Как Symantec взломала Stuxnet

Автор оригинала: Дэвид Стром
  • Перевод
imageИстория, стоящая за спиной Stuxnet — червя ориентированного на Иранские атомные электростанции, была описана уже не раз (в том числе и на Хабре) с того момента, как прошедшей весной группа разработчиков из Symantec выпустила этот документ — досье, посвященное этому беспрецедентно сложному творению чьих-то рук. Но видеть — значит верить. И у меня был шанс присутствовать на специальном брифинге в штаб-квартире Symantec, расположенной в Mountain View — California, где Патрик Гарднер, директор их группы безопасности, показывал как все происходило на самом деле. Это был великолепно.

Stuxnet был очень сложной программой, содержащей около 10 000 строк кода, написание которых заняло человеко-годы. Symantec обнаружила первые версии червя примерно за год до настоящей атаки, имевшей место год назад в июне и у них не был ни малейшего понятия о том, что же это такое, до тех пора пока события не начали развиваться на атомном объекте. Они раскололи код командой из трех человек, работавших на полный рабочий день, за несколько месяцев.

Этот софт очень специфичен, и затрагивал отдельный программируемый логический контроллер от компании Siemens, проводящий серию из 9 000 различных центрифуг, используемых для разделения урана. Червь начисто уничтожал около 1000 из них, наносив серьезный ущерб и отбрасывая всю атомную программу Ирана на год, или даже более, назад.

Компьютерная сеть атомной электростанции имеет т.н. «воздушную дыру» между компьютерами используемыми для работы с контроллерами Siemens и обычными компьютерами бизнес-отделения, подключенными к Интернету. Это значит, что компьютеры подключенные к технике от Siemens не имели доступа к внешней сети, что является стандартной и хорошей практикой в сетевой безопасности такого уровня. Как же тогда они оказались заражены червем? Оказалось, в результате человеческого фактора.

Авторы червя знали о пяти потенциальных субподрядчиках атомной электростанции, будучи уверенными в том, что работник как минимум одного из них войдет на закрытую территорию с рабочим ноутбуком и использует флеш-носитель для того чтобы загрузить обновления ПО в компьютеры, контролирующие контроллеры. После этого, червь делал атаку по уязвимости «нулевого дня» (как мы знаем — до этого неизвестную) таким образом, что менялась иконка windows-файла, отображаемого Explorer'ом и для фактического заражения было достаточно простого просмотра этого файла.

Как только это происходило, Stuxnet принимался за работу. По иронии, первой его задачей было сидеть спокойно и просто считывать траффик контроллера, и ответы на команды к нему, в течение двух недель, не делая абсолютно ничего для разрушения контроллеров или операций внутри станции. Как только данные были собраны, он начинал заражать контроллеры. К тому же, из-за того как был написан сам червь, не существовало возможности обнаружить его используя стандартные процедуры дебаггинга, для того чтобы понять, какой код был добавлен авторами Stuxnet в код управления контроллерами — они выглядели идентично. Это очень хитроумное программирование.

На брифинге Symantec нам показали настоящий контроллер Siemens для того чтобы объяснить из первых рук, что бы случилось на самом деле. Это была маленькая коробка, размером примерно с буханку хлеба. К ней был подключен воздушный компрессор, по типу того, который вы перевозите в багажнике своего автомобиля для того чтобы накачать пробитую шину. На первом этапе нам показали «нормальные» операции, когда компрессор работает три секунды для того чтобы надуть шарик (нет, нам не показали никаких ядерных материалов — это было бы слишком). После этого был запущен Stuxnet, который изменил работу контроллера таким образом, что компрессор начал работать без остановки, а шарик, в свою очередь, взорвался.

image

Авторы Stuxnet (хотя никто и не может сказать конкретно, кто они, вы можете представить себе группу разработчиков с опытом, финансируемых скорее всего каким-то государством) имели доступ к конкретным планам станции в Иране, на которой располагались контроллеры. Это значит, что планы были либо украдены, либо каким-то образом переданы в руки авторов червя, для того чтобы запрограммировать в вирус знание того, где находятся конкретные компрессоры, моторы и другое оборудование на станции, а так же каким образом оно соединяется друг с другом. Червь был спроектирован для этого, единственного, архитектурного плана. Stuxnet не смог бы навредить другой атомной станции, использующей то же самое оборудование Siemens.

«Определенно, имел место какой-то тип эксфильтрации данных, не говоря о навыках программирования необходимых для такого рода работы» — говорит Гарднер. Что касается навыков, то у авторов Stuxnet они были не просто на высоте. В червь было встроено 15 различных модулей и 5 механизмов самоскрытия, два руткита: один для ПК и один для контроллера Siemens, который в свою очередь использует специальную встроенную ОС под названием Step7. Авторы червя так же выкрали (или купили) два цифровых сертификата (цифровые подписи), принадлежащих компаниям, физически расположенным в одном бизнес-парке на Тайване: Realtec и JMicron. Почему два? Первый был обнаружен и истек до того момента, как вирус начал работать. В общей сложности, в вирус было запрограммировано 6 неизвестных ранее инфекций. Для того чтобы понять масштаб происходящего, стоит упомянуть, что Symantec обнаруживала все 14 атак «нулевого дня» каждый день в 2010 году.

Когда червь принялся за дело, он изменял частоту работы центрифуг так, что им наносился существенный урон. Пока он делал это, операторам станции подавался тот самый траффик, который Stuxnet собирал в течение первых двух недель, чтобы у них не закралось даже подозрения о том, что «что-то не в порядке» до тех пор, пока машины, буквально, не разлетятся на части. Наконец самая красивая часть всей этой процедуры заключалась в том, что вирус деактивировал т.н. «kill swiches» — экстренные рубильники, поэтому не было возможности даже физически отключить контроллеры от работы.

