит. опенсорс выставляет на показ. но в принцепе и то и то ломают

Допустим, один хакер нашел уязвимость, просматривая код. Что с ней делать? Либо использовать сразу (а это не всегда возможно, уязвимости часто очень специфические), - но тогда о ней сразу узнают - либо опубликовать самому (многие фирмы платят хорошие деньги за найденные уязвимости). Придержать ее на полгодика он не сможет - другие опередят. В результате, в худшем случае, найденная уязвимость влечет за собой один-пару успешных взломов, в лучшем - вообще ничего не происходит.

ну как бы есть же уязвимости которым много лет... вообще если хакер - злоумышленник он или напишет приватный вирус и будет за дорого продавать (типа 5-10к зелени за копию) или будет сам потихоньку пользоватся (предварительно посмотрев старые исходники и определив сколькож этой дырке лет )..

В случае с закрытым софтом, найти уязвимость гораздо сложнее (ковыряться надо не в исходнике, а непосредственно в коде), но и исправляют их гораздо медленнее. Так что вероятность успешного взлома больше.

почему медленее?) у меня вон винда апдейты пачками качает

Но вообще, современные системы все достаточно надежны (особенно в умелых руках), так что больше тут зависит от человеческого фактора.
Ну, всякое бывает, но серьезные уязвимости все же всплывают редко. Думаю, в винде их не меньше, просто меньшее число людей о них знают
Как кто-то сказал на одном форуме: если в линуксе исправили 10000 ошибок, а в винде за то же время - 100, это не значит, что винде в сто раз меньше ошибок, это значит что в ней осталось 9900 неисправленных багов.

тут скорее надо винду и линь местами поменять) винду активнее ломают... хотя фиг их знает) в целом пофиг.. если будет большое финансирование и цель взломать такой-то сервер..взломают практический все что угодно.. (вон кстати сони недавно ломали и приватную инфу уперли.. )

Сообщение отредактировал ktotom7 - 11.7.2011, 16:03

[eNeR]

Господа, я вижу тут мало уделили внимания тому, как всё произошло.
Итак:
Тип контроллеров приводов был известен, Сименс поставил пилотную партию Ирану до введения санкций, остальное было докуплено через третьих лиц.
Вирус попал во внутреннюю сеть на флешке вместе с настройщиком. Задетектить вирус современными средствами было не реально, использовалась уязвимость .Lnk-ов, в результате которой винда автоматом подгружала и запускала маленькую безобидную библиотечку. Никаких авторанов, запуск на уровне логики работы файловой системы винды — величайший пилотаж).
Вирус в течении 13 дней делал рекогносцировку внутри сети, в т. числе собирал данные о типах используемых контроллеров и режимах их работы. Это помимо вшитой атаки на контроллеры Сименс. Перестраховка такая, если там не Сименсы стояли.
Потом после рекогносцировки вирь производил деструктивные действия в среднем по 15 минут за период в 26 дней. Пока не поймают. Короед, млин. Хрен найдёшь, активировался только на работающих центрифугах, по мелочи но в итоге очень неприятно.
Инфицирование состояло в замене библиотек управляющей SCADA системы таким образом, что логика работы нарушалась и возникал барьер между системой и контроллерами. Все изменения в винде вносились по валидным сертефикатам от громких фирм, ни одна система защиты винды не пикнула даже. Причём с правами администратора. В целом использовались 4+1 таких уязвимости, что давало вирю возможность скрыто запускаться с сменного носителя, прекрасно размножаться и встраиваться куда угодно с высокими привелегиями. ... короче там много много высшего пилотажа. Всё описывать нет смысла. Лучше сами почитайте как следует.

Если служба безопасности отработала нормально,обнаружив нездоровый интерес определённого сотрудника или может админ чего запалил, тогда конечно затея могла вскрыться. Можно начать сливать дезинформацию и поиграть в кошки мышки... Наш модератор о таком рассказывал, этот вариант в принципиально возмжен.

