Дела компьютерные, ответвление из ветки про Фукусиму Опции

[yHuK]

http://www.ixbt.com/news/soft/index.shtml?13/84/76
Интересная оценка (в т.ч стоимости) от ESET

Учитывая все это, только стоимость технической реализации Win32/Stuxnet достигает суммы превышающей 500.000 Евро. Это очень большие вложения, и, учитывая тот факт, что прямой схемы монетизации данная вредоносная программа не имеет, вероятнее всего, злонамеренное ПО было создано какой-то влиятельной или правительственной организацией. Истинные мотивы и цели создания Win32/Stuxnet могут раскрыть только самим авторы этой атаки, но, судя по всему, их так никто и не поймает.

Ну собственно)) к тем же выводам я и сам притопал))))

[ktotom7]

Админов, способных задетектить ранее неизвестный и профессионально написанный вирус (не скрытый авторан а именно профессионально написанный вирус) мало. В основном это всё таки поле деятельности антивирусных контор. Админ просто должен понять в определённый момент, что что-то идёт не так и подключить спецов. Но если вирь писался умными людьми админ ничего не поймёт. Данный вирь именно ими и писался, наследил по минимуму, распространялся незаметно, через доселе нивиданные дыры. Если админ имел полное представление о активности своей сетки, кто там может шевелиться, а кто нет—тогда мог заметить.
Но высокий проф. уровень всей затеи это не отменяет. Короче шЫдевр. В мемориз

админ кстати только в теории умный и всезнающий. следов работы "тихого" вируса он не заметит. то что вирус что-то делает с центрифугами это вообще не его область.. за центрифуги отвечают тамошние техники админ должен
1) сделать так чтоб все работало и не ломалось
2) обеспечить защиту сети от атак из вне
3) по возможности защитить комп от юзеров дураков.

вот чем действия хорошо спрятанного вируса будут отличатся от нормальной работы системы?) ну бегают пакеты по сети.. компы друг с другом ими обмениваются и с центрифугами все на стандартных портах.. программы все называются правильно чтобы админу понять что набор команд ушедших к центрифуге не правильный ему надо точно знать как устроенна эта центрифуга и как управляется. а это не его собачье дело а если и попытается что-то выяснит... сразу же отправится в застенки местной гэбни для "антивирусной" проверки на скрытого шпиона

[eNeR]

2) обеспечить защиту сети от атак из вне

Не хотелось бы холиварить, но программа, подписанная Realtek и JMicron, шастающая по сетке и сующаяся в системные процессы это не есть гуд. Такие активности на серваке можно отмониторить.
Ну а больше никак, согласен. Только на их маслокрутках и ЧПУ ставить независимые цифровые индикаторы и сидеть возле каждого каскада 24/7 Ну либо автоматизировать сей процесс наблюдения по независимой нитке, работающей на аналоговых значениях с записью на магнитную ленту.
Дожили, блин.

[ktotom7]

Не хотелось бы холиварить, но программа, подписанная Realtek и JMicron, шастающая по сетке и сующаяся в системные процессы это не есть гуд. Такие активности на серваке можно отмониторить.

я скорее расписал как и что выглядит в теории да есть свои нюансы. но и каждый день смотреть кто и что шастает по сети никто не будет имхо

[eNeR]

я скорее расписал как и что выглядит в теории да есть свои нюансы. но и каждый день смотреть кто и что шастает по сети никто не будет имхо

Согласен.
Ну тут либо раздвинуть ноги и ждать.
Либо мониторить активность, избегать любого «лишнего софта», чтобы всё прозрачненько было и в логах системы и с точки зрения закладок.
Ну это тоже в идеале
Первый вариант всё таки ближе к истине.
Пример:

... Если сервер обнаружен, вредонос пытается подключиться к базе данных используя имя пользователя и пароль WinCCConnect/2WSXcder после чего пытается получить данные таблиц...

Хакерам были слиты сервисные коды к БД, в которых хранились и по которым мониторились параметры системы. Или хацкеры угадали сервисные пароли, которые Сименс зашил?

[yHuK]

Еще одной интересной уязвимостью нулевого дня является CVE-2010-2772. На этот раз она была найдена в системах Siemens Simatic WinCC и PCS 7 SCADA. Заключается она в жестко прошитом пароле для доступа к базе данных Microsoft SQL из программы WinCC.