Мысль, проносившаяся в моей голове на протяжении всего этого представления, была примерно такой: «Что будет следующим?» Команда, разработавшая Stuxnet определенно не остановится на этой, к счастью, попытке. Следующее их творение может быть куда более беспощадным.
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 158

    +22
    У меня каждый раз, когда я читаю/смотрю видео про Stuxnet возникает ощущение, что я оказался в будущем. Команды, которые написали Stuxnet и вскрыли его вызывают восхищение. Кибервойны, блин. Невероятно.
      +8
      У меня в ниге села батарейка. Долбанное будущее. (с) с баша
        +1
        в «книге», блин.
          0
          В чём, простите?
          • НЛО прилетело и опубликовало эту надпись здесь
            0
            А мне вспоминается роман «Белая чума» Фрэнка Херберта, в котором группа лучших молекулярных биологов расшифровывала генетический код синтезированного биологического вируса, поразившего человечество. :)
              –2
              ну это скорее кибер террористы. Видимо скоро от взрывов и захватов самолетов перейдут к распространению червей
                –2
                Интересно, какие чувства у вас вызовет, когда у вас в соседнем городе подобное творение вызовет мелтдаун и цепную реакцию ;)
                  –2
                  Противоречивые.
                  0
                  Это от неопытности
                  +3
                  Челюсть отвисает!
                    0
                    >ориентированного на Иранские атомные электростанции
                    и зачем было его устранять, теперь у нас ядерная война на носу.
                      0
                      а была бы ядерная зима )
                      +16
                      А перевод тоже Stuxnet писал, или контроллер Siemens?
                        –5
                        АБАЛДЕТЬ)))
                          –7
                          круто, что следующее…
                            –6
                            Да уж, подготовка и работа на уровне «привета из будущего», тут не поспоришь… Интересно кто заказчики/организаторы и сколько это потребовало ресурсов… Наше государство наверное не потянуло бы, все ресурсы распилили :)
                              0
                              Кстати, не менее сложные и насыщенные контроллерами и промышленными компами АСУ стоят на боевых самолетах, подводных лодках и ракетных системах… ;)
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  –1
                                  стухет
                                  ударение на у)))
                                    –4
                                    стухнет
                                  –1
                                  Этот случай показывает, насколько человеческий фактор может повлиять на будущее целой страны. Думается мне, что в недалеком будущем подобные инциденты будут проводиться не только с АЭС, но и с другими стратегическими объектами. Stuxnet — это старт новой, кибер-войны.
                                    +5
                                    Окончание статьи как фильмах… при ограблении показываем старое видео без никого :)

                                    Вообще потрясающий червь.
                                      –11
                                      Круто, ппц!
                                        –2
                                        10000 строк кода — не так уж и много.
                                          +9
                                          10000 строк качественного кода > 10000 строк кода
                                            –1
                                            Прежде чем их написать, надо было дофига всего прошарить — как эти контроллеры работают, например.
                                              –2
                                              ну так как у симантика не было исходного кода вируса, видимо имеется в виду ассемблерный код
                                              +4
                                              > «kill swiches» — экстренные рубильники, поэтому не было возможности даже физически отключить контроллеры от работы.

                                              Топор, не?
                                                +2
                                                Вы готовы рубить топором центрифугу с обогащенным ураном?
                                                  +3
                                                  Центрифугу не готовы, но питающие кабеля двигателей можно было попробовать, по крайней мере раскручиваться не будет, а там гляди и остановится до того как разлетится.
                                                    +1
                                                    Вот за это и любят «наших» инженеров. За то что способны не заморачиваться.
                                                    Но вполне вероятно что там наших не было :)
                                                      –2
                                                      Наверняка питание было качественно проложено(независимые вводы), плюс дизели и батареи. Так что просто рубануть — не выход.
                                                        –2
                                                        Батареей центрифугу не запитать, мой изначальный коммент как раз и говорил про обрубить питание непосредственно к центрифуге.
                                                          –2
                                                          Неужели на таких объектах такие сложные системы не имеют ручного аварийного стопа?! Обычно органы управления и то, дублируются…
                                                    0
                                                    — вы можете представить себе группу разработчиков с опытом, финансируемых скорее всего каким-то государством

                                                    Пентагон разрабатывает виртуальный полигон, США — Иран. Хроника вражды — это первые же ссылки, которые подвернулись под руку, их тонны можно найти. Больше, кстати, ни у кого реальных претензий к Ирану нет.

                                                    Ну и остается вспомнить, где больше всего грамотных программистом и денег для их оплаты?

                                                      +6
                                                      Ой, да ладно вам. Все и так поняли про кого речь :-)
                                                        –2
                                                        Вы про коммент ниже об Израиле?

                                                        Да, возможно. В принципе, я бы сказал, что даже более вероятно — в отличие о американцев они могут хранить тайны, в штатах постоянно все вылезает наружу.
                                                          +2
                                                          Это вполне может быть их совместной операцией.
                                                          А секреты это тоже человеческий фактор. Учитывая опыт с викиликс в США, наверняка, принимаются какие-то действия по защите своих тайн. Уж там то понимают, наверно, что такое информационная война.
                                                        –1
                                                        Если вы про Израиль, то у них вроде были другие методы борьбы с иранским мирным атомом — быстро прилетели на сумалётах, быстро разбомбили, быстро улетели обратно.

