ZDNet - Ena stvar so napredni kosi zlonamerne vohunske programske opreme, kot so (bili) Stuxnet, Flame ali Rdeči oktober, proti katerim pametne zaščite ni, ker jih pišejo vrhunsko usposobljeni strokovnjaki in ker izkoriščajo še neprijavljene ranljivosti v programski opremi. V povsem drugo kategorijo pa sodi običajna malomarnost, ko pomembne industrijske sisteme virusi okužijo zato, ker nimajo nameščenih osnovnih protivirusnih programov, ki bi jih bili zlahka zaznali. Zgodi se tudi v elektrarnam v ZDA.
Ameriški CERT je sporočil, da so odkrili okužbe nadzornih sistemov SCADA v dveh elektrarnah, a ju niso želeli imenovati. Scenarij je zelo običajen. Vektor okužbe je bil nezaščiten USB-vhod, v katerega je zaposleni vključil okužen USB-ključ in virus se je razširil po sistemu. Ker niso imeli nobene protivirusne zaščite, sploh niso vedeli, kaj se dogaja v sistemu. V eni elektrarni so okužbo odkrili šele, ko so je nekdo pritožil zaradi nedelujočega USB-ključa, na katerega je želel skopirati varnostno kopijo. Analiza ključa je pokazala, da je okužen s tremi primerki zlonamerne kode - dvema običajnima in enim prilagojenim. Nadaljnja analiza sistema je pokazala, da sta okuženi tudi dve delovni postaja in SCADA-sistem za nadzor delovanja. Varnostnih kopij sistema ni bilo, tako da so se morali serviserji lotiti napornega čiščenja sistema, ne da bi kar obnovili starejšo instanco iz varnostne kopije.
Podatkov o škodi k sreči ni, a to niti ni poanta. Problem je, da imajo vsi kritični industrijski sistemi USB-vhode in pomanjkljivo zaščito. Virusi in druga nesnaga se širijo kot v starih časih disket, zato CERT poziva industrijo, da razmisli o drugih načinih za prenos podatkov in zaščito - enkratno zapisljivi optični mediji, dosledno čiščenje USB-ključev pred vsako uporabo, namestitev in vzdrževanje protivirusnih programov itd. Večinoma tega ni, zato se lahko zgodi, da en okužen USB-ključ na kolena spravi celoten obrat. Pri tem so sistemi občutljivi tako na običajen malware kakor tudi na specializirano vohunsko programsko opremo. Prvi lahko povzroča škodo zaradi nerodnosti, drugi more izvajati premetene sabotaže.
Novice » Varnost » Zlonamerna programska oprema napadla ameriške elektrarne
BaToCarx ::
O lepo, čakam še na kako novico, kako kje kjer je regulirana voda, čudežno zabije z flourom, pa da so tudi žrtve Fluoride poisoning @ Wikipedia .
Jebemti tehnologijo.
Jebemti tehnologijo.
SplitCookie ::
You live by the sword, you die by the sword ...
SplitCookie> Prevoziš RDEČO ! jype> Ja? A to je kaj posebnega?
Ramon dekers> Ječa je lahko naravno okolje potem ko se adaptiraš.
jype> CPP ne spoštujem _NIKOLI_
Ramon dekers> Ječa je lahko naravno okolje potem ko se adaptiraš.
jype> CPP ne spoštujem _NIKOLI_
Korencek ::
do sedaj sem samo v enem podjetju videl to poštimano kot mora biti. Na vseh službenih računalnikih delujejo samo določeni USB disku, ki imajo nameščen tudi določen firmware. Te diske je tudi prepovedano nosit iz firme, pa tudi vsakič, ko se vstavi v drug računalnik mora po tem nujno na pregled v poseben računalnik z antivirusno opremo(jih je več).
Da imaš pa virus v elektrarnah,.. nedopustljivo če mene vprašaš.
Da imaš pa virus v elektrarnah,.. nedopustljivo če mene vprašaš.
