А Вы что - на форточках это все организуете? Если да, то отчего же с пингвинами не играете?
Тут недавно встретил ссылку на нашего пингвина. Который ребята в пику пильщикам бабла сделали. Сам еще не смотрел. Но люди брали, хвалили...

Что это вы ребята делаете?Ведь это опасней любой цунами.Какие антивирусные заморочки.В тысячелетней битве нападения и защиты первое всегда на шаг впереди.Источникhttp://www.phocus-scada.com/rus/pub/Stuxnet&IndustrialSecurity.html#Toc41 Как то вот беспокойно и боюсь клизма не поможет.Тем более у нас в стране богатый опыт внедрений в работу государственных серверов. Извиняюсь за офтоп

Это копейки. Реплицировать данные на пяток серверов в изолированной сети по защищенным каналам в радиусе 100 км от объекта не представляет сложности, включая запись речи. Проблематично будет ацапы накинуть существующее оборудование. но это решаемо.

Примите успокоительное, пациент. Система не является управляющей.


- Доктор, помогите, я писаю кипятком!
- Вынимайте пальцы из розетки. Следующий!

Anarxi,

дело в том, что никаких значимых признаков снижения количества произведенного обогащённого урана в Иране не наблюдается. В 2009 году месячные объёмы колебались вокруг среднего значения, в 2010 году медленно росли.

В 2009 году в Иране наблюдалась постепенная деградация центрифуг на одном из модулей. Постепенная, а не мгновенная. Есть простое объяснение - центрифуги данного модуля были сделаны действительно в Иране, как Иран и заявлял. А для других модулей комплектующие могли быть куплены за границей.

То есть, никаких результатов якобы атаки обнаружить не удалось.

Добавка. Это тот случай, когда заявленный результат может быть проверен. На иранском заводе стоят камеры, транслирующие картинку в режиме онлайн в Вену. Никаких чрезвычайных событий, вызванных якобы атакой вируса, на картинке никто не видел

Более того. Вирус не мог нанести центрифугам никакого ущерба. В прессу вбрасывались фальшивые данные о частотах центрифуг. Им верили, аналитики их брали в работу, анализировали, писали простыни, которых переначитались авторы вируса и использовали в своём коде. Естественно, после этого вирус и не мог сработать как задумано, у него условия не выполнялись

Так что вирус, если его атака действительно была, выстрелил мимо. А под шумок народ обделал кучу своих делишек. Иран арестовал несколько десятков человек, которых давно собирался арестовать. Куча народа на Западе получила гранты. Финны сидят как оплёванные, потому что авторы вируса почему-то решили - финны продают иранцам контроллеры для каскадов центрифуг. Немцы вообще в трауре, потому что в вирусе много всяких заточек на оборудование от "Зименса" (казалось бы, с какой стати?).

В общем, эффект потрясающий, кроме одного - успешной атаки на ядерный объект не состоялось. И это далеко не случайно.

Похоже сказал больше, чем хотел. Возможно я неправильно интерпретировал "защита и сохранность информации". Предлагаю считать, что я ошибся и дальше не углубляться.

"А Вы что - на форточках это все организуете? Если да, то отчего же с пингвинами не играете?" - Тото я думаю, почему многие пациенты стали ходить вразвалку с оттопыренными руками. Некоторые пытаются высиживать яйца. А оказалось, что они считают себя пингвинами и пытаются пролезть в форточки.

И добавлю. В России в отрасли есть вполне обоснованная паранойя на предмет закладок.

Поэтому системы, у которых не открыт код, могут претендовать максимум на работу в интересах сотрудников клининговых служб за пределами 30-км зоны

Это к вопросу о форточках.

Да, лучше бы не углубляться. А то товарищи майоры начнут нервничать. А оно нам надо?

Мне история про вирусы в иранских центрифугах тоже показалась байкой, в стиле голивудских фильмов про хакеров.
1. Винда на ядерном объекте - это сильно (особенно если учесть "теплые" отношения между ираном и америкой.
2. Я так понял, там диспетчер воткнул флешку с вирусом в свой комп, и пошло заражение.
2а) любой нормальный админ (и вообще продвинутый пользователь) первым делом отключает автозапуск флешек, т.к. эту вредительскую фичу, кажется, специально создали в подарок писателям вирусов.
2б) вообще то левые флешки в серьезных конторах втыкать не позволят (вплоть до того что усб-порты эпоксидкой заливают)
3. Антивируса там тоже не было видимо?
4. Диспетчеры сидят под админскими правами? (Потому что с порезанными правами более-менее критичные операции невозможны).
Т.е. из пунктов 2-4 следует, спецы по компьютерной безопасности в иране - полные идиоты, которых бы даже админом-эникейщиком в игровой клуб бы не взяли (а если бы и взяли, то через неделю бы выгнали пинками после того как вся сеть ляжет из за вирусов, принесенных юзерами на флешках).
5. Да и вообще, вирус уж больно продвинутый, логи подделывает для диспетчеров и т.д. Столь же правдоподобно было бы написать, что вирус выводил на экран гипнокартинку, посмотрев которую диспетчер пошел и кувалдой расхреначил все 1000 центрифуг.
Чушь и желтизна, короче.

А Забарханская АЭС онлайн будет? Камера на бщу каждого блока и в турбинном зале? Всё равно слово антивирусный предпологает либо опасность вирусов,либо крупный распил бабла.

Nut уже поправился. "Защита и сохранность информации" - это немного иное, чем антивирусная защита.

Я хочу сказать, что проблема есть, но её видят и занимаются ей ещё с времён СССР. Тогда боролись с закладками (например, в Семске на полигоне военные расчётчики не использовали штатовских программ, которые добывались для гражданских расчётчиков; а для гражданских разведка тащила программы только с исходными текстами, и то сначала предпочитали обкатать и проверить программы где-нибудь в Польше).