                                                        Я думаю, это Бельгия.
                                                        0
                                                        У Израиля претензий к Иране, по-моему, больше.
                                                          –1
                                                          Тут проблема в том, что если Израиль кинет подлянку Ирану, то может получить в обратную, а штаты — нет.
                                                            0
                                                            Израиль, скорей всего, получит по мозгам так или иначе. Если точно знаешь, что получишь, то лучше бить первым.
                                                        +8
                                                        А ведь, наверно, где-то в Тель-Авиве сейчас сидит ондин из разработчиков этого червя, и ему приятно читать наши комменты
                                                          +13
                                                          Будет круто если он залезет на хабр, накатает пост.
                                                          Мол вот тут я это эдак сделал, а тут вот так.
                                                          А тут я долго парился и сделал через *опу:)
                                                            0
                                                            Не думаю, что они когда-то об этом расскажут.
                                                              +6
                                                              Но согласитесь, было бы интересно почитать взгляд на ситуацию с обратной стороны, со стороны разработчиков.
                                                              0
                                                              Не думаю что у него есть инвайт
                                                                +4
                                                                Ищи в песочнице и давай инвайт ))))
                                                                  –1
                                                                  это будет последнее что он напишет, моссад не дремлет
                                                                –3
                                                                Да, новая эпоха кибервойн, и новая логика атак и шпионажа.
                                                                Кто знает может через надцать лет такой софт откроет правду про маленьких зелёных человечков.
                                                                  +7
                                                                  > вирус деактивировал т.н. «kill swiches» — экстренные рубильники, поэтому не было возможности даже физически отключить контроллеры от работы.

                                                                  Именно поэтому всегда должна быть очень простая и надежная процедура отключения. Там ничего не должно программироваться. Это должен быть именно рубильник в шкафу под ключиком.
                                                                  Если нет такой штуки — то это серьзный просчет в разработке.
                                                                    –2
                                                                    А если нельзя остановить обесточив, а должна быть программируемая процедура. Современные ОС тоже так просто вырубать не рекомендуется. Да и многие машины сразу не глушатся.
                                                                      –2
                                                                      верно, должен быть корректный вариант и экстремальный.
                                                                      когда вы видите, что машина сейчас все нахрен разнесет — ее надо останавливать любым путем
                                                                        –4
                                                                        На сколько (плохо) я знаю устройство ядерных реакторов там, скорее всего, разнесет все гораздо быстрее, если именно выключить какое-либо звено в нем. Причем, вроде как единственно важная система в ядерном реакторе — его охлаждение.
                                                                          +6
                                                                          Это не реакторы, а центрифуги для обогащения урана. Прочитайте, в конце-концов, статью.
                                                                            –2
                                                                            Не принципально. Любой ответственный механизм должен иметь несколько независимых контуров защиты. Програмный контроль это хорошо. Но у каждого механизма есть предеельные параметры, например, количество оборотов центрифуги — вот это и должно контролироваться простейшим механическим датчиком, который не позволит развить обороты дальше.
                                                                            –2
                                                                            Охлаждение очень важно, чтобы не допустить расплавления активной зоны, но еще важнее возможность остановить или максимально замедлить реакцию. Не знаю как в новом реакторе, но в старом активность регулировалась введением замедляющих стержней в активную зону. Причем стержни располагались сверху, так чтобы в самом крайнем случае их можно было уронить в активную зону, например, оборвав крпление.
                                                                            То есть существовал очень простой и надежный механизм остановки реактора.
                                                                              –2
                                                                              Не всё так однозначно.

                                                                              Фукусима — относительно старый реактор. Но его делали американцы, поэтому замедлитель там подавался снизу. При отключении электроэнергии поднять замедлитель в активную зону не было возможности.

                                                                              Жидкометаллические реакторы не используют замедляющие стержни — мощность и интенсивность реакции там регулируется либо выведением топливных стержней из активной зоны, либо изменением величины активной зоны за счёт перемещения отражателя. В аварийных ситуация реактор саморегулировался и понижал мощность. Реакторы такого типа разрабатывались с 1950-х.
                                                                                –1
                                                                                Модели бывают разные. Главное другое — сделана возможность саморегуляции — то есть обратная связь на простейших физических принципах, без участия компьютеров и человека.
                                                                        –2
                                                                        Не знаю как у «них» на АЭС, а у нас даже на маленькой ГЭС противоаварийная автоматика (причем лохматых годов) отработает независимо от контроллера, в случае превышения какого-либо параметра, отказа оборудования, отказа самого контроллера, аварии, ядерной войны и пр… Требования такие.
                                                                          –2
                                                                          абсолютно верно
                                                                            –2
                                                                            К сожалению, это не всегда так: www.newsland.ru/news/detail/id/402418/cat/48/
                                                                              –2
                                                                              Ну это просто коньюнктурный момент — Шойгу ловит момент, чтобы пнуть 94-ФЗ и изменить его в более выгодную для себя сторону.
                                                                              Вот это неверный критерий отбора:
                                                                              «должны побеждать одни и те же крупные структуры,

                                                                              Должны быть функциональные критерии: например, кол-во построенных объектов и пр.
                                                                            –2
                                                                            знаете, вот когда прочитал Ваш комментарий, и спросил у одного моего знакомого бородатого АСуТПшника, он сказал, что вот так вот рубильник, который ничего не программируя выключить центрифугу можно сравнить с попыткой отрубить колесо у машины на большой скорости.
                                                                              –2
                                                                              Скорее, не отрубить колесо, а заглушить двигатель. Сильно критичных последствий быть не должно и нужно оценить вред от жесткого отключения или нештатным режимом работы, который може привести к непредсказуемым последствиям.