Догадки что как где после этого отпадают сами собой)))) Закрытый вшитый пасс никто не ломал это 100% потому что процес взлома спалили бы сразу.
Вывод ))) Эти данные были непосредственно переданы разрабам вируса.

Наличие функциональности, позволяющей ему отправлять интересующие злоумышленников параметры системы на удаленный сервер;
Возможность обновлять себя и расширять свою функциональность с удаленного сервера.

Вот тут же в явном виде указано по сути что сначала его подрубили а потом уже виром управляли, а под какой там траф и прочее его маскировали дело 10. Если там был выход в инет (А это уже АХТУНГ!!!) всё дальнейшее дело техники.
И не надо гнать на админов))) Вот лично у меня в ящике пылится серт по сетевой безопасности от касперского. пачка от MS в частности щас MSITPsa.
И я 100% уверен что там стояла защита периметра сети + цискари + сниф всего трафика + фаерволы ну и антивири. А вир был вшит там на этапе проектирования. Потому что при всех других вариантах его бы спалили.

[eNeR]

И не надо гнать на админов))) Вот лично у меня в ящике пылится серт по сетевой безопасности от касперского. пачка от MS в частности щас MSITPsa.
И я 100% уверен что там стояла защита периметра сети + цискари + сниф всего трафика + фаерволы ну и антивири.

Добавлю вам информации, чтобы пояснить «раскладку»:
http://habrahabr.ru/blogs/infosecurity/123030/
Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора
Ну и тут по сслыкам есть чё посмотреть С первых дней обнаружения вируса «вели».

Сообщение отредактировал eNeR - 12.7.2011, 13:52

[yHuK]

Добавлю вам информации, чтобы пояснить «раскладку»:
http://habrahabr.ru/blogs/infosecurity/123030/
Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора
Ну и тут по сслыкам есть чё посмотреть С первых дней обнаружения вируса «вели».

Авторы червя знали о пяти потенциальных субподрядчиках атомной электростанции, будучи уверенными в том, что работник как минимум одного из них войдет на закрытую территорию с рабочим ноутбуком и использует флеш-носитель для того чтобы загрузить обновления ПО в компьютеры, контролирующие контроллеры.

Итого даказано считай Инсайдеры))))

не существовало возможности обнаружить его используя стандартные процедуры дебаггинга, для того чтобы понять, какой код был добавлен авторами Stuxnet в код управления контроллерами — они выглядели идентично. Это очень хитроумное программирование.

Ещё 1 доказательство моих слов )))

Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

Червь был спроектирован для этого, единственного, архитектурного плана. Stuxnet не смог бы навредить другой атомной станции, использующей то же самое оборудование Siemens.

и возвращаемся к Разрабам) и прогерам))

[dddv]

Итого даказано считай Инсайдеры))))

не существовало возможности обнаружить его используя стандартные процедуры дебаггинга, для того чтобы понять, какой код был добавлен авторами Stuxnet в код управления контроллерами — они выглядели идентично. Это очень хитроумное программирование.

...

инсайдеры, хренайдеры Я на днях ради интереса взломал и подменил протокол одного из контроллеров. так что снифь (и обрезай ненужное) через буфер пакеты контроллера с другого компа и пофигу стуксы с их тупыми миллиардами

А вообще контроллер должен быть оторван от управления. Релюшкой вкл-выкл и аналогом скорость снял. Режимы по месту. с замком и двумя охранниками.

Сообщение отредактировал dddv - 12.7.2011, 21:59

[anarxi]

А вообще контроллер должен быть оторван от управления. Релюшкой вкл-выкл и аналогом скорость снял. Режимы по месту. с замком и двумя охранниками.

золотые слова,чем проще система тем сложней её повредить.

[ktotom7]

золотые слова,чем проще система тем сложней её повредить.

+1 любой компьютер подвержен массе потенциальных проблем и болячек. в идеале все критическое что выводится на комп где-то должно дублировать простейшей аналоговой техникой (без свистоперделок в виде сенсорных экранов и т.п.). Комп конечно штука надежная (тем более в таких местах)... но вот например взяли и посыпались там харды.. или сетевая плата сдохла, накрайняк тот кто его собирал забыл термопасту положить под кулер (да не на одном а сразу на всей партии ), пришло лето комп стал перегреваться и отрубатся..... или те же вирусы...