Smisel smisla je v nesmislu
Bor H ::
Pa še po Fukušimi ko so imeli neko vseevropsko raziskavo mislim da je bila na vrhu ali pri vrhu. Anyway, ni treba vedno ko je kaj naše zaničevat ;)
boolsheat ::
Roadkill ::
raje ne pomislim, kak "standard" uporablja Krško :/
NEK je najbolj varna jedrska v Evropi na podlagi stresnih testov, ki jih je opravila Evropska komisija po vseh jedrskih elektrarnah v Evropi, rezultate so podali oktobra 2012.
Take izjeve ne povejo ničesar o IT varnosti. :)
Sem bil na predavanju, ki ga je imel vodja SI-CERT in je kazal na internetu dostopen SCADA sistem ene od slovenskih elektrarn (ni smel povedati katera je to bila), kjer so imeli narejen typeahead usernamov in si v sourcu videl admin geslo.
Ne pravim, da je bil to NEK, ampak glede na stanje pomembnih IT sistemov v svetu, ne bi bil presenečen.
Ü
alexa-lol ::
To je to ko je vse preveč pametno (telefoni, televizorji, ...) in potem noben dejansko ne ve kako kaj deluje. Js sm za klasičen pristop pri tej vitalni infrastrukturi, to je Ameriški (lokalni) čipi, custom software v ASM ali pogojno C. Glede na ceno elektrarne je strošek tega ITja zanemarljiv, itak pa lahko več ali manj isti softwere uporabiš pri vseh elektrarnah.
Če hočjo kontrolorji pasjanso med šihtom igrat lahko igrajo na svojem Surfacu ali iPadu zaradi mene.
PS. če so pred 100 leti lahko imeli elektrarne, ko je bilo rehnšibr top-of-the-notch technology potem lahko tudi danes spišejo to funkcionalnost v parih mescih.
Če hočjo kontrolorji pasjanso med šihtom igrat lahko igrajo na svojem Surfacu ali iPadu zaradi mene.
PS. če so pred 100 leti lahko imeli elektrarne, ko je bilo rehnšibr top-of-the-notch technology potem lahko tudi danes spišejo to funkcionalnost v parih mescih.
Zgodovina sprememb…
- spremenil: alexa-lol ()
boolsheat ::
Specifično o ITju res nikjer ni omenjeno, samo a misliš, da so ta zelo pomemben vidik varnosti v komisiji preskočili in ga izpustili?
s1m0n ::
Pa a niso ti računalniki, ki laufajo SCADA in podobno samo za uporabo le tega in se na njih nič ne priklaplja ali sploh lahko dostopa do drugih stvari ?
boolsheat ::
Ne, recimo Siemensovi sistemi (verjetno tudi drugi) so priklopljeni na net in če pride do težav lahko Siemens na daljavo (preko neta) rešuje težave.
Je pa bilo ravno pred kratkim (mislim, da na ST) napisana ravno ranljivost Siemens sistemov, če se ne motim je bil problem v tem, da so puščali privzeta uporabniška imena in gesla.
Je pa bilo ravno pred kratkim (mislim, da na ST) napisana ravno ranljivost Siemens sistemov, če se ne motim je bil problem v tem, da so puščali privzeta uporabniška imena in gesla.
alexa-lol ::
Še bolš, teroristi imajo API že kar naštiman.
Kaj gre lahko pri elektrarni narobe? Edina stvar, ki je tako relevantna je da turbino razneses tega pa itak ne morjo prek neta zrihtat.
Kaj gre lahko pri elektrarni narobe? Edina stvar, ki je tako relevantna je da turbino razneses tega pa itak ne morjo prek neta zrihtat.
s1m0n ::
Verjetno se ne da kaj kritičnega naredit vedno je še lahko vse ročno vodeno.
To kar sem sam videl v enem RTPju nekje 10+ monitorjev se samo opazuje in izklaplja/preklaplja preko SCADA sistema a je 1 meter od rač. komandni pult kjer je to kritično delo možno ročno opravit, če preko računalnika kdaj ne gre!
Zato pa bi rekel, da je rač. vodenje le pripomoček brez katerega tudi gre. In verjetno ni možno naredit kaj hujšega je tak nekdo vedno 24/7 tam.
To kar sem sam videl v enem RTPju nekje 10+ monitorjev se samo opazuje in izklaplja/preklaplja preko SCADA sistema a je 1 meter od rač. komandni pult kjer je to kritično delo možno ročno opravit, če preko računalnika kdaj ne gre!