                                                                              «Рубильник» может быть и программным, но жестко прошитым без возможности модификации программы.

                                                                              Например, обычный элементарный контроллер ждет нажатия кнопки аварийного останова и постепенно отключает насосы, двигатели и т.п. в соответствии с минимальной программой.
                                                                                –2
                                                                                есесно не просто так — надо все продумывать.
                                                                                Все системы должны проектироваться с учетом того, как они будут ломаться и что при этом делать.

                                                                                Ну и само собой — перепрораммирование контроллера должно осуществляться только с главного компа, при этом должно быть 2 ключа (простых железных, а не электронных): один у главного инженера, другой у мастера участка. Все равно перепрограммировать контроллер приходится крайне редко — так что можно сделать защиту от случайного изменения.
                                                                              –3
                                                                              Я не сторонник конспирологии, но это запросто мог и сам Сменс сделать. Продать еще немного компрессоров, контроллеров и дополнительных средств безопасности, увеличить бюджет и пр. Потому как выберать из поставщиков такого оборудования (учитывая специфику производства и политическую ситуацию) особо не приходится.

                                                                              Странно только что брешь в безопасности устранили с помощью американской компании. Какой-то конспиралогический план внутри плана вырисовывается. Прям как в «Дюне» :)
                                                                                +3
                                                                                Эта атака ничем хорошим Сименсу не светит. Сам факт того, что с их контроллерами можно сотворить такое способен отвернуть от них потенциальных клиентов.
                                                                                  –1
                                                                                  Все к чему подключены микропроцессоры можно заразить (или взломать). Я думаю что очень скоро мы узнает про вирусы в телевизорах и т.п. В данном случае очевидны умышленные действия. Так что взломали бы любые контроллеры. Разве что сделать что-то в стиле стим-панк на шестеренках, эксцентриках и кулачковошатунных механизмах со всякими маятниковыми ограничителями :)
                                                                                    0
                                                                                    Я с вами согласен, но теоретическая возможность взломать что угодно — это одно, а реально существующий вирус, капитально выводящий из строя специфическое оборудование — это уже что-то совсем другое. Опять-таки — я всего лишь хочу сказать, что сименс сам себе такую собаку бы не подложил.
                                                                                +3
                                                                                Саша, ты же хорошо владеешь, как русским, так и английским языками.
                                                                                Отчего тогда порой складывается впечатление, что некоторые статьи появляются на хабре с контеста по скорости перевода текстов?
                                                                                  –2
                                                                                  У меня нет своего редактора. А еще чаще у меня нет времени на то чтобы публикация «отлежалась».

                                                                                  Тем не менее — в последнее время я вижу все больше замечаний в адрес своей лексики, буду стараться исправлять.
                                                                                  –1
                                                                                  Да Моссад это, ежу понятно.
                                                                                    0
                                                                                    таки да
                                                                                    0
                                                                                    Снимаю виртуальную шляпу!
                                                                                      –2
                                                                                      БРАВО!
                                                                                      Давно я не слышал о столь изящных вирусах.
                                                                                      Произведение искусства.
                                                                                        –2
                                                                                        Я вот только не понимаю, чего symantec так рьяно кинулись всем рассказывать, что за червь. Ну понятно, профессиональная гордость и все такое (действительно работу они проделали супер профессиональную, такое раскопать совсем не просто), но на кой им сдалась ядерная программа в Иране…
                                                                                          +4
                                                                                          Symantec хочет показать, что они умеют бороться со Stuxnet — чтобы Иран поверил и установил их антивирус на всех своих компьютерах.

                                                                                          А дальше легким движением руки брюки превращаются…
                                                                                            –2
                                                                                            Интересно, продали ли Symantec результаты своей работы и если да, то кому и за сколько.
                                                                                              –2
                                                                                              они подняли свою репутацию, это немало
                                                                                            +1
                                                                                            Обратите внимание — один из ключевых компонентов использовал уязвимость в Microsoft Windows, срабатывавшую в Explorer при открытии флешки.

                                                                                            Причина в том, что у МС по дефолту в ОС программам все разрешено, а подход к безопасности у них такой: «будут уязвимости — будем исправлять». Естественно, только после того, как дорогостоящее оборудование, в которое вкладывались огромные деньги всей страны, сломается. Удивительно, но даже после таких вопиющих случаев эта корпорация лидирует в области разработки и продажи ОС.

                                                                                            Хотя, наверно, то что сломался именно завод по производству ядерных гадостей, это даже хорошо. Только вот они же все равно не успокоятся, пусть на несколько лет позже, но соберут эту бомбу. А за ними и другие государства начнут расуждать, «а чем мы хуже», технологии растут, промышленность развивается, сейчас это проще, чем 50 лет назад. Вот и будем жить в мире где у каждого правительства (компании нечистых на руку корыстных людей) будет по ядерной бомбе.