Но по факту официально раскрутка дела началась после того, как тело виря попало к белоруским антивирь-разработчкам.
если бы этого не случилось и система распространения была искусно ограничена локальной сетью предприятия Иран бы искал причину очень и очень долго. ИМХО.
Возможно не по разу сменив парк центрифуг. Система действительно очень живуча и детектируется с трудом, если работать вслепую. Самым вкусным было то, что упор делался не на громкие спецЫфекты, а для нанесения макс урона при общем уровне «ниже радаров».
Такие мысли после прочтения. Где-то возможно и упростил, где-то не понял до конца, но про оптовую покупку персонала вместе со спецоперациями по захвату планов и чертежей вы зря думаете. Я вообще в восторге от увиденного. Очень тонко.

[yHuK]

А если добавить к выше сказанному

Страшный прогноз CSIS

Многие военные эксперты считают одним из самых опасных конфликтов в современной истории противостояние Израиля и Ирана. (с)
http://svpressa.ru/war21/article/42115/


А Массад это одна из лучших разведок Мира + Добить в уравнение США. То мы найдём и Где крутых хакеров взять и прогеров) и деньги и разведку ))) т.е. все необходимые слагаемые успешного результата.

Да и тем более если аппаратура всё таки была известна заранее...

[eninav]

фаервол чисто разграничивает инет и комп. или 2 сети брандмауер определяет можно или нет запускатся.. но и это обходят. (если не путаю терминалогию. я им всеравно особо не доверяю.. руки и мозги лучше защитят)

Ну я тоже не особо в терминологии, я имел в виду такие программы которые блокируют (запрашивают подтверждение) на подозрительные действия программ. Многие фаерволы это умеют (например комодо, да и стандартный виндовый), поэтому я называю их фаерволами, хотя классический фаервол это только межсетевой экран.

ой как-то обновил я php не посмотрев с 5.2 на 5.3 как я потом ругался и все вертал взад

Бывает, но обычно отваливатеся что-то при крупных обновлениях, типа на другой дистрибутив. Обычные обновления (исправления ошибок) крайне редко приводят к проблемам.

ну так они и есть тока мало иначе откуда появился термин руткит?)

руткит это ни разу не вирус.
Кстати, небезызвесный хакер Крис Касперски, ака Мыщх, всенародно обещал написать вирус для линукса, да так и не написал. Может конечно тупо забил, а может и не осилил

ну как бы есть же уязвимости которым много лет... вообще если хакер - злоумышленник он или напишет приватный вирус и будет за дорого продавать (типа 5-10к зелени за копию) или будет сам потихоньку пользоватся (предварительно посмотрев старые исходники и определив сколькож этой дырке лет )..

Дело в том, что редко какой взлом оказывается незамеченным (если взломанная контора маломальски серьезная), и баг будет обнаружен рано или поздно, а там начнут копать, и докопаются до дыры. Так что, вряд ли хакер успеет продать много копий. Уязвимости - товар, как правило. одноразовый.

почему медленее?) у меня вон винда апдейты пачками качает

Ну, чисто на взгляд линукс качает больше
Вот приведу пример бага, который с 95 винды благополучно дожил до семерки. Если какая-нибудь программа, которая не имеет окна, но отображается в трее, зависнет, и будет убита, ее значок в трее так и останется висеть, пока не наведешь на него мышкой. Глюк, конечно, вполне безобидный, но тем не менее показательно, как весьма очевидный глюк не фиксится 16 (!!!) лет. Интересно, до совершеннолетия доживет?

тут скорее надо винду и линь местами поменять) винду активнее ломают... хотя фиг их знает) в целом пофиг..

Дык исходники закрыты, а без исходников очень немногие хакеры смогут уязвимость найти.

[eninav]

Как то ты слишком сильно много хочешь для столь простой задачи))

Больше ничего не нужно) А самое смешное
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).
Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

Любой из перечисленных обладает необходимой информацией и ещё на Этапе проектирование системы может её исходники передать и в неё вмонтируют всё что надо ещё до установки.