Теперь добавились другие заморочки. Но, в общем, на них обращают большое внимание. Так что это Вы зря, у нас IT-шники тоже есть.

Ну там есть различные мнения на сей счёт. Причём весьма обоснованные.
А вообще разработчики вируса — красавцы. Всё втихую. Мастера, слов нет.

Дык я в Наших и не сомневаюсь Простото не сильна ли велика зависимость человеков от компов в последнее время.И Япония тому яркий пример.

Различные мнения возникают по следующей причине. МАГАТЭ даёт данные по иранским центрифугам дискретно, с периодичностью раз в квартал. Поэтому на графиках числа центрифуг могут возникать скачки. Но длительность скачка - три месяца. Большей деталировки МАГАТЭ не даёт. Публично не даёт. В реальности, агентство видит ещё и онлайн-картинку с завода, но эти данные должны быть закрыты даже от государств-членов МАГАТЭ.

Если интересно, по ссылке на стр.6 есть рис.1 - число центрифуг на иранском заводе. Чёрные столбики - центрифуги с ураном, зелёные - общее число центрифуг. Данные взяты из докладов МАГАТЭ, все доклады сейчас открыты и есть на сайте агентства.

Мы видим два момента. Весь 2009 год шло снижение числа центрифуг, загруженных ураном (т.е., производящих продукт). А в феврале 2010 года мы видим резкий провал в общем числе центрифуг, полностью восстановившийся уже к маю. Вот этот провал служит основанием для утверждений, что на заводе отработал вирус.

Встречные возражения. Известно из докладов МАГАТЭ, что демонтировались центрифуги из второго иранского модуля, по которому есть предположения о более низком качестве оборудования (комплектующие иранские, а не импортные). Быстрое восстановление числа центрифуг заставляет предположить, что их просто снимали для осмотра. Вряд ли для замены - запасных центрифуг у Ирана не так много.

Второе. Число центрифуг с ураном в феврале 2010 года практически не изменилось. Что тогда атаковал вирус, если это была атака? Пустые центрифуги? Если да, то он очень помог иранцам, потому что с ноября 2010 года у них начался устойчивый рост числа центрифуг с ураном, выдающих продукт.

И третий, косвенный аргумент. Человек, который имел доступ по долгу службы к картинке с завода (Олли Хейнонен, бывший замглавы МАГАТЭ), сразу и публично отмёл версию вируса напрочь. Позже он поправился и сказал, что теоретически вирусы могут наносить вред ядерным объектам. Но первая реакция самая очевидная - можно считать, что по картинке они не видели ничего подозрительного.

Для этой ветки это оффтоп. Если есть желание, можно продолжить в отдельной ветке.

у меня работа связанна с интернетом и нередко приходится сталкиватся со всякими бяками. ни один антивирус не даст сколь нибудь надёжной защиты.
вирусы на то и вирусы чтобы их не находили так просто. всегда можно сделать новый вирус который пока не извествен антивирусам. и пока его кто-то не поймает не отправит какой-то антивирусной компании которая его припарирует... никто его определять как вирус не будет. если вирус какой-то специфический.. тихий там заражает не в промышленных масштабах процесс его обнаружения может затянутся на годы. к тому же нередко вирусы шифруют. хз как этот процесс работает но итог этого процесса что меняется сигнатура вируса и многие антивирусы перестают его обнаруживать.

так что от антивируса объективно толку не так много.

на мой взгляд более менее идеальная защита от вируса получается как-то так.
1) отдельная сеть. никакого контакта с интернетом и другими сетями.
2) режим работы с компьютерами такой что никакие носители информации туда не ставятся (флешки и т.п.) если надо записать что-то с компа этого берётся cd болванка чистая и на неё пишется.


по поводу вирусостойкости пингвина не более чем миф.
дырок в них нередко находят больше чем в винде... но даже не в этом суть. линукс просто мало кому интересен из хакеров в виду низкой распространенности. как пример. сейчас посмотрел на 1м из своих сайтах (не большой относительно.. порядка 15к-30к посещений в сутки) статистику по OS

Windows 87,74 %
Macintosh 8,68 %
Linux 1,36 %
Android 0,64 %
...
дальше ещё меньше.
скажем так на месте хакера что было перспективнее заражать чтобы получить максимально большой ботнет?
вот и получается.. линуксы пока никому особо не нужны чтоб их ломать будет их 30-50% в трафики тогда дырки во всю полезут..

извиняюсь за офтоп . просто на работе действительно часто приходится сталкиваться с вирусами и примерно представляю положение дел.

в бытность преподователем в институте таскал с собой ноут на занятия у студентов принимать задания.. какого только заапарка не навидался) 1 вирь например делает невидимым все папки и файлы на флешке вместо них ставит файлы с такими же иконками как были. думаеш что открываеш папку а на деле это запускается вирус заражающий машину (правда потом он и папку откроет чтоб не спалится) ну и потом делает такое же со всеми съемными носителями втыкаемыми в системму) вообщем голь на выдумки хитра и всегда найдет лазейку



как бы очень много дырок в любой OS есть которые позволяют из под непривилегированного юсера получить права суперпользователя..

ну как бы с точки зрения программирования что-то подобное написать особых проблем не представляет особенно если хорошо представлять себе как работает тот или иной объект.

снова извиняюсь за офтоп

Попробую обойтись двумя линками.
http://www.warandpeace.ru/ru/commentaries/view/55638/ —тут общий анализ действий
http://phocus-scada.com/rus/pub/Stuxnet-CodeAnalys-rus.pdf — анализ кода от ф.Симантек, самое интересное с 24 страницы.

