» »

Zlonamerna programska oprema napadla ameriške elektrarne

Zlonamerna programska oprema napadla ameriške elektrarne

Nadzorni sistemi, ki so ogroženi.

ZDNet - Ena stvar so napredni kosi zlonamerne vohunske programske opreme, kot so (bili) Stuxnet, Flame ali Rdeči oktober, proti katerim pametne zaščite ni, ker jih pišejo vrhunsko usposobljeni strokovnjaki in ker izkoriščajo še neprijavljene ranljivosti v programski opremi. V povsem drugo kategorijo pa sodi običajna malomarnost, ko pomembne industrijske sisteme virusi okužijo zato, ker nimajo nameščenih osnovnih protivirusnih programov, ki bi jih bili zlahka zaznali. Zgodi se tudi v elektrarnam v ZDA.

Ameriški CERT je sporočil, da so odkrili okužbe nadzornih sistemov SCADA v dveh elektrarnah, a ju niso želeli imenovati. Scenarij je zelo običajen. Vektor okužbe je bil nezaščiten USB-vhod, v katerega je zaposleni vključil okužen USB-ključ in virus se je razširil po sistemu. Ker niso imeli nobene protivirusne zaščite, sploh niso vedeli, kaj se dogaja v sistemu. V eni elektrarni so okužbo odkrili šele, ko so je nekdo pritožil zaradi nedelujočega USB-ključa, na katerega je želel skopirati varnostno kopijo. Analiza ključa je pokazala, da je okužen s tremi primerki zlonamerne kode - dvema običajnima in enim prilagojenim. Nadaljnja analiza sistema je pokazala, da sta okuženi tudi dve delovni postaja in SCADA-sistem za nadzor delovanja. Varnostnih kopij sistema ni bilo, tako da so se morali serviserji lotiti napornega čiščenja sistema, ne da bi kar obnovili starejšo instanco iz varnostne kopije.

Podatkov o škodi k sreči ni, a to niti ni poanta. Problem je, da imajo vsi kritični industrijski sistemi USB-vhode in pomanjkljivo zaščito. Virusi in druga nesnaga se širijo kot v starih časih disket, zato CERT poziva industrijo, da razmisli o drugih načinih za prenos podatkov in zaščito - enkratno zapisljivi optični mediji, dosledno čiščenje USB-ključev pred vsako uporabo, namestitev in vzdrževanje protivirusnih programov itd. Večinoma tega ni, zato se lahko zgodi, da en okužen USB-ključ na kolena spravi celoten obrat. Pri tem so sistemi občutljivi tako na običajen malware kakor tudi na specializirano vohunsko programsko opremo. Prvi lahko povzroča škodo zaradi nerodnosti, drugi more izvajati premetene sabotaže.

27 komentarjev

BaToCarx ::

O lepo, čakam še na kako novico, kako kje kjer je regulirana voda, čudežno zabije z flourom, pa da so tudi žrtve Fluoride poisoning @ Wikipedia .

Jebemti tehnologijo.

nurse013 ::

Sigurno ga je Iran podtakno...
:D
:)
you gotta be kidding me...

SplitCookie ::

You live by the sword, you die by the sword ...
SplitCookie> Prevoziš RDEČO ! jype> Ja? A to je kaj posebnega?
Ramon dekers> Ječa je lahko naravno okolje potem ko se adaptiraš.
jype> CPP ne spoštujem _NIKOLI_

Blisk ::

Vse se vrača vse se plača, tako pravijo. Kar so počeli Iranu so dobili nazaj...

Korencek ::

do sedaj sem samo v enem podjetju videl to poštimano kot mora biti. Na vseh službenih računalnikih delujejo samo določeni USB disku, ki imajo nameščen tudi določen firmware. Te diske je tudi prepovedano nosit iz firme, pa tudi vsakič, ko se vstavi v drug računalnik mora po tem nujno na pregled v poseben računalnik z antivirusno opremo(jih je več).
Da imaš pa virus v elektrarnah,.. nedopustljivo če mene vprašaš.
Smisel smisla je v nesmislu

mjk ::

raje ne pomislim, kak "standard" uporablja Krško :/

BaToCarx ::

mjk je izjavil:

raje ne pomislim, kak "standard" uporablja Krško :/


Bi rekel da dobre.