Тоже мне, "простой задачи". Вы, фактически, описываете нормальный процесс разработки серьезного проекта. Только тут все усложняется тем, что работы надо вести тайно. Прогеры пишут вирус, тестеры запускают на целевеом железе (да так что бы СБ не спалила), каким-то образом отчитываются о результатах, те пишут новую версию.... Учитывая, что из-за того что все работы надо вести тайно, скорость разработки падает в разы. Работа растянется на годы. И на каждом шаге есть неплохая вероятность что СБ все таки отловят. (А если спешить, вероятность возрастает.)

[eninav]

Кстати про вирусы. Есть еще такой вид антивирусов: он сначала запоминает все исполняемые (точнее вообще все потенциально заражаемые) файлы, и потом просто сравнивает конрольные суммы. При такой системе никакое заражение в принципе не может пройти незмаченным. У меня такая штука стояла еще во времена 98 винды (не помню как называется). Это к слову о невозможности отловить заражение неизвестным вирусом. Еще как можно!

Вирус попал во внутреннюю сеть на флешке вместе с настройщиком. Задетектить вирус современными средствами было не реально, использовалась уязвимость .Lnk-ов, в результате которой винда автоматом подгружала и запускала маленькую безобидную библиотечку. Никаких авторанов, запуск на уровне логики работы файловой системы винды — величайший пилотаж).

Попасть в сеть мало. Надо уметь распространяться. А незаметно это сделать при грамотной системе сетевой безопасности невозможно в принципе. Т.е. идиотизма СБ/админов это не отменяет. (флешки разрешены + винда + общая сеть на всех + никакой сетевой безопасности)
Расчитывать на конкретные уязвимиости тоже опасно, а вдруг прикроют - и весь проект к чертям.

Вирус в течении 13 дней делал рекогносцировку внутри сети, в т. числе собирал данные о типах используемых контроллеров и режимах их работы.

Это блин Штирлиц какой-то.
Ну допустим, собрал он данные. Как передать то в "центр"? "Юстас алексу"? Или Кэт с флешкой должна зайти?

Потом после рекогносцировки вирь производил деструктивные действия в среднем по 15 минут за период в 26 дней. Пока не поймают. Короед, млин. Хрен найдёшь, активировался только на работающих центрифугах, по мелочи но в итоге очень неприятно.

И что, превышение в 1.5 раза номинальных оборотов никак не заметно? это идиотизм уже конструкторов (или, может,диспетчеров)

Все изменения в винде вносились по валидным сертефикатам от громких фирм, ни одна система защиты винды не пикнула даже.

Это предполагает сговор с этими фирмами, что довольно-таки маловероятно.

В целом использовались 4+1 таких уязвимости, что давало вирю возможность скрыто запускаться с сменного носителя, прекрасно размножаться и встраиваться куда угодно с высокими привелегиями. ... короче там много много высшего пилотажа. Всё описывать нет смысла. Лучше сами почитайте как следует.

А ссылка то где, почитать?
На уязвимости, как я уже писал, опасно расчитывать, вдруг прикроют.

Если служба безопасности отработала нормально,обнаружив нездоровый интерес определённого сотрудника или может админ чего запалил, тогда конечно затея могла вскрыться. Можно начать сливать дезинформацию и поиграть в кошки мышки... Наш модератор о таком рассказывал, этот вариант в принципиально возмжен.

В любом случае, в аферу замешано слишком много людей. Что бы ничто не всплыло - очень маловероятно.

Но по факту официально раскрутка дела началась после того, как тело виря попало к белоруским антивирь-разработчкам.

Значит все-таки что-то заподозрили?

если бы этого не случилось и система распространения была искусно ограничена локальной сетью предприятия Иран бы искал причину очень и очень долго. ИМХО.
Возможно не по разу сменив парк центрифуг.

Так вирус, если и был, ничего не смог сделать с центрифугами. Я бы вооще на месте разработчиков сделал, что бы рандомно раз в год одна из центрифуг раскручивается до макс. оборотов (что бы разорвало). Выходит из строя весь каскад. А тут что? До предела прочности же все равно не дошли. Ну подшипники немного сильнее износились. В чем деструктивное действие - непонятно.

Система действительно очень живуча и детектируется с трудом, если работать вслепую. Самым вкусным было то, что упор делался не на громкие спецЫфекты, а для нанесения макс урона при общем уровне «ниже радаров».

