Несколько слов о вирусе систем АСУ ТП Stuxnet

Если звезды зажигают - значит это кому-нибудь нужно...
Аватара пользователя
GrayWolf
Истинный Wыксунец
Сообщения: 9768
Зарегистрирован: Пн май 26, 2008 7:06
Пол: мужской
Откуда: От Выксы до Москвы.
Благодарил (а): 10 раз
Поблагодарили: 1 раз
Контактная информация:

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение GrayWolf »

Reynart писал(а):
GrayWolf писал(а):
ЗЫ: Я надеюсь, всё-таки что крикливое меньшинство перестанет шуметь в мой адрес и адрес темы, и начнёт её разумно обсуждать (как Оверат, например), либо просто уйдёт отсюда.
в этой теме отписались 4 человека, включая меня...сам ты, блин меньшинство крикливое))))

по теме: до правды таких событий, как 11 сентября, Чернобольская катастрофа, Фукусима, теракты в Москве и т.д. и т.п. мы НИКОГДА не докопаемся ИМХО, если нам не захотят открыть правды. Так же как и до существования и посещения нашей планеты НЛО, откуда взялись Египетские пирамиды. Поэтому информация, бесспорно, очень интересная, но.....в Выксунском районе Чупакабру ведь видели ага, в новостях даже говорили.... Поэтому данные факты я бы, скорее всего, воспринимал лучше как научную фантастику, не более.
К тебе тот выпад отношения не имел - ты часть большинства (хотя, эти два - твой и мой очередные посты не по существу).
Но вобщем-то хотелось бы, что бы по существу обсуждение велось. Ты решил сравнить стухнет с Чупокаброй? Ой, прошу, давай не будем об этом. А то опять ты меня провоцируешь что бы увести тему куда угодно, но точно не в то русло...
Стухнет это не научная фантастика, это технологичный вирус. Что он нам еще готовит? Что готовят новые его версии или другие подобные вирусы?
За мир с США, только не за тот мир, который США навязывает всем нам!

FPAP-01PF http://www.1-avia.ru/courses-faa.html
FPAP-1 http://www.1-avia.ru/fpap-1.html
http://saon.ru/forum/
Дыбра
Добрый Админ
Сообщения: 5434
Зарегистрирован: Чт мар 31, 2005 16:54
Пол: мужской
Откуда: Выкса
Благодарил (а): 1 раз
Поблагодарили: 6 раз
Контактная информация:

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение Дыбра »

Тему зачищать не буду, слишком много вычищать тогда придется, если не все. Хотя судя по заголовку она все равно флудная. Учитесь вести дискуссию.
Администратор сайта "Виртуальная Выкса"
Аватара пользователя
sasa
Истинный Wыксунец
Сообщения: 1451
Зарегистрирован: Ср авг 06, 2008 15:58
Пол: мужской
Откуда: Выкса

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение sasa »

Дыбра писал(а):Тему зачищать не буду..... судя по заголовку она все равно флудная.
:grin:

