Саботаж и вирусы. Иранская ядерная программа.

Sep. 26th, 2010 10:58 am
reytsman: (Default)
[personal profile] reytsman
Думаю ещё пара недель и новость доберётся до Нью Йорк Таймс...

Я натолкнулся первый раз у [livejournal.com profile] lbertarian об интересной новости про вирус Stuxnet про него говорили, что это первый вирус такого плана, и называли кибер-оружием Израиля против иранской ядерной программы.
Пробег по сайтам антивирусников и безопасников подтвердил что вещица крайне забавная от всех стандартных вирусов отличалась тремя вещами.
1) Атака систем управления индустриального оборудования производства Симменс.
2) Подделка сертификата которые уверял виндоус (и безопасников) что запускается не вирус, а драйвера.
3) Использование для распространения трёх или четырёх на момент написания вируса официально не известных дыр в виндоус.

Первое указывало на то что вещь очень специфическая и никому особо реально не нужная, банкоматы на PLC не программируются. Второе и третье указывал что явно работали профессионалы или даже скорее команда профессионалов. [livejournal.com profile] shaon даже пошёл так далеко как заявить что кроме как Израиле и в США такое нигде не разработать, но думаю многие хакерские кланы на него бы обиделись.

На самом деле ничего не ново под луной, один из ЦРУшников даже хвастался в своей книге что самая большая атака такого типа на системы управления была произведена в 1982ом году. Что там было разобраться конечно нельзя, то ли деза с целью запугать разведку СССР воровавшую всё что плохо лежит, а что лежало хорошо толкавшую в другое место и тоже воровавшую, то ли и вправду взрыв был связан с _да_да_да_ вирусом атаковавшим системы управления.

Будет забавно если через некоторое время накопают ещё деталей, тут примерно как когда израильтяне вынесли в Сирии Северо-Корейский реактор, когда появились слухи, никто в серьёз это не воспринял.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2010-09-26 05:16 pm (UTC)
From: [identity profile] aka-human.livejournal.com
Я очень скептически отношусь ко всем этим экспертам. По-моему они пишут это для того, что придать большее значение своей собственной персоне.
Главное, о чём все умалчивают, каким образом вирус оказался внутри индустриальной сети? Только наивные люди могут полагать, что компьютеры, имеющие отношение к управлению подключены к интернету. В реальности любая индустриальная компания, не говоря уже о военных, бояться этого как чёрт ладана. Скорее всего у иранцев обычные ьсоветские" проблемы - недостаточная техническая квалификация, штурмовщина и устаревшая техника вперемежку с техникой "с миру по нитке".
Все эти ужасы с кибератаками скорее относятся к обычному интернету или к художественным фильмам.

Date: 2010-09-26 06:01 pm (UTC)
From: [identity profile] lbertarian.livejournal.com
в одной из статей - по моему, в pajames media - упоминался вариант, где вирус был занесен российскими спецами на обычной флешке. но ведь одно другому не мешает (я имею в виду бардачность иранской системы).

Date: 2010-09-26 06:07 pm (UTC)
From: [identity profile] aka-human.livejournal.com
Как то мне не верится, таких спецов не так много и наверняка подозреваемых было бы пару-тройку человек. Это ж какой риск. Это надо быть Рихардом Зорге работающим на израильскую разведку.

Date: 2010-09-27 12:48 am (UTC)
From: [identity profile] reytsman.livejournal.com
Там же большой завод, куча народу... и хозяин флешки мог и не знать, что его домашний компьютер записал на его флэшку. ;)

Date: 2010-09-27 01:13 am (UTC)
From: [identity profile] aka-human.livejournal.com
Это ж не Америка, за такие промахи можно и пулю получить. В Иране шпиономания давным давно, я думаю они тени боятся.

Date: 2010-09-27 10:59 am (UTC)
From: [identity profile] reytsman.livejournal.com
Наивно думать что в правительственной организации может не быть бардака. ;)
В анекдот.ру полно историй как из самых закрытый мест вытаскивали всё что плохо лежало, а не намеренная халатность в таких случаях бывает ещё эффективнее. ;)

Date: 2010-09-26 07:43 pm (UTC)
From: [identity profile] taganay.livejournal.com
Про это пишут достаточно серьёзные люди. Например, Евгений Касперский, антивирус и человек:
На основе этих и прочих данных Aleks делает очень интересные выводы:
- данный зловред "является оружием промышленного саботажа".
- кто и зачем его сделал и запустил: "Кто — Моссад. Зачем — Бушерская атомная электростанция в Иране".
......................................
Вам страшно? Мне - да. Очень страшно.
Он, конечно, может намеренно сгущать краски, но явную лажу нести не будет - репутацию терять он себе позволить никак не может.
Насколько я знаю, это первый публично подтвежденный случай успешного проникновения вируса, специально созданного для промышленного саботажа. Очень вероятно, что за ним последуют другие - технически это вполне осуществимо.
По поводу проникновения вируса - он изначально был расчитан на заражениие через флэшку (что, кстати, косвенно подтвержает версию, что вирус писала серьезная контора, которая имела возможность физические воткнуть флэшку в компьютер на объекте атаки).
Ну и, кстати, подобные промышленные системы довольно часто подключены к внутренней сети. Т.е. вовсе не обязательно с боем прорываться на атомную станцию, чтобы запустить вирус - достаточно вотнуть флешку в машину младшего бухгалтера.
Вот и AP об этом пишет:
In many cases, operating systems at power plants and other critical infrastructure are decades old. Sometimes they are not completely separated from other computer networks used by companies to run administrative systems or even access the Internet.