Bor H ::

Pa še po Fukušimi ko so imeli neko vseevropsko raziskavo mislim da je bila na vrhu ali pri vrhu. Anyway, ni treba vedno ko je kaj naše zaničevat ;)

gumby ::

Naj še kdo reče, da autoplay ni fina zadeva >:D
my brain hurts

boolsheat ::

mjk je izjavil:

raje ne pomislim, kak "standard" uporablja Krško :/


NEK je najbolj varna jedrska v Evropi na podlagi stresnih testov, ki jih je opravila Evropska komisija po vseh jedrskih elektrarnah v Evropi, rezultate so podali oktobra 2012.

Roadkill ::

boolsheat je izjavil:

mjk je izjavil:

raje ne pomislim, kak "standard" uporablja Krško :/


NEK je najbolj varna jedrska v Evropi na podlagi stresnih testov, ki jih je opravila Evropska komisija po vseh jedrskih elektrarnah v Evropi, rezultate so podali oktobra 2012.


Take izjeve ne povejo ničesar o IT varnosti. :)

Sem bil na predavanju, ki ga je imel vodja SI-CERT in je kazal na internetu dostopen SCADA sistem ene od slovenskih elektrarn (ni smel povedati katera je to bila), kjer so imeli narejen typeahead usernamov in si v sourcu videl admin geslo. 8-O
Ne pravim, da je bil to NEK, ampak glede na stanje pomembnih IT sistemov v svetu, ne bi bil presenečen.
Ü

alexa-lol ::

To je to ko je vse preveč pametno (telefoni, televizorji, ...) in potem noben dejansko ne ve kako kaj deluje. Js sm za klasičen pristop pri tej vitalni infrastrukturi, to je Ameriški (lokalni) čipi, custom software v ASM ali pogojno C. Glede na ceno elektrarne je strošek tega ITja zanemarljiv, itak pa lahko več ali manj isti softwere uporabiš pri vseh elektrarnah.

Če hočjo kontrolorji pasjanso med šihtom igrat lahko igrajo na svojem Surfacu ali iPadu zaradi mene.

PS. če so pred 100 leti lahko imeli elektrarne, ko je bilo rehnšibr top-of-the-notch technology potem lahko tudi danes spišejo to funkcionalnost v parih mescih.

Zgodovina sprememb…

boolsheat ::

Specifično o ITju res nikjer ni omenjeno, samo a misliš, da so ta zelo pomemben vidik varnosti v komisiji preskočili in ga izpustili?

Roadkill ::

Da.
Ü

s1m0n ::

Pa a niso ti računalniki, ki laufajo SCADA in podobno samo za uporabo le tega in se na njih nič ne priklaplja ali sploh lahko dostopa do drugih stvari ?

boolsheat ::

Ne, recimo Siemensovi sistemi (verjetno tudi drugi) so priklopljeni na net in če pride do težav lahko Siemens na daljavo (preko neta) rešuje težave.

Je pa bilo ravno pred kratkim (mislim, da na ST) napisana ravno ranljivost Siemens sistemov, če se ne motim je bil problem v tem, da so puščali privzeta uporabniška imena in gesla.

alexa-lol ::

Še bolš, teroristi imajo API že kar naštiman.

Kaj gre lahko pri elektrarni narobe? Edina stvar, ki je tako relevantna je da turbino razneses tega pa itak ne morjo prek neta zrihtat.

s1m0n ::

Verjetno se ne da kaj kritičnega naredit vedno je še lahko vse ročno vodeno.
To kar sem sam videl v enem RTPju nekje 10+ monitorjev se samo opazuje in izklaplja/preklaplja preko SCADA sistema a je 1 meter od rač. komandni pult kjer je to kritično delo možno ročno opravit, če preko računalnika kdaj ne gre!
Zato pa bi rekel, da je rač. vodenje le pripomoček brez katerega tudi gre. In verjetno ni možno naredit kaj hujšega je tak nekdo vedno 24/7 tam.

Zgodovina sprememb…

  • spremenil: s1m0n ()

alexa-lol ::

s1m0n je izjavil:

...In verjetno ni možno naredit kaj hujšega je tak nekdo vedno 24/7 tam.