В принципе самая жесть ситуации состояла в тихой работе вируса. И то, что его заметили практически сразу— это очень и очень большая удача.
Почему: Вмешательство производилось только на реально работающие центрифуги (от 13 дней сроку) и очень-очень незаметно и ненадолго (от 15 до 50 минут) на превышающих режимах Вирус успел поработать только здесь.
Всё втихую, зачем шуметь в таких делах? Я готов поверить, что деза лилась рекой, но разработчики вируса всё таки далеко не лохи слепые котята и наличие результата (1000) это подтверждает. Инсайд был хорош, а последовательность "С" из кода вируса вообще позволяла сидеть у них в контрол руме и играть в пасьянс за компом диспетчера.
Моё видение ситуации:
В зону действия вируса попали все реально находившиеся в эксплуатации центрифуги и хорошо, что вирус быстро обнаружили. Поработай Иран на всех 9000 своих центрифугах - списать пришлось бы всё. ИМХО

Сам же ещё раз пооффтоплю.

eNeR,

посмотрите, пожалуйста, ещё раз на график.

В 2007-2008 годах Иран имеет первый модуль каскадов и использует его почти на 100%. Зелёных столбиков практически не видно. Комплектующие для модуля, как предполагается, Иран купил за границей.

С 2009 года Иран монтирует второй модуль, из местных комплектующих. В мае 2009 года видна попытка начать его использовать. Неудачная - довольно быстро число работающих центрифуг откатывается назад, к числу центрифуг в первом модуле (уровень 2008 года).

В феврале 2010 года мы видим демонтаж тысячи центрифуг из второго модуля. В мае 2010 года их вернули на место. С ноября 2010 года начался устойчивый рост числа работающих центрифуг, т.е. Иран сумел начать использовать центрифуги второго модуля.

Вы думаете, что где-то здесь проходил вирус? Ваше право Как по мне, они в феврале'2010 искали явный заводской брак у центрифуг второго модуля. Или наоборот, пытались вычленить работоспособные центрифуги (разрушение при работе одной центрифуги выведет из строя, как минимум, весь каскад из 164 машин, а возможно, и соседние - осколки от ротора разлетаются как от гранаты).

Всё, оффтоп off. Дальше, если хотите, сделаю отдельную ветку под эту тему.

А вот тут-то я и присел. Это наша статья.

http://atominfo.ru/news4/d0249.htm

Я всё, в принципе. Что нашел-написал.
Ещё раз снимаю шляпу. Мастерски и без шума. Даже если не удалось, всё равно мастерски. Не торопясь, по чуть чуть, в перспективе все 9000. Класс.

Я не майор, но честно говоря, тоже начал нервничать. Потому и спросил о форточках и пингвинах.
Спасибо, господа. Вы меня успокоили. А то я что-то разволновался. Честно, честно.

Во-первых, можно и без антивируса жить и без заразы - просто надо соблюдать минимальные правила гигиены. Например, не тащить в рот левые ехе-шники с левых файлопомоек. Автозагрузку с флешек отключать обязательно (относится к винде ХР, в новых автозапуска как такового нет).
Во вторых. Поиск по сигнатурам - только один из видов поиска. Гораздо надежнее поиск по "подозрительным действием". Это умеют делать все более-менее нормальные антивири. Смысл такой: когда какая-нибудь новая прога делает что-то подозрительное (лезет в инет, пытается изменить реестр/ситсемные фалы, или чужой exe, и т.д.) - то выскакивает окошко с сообщением: разрешить/запретить. Если точно уверен что прога надежная, можно добавить ее в надежные файлы, больше спрашивать не будет. Такое умеет любой нормальный фаервол, в т.ч. и бесплатные. (кстати вещь удобная не только для вирусов, например некоторые проги умеют лезть в инет и проверять, лицушные они или ломанные, запрещаешь такой проге доступ в инет, и все работает )


С эти спорить трудно, но это примерно как бороться с венерическими болезнями методом полного воздержания: слишком радикально.


Это не миф. Под линуксом вирусов действительно нет. (есть десяток, которые на современных системах уже не заводятся).
Дырки к вирусам отношения имеют довольно слабое, т.к. влияют на вероятность взлома, а не заражения вирусом. А дырок находят больше потому что линь открытый и все дырки на виду, а винда закрытая, и поэтому там дырки не фиксятся годами.


А вот это как раз миф. Да, среди десктопов линукса немного, зато среди серверов - чуть ли не большая часть (ну десятки процентов точно). Что полезнее заразить, сервер или десктоп? Да один сервер стоит тысячи десктопов перспективности взлома. Не говоря уж о том что инфа на серверах на порядки ценнее. Но вирусов нет. Почему?
Просто юникс-подобная архитектура действительно практически неподвержена вирусам. Причин много, но основнае - грамотная система распределения прав доступа. Система централизованного распространения софта (через репозитории) тоже не дает разгуляться вирусным инфекциям. Открытость, конечно, тоже.
Кстати, популярность маков (по вашей же ссылке) не так уж мала, 8%, а под макос (тоже юникс-подобную) тоже вирусов нету. С чего бы это?

Ага, видел такое. Был как-то в гостях у родственников, посмотрел комп, это такой заповедник вирусов, какого я не видел ни до, ни после. Я то пользуюсь Тотал Командером, поэтому как открыл флешку, сразу увидел странный прикол, у каждой папки дубликат, скрытый файл с таким же именем и значком папки, но с расширением ехе Как воткнул флешку, сразу на ней появилась туча левых ехешников и авторанов
Однако дома я спокойно фтыкал эту флешку, т.к. авторан отключен, и свой комп не заразил (а это еще было во времена ХП, семерка в этом плане безопаснее т.к. сразу авторан с флешки не запускает).


Тем не менее, исполнение простых правил помогает обойти минимум 99% угроз. Никогда кстати не любил скрывать расширения файлов, и как оказалось не зря - штука потенциально опасная


Есть, но такие ошибки фиксятся довольно оперативно.