тогда я тоже пофлудю
Вы, господа высокоумные IT-шники к S7 когда нибудь ближе 3-х метров подходили? А то почитал я тут про ваш вирус - он еще и в контроллере программу меняет сам оказывается, а я всегда думал там для этого РУКАМИ надо переключатель сдвинуть.
Да и вообще, один чел грамотно написал, поэтому процитирую
"...WinCC работает на десятках тысяч производств во всем мире, и, если вирус так легко распространяется - ни одна спецслуюжба не поставит под удар собственную страну. Превентивные же меры у себя ввиду массовости неизбежно рассекретили бы, откуда растут ноги. Едем дальше. "Уничтожение" сервера WinCC НЕ может привести к остановке технологического процесса, это скада-система для визуализации и контроля технологических параметров процесса. Участком управляет промышленный контроллер, который может и не быть подключен к сети ethernet. Серверов WinCC как правило несколько, и как правило они редундантны, а остановка одного или даже обоих серверов практически никогда не ведет к остановке контроллера, с которым работают сервера. Связи с интернетом производственные сети АСУ как правило не имеют, это верно, но и флешки как правило использовать там запрещено, это правило даже для обычных промышленных компаний, не только для атомных станций. Даже если вирус прописался, но связи с инетом нет, про какую p2p для обновления речь - тоже неясно. Более того, внутренние производственные сети обязательно разбиты на подсети по технологическому признаку..."
В принципе все верно.
Специально поговорилс программистами ТПЭП, СПбЭК, АСК (кто занимается АСУ ТП - знает эти конторы, у них огромный опыт по автоматизации отечественных и зарубежных предприятий различных отраслей) - смеются.
Ну а по поводу IT-шников ВМЗ - они в АСУ ТП не особо лезут, так что когда появиться настоящая угроза - беда будет.
Американский форум - Задаёшь вопрос, тебе отвечают
Израильский форум - Задаёшь вопрос, тебе задают ответный вопрос
Русский форум - Задаёшь вопрос, тебе в ответ долго рассказывают, какой ты м***к
Аватара пользователя
GrayWolf
Истинный Wыксунец
Сообщения: 9768
Зарегистрирован: Пн май 26, 2008 7:06
Пол: мужской
Откуда: От Выксы до Москвы.
Благодарил (а): 10 раз
Поблагодарили: 1 раз
Контактная информация:

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение GrayWolf »

sasa писал(а):""Уничтожение" сервера WinCC НЕ может привести к остановке технологического процесса, это скада-система для визуализации и контроля технологических параметров процесса. Участком управляет промышленный контроллер, который может и не быть подключен к сети ethernet. [/color]..."
Замечу, что многие наши производители сотрудничают с иностранными постовщиками, а те могут приляпать вирусы и без ЛВС (LAN).
Если вирус будет "сидеть" в каком-то контроллере, или в цепочке между контроллером и пультом (часто это обычная программа на ПК) и этот контроллер управляет, грубо скажу, скоростью вращения турбины на АЭС, или конвеера на ВМЗ, то этот модифицированный вирусом код (дай бог, если он не имеет модуля трояна и канала для него, но даже и без всего этого) вполне может вывести турбину АЭС из строя, заставив ее вращаться с большей скорость, или "завалить" конвеер тем же самым способом (еще раз подчеркну, это моё грубое оценочное мнение)
За мир с США, только не за тот мир, который США навязывает всем нам!

FPAP-01PF http://www.1-avia.ru/courses-faa.html
FPAP-1 http://www.1-avia.ru/fpap-1.html
http://saon.ru/forum/
Аватара пользователя
GrayWolf
Истинный Wыксунец
Сообщения: 9768
Зарегистрирован: Пн май 26, 2008 7:06
Пол: мужской
Откуда: От Выксы до Москвы.
Благодарил (а): 10 раз
Поблагодарили: 1 раз
Контактная информация:

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение GrayWolf »

sasa писал(а):Вы, господа высокоумные IT-шники к S7 когда нибудь ближе 3-х метров подходили?
Ну, скажу я тебе - не каждому "Шумахеру" суждено поучаствовать в гонках на болиде, тракторе, самолёте, вертолёте, танке, фуре, авианосце, подводной лодке и т.д. :grin:
Ну ты уловил суть :lol:
За мир с США, только не за тот мир, который США навязывает всем нам!

FPAP-01PF http://www.1-avia.ru/courses-faa.html
FPAP-1 http://www.1-avia.ru/fpap-1.html
http://saon.ru/forum/
Аватара пользователя
Insider
Истинный Wыксунец
Сообщения: 14865
Зарегистрирован: Сб июн 11, 2011 23:35
Пол: мужской
Откуда: Выкса
Благодарил (а): 5 раз
Поблагодарили: 15 раз

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение Insider »