                                                                                              –1
                                                                                              Интересно, почему для такой серьезной задачи использовали ненадежную ОС. Помню, в старых версиях Windows в лицензионном соглашении был пункт, что данное ПО нельзя использовать для управления ядерными реакторами и т.п. Не знаю, как сейчас.
                                                                                                +2
                                                                                                У иранцев была пиратка, они соглашение не читали.
                                                                                                  –2
                                                                                                  10. Недопустимость использования в опасных условиях. Продукты не являются отказоустойчивыми. Они не предназначены для использования в ситуациях, в которых сбой или ошибка Продуктов любого вида может привести к смерти или серьезным телесным повреждениям какого-либо лица или причинению серьезного физического вреда или вреда окружающей среде («Использование в опасных условиях»). Клиенту не предоставляется лицензия на Продукты для их использования в опасных условиях или в связи с такими условиями. Использование в опасных условиях СТРОГО ЗАПРЕЩЕНО. Использованием в опасных условиях может, например, считаться применение в авиации или других общественных транспортных системах, на атомных электростанциях или химических заводах, в медицинских устройствах Класса III согласно Федеральному закону о пищевых продуктах, лекарственных препаратах и косметических средствах (США). Клиент согласен не использовать, не распространять и не сублицензировать Продукты для Использования в опасных условиях или в связи с такими условиями.

                                                                                                  2010 год.
                                                                                                    –2
                                                                                                    А она и не использовалась — только как вспомогательное средство для подготовки данных и отображение результатов. Можно всё увешать специализированными системами, но где-то всё равно будет десктопный компьютер, на котором готовят исходные данные.
                                                                                                    –2
                                                                                                    А она и не использовалась для управления реакторами. Она использовалась для программирования контроллеров, которые уже управляли оборудованием.
                                                                                                      0
                                                                                                      софт симантика работает только под виндой, так что выбора не было
                                                                                                      –2
                                                                                                      Причина в том, что разработчики — клоуны. Уж если используют Windows (а в этом нет ничего плохого), то уж будьте любезны обеспечить безопасность — средств у системы для этого достаточно.
                                                                                                      –2
                                                                                                      Похоже, что Stuxnet разработал как раз-таки Symantec! Объясняю:

                                                                                                      Кому нужно блокировать ядерную программу Ирана? Израилю? Правильно, но еще правильней будет сказать — США, стране которой принадлежат лучшие умы. Ладно, если мне не изменяет Википедия, то Симантек — это американская компания. Значит можно сделать вывод что разработано было там-же, т.е. Made in Symantec :)

                                                                                                      А если по делу (IT), то это один из лучших вирусов когда либо разработанных. Так что искреннее браво господа разработчики. Продолжайте в том же духе.
                                                                                                        –3
                                                                                                        За что минусуете? За предположения? Да это лично мое ИМХО. Но я и не уверен что это 100%. Но если вы ставите минус — аргументируйте свою точку зрения? Для чего тогда вам аккаунт в Хабре?
                                                                                                          –2
                                                                                                          Н-да… Логика конечно суровая. Симантек — американская компания и что? На основании чего делаются остальные выводы? Частная компания ни коем разом не равна государству. И государство ни разу не владеет этой компанией. И с какого бодуна Симантеку так подставляться?
                                                                                                            –2
                                                                                                            Да не с какого. Это всего лишь предположение. Короче говоря — ИМХО.

                                                                                                            Это очень серьезный вирус и дисасемблировать/расшифровывать его — дело серьезное. Тем более эксплоит правительственного уровня. А симантеку это просто послужило хорошим имиджем, рекламой.

                                                                                                            Но повторюсь еще раз, ребята молодцы, раз разработали столь мощный вирь.

                                                                                                            З.Ы.
                                                                                                            Хорошо что российская ядерная оборонка/промышленность построена еще со времен СССР когда не все было так компьютеризировано. Хотя нашей разведке тоже нужно соответствующих ребят привлекать на случай кибервойны.
                                                                                                          –2
                                                                                                          Мне непонятно, как можно спроектировать аварийный выключатель софта так, что бы его можно было этим софтом отключить.
                                                                                                            –2
                                                                                                            «какой идиот догадался разместить выключатель ВНУТРИ самого устройства???»
                                                                                                              0
                                                                                                              Регистрация на сайте доступна только зарегистрированным пользователям!
                                                                                                                +1
                                                                                                                pkunzip.zip?
                                                                                                                  +2
                                                                                                                  chmod -x `which chmod`
                                                                                                                    –2
                                                                                                                    Ну, это обходимо :)
                                                                                                            +5
                                                                                                            Больше всего мне интересно, как эту малварь отлаживали. Даже если была возможность тестировать червь на самих контроллерах, это все равно это не «боевые условия».
                                                                                                              –2
                                                                                                              Думаю, у разработчиков была хорошая виртуальная модель, которая потребовала не меньше усилий…
                                                                                                                –2
                                                                                                                В эмуляторе ))
                                                                                                                Мне кажется, что сидела целая куча людей и придумывали стратегию и тактику взлома. Это же война…
                                                                                                                Так же, как не полностью известна боевая обстановка на территории врага, но вылазку нужно сделать — анализируются имеющиеся данные и на их основе строятся модели поведения. Думаете, чем занимался червь перед тем, как проявить себя? — собирал данные и на их основе строил свою иерархическую сеть контроллеров и датчиков — структуру войск врага. А потом подменил информацию, как в классическом сценарии подмены изображения на камере видеонаблюдения в фильмах об ограблении банков…

                                                                                                                Вообще очень интересная задача, и не понятно, на чьей стороне правда — или предупредить возможную ядерную угрозу или сорвать использование ядерного топлива для атомных станций в мирных целях для нужд населения Ирана.
                                                                                                                  –2
                                                                                                                  это же спец службы делали, у них бюджет милионный. не удивлюсь, если был построен зал с несколькими такими центрифугами, может и уран настоящий туда насыпали
                                                                                                                  +2
                                                                                                                  Вот сколько лет уже появляются заголовки про «кибервойну», но это — первое по-настоящему серьёзное происшествие, предыдущие в основном были жёлтизной.
                                                                                                                    0
                                                                                                                    «программируемый логический контроллер от компании Siemens, проводящий серию из 9 000 различных центрифуг» — это как понимать?
                                                                                                                      –2
                                                                                                                      Центрифуга — это устройство контролирующее процесс вращения (соответственно — обогащения урана), имеющая 9000 различных вариаций оных вращений, по частоте, скорости и т.д.
                                                                                                                        –2
                                                                                                                        Центрифуга — это устройство, реализующее процесс вращения. Фактически — это непосредственно то, что вращается — барабан или коромысло. Иногда так называют вместе — и то, что вращается, и то, что вращает и держит — мотор, корпус — в общем, целиком прибор. А контроллировать процесс вращения центрифуги может контроллер центрифуги. Но вот 9000 чего он производит — совершенно непонятно.