Да не видно максимального урона. А заметность целиком и полностью упирается в пряморукость админов и службы безопасности.

[dddv]

...почему медленее?) у меня вон винда апдейты пачками качает
...

А вы уверены что это апдейты, а не трояны или алкоголь?

1. наиболее опасен путь заражения через драйвер, причём может быть до ввода пароля виндовс.

2. В виндовс есть невидимые нити "treads"

3. "Каспер" довольно хорош.

4. драйвера вполне легко сканируются отладчиками типа SoftAce.

5. контроллеры моторов должны быть отделены от программной цепи, только вкл-выкл + данные в комп.

6. все важные программы должны быть с сигнализаторами взлома и только самописные.

7. а можно и видеодрайвер самим написать, дело нехитрое и опен сорс опятьже

8. Линукс понятно лучше, а ещё лучше своя ОС как у китайцев.

9. а usb-порт можно и оставить, эмулировать виндовс и шпиёнов ловить.

[ktotom7]

Ну я тоже не особо в терминологии, я имел в виду такие программы которые блокируют (запрашивают подтверждение) на подозрительные действия программ. Многие фаерволы это умеют (например комодо, да и стандартный виндовый), поэтому я называю их фаерволами, хотя классический фаервол это только межсетевой экран.
Бывает, но обычно отваливатеся что-то при крупных обновлениях, типа на другой дистрибутив. Обычные обновления (исправления ошибок) крайне редко приводят к проблемам.
руткит это ни разу не вирус.
Кстати, небезызвесный хакер Крис Касперски, ака Мыщх, всенародно обещал написать вирус для линукса, да так и не написал. Может конечно тупо забил, а может и не осилил

да господи) просто что в гугле попалось под руку по темме
http://www.xakep.ru/vulnerability/Linux%20kernel/
http://forum.xakep.ru/m_1073063/tm.htm
http://habrahabr.ru/blogs/linux/74284/
http://www.linux.org.ru/news/security/625591
что будет если подругженный как-то через дырку пусть не линуксе скрипт что-то из этого эксплуатировал?)
с иконкой в винде не баг а фичя

ну и так на закуску
http://ru.wikipedia.org/wiki/%D0%92%D1%80%...%82%D0%B5%D0%BC

реально просто он пока никому не интересен для больших масштабов. вот и ломают скорее под какие-то цыели. и ломают не редко. не всегда через дырки линукса иногда через стороний софт
да хотяб так
http://www.opennet.ru/opennews/art.shtml?num=27960

Дело в том, что редко какой взлом оказывается незамеченным (если взломанная контора маломальски серьезная), и баг будет обнаружен рано или поздно, а там начнут копать, и докопаются до дыры. Так что, вряд ли хакер успеет продать много копий. Уязвимости - товар, как правило. одноразовый.

гугль с вами не согласен. ещё как продают
http://www.google.com/search?num=100&h...138&bih=544
как вариант
http://www.google.com/search?num=100&h...138&bih=544
у кого-то обновления отключенны у кого-то винда пиратская. у кого-то адобе ридер не обновлялся 1000 лет так как вроде чисто книжки читать и схемы смотреть
да и не все конторы серьёзные.. да и серьёзная может не сразу заметить если злоумышленник не наглеет. админ что? он все настроил себе себе в кваку режется или спит в обнимку с системником время от времени обновляя софт, он не телепат знать что его сломали если ломают конечно акуратно... это плохой админ что-то бегает суетится постоянно вся попа в мыле и ни фига у него не работает

Ну, чисто на взгляд линукс качает больше
Вот приведу пример бага, который с 95 винды благополучно дожил до семерки. Если какая-нибудь программа, которая не имеет окна, но отображается в трее, зависнет, и будет убита, ее значок в трее так и останется висеть, пока не наведешь на него мышкой. Глюк, конечно, вполне безобидный, но тем не менее показательно, как весьма очевидный глюк не фиксится 16 (!!!) лет. Интересно, до совершеннолетия доживет?
Дык исходники закрыты, а без исходников очень немногие хакеры смогут уязвимость найти.