Thank god

ssokec ::

Ponavadi usb ključke na SCADA sisteme "vtikajo" prinašajo na zaklenjene sisteme zunanji izvajalci (programerji ki nadgajujejo obstoječe sisteme), sam sem srečal že različne pristope do "zaklenjenih" SCADA sistemov:
- ponavadi ti sistemi nimajo povezave v svet (srečal sem tudi sisteme kjer so uporabniki dostopali na teh računalnikih do "XXX" strani, oziroma so namestili svojo najljubšo igrico)
- avtomatski popravki so na teh sistemih izključeni
- ob vklopu USB ključka le tega pregleda antivirusni program preden ga je možno uporabljati
- Sam SCADA sistem je zaklenjen (uporabniki ne morajo zapustiti SCADA okolja oziroma zaganjati drugih aplikacij)
- Če je le možno je celotna aplikacija zastavljena tako da se predpostavlja da je računalnik kjer je nameščen SCADA sistem najšibkejši člen (sistem lahko deluje tudi ob okvarjenem računalniku, posluževanje se v tem primeru izvaja iz lokalnega namenskega panela, vsi podatki za brezhibno delovanje so shranjeni na PLC nivoju.

LP!

s1m0n ::

Ja a koliko sem videl imajo na nekaterih delih celo dostop do spleta kjer je tudi sistem na upravljanje (res, da ni glavni) pa tudi dostop od zunaj. Gre pa za bolj ne kritične sisteme

Roadkill ::

>>- ob vklopu USB ključka le tega pregleda antivirusni program preden ga je možno uporabljati

Antivurusni programi delujejo samo za poznan malware/viruse. Se pravi AV nikoli ni zaščita, ampak program, ki čez čas prežene poznano nesnago. Ljudje, ki se spravljajo na kritične sisteme pač ne operirajo z exploiti, ki so že mesece znani.
Ü

energetik ::

SCADA za prenosno omrežje SLO dela na Unixu, in tja se ne vtika nobenih ključkov ali kaj podobnega. Je popolnoma ločena od sistema, kjer operaterji čekirajo svoje mejle in brskajo po netu. Tako da bi se težko karkoli zaredilo tam gor. Drgač pa izklop SCADA, pa navodila po telefonu za lokalno ročno vodenje. Ne more kar en na daljavo razsuti omrežja...

Zgodovina sprememb…

  • spremenilo: energetik ()

BaToCarx ::

Nevem če ni zaradi majhnosti slovenije lažje vržt dol par teh daljnovodov, kot pa se jebat za napast scado za tisti mrkec ki ga naredi.

borisk ::

Roadkill je izjavil:

>>- ob vklopu USB ključka le tega pregleda antivirusni program preden ga je možno uporabljati

Antivurusni programi delujejo samo za poznan malware/viruse. Se pravi AV nikoli ni zaščita, ampak program, ki čez čas prežene poznano nesnago. Ljudje, ki se spravljajo na kritične sisteme pač ne operirajo z exploiti, ki so že mesece znani.


Avast in verjetno tudi kateri drugi opazujejo obnašanje programov, in če zazna nenavadno obnašanje ga blokira... ne gleda samo baz podatkov

antonija ::

Ne bos verjel kolk pade ucinkovitost AVjev ce se uporabnik odloci, da pa cisto zares mora obiskat neko stran na netu, ali pa da cist zares mora instalirat svoj najljubsi SW, neglede na opozorila AVja...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Zmajc ::

What goes around comes around

ob tej novici imam občutek da bojo ameri suxnet še drago plačali v prihodnje.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15444348 (26388) BorutK-73
»

Policija gleda v tvoj računalnik (strani: 1 2 )

Oddelek: Informacijska varnost
7126249 (23077) Ale3š
»

Stuxnet povzročil precej težav na vesoljski postaji in v jedrskih elektrarnah

Oddelek: Novice / Varnost
98291 (6300) zos
»

Dva izmed treh USB-ključev okužena, pazite na osebne podatke!

Oddelek: Novice / Varnost
4213536 (10467) fosil

Več podobnih tem