зы
кстати землетрясение включенному компу может больше вреда нанести в разы чем любому аналоговому измерительному прибору... уронил я помнится как-то включеный хард (буквально с высоты 10-15см).... прожил он потом не очень долго... если с включенными компами хорошенько треханет то думаю эффект будет ещё лучше

Сообщение отредактировал ktotom7 - 13.7.2011, 8:33

[yHuK]

инсайдеры, хренайдеры Я на днях ради интереса взломал и подменил протокол одного из контроллеров. так что снифь (и обрезай ненужное) через буфер пакеты контроллера с другого компа и пофигу стуксы с их тупыми миллиардами

А вообще контроллер должен быть оторван от управления. Релюшкой вкл-выкл и аналогом скорость снял. Режимы по месту. с замком и двумя охранниками.

Яб сказал что тут не снифить нужно)) а заниматься Хэшированием если вы знаете что это. и тогда при проверке команд от контролера будет понятно сразу что пришло. точно также еслиб весь траф содержащий переданные управляющие команды (именно родной траф который идёт от родной софтины) запихивался в Хэш и поверху шифровался) то тогдаб подмешать в него что либо и как либо было очень сложно, НО если всё так как я думаю и там замешаны сами прогеры софта разрабы и тестеровщико наладчики)) то тут что не делай напишут так что не заметишь)))

Ну а как Одмин с бородой могу сказать что. чем система проще - тем она надёжнее. Лучшее враг хорошего. И Везде обязательно должны ставиться Ручные "Рубильники" которыми можно чисто физически изолировать и отключать посегментно или что то в целом или просто глушить систему. Никакая поганая автоматика не заменит их.

Имхо на Атомных объектах ОБЯЗАНЫ использовать полностью уникальное программное обеспечение с грифом "сов сек"

[yHuK]

+1 любой компьютер подвержен массе потенциальных проблем и болячек. в идеале все критическое что выводится на комп где-то должно дублировать простейшей аналоговой техникой (без свистоперделок в виде сенсорных экранов и т.п.). Комп конечно штука надежная (тем более в таких местах)... но вот например взяли и посыпались там харды.. или сетевая плата сдохла, накрайняк тот кто его собирал забыл термопасту положить под кулер (да не на одном а сразу на всей партии ), пришло лето комп стал перегреваться и отрубатся..... или те же вирусы...

зы
кстати землетрясение включенному компу может больше вреда нанести в разы чем любому аналоговому измерительному прибору... уронил я помнится как-то включеный хард (буквально с высоты 10-15см).... прожил он потом не очень долго... если с включенными компами хорошенько треханет то думаю эффект будет ещё лучше

1.
+1 любой компьютер подвержен массе потенциальных проблем и болячек.
Особенно винда!
2.
в идеале все критическое что выводится на комп где-то должно дублировать простейшей аналоговой техникой (без свистоперделок в виде сенсорных экранов и т.п.).

Мысль супер но реализовать в современности сложно. Поэтому должно быть дублирование Компов также как серверов Кластерами. и кластеры делать не 1+1, а 1+2 Постоянно рабочих +1 в затушенном виде. Просто чтоб перестраховка была.

3.
но вот например взяли и посыпались там харды..
Рейды давно есть )) и работают в любых ПК даже самых простых домашках) + никто не мешает делать так что сама инфа как бы в "облаке" на серверах в каких нить блейдовых стойках

или сетевая плата сдохла
Проблем сделать их 2-3 вроде нет)) и задублировать)

накрайняк тот кто его собирал забыл термопасту положить под кулер
Современный ПК и без термухи будет работать годами)

(да не на одном а сразу на всей партии smile.gif )
Ну это уже если только деверсия))

пришло лето комп стал перегреваться и отрубатся.....
кулеры 80 и 120 )) цена от 100 до 300 р )))

или те же вирусы... smile.gif
ну а тут как повезёт))) всё зависит от эксклюзивности вируса)))

[eNeR]

Все молодцы.
Давайте не забывать о целях создания АСУ ТП систем и предпосылках к их созданию. Это сложные технологические процессы. Управление и мониторинг БАК-а тоже на релюшки переведём ?
Не, ну мониторинг там возможно было организовать, на том заводе. Пусть даже через аналоговые системы.
Ну а с управлением таким технологичным оборудованием шо бум делать, отцы?
Давайте конкретизирую, чтобы облегчить ответ на вопрос.
Как «просто» организовать систему управления сложнейшими технологическими процессами? Желательно с возможностью гибкого управления и обратными связями внутри системы...