вот кстати вам уязвимость в софте под линукс с 2005-2006 года
http://stoplinux.org.ru/opensource-securit...uyazvimost.html

Кстати про вирусы. Есть еще такой вид антивирусов: он сначала запоминает все исполняемые (точнее вообще все потенциально заражаемые) файлы, и потом просто сравнивает конрольные суммы. При такой системе никакое заражение в принципе не может пройти незмаченным. У меня такая штука стояла еще во времена 98 винды (не помню как называется). Это к слову о невозможности отловить заражение неизвестным вирусом. Еще как можно!
Попасть в сеть мало. Надо уметь распространяться. А незаметно это сделать при грамотной системе сетевой безопасности невозможно в принципе. Т.е. идиотизма СБ/админов это не отменяет. (флешки разрешены + винда + общая сеть на всех + никакой сетевой безопасности)
Расчитывать на конкретные уязвимиости тоже опасно, а вдруг прикроют - и весь проект к чертям.

эта старая такая утилита.. у меня тоже стояла правда плохо её помню .. вроде не антивирус кстати она.. по моему она больше целостность данных проверяла.. на hdd на 2tb или недайбог raid'е каком нить на 10-20 TB проще убится чем с ней работать

А вы уверены что это апдейты, а не трояны или алкоголь?

1. наиболее опасен путь заражения через драйвер, причём может быть до ввода пароля виндовс.
...
3. "Каспер" довольно хорош.

ещё как вариант заражения BIOS, прошивки у железа.
каспер.. хм ну у каждого своё мнение.. но в целом я считаю правильно его называют свиньей касперского

зы
на закуску
http://www.opennet.ru/openforum/vsluhforum...352.html?n=test
вполне себе опенсорс и считается одной из самых надежный. на ней строят фаерволы, сетевое оборудование и т.п.

Сообщение отредактировал ktotom7 - 12.7.2011, 0:58

[ktotom7]

дабл потёр

Сообщение отредактировал ktotom7 - 12.7.2011, 0:41

[eNeR]

Это блин Штирлиц какой-то.
Ну допустим, собрал он данные. Как передать то в "центр"? "Юстас алексу"? Или Кэт с флешкой должна зайти?

Каждая распростнраняемая копия просилась в интернет. Стучалась сначала на узел майкрософт а потом по левому адресу футбольного фан клуба, зарегестрированного хацкерами. Далее в виде ссылок осуществлялся обмен инфой (даже с возможностью обновления кода). Второй вариант: Кэт с флэшкой должна была выйти и вынести вирь из интранета. Эта вынесенная копия уже содержала информацию о том, достиг ли вирус SCADA сервера и что там на сервере понаставлено. Далее так-же вирь стучал в интернети обменивался инфой с «футболистами»

И что, превышение в 1.5 раза номинальных оборотов никак не заметно? это идиотизм уже конструкторов (или, может,диспетчеров)

Блин, ну как ещё объяснить. Воздействие незаметное. В логах не отражалось. Скорость вращения на глаз не детектится, там же не в открытых чанах уран вертят Только по интегральному энергопотреблению, ИМХО. Но это уже извращения.

Это предполагает сговор с этими фирмами, что довольно-таки маловероятно.

Есть достоверная информация — сертификаты стащили у фирм.

А ссылка то где, почитать?

http://phocus-scada.com/rus/pub/Stuxnet-CodeAnalys-rus.pdf — анализ кода от ф.Симантек, самое интересное с 24 страницы.

На уязвимости, как я уже писал, опасно расчитывать, вдруг прикроют.

Использовались 4 ранее неизвестных уязвимости. Антивири таких не берут а обычному админу где тягаться с таким зверьём, написанным профессионалами... На каждый объект Крисов Касперски не напасёшьси.

В любом случае, в аферу замешано слишком много людей. Что бы ничто не всплыло - очень маловероятно.

Ну ударная работа СБ как раз более вероятна, чем админская. Этих сложнее было провести. Всё может быть...
Но и инсайдеров там много не надо. Одного-двух нужных людей вполне достаточно. 50/50 допустим, что СБ отработала. Информации в этом направлении мало.