Как раз проблема в том, что надо ОЧЕНЬ хорошо знать все тонкости. Например, точно знать, какие чипы там стоят, что бы их перепрограммировать. (не думаю, что эта информация сильно открытая).
Больше всего меня удивило, что вирус выдавал типа "правильные данные" с центрифуг во время диверсии. Я как-то с трудом представляю, как это вообще физически возможно (не факт что там на комп все завязано, мне кажется что должно на них стоять какое-то подобие автоматической защиты, отключающее центрифуги, например, по сигналу вибраций, перегрева и т.д.), но даже если предположить что теоретическая возможность есть, надо во всех тонкостях знать особенности используемого софта, характеристики датчиков и т.д.
А вообще редко какая прога запустится сразу и без глюков с первого раза, это вам любой программист подтвердит

з.ы. если оффтоп, пусть перенесут в другую ветку (хотя после обсуждение медведей и рыбы с пивом это не очень то и оффтоп )

в компе эта гадость отключает диспетчер задач. лечила я у одного товарища такое)) Правда, кардинально - сносила фсё, так как там кроме этого, флэшного, еще куча живности была

Ну это что-то древнее и примитивное.
Сейчас так не делают. Навострились прятать процессы из списка. Причем очень глубоко. Именно в этом месте имеется радикальное отличие пингвинов от форточек: у пингвинов так глубоко не зарыться.

Кроме того, мелкгомягкие сами навязывают опасные технологии.
Кто, кроме профессиональных системных программистов, может уверенно сказать, чем занимается каждый процесс, идущий на его компьютере?
А если вспомнить родовую мозговую травму форточек, то вообще ... Это же надо догадаться рекомендовать начинающим писать всякую хрень, связанную исключительно с работой только одной вымученной начинающим программой, в системный реестр.


Я так вообще в антивирусную терапию не верю - только хирургия. Радикальная.

Всем привет вот уже с марта читаю вашу эту тему. Но отписаться ну не мог по причине наверно не компетентности т.к. я IT шник.
Собственно по вирусам докладываю.
1. Приватные эксклюзивные однозадачные под конкретный заказ вирусы Никогда не заметит ни 1 существующий антивирус (для этого их проверяют специально)
2. По исследованию того объекта про который вы говорите в Иране у ИТшников есть информация которая просочилась в интернет что специалисты вирусологи пришли к выводу что алгоритм что должен был делать вирус писался людям очень даже не ОЧЕНЬ хорошо понимающим ту технику которую нужно вывести из строя.
3. Операционная система не влияет на вирусы, автозапуск на флешке не обязательно должен быть + добавить я знаю ещё десяток способов как можно при желании притащить вир туда и там его запустить, начиная от зашивки его в в железо на уровне продажи (или у нас что Иран сам весь свой парк компов что там стоит создавал??)
4. Специализированные Вирусы которые пишут чтоб выводить из строя Заводы и т.д. не Диковинка… уже давно есть и успешно их создают. Это 1-но разовые программы цены на их разработку стартуют думаю крайне высоко (приватный вир для корпоративной сетки в Виндовом домене щас стоит от 10 000 евро заказать)

Тут поясню. Если Взять Физика Добавить к нему Технолога процессов, и к ним подключить Программеров то получится тот самый «Вип» набор людей необходимых для создания вируса. А если прикинуть что есть страны ОЧЕНЬ богатые и готовы финансово оплатить такой заказ, а главное имеющие возможности доставить куда надо этот вирус или вшить не важно. То думаю ваш спор о вирусах тут не должен быть как «Верю» «Не верю» а должен быть «Как защититься самим»

Почитал статью. Оказывается, подробностей про технические характеристики иранских центрифуг не знают даже в магатэ. Так, кое какие догадки, ничего больше. Неизвестно например какие там стоят преобразователи:



По такому ТЗ - "напиши вирус неизвестно для чего" - ни один хакер работать не будет

Но мне больше всего интересно, как вирус блокировал индикацию нестандартного поведения центрифуг, что диспетчеры ни о чем не догадывались.
Ясно, что на центрифугах использутся какие-то датчики, и их показания как-то отображаются. Как? Если непосрественно (как по старинке, циферблатами, шкалами и т.д.) то вирусу тут вообще делать нечего. Если с помощью компьютера - то программа наверняка самописная, и вмешаться в ее поведения, не зная программу, совершенно невозможно. К тому же такой комп и к сети то вообще не подключен.
Такой вирус-многостаночник получается: и центрифуги раскручивает, и программы для мониторинга ломает, и все это практически на незнакомом железе и софте?

Вы серьезно в это верите??? Это же байка и махровая голивудщина, в стиле Дня Независимости, где вирусом заразили комп инопланетян.

Собственно весь вопрос упрется в Деньги. Не больше не меньше.
Скажу вам что допустим Система сетевой безопасности банка практически полностью убивает возможность утечки информации. Но Инсайдеры не дремлят и за хорошие деньги они эту информацию передают тем кому нужно.
никто не будет изобретать велосипед. Купят програмную оборочку как вариант на прямую у спецов допустим которые её и писали. А в замен допустим Гражданство хорошое и деньги предложат))) И т.д.

Сервак SCADA заданной конфигурации поднять (с условно двумя контроллерами, хотя можно и без них), гораздо дешевле, чем вы себе представляете.
Правильно говорят, инсайд и прикрытие раза в два больше денег на себя утянули, чем дела компьютерные.
Жаль, подробностей немного. Событие знаковое.