                                                                                                                        Более того, это непонятно даже из оригинальной фразы — The software is extremely specific, targeting a particular programmable logic controller from Siemens that runs a series of 9,000 different centrifuges used in Uranium separation.
                                                                                                                          –1
                                                                                                                          Напишите письмо автору оригинального поста — я уверен, он откликнется.
                                                                                                                            –2
                                                                                                                            Прочитав фразу в оригинальном тексте, я конечно заслал под него коммент.
                                                                                                                            0
                                                                                                                            Я хоть и не спец в английском (только читаю техлитературу, слова сложить трудно), но понял конец фразы так: «контроллер от Сименс запускает\управляет набором из 9000 отдельных центрифуг, используемых в процессе обогащения урана». Может, я не прав, но мне кажется, смысл фразы именно такой.
                                                                                                                              –2
                                                                                                                              центрифуг = процедур очистки
                                                                                                                              видно, с английским все-таки реально не дружу…
                                                                                                                                –2
                                                                                                                                а откуда это =?
                                                                                                                                  0
                                                                                                                                  Думал, что это скорее глагол («очищать на центрифуге»), но немного переделал под контекст статьи. translate.google.com.ua/#en|ru|centrifuge

                                                                                                                                  Но вот поискал информацию о процессе очистки урана, там действительно используется каскад из более чем нескольких тысяч центрифуг — noterror.ru/obogashhenie-urana-s-atomnoj-massoj-238-i-235-kak-obogashhayut-uran/

                                                                                                                                  Так что первый вариант перевода более правильный.
                                                                                                                                –1
                                                                                                                                9000 отдельных центрифуг? не слишком много?
                                                                                                                                Хотя, 9000 — это матрица 100х90 штук, наверно центрифуги размером по полметра каждая — получается цех 50х50 метров без учёта проходов. Представляю себе, как оно жужжит. Но, похоже, вполне правдоподобно.
                                                                                                                                  0
                                                                                                                                  It's over 9000 центрифуг!
                                                                                                                                    –1
                                                                                                                                    Во, по ссылке от sfghelios видно, что они существенно меньше в диаметре и их действительно много.

                                                                                                                                    image
                                                                                                                                    Итого — фразу надо понимать так: «программируемый логический контроллер от компании Siemens, управляющий набором из 9 000 центрифуг»
                                                                                                                            –1
                                                                                                                            «что менялась иконка windows-файла, отображаемого Explorer'ом и для фактического заражения было достаточно простого просмотра этого файла.» — какое отношение иконка имеет к просмотру файла? Или имеется ввиду просмотр иконки в проводнике?
                                                                                                                              –1
                                                                                                                              Возможно, подмену значка приложения на привычный значок некого типа файлов. Думаешь что по тычку этот файл откроется в соответствующей программе — а тут и приложение запустилось
                                                                                                                                –1
                                                                                                                                Видимо, некий баг Explorer'a при попытке показать/загрузить иконку файла. Подобное уже было.
                                                                                                                                –1
                                                                                                                                «имели доступ к конкретным планам станции в Иране, на которой располагались контроллеры.» — чиста конкретным? Зачем здесь это слово? Может, лучше «точным», «актуальным» или вообще без эпитета?
                                                                                                                                  +1
                                                                                                                                  Снова гугле-транслейтом балуемся?
                                                                                                                                    +1
                                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                        +1
                                                                                                                                        Ни одного комментария про Линукс — странно. Еще более странно, что эти системы действительно управляются с ОС Windows. И не только «там», но и "тут".
                                                                                                                                          –1
                                                                                                                                          Хех, ещё, помню, в аварии на Саяно-Шушенской ГЭС Шойгу винил систему управления, работающую под Виндовс.
                                                                                                                                            +1
                                                                                                                                            Тут надо понимать, что создание вируса было лишь завершающим этапом операции. Очевидно, у авторов червя была развединформация (полученная на предыдущих этапах операции), что на компьютерах, использующихся для управления контроллерами установлена Windows. Была бы там любая другая система — использовали бы 0-day-уязвимости для нее.
                                                                                                                                              –1
                                                                                                                                              Где они управляются Windows? На windows просто подготавливали исходные данные.
                                                                                                                                              Если бы был обычный Linux то было бы лучше? С фигов ли? Точно так же использовали бы уязвимость или какую-то особенность конкретного дистрибутива.
                                                                                                                                              Более того Linux при бездумном применении приносит вреда не меньше чем Windows — имеется личный опыт.
                                                                                                                                                0
                                                                                                                                                Системы управляются контроллером (PLC), а это фактически система реального времени.
                                                                                                                                                На windows только диспетчерская часть (SCADA)
                                                                                                                                                –1
                                                                                                                                                Подпей я еще поллитра, подумал бы, что кто-то из разрабов софта этот же вредонос разрабатывал. Слишком много знать надо, и при этом не устроить катастрофу.
                                                                                                                                                  –1
                                                                                                                                                  Не очень понятно, причем здесь Explorer. Некоторое время работал с биометрическим оборудованием, так не из злого умысла о эдакой безопасности, а по необходимости оно на такой версии линукса работало, что и находясь за клавиатурой ничего вредоносного не сделать вообще, а тут…