[yHuK]

Все молодцы.
Давайте не забывать о целях создания АСУ ТП систем и предпосылках к их созданию. Это сложные технологические процессы. Управление и мониторинг БАК-а тоже на релюшки переведём ?
Не, ну мониторинг там возможно было организовать, на том заводе. Пусть даже через аналоговые системы.
Ну а с управлением таким технологичным оборудованием шо бум делать, отцы?
Давайте конкретизирую, чтобы облегчить ответ на вопрос.
Как «просто» организовать систему управления сложнейшими технологическими процессами? Желательно с возможностью гибкого управления и обратными связями внутри системы...

1. Разработка своей собственно операционной системы.
2. Разработка системы мониторинга и проверки результатов. т.е. Система должна быть задублированна так, чтоб 2 изолированая система получала все входящие данные также их обрабатывала и показывала результат причём Эталонный! который можно было бы сравнить с Живым.
3. Многократное резервирование системы, её узлов и т.д.
4. Система должна быть децентрализованной! так чтоб вывод 1 узла не выводил всю систему из строя.
5. Создание специальных отделов технических для изучения всего что будет ставиться и вноситься в качестве изменений в программу. Т.е. ещё на этапе внесения обновлений они должны быть разобраны до самой последней строчки кода.
6. Ограничение доступа в целом к этой системе.
7. Желательно разработка своего собственного Железа, ну точнее всецело самый лучший ход был бы создание своих компьютеров, специально разработанных и заточенных под это Вот она 1 далёкая весточка.

[kandid]

Давайте конкретизирую, чтобы облегчить ответ на вопрос.
Как «просто» организовать систему управления сложнейшими технологическими процессами? Желательно с возможностью гибкого управления и обратными связями внутри системы...

Такие вопросы так не конкретизируются, потому что ответ на него денег стоит. И именно в этом месте возникает порочный круг: неизвестному ответчику никто денег не даст, а известные ответчики шпарят известные ответы, которые ответами как раз и не являются.
Именно из этого порочного круга растут ноги ходячей "истины": цена достаточной надежности достаточна для надежного банкротства предприятия.

[eNeR]

1. Разработка
2. Разработка
3. резервирование
.....

У нас тут ветка для идеалистов

Такие вопросы так не конкретизируются, потому что ответ на него денег стоит. И именно в этом месте возникает порочный круг: неизвестному ответчику никто денег не даст, а известные ответчики шпарят известные ответы, которые ответами как раз и не являются.

Ладно, ладно. Погорячился.
Всего лишь хотел напомнить, что нельзя впихнуть невпихнуемое. Это я про многоуровневую АСУ ТП и ламповые транзисторы.

[yHuK]

У нас тут ветка для идеалистов

Ладно, ладно. Погорячился.
Всего лишь хотел напомнить, что нельзя впихнуть невпихнуемое. Это я про многоуровневую АСУ ТП и ламповые транзисторы.

Ну а как Вы себе представляете. Всё стоит денег. И нет ничего невозможного.
из чего делается баланс Стоимость-Качество.

в ПВО с-300 )) Лампочки и многоуровневое АСУ))) Или мы Ракеты на скоростях 8000 км/ч корректировать в полёте умеем Лампочками, а остальное разучились?



пока Все занимаются Покупкой всего и вся железа у Иностранцев мы активно вкладываем бабки в их разработки и на корню Гробим отечественные если так продолжится ещё десяток лет то Россия окажется в технологическом каменном веке, где она будет зависима от всех и вся и полностью, мы ничего не изобретаем отечественная техническая мысль встала колом на уровне 1990 года и продолжает находится на нём. Поэтому извините конечно но мы щас глубого в Ж... и если ничего не изменится мы в ней не просто останемся мы в неё ещё глубже погрузимся.

[kandid]

Всего лишь хотел напомнить, что нельзя впихнуть невпихнуемое. Это я про многоуровневую АСУ ТП и ламповые транзисторы.

И все же: невпихнуемое, потому что не то пихается.
В частности, ламповые транзисторы бывают разные. Сейчас кое-где порой такие делают...
Но проблема мне видится, тем не менее, не столько в "железе", сколько в концепции.

Тысячи лет как известно: надежность резко повышается за счет ортогональности.
Так нет же: строим иерархические системы с упованием на параллельное дублирование.

[eNeR]

в ПВО с-300 ))

Ну там не на столько всё плохо. ТТЛ-логика использовалась. Хотя и в лохматом году создавалась система.
Создать действительно можно всё, только не окупится такой подход?