в теории это все конечно хорошо.. но вот незадача вирусы тоже могут блокировать фаерволы. или маскироватся под другую программу. на крайняк можно имитировать клик мышкой по окну с разрешением (это все не выдуманное а реально что те или иные вирусы умели делать)

по поводу благоразумия пользователе. ну вот как не старайся не разжёвывай яки дети малые все себе в рот тащят (ладно бы домохозяйки... но инженеры тоже этим болеют) а по сути да мозг понимающий что и как может произойти на компе+прямые руки защитят лучше любого антивируса (у меня так вообще бесплатная авира стоит... изредка бывает на сайтах попискивает (по работе приходится на такие сознательно лесть) (чащи кстати несмотря на то что я ВИЖУ что там вирусы вижу как в pdf долбится вирь и т.п. молчит как партизанка) но более чем за год с лишним все чисто тфу-тфу-тфу (постоянно по работе счета оплачиваю кредиткой в нете куча паролей от серверов и т.п. так что если что было простор для действий хакера обширный )
от себя добавлю к сованию exe в рот ещё пару пунктиков..
1) стараться посещать старые и проверенные сайты. (и качать что либо только с таких) (хотя прецеденты когда на вирус отсылают через рекламу не редкость) да и взломать всеравно могут.
2) обновлять весь софт. особенно что связан с броузеров. то и дело натыкаюсь на сплойты которые бяку на комп сажают через adobe reader или java


лечение зависит так сказать от потенциальной угрозой. если например чем-то поражена нога что нельзя вылечить и есть угроза поражения всего организма.. ногу ампутируют. если цель сделать защищенную от доступа извне сеть которой самой нет необходимости лазить во вне вполне себе нормальный метод


с тем что nix распространены как os для серверов спорить не буду у самого штук 7 под freebsd на глаз серверов на nix порядка 70-80% из тех на которых крутятся сайты.

а вот что их не ломают и нет вирусов под nix не соглашусь.
1) под макось в своё время видел вирус блокировщик компа (поддельный антивирус) но опять стоит братить внимание что их не так много.. грубо говоря мы хакеры и 1 зараженный комп нам приносит $0.01 в день что принесет больше прибыли? заразить 100к виндовых компов или 8к компов под макось или 1.5к компов под linux?
2) открытость кода палка о 2х концах. злоумышленник тоже исходник видит и врятли будет писать разработчикам софта чтобы его проверили. да и вообще чужие исходники проверять очень сложно. думаю очень мало програмистов реально какие-то куски проверяет и как правило смотрят их или ищя уязвимость чтобы использовать его. или чтобы что-то под себя поменять.
3) просто как пример. где-то полгода назад по вестям слышал что в netbsd нашли дырку для FBR кем-то сделаную которая там была лет этак 10 никем не замеченной непосредственно линуксах тоже такие случаи были.. и в винде не мало
другое дело что в винде в виду их популярности хакеры их ищют активнее и разработчикам приходится их активнее прикрывать да и наверное уже поднаторели в этом
4) ещё уязвимостей добавляет всякий сторонний софт из репозиторив. как пример SAMBRA 1.5-2 года назад как раз дырку прикрыли которая в ней была много много лет если не путаю через неё как раз можно было получить права суперпользователя в freebsd с год назад дырку такого же характера прикрыли.. скрипт который через дырку в одной из библиотек позволял пользователю стать root'ом (если не путаю с начиная с 6.x версии дырка висела)
ой.. а всякие панели для управление сервером это вообще раздолье для хакеров.. я как-то немного хостером работал... 1 человек брал сервера linux+DirectAdmin себе так ему раз в пару месяцев какой-то из серваков ломали... я ему посоветовал админа (не так чтоб толкового но хотябы не криворукого) и freebsd(просто админ что под рукой был как раз в ней разбирался) с тех пор больше не жаловался. мне когда-то сервер в Plesk панелью ломали.

вообще сервера ломают нередко не ради инфы на серверах а ради как раз ради возможности заразить кучу посетителей сайта и упереть их данные кредитных карт, подсадить вирус блокировщик и т.п. (это если грубо на самом деле причин 100500). причем делают это в промышленных масштабах и автоматизированно... у меня например сколько серверов было как сервер сетапят и присылают можно сразу в лог логина по ssh лесть и любоватся как его брутят

я не гворю что какая-та ос лучше какая-та хуже. лучше та ос которую админ который за всем этим хозяйством присматривает лучше знает... я говрю что под виндус сейчас просто вирусов пишется больше.. вот и кажущаяся его дырявость... а вот nix'ы пока с точки зрения массового взлома мало интересны. а вот что будет в случае их популярности и выдержат ли разработчики резкий скачек активности вирусописателей это уже сомнительно..

Верно, но частично.

МАГАТЭ известна родословная иранских центрифуг. Известно, что их рабочая лошадка IR-1 основана на пакистанской P-1, которая, в свою очередь, сделана по образу и подобию старых европейских центрифуг. То есть, агентство может описать иранскую центрифугу с хорошей точностью.

В руках у США есть документы и даже целая партия центрифуг, выданных Ливией (покупались у того же источника). Но - ливийские центрифуги относятся ко второму поколению, это центрифуги P-2.

Поэтому в общих чертах конструкция иранских центрифуг понятна. Неизвестны мелкие технические подробности, а в них и кроется дьявол

Получить от Ирана такую информацию МАГАТЭ не может. Инспектора имеют право требовать данные только в соответствии с соглашением, которому следует проверяемая страна. В случае Ирана, это самое простое соглашение о гарантиях, и объём выдаваемой информации Ираном минимален. Инспектора могут проверять завод и проводить аудит количества урана. Но, скажем, посещать заводы, где собираются центрифуги, права не имеют. Более того, Иран даже имеет право не называть эти заводы.

Какой-то информацией могут обладать разведки. Но станут ли они делиться добытыми знаниями с МАГАТЭ? Это вопрос, зависит от решения правительств (выгодно или невыгодно в каждом конкретном случае). МАГАТЭ своей разведки не имеет, хотя предыдущий глава МАГАТЭ Эльбарадей предлагал её создать. Хейнонен, которого я поминал выше по теме, стал бы ей (разведки МАГАТЭ) первым руководителем.