                                                                                                                                                  Не хочу начинать холивары о безопасности, но windows — не система реального времени. Как с нее вообще можно серьезным оборудованием управлять? Да и плюс, не так удобно это; те кто писали драйвера знают.
                                                                                                                                                    –1
                                                                                                                                                    А при чем тут система реального времени или нет? Она же не на контроллере стоит. А там хоть Windows, хоть Ubuntu — баги есть везде.
                                                                                                                                                      –1
                                                                                                                                                      Как я понял — Windows-машина (ноутбук) служила для заливки софта в контроллер при следующем обновлении управляющей программы на контроллере. Вот с этого компа и залез червь уже в сам контроллер.

                                                                                                                                                      Действительно, а как обновляться закрытой от внешнего мира железяке?
                                                                                                                                                        –1
                                                                                                                                                        Никак, выбираем последнюю стабильную версию, используем до окончания программы или проекта. Потом обновляем до следующей стабильной, начинаем новую программу.
                                                                                                                                                          –1
                                                                                                                                                          А никак. А на ответственной железяке так и вообще никак. Есть решение о невнесении изменений. И каждое обновление требует отдельного обоснования, тех. решения, серии тестов и стоит вагон денег.
                                                                                                                                                            –1
                                                                                                                                                            Судя по тексту поста, был тендер среди 5 организаций на проведение обновления или техобслуживания. Значит, обоснования, тех.решения, тесты и деньги для проведения были.
                                                                                                                                                              –1
                                                                                                                                                              а кто сказал, что обновление затрагивает обновление софта? Зачем его трогать если и так всё работает?
                                                                                                                                                        –2
                                                                                                                                                        ms-rem следит за этим постом.
                                                                                                                                                          –2
                                                                                                                                                          ms-rem минусанул, я чувствую это.
                                                                                                                                                          –1
                                                                                                                                                          www.youtube.com/watch?v=cf0jlzVCyOI

                                                                                                                                                          здесь есть интересное видео, демонстрирующее работу Stuxnet в системе PLC (на английском, но многое понятно без слов)
                                                                                                                                                            –1
                                                                                                                                                            Судя по видео, уязвимость в винде, не в контроллерах. Винда по прежнему заражаема простой вставкой USB флешки (неужели автораны все еще актуальны… это печально), вредоносное ПО на лету меняет логику загружаемой программы, что приводит к «сумасшедшему» поведению контроллера. Если перед этим, как в статье, вирь поживет да пособирает статистику в память контроллера, то можно рапортовать записанным в течении некоторого времени, пока контроллер «сходит с ума». Никто не заметит, пока сам своими глазами не глянет на поведение железа.

                                                                                                                                                            Вывод: основная дыра — винда.
                                                                                                                                                            Второй вывод: судя по видео, вирь не заражает контроллеры, он заражает компы, что прошивают контроллеры. Если контроллер не трогать и не обновлять на нем софт с зараженной машины, то проблемы не будет. Софт по идее обновлять часто не должны.
                                                                                                                                                              0
                                                                                                                                                              В статье написано, основной источник проблемы человеческий фактор, но вы судя по всему дочитать статью не смогли.

                                                                                                                                                              Один из подрядчиков в нарушение всех инструкций безопасности перенес исполняемый код на своем USB устройстве в изолированную сеть управления контроллерами.

                                                                                                                                                              Уязвимость в explorer позволила запустить код с флешки внтури изолированной сети. Затем ПК инфицированный трояном залил в контроллер Siemens руткит для специализированной ОС Step 7.

                                                                                                                                                              Внимание вопрос есть ли ОС без уязвимостей и zero day эксплоитов? Нет!

                                                                                                                                                              Случай с ошибкой в опенсорсной реализации алгоритма blowfish которую нашли через 13 лет, несмотря на то что исходные коды доступны всем, указывает что опенсорс не панацея. А ведь по идее искать должны были как следует это все таки алгоритм шифрования а не какая либо ерунда.

                                                                                                                                                              А при учете того во сколько дистрибутивов разных ОС была встроена эта реализация blowfish становится понятно что абсолютно безопасного ничего нет.

                                                                                                                                                              it.slashdot.org/story/11/06/20/2257229/13-Year-Old-Password-Security-Bug-Fixed

                                                                                                                                                              Случай с ошибкой в FreeBSD которая расползась практически по всем BSD подобным системам и была обнаружена только через 20 лет после возникновения еще раз подтверждает мою точку зрения.
                                                                                                                                                                0
                                                                                                                                                                Статью я дочитал, просто заинтересовали коментарии «Давно я не слышал о столь изящных вирусах» и подобное. Здесь затронут не только человеческий фактор (перенос зараженной флешки), сколько:

                                                                                                                                                                - автоматический запуск приложений с флешки (autorun), который ну никак не должен работать на подобного рода компьютерах (да и вооще редко где нужен).
                                                                                                                                                                — работа человека с привилегиями админа, позволяющими (за)(из)менить либы Step 7 (кстати, это не ОС, просто редактор логики/IDE, впрочем и название всей линейки контроллеров, работал с ними год)

                                                                                                                                                                Иными словами, не будет этих двух пунктов и человеческий фактор уже не сработает. Хоть порнушку запускай, сам, пока не повысишь свои привилегии, нет проблемы. Так что на мой взгляд проблема — windows и ее специфика работы, а на втором месте уже «человеческий фактор». Другой вопрос, что винду можно настроить корректно, отрубить права, автозапуск и все такое. Если включать админа - идиота в «человеческий фактор», то да, вы правы.
                                                                                                                                                                  –1
                                                                                                                                                                  Судя по описанию там не было autorun атаки, скорее всего была атака на переполнение буфера в Explorer при отображении каталога флешки. И затем уже запуск кода из конекста Explorer с правами текущего пользователя.