Вот тебе GrayWolf кое-что свеженькое
Обнаружен троян Flame, который более 5 лет оставался незамеченным
28/05/2012 20:17
Сразу несколько антивирусных компаний заявили об обнаружение трояна по имени Flame (некоторые его называют Flamer, а в самом начале анализа его звали просто SkyWiper). Первая подробная информация о функциях SkyWiper поступила от венгерских исследователей компьютерной безопасности CrySyS Lab, одновременно с этим иранские исследователи из Iran National CERT (MAHER) опубликовали частичную информацию вредоноса Flamer, список файлов которого совпадал со SkyWiper. По мнению экспертов, вирусная атака носила направленный характер. Цели заражения не называются, но к числу пострадавших относятся компьютерные системы Ирана, Палестины, Венгрии, Ливана, Австрии, России, Гонконга и ОАЭ. Существует предположение, что именно Flame вызвал недавний сбой в работе компьютерных систем Министерства нефти и Национальной иранской нефтяной компании. Специалисты отмечают две волны распространения Flame, первая зафиксирована в сентябре 2010 года, а вторая - феврале 2011 года. Однако, некоторые компоненты Flame были созданы еще в 2007-2009 годах. Всё это время Flame оставался незамеченным благодаря многомодульной структуре (многие модули были написаны на скриптовом языке Lua), совмещению систем сжатия/шифрования для модулей и данных (хранились в БД SQLite3), а также нестандартному подходу к механизмам внедрения вредоносного код и уникальной системе таймеров. Применение языка Lua увеличило размеры вредоноса, так, примерный размер трояна с дополнительными модулями составил примерно 20Мб. Такой размер программного кода существенно осложнил антивирусным экспертам его анализ. Атаке подверглись лишь Windows-платформы, заражение происходило через переносные носители информации и через удаленное заражение с использованием уязвимостей CVE-2010-2729 и CVE-2010-2568 (используемые эксплойты подобны применяемым в Stuxnet). Основным модулем Flame является файл - "mssecmgr.ocx" (размер около 6Мб), а базовая функциональность трояна реализована в модуле "advnetcfg.ocx". Еще одной отличительной особенностью является то, что почти все конфигурационные данные содержатся в файлах, а не системном реестре. Таким образом, разработчики Flame пытались скрыть активность трояна от систем мониторинга реестра. После запуска, троян производил заражение областей виртуальной памяти системных процессов "winlogon.exe", "services.exe" и "explorer.exe". Внедрение имело пассивный характер, что также затрудняло обнаружение вредоносной активности антивирусным ПО. Главной задачей трояна являлось наблюдение за активностью пользователя, сбор информации, её хранение и регулярная передача. Сбор информации осуществлялся различными способами - наблюдение за нажатиями клавиш, фиксирование происходящего на экране, запись звука, сканирование носителей информации на предмет наличия на них файлов заданного формата, наблюдение за проводными и беспроводными соединениями, а также активными процессами. Любые другие действия Flame могли быть инициированы дополнительными модулями и командами управляющего центра. Управление трояном происходило по защищенным SSL каналам с помощью децентрализованной сети из более 50 управляющих центров, размещаемых по всему миру. Антивирусные эксперты утверждают, что по сложности программного кода, Flame находится в одном ряду со Stuxnet и Duqu. Созданием Flame занималась четко организованная группа людей на протяжение нескольких лет, по предположению, несвязанная с разработчиками Stuxnet и Duqu.
подробности http://uinc.ru/news/sn17965.html и http://www.crysys.hu/skywiper/skywiper.pdf
Изображение
Аватара пользователя
sasa
Истинный Wыксунец
Сообщения: 1451
Зарегистрирован: Ср авг 06, 2008 15:58
Пол: мужской
Откуда: Выкса

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение sasa »

GrayWolf писал(а):.... в цепочке между контроллером и пультом (часто это обычная программа на ПК) ...
Лишний раз подтверждаешь что не совсем в теме. Между контроллером и пультом обычно только ЕТ-шка, это если пульт кнопочные. Если пульт на панели оператора - то в зависимости от панели (если панель обычный сименс - свое ПО, если панель на основе ПК то может винда с ВинСС), но на ВМЗ чаще кнопочные пульты, а панели используются для визуализации, скада систем и т.п.