Значит все-таки что-то заподозрили?

Ну как сказать заподозрили. Далеко не факт, что белорусам принесли флэшку и сказали— тут вирус с Иранского завода. Белорусская фирма, занимающаяся тех.поддержкой своего (не названного) иранского заказчика в один прекрасный момент столкнулась (сама столкнулась, про завод ни слова) с новым вирусом в сети заказчика. Декомпилировали код, посмотрели что вирь делает, покричали караул и наделали много шума. Запалила всё по факту специализированная контора. На заводе таких спецов не держат. Соответственно сколько вирь сидел на заводе и сколько бы ещё сидел, не распространись до белорусов - неизвестно. Повезло, устроит? Вирус всё таки распространился на какое-то расстояние от завода, хотя имел в себе механизм трёх «хоп»-ов (не путать с Гоп-ами). В один прекрасный день попал на стол к профи и к нему пришла мировая известность.

Так вирус, если и был, ничего не смог сделать с центрифугами. Я бы вооще на месте разработчиков сделал, что бы рандомно раз в год одна из центрифуг раскручивается до макс. оборотов (что бы разорвало). Выходит из строя весь каскад. А тут что? До предела прочности же все равно не дошли. Ну подшипники немного сильнее износились. В чем деструктивное действие - непонятно.
Да не видно максимального урона. А заметность целиком и полностью упирается в пряморукость админов и службы безопасности.

Ну вот попахала бы на таких режимах с годика полтора — было бы заметно на всех центрифугах, и подшипниками дело бы не обошлось. Просто взломщики не шумели и не торопились. 1000 центрифуг иранцы всё таки заменили (не подшипников). Что лучше: чтобы с диким воем разорвало один каскад или когда в течении года по непонятным причинам потихоньку рассыпаются весь парк? Это ведь не Голливуд, тут эффективность и скрытость решают.
Админов, способных задетектить ранее неизвестный и профессионально написанный вирус (не скрытый авторан а именно профессионально написанный вирус) мало. В основном это всё таки поле деятельности антивирусных контор. Админ просто должен понять в определённый момент, что что-то идёт не так и подключить спецов. Но если вирь писался умными людьми админ ничего не поймёт. Данный вирь именно ими и писался, наследил по минимуму, распространялся незаметно, через доселе нивиданные дыры. Если админ имел полное представление о активности своей сетки, кто там может шевелиться, а кто нет—тогда мог заметить.
Но высокий проф. уровень всей затеи это не отменяет. Короче шЫдевр. В мемориз

Сообщение отредактировал eNeR - 12.7.2011, 6:27

[eNeR]

это плохой админ что-то бегает суетится постоянно вся попа в мыле и ни фига у него не работает

---------------------------------------------------
Ещё линк на описание работы руткит-а «Стухнета»
http://www.securelist.com/ru/descriptions/...Win32.Stuxnet.a

Сообщение отредактировал eNeR - 12.7.2011, 7:22

[eNeR]

http://www.ixbt.com/news/soft/index.shtml?13/84/76
Интересная оценка (в т.ч стоимости) от ESET

[yHuK]

Тоже мне, "простой задачи". Вы, фактически, описываете нормальный процесс разработки серьезного проекта. Только тут все усложняется тем, что работы надо вести тайно. Прогеры пишут вирус, тестеры запускают на целевеом железе (да так что бы СБ не спалила), каким-то образом отчитываются о результатах, те пишут новую версию.... Учитывая, что из-за того что все работы надо вести тайно, скорость разработки падает в разы. Работа растянется на годы. И на каждом шаге есть неплохая вероятность что СБ все таки отловят. (А если спешить, вероятность возрастает.)

Что то вы как то ну очень всё усложняете. Подкупленный разраб всё сделает быстро чётко и в сроки) А дальше перекинут его в соседнюю страну благо там вокруг баз "миротворческих" как грязи и там уже новая жизнь в крутой стране ))) Самый замороченный план всегда идёт криво просто потому что в нём очень много узких мест и точек где может быть отказ.