Подводя итог. У МАГАТЭ есть достаточно данных, чтобы контролировать иранскую программу в целом. Но нет технических деталей, которые позволили бы, скажем, написать вирус для разрушения центрифуг.

тут спорить не буду. сам тонкости того случая не знаю.. а из вашего сообщения создалось впечатление что просто была подделана информация которая показывалась диспетчерам.. вот про это и писал что ничего сложного если представлять какие данные правдоподобны какие нет. и что и как в этой программе.
1) можно тупо убрать окошко той программы и вывеси своё 1в1 выглядящее как то
2) программа как-то общается с датчиками и т.п. врятли в этом плане они изобретали велосипед и скорее всего протокол был какой-то стандартный.. зная его ввести программу в заблуждение можно вклинившись между ней и датчиками..

Просто к слову. Insider threat на ядерных объектах считается одной из главных угроз для физической безопасности объекта.

Ну так вряд ли вирусописательством занималось МАГАТЭ. Если что, так как раз те самые разведки, которые с МАГАТЭ делиться информацией не очень хотят.

а вообще я от темы отдалился правильно такие закрытые компы проще взломать дав взятку человеку имеющего к ним доступ.

Да, конечно. Я просто ответил на реплику о МАГАТЭ. Точнее, о том, что оно могло бы знать.

Проблема в том, что конфигурация иранского железа неизвестна.

Вообще, конечно, можно предположить, что вирусная атака имела место быть. Но слишком уж много допущений надо сделать:
1. Подкупили тучу народу (один передал спецификации железа, другой притащил софт оболочки, третий готовый вирус притащил на флешке - и это еще наверняка не все)
2. Служба безопасности - полные идиоты (флешки доступны сотрудникам, сетка одна на всех, антивирусов нет, короче - бардак и анархия) - и это не в задрипанном офисе, а на ядерном объекте!
3. Инженеры - тоже полные идиоты, т.к. не предусмотрели никакой защиты (у них центрифугу можно раскрутить в полтора раза быстрее нормы, а никто и не почешется). Блин, даже в утюге современном есть реле, что бы не перегрелся и не сжег ничего, а тут в таком оборудовании защиты нет.

Не слишком ли много допущений? Да чисто по принципу Оккама я скорее поверю, что это банальная утка.

Форум он такой у нас тут открытый((( что собственно и хорошо и плохо.
Поэтому наверно в ветке про Фоку пишут цензурно.
Давайте примем факт что Вирус имел место быть. И это ни разу не мулька...
А вот как и кто его создал тут уже загадка... точнее не такая она в общем то и загадка ибо ограничен круг заинтересованных лиц.
И как это не печально и прискорбно мир входит в Фазу когда 100 строчек кода могут угробить больше чем 5-6 тамагавков.

а я вот думаю немного в ключе конспирологии.
вот чисто теоретический. могли Иранцы сами написать подобный вирус?) просто чтоб была отмазка что типа вот нам цинтрифуги сломали злые американцы.

далее как варианты.
1) пишем что цинтрифуги не работают сами делаем "лишний уран"/списываем центрифуги как сломанные на деле куда нить увозим и пусть там работают
2) ????
3) PROFIT

зы
по поводу антивирусов писал выше. по поводу инженеров идиотов. теоретический ведь можно предположить что система защиты тоже представлена компом или каким-то программируемым контролером. которые по сети подключен к диспетчерскому компу и передает инфу на него а с него какое-то управление возможно.... у них же цель чтоб все это хорошо работало а не с вирусами бороться

Не думаю, что в этом смысле ядерные объекты сильно отличаются от всех остальных.
Даже уголовные банды считают insider threat главной угрозой, хотя и называют ее иначе. Там только из-за подозрений в этих делах убить могут.

Суть примерно такова.

Кто мог написать:
Команда высоко квалифицированных специалистов на "службе" при помощи Физиков Механиков и специалистов которые описали хорошо суть программы
Как собрать необходимую информацию:
1. Прогеры же у них были которые делали программное обеспечение этой всей станции.
2. Были тестеры которые проверяли систему на этапе проверки моделирования работы.
3. Были те кто вводил это всё в эксплуатацию.

Сознательно отмёл тех кто будет далее эксплуатировать ибо у них какраз возможностей меньше всех.

Заказчик:
Ну это явно не МАГАТЭ, а спец служба страны, кто там у нас соседи говорите? а то склероз. Вы много хороших разведок знаете?

Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

И тут я тоже отметаю тех кто прищёл работать позднее на этих системах Ну не верю я что СБ у них дураки уж совсем.

Думаю, вы не совсем правы. Это если вирус УЖЕ запущен на компе, он может блокировать ненужные ему проги. Сам такой вирус видел (жена умудрилась подхватить на каком-то говносайте), очень хитрый, косил под мелкософтскую антивирусную утилиту, и блокировал все подряд (редактор реестра, диспетчер задач, одноразовые антивирусы, браузеры - типа "программа заражена").
Однако, если фаервол работает, а вирус вы только собираетесь запускать, то он фаервол никак не сможет заблокировать (он еще не запущен).
Грубо говоря, фаервол останавливает выполнение программы (на уровне ОС) и та ничего не сможет сделать, пока пользователь не даст согласие.
Может быть и бывают вирусы, которые это обходят (пользуясь какими-то дырами), но я че-то про такие не слышал,


К сожалению да, человеческий фактор.


1. Согласен, обновляться надо почаще (и ОС, и браузер). Вот кстати чем меня радует линукс, так это своей концепцией репозиториев - весь софт (проверенный на безопасность) хранится на специальных серверах, обновляется и качается только оттуда, что сразу решает две проблемы: не надо искать софт на левых сайтах, и обновить можно ВЕСЬ софт (а не только ОС) буквально парой кликов мышкой (или одной командой в консоли), причем можно настроить, что бы обновления ставились автоматически.
2. Рекламу вообще лучше всего резать, и браузером пользоваться не IE (я предпочитаю лису).
3. Ну для каких-нибудь критичных применений можно и не подключать к инету вообще (например если комп нужен для управления станком - нахрена ему инет и сеть ваще). Но вообще большинство современных применений компа предполагают, как минимум, локальную сеть.