Date: 2010-09-26 08:05 pm (UTC)
From: [identity profile] aka-human.livejournal.com
Уже одно то, что он однозначно уверен в авторстве Моссада выдаёт лажу. Зачем ему это надо мне неизвестно.
Откуда они знают, что вирус проник через флэш кард? Собственно всё может быть конечно, но если это сделано, то это скорее глупость. Потому что ущерб не критичный, зато теперь иранцы быстро заделают бреши, если они имелись - отсоединят внутреннюю сеть от внешней (я правда не верю, что это не было сделано, они же помешались на шпионаже. Это скорее в Европе с Америкой возможно, при всеобщем благодушии), и сделают вместо универсальных флэш интерфейсов что нибудь узкоспециальное, с жестким контролем.

Date: 2010-09-26 08:55 pm (UTC)
From: [identity profile] aka-human.livejournal.com
"Over the past year, Homeland Security has quietly been deploying teams of experts around the country to assess weaknesses in industrial control systems. The agency has created four teams and — with a budget scheduled to increase from $10 million this year to $15 million next year — has plans to grow to 10 teams in 2011.

The teams are armed with a $5,000 kit: a black, suitcase-sized bag crammed with cables, converters, data storage and high-tech computer forensic tools. With that equipment, they can download the problem malware, analyze it and work with the companies to correct or clean their systems."

Из той же статьи. Я всегда подозревал, что Homeland Security это куча бюрократов. Просто детский сад.

Date: 2010-09-27 12:47 am (UTC)
From: [identity profile] reytsman.livejournal.com
Да ладно, тоже мне проблема. А то там народ халтуры домой на флэшках не таскает?
Или там нет придурка втыкающего заряжаться от юсб сотовый телефон? Ну или в крайняк даже попросить российского инженера на прощание сунуть флэшку на пять минут в какой нибудь комп.

Наивно предполагать что современную индустриальную сеть можно изолировать. Для этого сеть должна разрабатываться как защищённая начиная с железа и заканчивая жесточайшим инструктажем пользователей.

Сам червь вполне даже реальность, а не мифы. Понятно что PLC станок не будет подключаться к интернету и ждать пока кто нибудь нажмёт большую красную кнопку, но червь специализирующийся по PLC это как минимум не обычно.

Date: 2010-09-27 01:10 am (UTC)
From: [identity profile] aka-human.livejournal.com
Из сообшения понятно, что "червь" уже давно распространился на большой территории. Не будь там Ирана, кроме специалистов никто бы не обратил внимание. На целенаправленную работу не очень то похоже.
Черви и вирусы, которые используют особенности всякого "железа" давно не новость. Появился новый представитель, так что с того.

Date: 2010-09-27 01:13 am (UTC)
From: [identity profile] reytsman.livejournal.com
Слишком кобинация ядрённая, zero day exploits, сворованные подписи к драйверам и root kit под PLC. Для стандартных червей слишком сложная система.

Date: 2010-09-27 01:23 am (UTC)
From: [identity profile] aka-human.livejournal.com
Ну да, писали для Ирана, а ударил по всем попало. Ущерб от такого скандала вполне может превзойти сиюминутные выгоды. Если они такие "изощренные" то вряд ли этого не понимали.
На мой взгляд очень маловероятно чтобы это была израильская спецоперация, какая-нибудь група хакеров любителей (в смысле что у них свои интересы были) может быть да и то не факт. Помню, как все так же кричали про один известный вирус, а оказалось, что его сочинил студент с хорошо заточенными мозгами.

Date: 2010-09-27 10:57 am (UTC)
From: [identity profile] reytsman.livejournal.com
Думается, что вирус вряд ли просто всё трёт, пишут что руткитит PLC типа залез и спрятался, думаю активируется только те части которые попали на определённые машины.
А одних мозгов тут явно мало, слишком уж из разных областей применены знания.
Я даже готов поверить что гениальный PLC программист мог найти zero day expoits, но спереть у тайваньцев ещё и подписи для драйверов...
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

reytsman: (Default)
reytsman

December 2023

S M T W T F S
     12
3456789
10111213141516
17181920212223
24252627282930
31      

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 17th, 2026 09:16 am
Powered by Dreamwidth Studios