                                                                                                                                                                  Скорее всего если бы там был настроен Applocker злонамеренное приложение не смогло бы запуститься ибо оно не прописано в белый список приложений.
                                                                                                                                                                    –1
                                                                                                                                                                    да не было авторана, читайте внимательно.
                                                                                                                                                                    для запуска малвари нужно было только открыть содержимое флэшки (подгрузить иконку из ярлычка).
                                                                                                                                                                    www.microsoft.com/technet/security/bulletin/MS10-046.mspx
                                                                                                                                                                  –1
                                                                                                                                                                  дыра в том что комп постоянно работал с правами администратора, а в этом случае любой вирь сразу намертво цепляется к системе
                                                                                                                                                                +3
                                                                                                                                                                Пытался врубиться в фразу
                                                                                                                                                                Symantec обнаруживала все 14 атак «нулевого дня» каждый день в 2010 году

                                                                                                                                                                Судя по оригиналу, это
                                                                                                                                                                За весь 2010 год Symantec обнаружила 14 уязвимостей «нулевого дня»

                                                                                                                                                                В их отчёте тоже фигурирует такое число за 2010 год.
                                                                                                                                                                  +2
                                                                                                                                                                  Судя по картинке, контроллер у них Сименс Симатик. То есть, вполне стандартный контроллер Сименс для промышленной автоматики. Поскольку я, как бы это сказать, несколько в теме, меня заинтересовал другой момент.

                                                                                                                                                                  Чтобы узнать ЧЕМ управлять, нужно хорошо знать структуру системы. В самом деле, кто сказал что там стоят именно Симатики именно с определёнными настройками? Дальше, нужно из всех контроллеров сети «выбрать» именно те, которые управляют конкретными устройствами. Как можно узнать эти вещи, не имея доступа к схемам всей системы? Никак!

                                                                                                                                                                  Значит, схема у них всё-таки была. Откуда её можно взять? В любом случае, это уже социальный инжиниринг, либо шпионаж в той или иной форме.
                                                                                                                                                                  Короче, данный вирус — есть часть более глобальной операции, включавшей в себя добычу сведений об иранской программе, анализ добытых сведений профессионалами, формирование и передачу ТЗ штатным хакерам, создание червя, его отладку на оборудовании, и, наконец, внедрение червя на объекты атаки. Операция довольно сложная и дорогостоящая.
                                                                                                                                                                    –1
                                                                                                                                                                    может утечка произошла из самого симантика, там то точно знали, что продавали в иран. потом эти вирусописатели купили такой же комплект, все отладили, и закинули на электростанцию. Закинуть могли очень просто-судя по новостям, там устраивали экскурсии для туристов. Не удивлюсь, если один из туристов «заблудился» и на неск. секунд воткнул в первый попавшийся комп флешку
                                                                                                                                                                      –1
                                                                                                                                                                      «Самого симантика» — это что имелось в виду?

                                                                                                                                                                      Украсть из Сименс, скорее всего, было нечего. Так как дилеры Сименса поставляют стандартные контроллеры. Сами схемы и настройки есть только у организации-разработчика и, возможно, некоторых подрядчиков. Если и красть данные, то оттуда.
                                                                                                                                                                        –1
                                                                                                                                                                        на самом деле, скорее всего схемы были украдены у разработчика, вариант кражи у сименса нельзя рассматривать, потому что нет точной информации что абсолютно вся аппаратура работала только на сименсах, да и процессом автоматизации вряд ли занимался непосредственно сименс. А все компьютеры, которые принадлежат к сети с центрифугами имеют (в 999 из 1000 случаев) залитые клеем порты. все, кроме используемых, так что в «свободный» не куда было воткнуть.
                                                                                                                                                                      –1
                                                                                                                                                                      ESET опубликовал технический отчёт по Stuxnet ещё осенью: Stuxnet under the Microscope
                                                                                                                                                                        –1
                                                                                                                                                                        "Авторы червя так же выкрали (или купили) два цифровых сертификата (цифровые подписи), принадлежащих компаниям, физически расположенным в одном бизнес-парке на Тайване: Realtec и JMicron"
                                                                                                                                                                        Ничерта себе! Вот так запросто выкрали сертификаты у таких монстров.
                                                                                                                                                                          0
                                                                                                                                                                          Кто-то так миленько впаял каждому комментарию по минусу, независимо от содержания Надеюсь это доставило ему чуть-чуть удовольствия.
                                                                                                                                                                            0
                                                                                                                                                                            Быстренько вспоминаем подводную военноморскую базу из DeusEx — база опустела, затопилась, залочены все двери и перенастроены турели. Не удивлюсь что это когда нибудь случится
                                                                                                                                                                              0
                                                                                                                                                                              Почему у всех комментов минус один? Просто так хабрадети балуются? Пора уже отключать этот кармоотстой или переделать в SO-подобный.
                                                                                                                                                                                0
                                                                                                                                                                                Это вирус.
                                                                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь

                                                                                                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                                                Самое читаемое