а вот что их не ломают и нет вирусов под nix не соглашусь.

Если чисто на прибыль ориентироваться, то да, а если для души? Вирусов под винду миллион, новый вирус никто и не земетит, а под линукс кадждый новый вирус это событие. Думаю, если бы сложность написания вирусов под вин и под линь была сопоставима, то вирусов бы хоть немного, но было.


Обычные пользователи (и даже программисты) конечно не будут читать все исходинки, прежде чем поставить программу. Этим занимаются те, кто создают дистрибутивы. Ну и кончено энтузиасты-хакеры во всем мире. Почему это повышает, а не понижает безопасность? Дело в том, что уязвимости - продукт скоропортящийся. Допустим, один хакер нашел уязвимость, просматривая код. Что с ней делать? Либо использовать сразу (а это не всегда возможно, уязвимости часто очень специфические), - но тогда о ней сразу узнают - либо опубликовать самому (многие фирмы платят хорошие деньги за найденные уязвимости). Придержать ее на полгодика он не сможет - другие опередят. В результате, в худшем случае, найденная уязвимость влечет за собой один-пару успешных взломов, в лучшем - вообще ничего не происходит.
В случае с закрытым софтом, найти уязвимость гораздо сложнее (ковыряться надо не в исходнике, а непосредственно в коде), но и исправляют их гораздо медленнее. Так что вероятность успешного взлома больше.
Но вообще, современные системы все достаточно надежны (особенно в умелых руках), так что больше тут зависит от человеческого фактора.


Ну, всякое бывает, но серьезные уязвимости все же всплывают редко. Думаю, в винде их не меньше, просто меньшее число людей о них знают
Как кто-то сказал на одном форуме: если в линуксе исправили 10000 ошибок, а в винде за то же время - 100, это не значит, что винде в сто раз меньше ошибок, это значит что в ней осталось 9900 неисправленных багов.


Ага, сам такое наблюдал


вот это +100500


Я надеюсь на лучшее

Люди вы путаете тёплое с мягким.

Вирус для компа обывателя и вирус такого масштаба поэтому проясню.

Антивирус.
Это Программа с набором функций которая имеет базу данных вирусов.
+ модули поведенческого анализа (т.е. отлов вредоносов на уровне их работы по типо это такая работа Вирус и блочит)

Фаервол
блочит То о чём он знает бытует мнение что блочит в Режиме запрещено ВСЁ то и блочит всё, Но это Далеко не так.
если программа работает на уровне ядра с разрешениями уровня Оси то ей глубоко пофигу на ваш антивирь да и фаервол ибо он изначально уже На более "высоком" уровне права имеет.

А то что мы тут обсуждаем Эксклюзивный проект. чтоб было понятнее расскажу историю которая всплыла в мае 2011

Жила была фирма и как то у неё начали по тихому пропадать клиент и уходить к конкурентам.
И задумался ген дир той фирма как это так. И купил он услуги 1 сотрудника на приличной должности у Важеской компании чтоб тот прознал что случилось и как это клиенты уходят.
И выяснилось что логи почты их компании появляются как то у Конкурентов.
Но боже подумал Ген дир у меня же МАС ОС он же не ломаем))
И отдал он свой Мак бук добрым людям так сказать делайте что хотите но найтите.
И нашли.. и оказало что логи текли уже примерно год. и никакой софт о той программе не знал потому что она ЭКСКЛЮЗИВНАЯ т.е. написана для 1 использования, а не для Массового распространения.

Вот именно! В этих мелочах и проблема. Я сам программист, и представляю как это бывает. Ставится задача, вроде бы все кристально ясно. Начинаешь продумывать детали, и очень часто натыкаешься на ситуацию, которую хрен его знает как обрабатывать. В ТЗ либо ничего по этому поводу не говорится, либо можно толковать двояко, либо вообще пункты противоречат друг другу. Иду к заказчикам, справшиваю, че они собственно имели в виду. Часто бывают, что и они начинают чесать репу, т.к. никогда не задумывались над такими деталями. (Хотя иногда и сразу скажут).
Так вот, это обычный прикладной софт. Здесь ситуация сложнее на порядки, т.к. программировать надо на низком уровне для неизвестно какого железа. Я для контроллеров сам не писал, но наслышан о проблемах. Даже для известного контроллера могут быть разные тонкости, когда работает не так, как положено по документам. если там другой (даже и родственный) то вероятность такого резко возрастает. Нет ни точных данных, ни возможности отладки. Думаю, что и про компьютерный парк (железо, ОС) в иранском ядерном центре инфы не очень много. Очень, очень маловероятно, что при всех таких неопределенностей все сработает.


Абсолютно согласен.

А если к тебе приходят люди и дают Исходники Кода самой системы. Потом подкидывают тип марки модели железа, потом подходит пару умных людей которые понимают что эта вся система делает и что надо сделать дописать дополнить чтоб она делать перестала.
А уж людей кто это поломает в хорошей стране вагон. Если не забывать что все страни вот уже много лет "хакерам" предлагают Работу ну или Сесть на пяток лет) и выбор у тех очевиден.

Тогда нужен тот, кто установит этот вирус, что бы он запускался на уровне ядра. Т.е .как драйвера. (Весь пользовательский софт запускается на 3 кольце, в том числе и с админскими/рутовыми правами).
Теоретически, такое можно придумать, например вирус встроен в драйвер, скажем, для сетевухи.
Только сложновато будет реализовать.
Например.
1. Узнать у кого иранцы закупают железо.
2. Выйти на поставщиков.
3. Уговорить встроить свой вирус в дрова.
4. И что бы при этом никто ничего не заподозрил.
Ну или вместо всего этого подкупить админа (но тогда можно и не извращаться с уровнем ядра, просто попросить что бы фаервол отключил).