И вообще, если такой вирус существует, то он должен быть модифицирован под конкретную систему управления конкретным технологическим (или еще каким) процессом, т.е. должен быть досконально известен алгоритм работы системы, используемые адреса, протоколы обмена и т.п. Иначе вряд ли получиться сильно напортачить. Ну не сможет он отличить значение скорости вращения турбины от значения скорости механизма открывания ворот :-)

Я к тому, что это очень специфическая и явно заказная игрушка.
Американский форум - Задаёшь вопрос, тебе отвечают
Израильский форум - Задаёшь вопрос, тебе задают ответный вопрос
Русский форум - Задаёшь вопрос, тебе в ответ долго рассказывают, какой ты м***к
Аватара пользователя
GrayWolf
Истинный Wыксунец
Сообщения: 9768
Зарегистрирован: Пн май 26, 2008 7:06
Пол: мужской
Откуда: От Выксы до Москвы.
Благодарил (а): 10 раз
Поблагодарили: 1 раз
Контактная информация:

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение GrayWolf »

sasa писал(а):
GrayWolf писал(а):.... в цепочке между контроллером и пультом (часто это обычная программа на ПК) ...
Лишний раз подтверждаешь что не совсем в теме.
Вот тебе раз, что мои грубые предположения были правильными:
http://iadt.siemens.ru/assets/files/inf ... C_18_r.pdf

Верхний уровень – АРМ (автоматизированное рабочее место) операторов подключаются к контроллерам через Ethernet, АРМ вполне могут быть подключенны к интернетам... По поводу того что антивирус может вообще не стоять на АРМ нужно говорить? Нужно говорить, что антивирус "узнаёт" о вирусе далеко не в первый день существования вируса?
За мир с США, только не за тот мир, который США навязывает всем нам!

FPAP-01PF http://www.1-avia.ru/courses-faa.html
FPAP-1 http://www.1-avia.ru/fpap-1.html
http://saon.ru/forum/
Аватара пользователя
GrayWolf
Истинный Wыксунец
Сообщения: 9768
Зарегистрирован: Пн май 26, 2008 7:06
Пол: мужской
Откуда: От Выксы до Москвы.
Благодарил (а): 10 раз
Поблагодарили: 1 раз
Контактная информация:

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение GrayWolf »

sasa писал(а):И вообще, если такой вирус существует, то он должен быть модифицирован под конкретную систему управления конкретным технологическим (или еще каким) процессом, т.е. должен быть досконально известен алгоритм работы системы, используемые адреса, протоколы обмена и т.п. Иначе вряд ли получиться сильно напортачить. Ну не сможет он отличить значение скорости вращения турбины от значения скорости механизма открывания ворот :-)
Кстати, по поводу Фукушимы всё говорит что как-то так оно и было (если было, конечно :-)).
Многое там указывает на то, что вирус установила и внедрила израильская фирма, которая выполняла подряд для АЭС.
За мир с США, только не за тот мир, который США навязывает всем нам!

FPAP-01PF http://www.1-avia.ru/courses-faa.html
FPAP-1 http://www.1-avia.ru/fpap-1.html
http://saon.ru/forum/
Аватара пользователя
GrayWolf
Истинный Wыксунец
Сообщения: 9768
Зарегистрирован: Пн май 26, 2008 7:06
Пол: мужской
Откуда: От Выксы до Москвы.
Благодарил (а): 10 раз
Поблагодарили: 1 раз
Контактная информация:

Re: Несколько слов о вирусе систем АСУ ТП Stuxnet

Непрочитанное сообщение GrayWolf »

Вот тут про атаку стухнета на Иран:

http://www.warandpeace.ru/ru/commentaries/view/55638/
За мир с США, только не за тот мир, который США навязывает всем нам!

FPAP-01PF http://www.1-avia.ru/courses-faa.html
FPAP-1 http://www.1-avia.ru/fpap-1.html
http://saon.ru/forum/
Ответить

Вернуться в «Наука и технологии»