В общем, резюмирую. Теоретически, заражение возможно. При наличии:
1. Очень квалифицированных и опытных хакеров.
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).
3. Очень безолаберной службы безопасности.

Лично я считаю, что такое сочетание обстоятельств невозможно.

Как то ты слишком сильно много хочешь для столь простой задачи))

Больше ничего не нужно) А самое смешное
2. Очень глубокого инсайда. Фактически, понадобится подробнейшая техническая информация о всем компьютерном парке (о самих центрифугах тоже).


Исполнитель - те кто внесли вирус на площадку.
1. Прогеры
2. Тестеры
3. Те кто вводил в эксплуатацию

Любой из перечисленных обладает необходимой информацией и ещё на Этапе проектирование системы может её исходники передать и в неё вмонтируют всё что надо ещё до установки.

фаервол чисто разграничивает инет и комп. или 2 сети брандмауер определяет можно или нет запускатся.. но и это обходят. (если не путаю терминалогию. я им всеравно особо не доверяю.. руки и мозги лучше защитят)


ой как-то обновил я php не посмотрев с 5.2 на 5.3 как я потом ругался и все вертал взад


ну так они и есть тока мало иначе откуда появился термин руткит?) по поводу души.. душа душой а обед по расписанию вообще на всяких конференциях по безопасности и т.п. их и ломают для души так скзаать.. вот помню недавно что-то по мобильным броузером было.. там 1 спец за пару минут на iphone через броузер взломал тело. при том что он эту дырку сдал яблочникам ранее и накануне был апдейт браузера.. могу в деталях ошибатся.. но суть примерно такая...


да я на самом деле думаю 1 фиг примерно... что опенсорс что нет. но НЕ в опенсорсе закладку проще сделать а так... не опенсорс уязвимостями не светит. опенсорс выставляет на показ. но в принцепе и то и то ломают




ну как бы есть же уязвимости которым много лет... вообще если хакер - злоумышленник он или напишет приватный вирус и будет за дорого продавать (типа 5-10к зелени за копию) или будет сам потихоньку пользоватся (предварительно посмотрев старые исходники и определив сколькож этой дырке лет )..


почему медленее?) у меня вон винда апдейты пачками качает



тут скорее надо винду и линь местами поменять) винду активнее ломают... хотя фиг их знает) в целом пофиг.. если будет большое финансирование и цель взломать такой-то сервер..взломают практический все что угодно.. (вон кстати сони недавно ломали и приватную инфу уперли.. )

Господа, я вижу тут мало уделили внимания тому, как всё произошло.
Итак:
Тип контроллеров приводов был известен, Сименс поставил пилотную партию Ирану до введения санкций, остальное было докуплено через третьих лиц.
Вирус попал во внутреннюю сеть на флешке вместе с настройщиком. Задетектить вирус современными средствами было не реально, использовалась уязвимость .Lnk-ов, в результате которой винда автоматом подгружала и запускала маленькую безобидную библиотечку. Никаких авторанов, запуск на уровне логики работы файловой системы винды — величайший пилотаж).
Вирус в течении 13 дней делал рекогносцировку внутри сети, в т. числе собирал данные о типах используемых контроллеров и режимах их работы. Это помимо вшитой атаки на контроллеры Сименс. Перестраховка такая, если там не Сименсы стояли.
Потом после рекогносцировки вирь производил деструктивные действия в среднем по 15 минут за период в 26 дней. Пока не поймают. Короед, млин. Хрен найдёшь, активировался только на работающих центрифугах, по мелочи но в итоге очень неприятно.
Инфицирование состояло в замене библиотек управляющей SCADA системы таким образом, что логика работы нарушалась и возникал барьер между системой и контроллерами. Все изменения в винде вносились по валидным сертефикатам от громких фирм, ни одна система защиты винды не пикнула даже. Причём с правами администратора. В целом использовались 4+1 таких уязвимости, что давало вирю возможность скрыто запускаться с сменного носителя, прекрасно размножаться и встраиваться куда угодно с высокими привелегиями. ... короче там много много высшего пилотажа. Всё описывать нет смысла. Лучше сами почитайте как следует.

Если служба безопасности отработала нормально,обнаружив нездоровый интерес определённого сотрудника или может админ чего запалил, тогда конечно затея могла вскрыться. Можно начать сливать дезинформацию и поиграть в кошки мышки... Наш модератор о таком рассказывал, этот вариант в принципиально возмжен.

Но по факту официально раскрутка дела началась после того, как тело виря попало к белоруским антивирь-разработчкам.
если бы этого не случилось и система распространения была искусно ограничена локальной сетью предприятия Иран бы искал причину очень и очень долго. ИМХО.
Возможно не по разу сменив парк центрифуг. Система действительно очень живуча и детектируется с трудом, если работать вслепую. Самым вкусным было то, что упор делался не на громкие спецЫфекты, а для нанесения макс урона при общем уровне «ниже радаров».
Такие мысли после прочтения. Где-то возможно и упростил, где-то не понял до конца, но про оптовую покупку персонала вместе со спецоперациями по захвату планов и чертежей вы зря думаете. Я вообще в восторге от увиденного. Очень тонко.

А если добавить к выше сказанному

Страшный прогноз CSIS

Многие военные эксперты считают одним из самых опасных конфликтов в современной истории противостояние Израиля и Ирана. (с)
http://svpressa.ru/war21/article/42115/


А Массад это одна из лучших разведок Мира + Добить в уравнение США. То мы найдём и Где крутых хакеров взять и прогеров) и деньги и разведку ))) т.е. все необходимые слагаемые успешного результата.

Да и тем более если аппаратура всё таки была известна заранее...