Zato pa bi rekel, da je rač. vodenje le pripomoček brez katerega tudi gre. In verjetno ni možno naredit kaj hujšega je tak nekdo vedno 24/7 tam.
Zgodovina sprememb…
- spremenil: s1m0n ()
alexa-lol ::
ssokec ::
Ponavadi usb ključke na SCADA sisteme "vtikajo" prinašajo na zaklenjene sisteme zunanji izvajalci (programerji ki nadgajujejo obstoječe sisteme), sam sem srečal že različne pristope do "zaklenjenih" SCADA sistemov:
- ponavadi ti sistemi nimajo povezave v svet (srečal sem tudi sisteme kjer so uporabniki dostopali na teh računalnikih do "XXX" strani, oziroma so namestili svojo najljubšo igrico)
- avtomatski popravki so na teh sistemih izključeni
- ob vklopu USB ključka le tega pregleda antivirusni program preden ga je možno uporabljati
- Sam SCADA sistem je zaklenjen (uporabniki ne morajo zapustiti SCADA okolja oziroma zaganjati drugih aplikacij)
- Če je le možno je celotna aplikacija zastavljena tako da se predpostavlja da je računalnik kjer je nameščen SCADA sistem najšibkejši člen (sistem lahko deluje tudi ob okvarjenem računalniku, posluževanje se v tem primeru izvaja iz lokalnega namenskega panela, vsi podatki za brezhibno delovanje so shranjeni na PLC nivoju.
LP!
- ponavadi ti sistemi nimajo povezave v svet (srečal sem tudi sisteme kjer so uporabniki dostopali na teh računalnikih do "XXX" strani, oziroma so namestili svojo najljubšo igrico)
- avtomatski popravki so na teh sistemih izključeni
- ob vklopu USB ključka le tega pregleda antivirusni program preden ga je možno uporabljati
- Sam SCADA sistem je zaklenjen (uporabniki ne morajo zapustiti SCADA okolja oziroma zaganjati drugih aplikacij)
- Če je le možno je celotna aplikacija zastavljena tako da se predpostavlja da je računalnik kjer je nameščen SCADA sistem najšibkejši člen (sistem lahko deluje tudi ob okvarjenem računalniku, posluževanje se v tem primeru izvaja iz lokalnega namenskega panela, vsi podatki za brezhibno delovanje so shranjeni na PLC nivoju.
LP!
s1m0n ::
Ja a koliko sem videl imajo na nekaterih delih celo dostop do spleta kjer je tudi sistem na upravljanje (res, da ni glavni) pa tudi dostop od zunaj. Gre pa za bolj ne kritične sisteme
Roadkill ::
>>- ob vklopu USB ključka le tega pregleda antivirusni program preden ga je možno uporabljati
Antivurusni programi delujejo samo za poznan malware/viruse. Se pravi AV nikoli ni zaščita, ampak program, ki čez čas prežene poznano nesnago. Ljudje, ki se spravljajo na kritične sisteme pač ne operirajo z exploiti, ki so že mesece znani.
Antivurusni programi delujejo samo za poznan malware/viruse. Se pravi AV nikoli ni zaščita, ampak program, ki čez čas prežene poznano nesnago. Ljudje, ki se spravljajo na kritične sisteme pač ne operirajo z exploiti, ki so že mesece znani.
Ü
energetik ::
SCADA za prenosno omrežje SLO dela na Unixu, in tja se ne vtika nobenih ključkov ali kaj podobnega. Je popolnoma ločena od sistema, kjer operaterji čekirajo svoje mejle in brskajo po netu. Tako da bi se težko karkoli zaredilo tam gor. Drgač pa izklop SCADA, pa navodila po telefonu za lokalno ročno vodenje. Ne more kar en na daljavo razsuti omrežja...
Zgodovina sprememb…
- spremenilo: energetik ()
BaToCarx ::
Nevem če ni zaradi majhnosti slovenije lažje vržt dol par teh daljnovodov, kot pa se jebat za napast scado za tisti mrkec ki ga naredi.
borisk ::
>>- ob vklopu USB ključka le tega pregleda antivirusni program preden ga je možno uporabljati
Antivurusni programi delujejo samo za poznan malware/viruse. Se pravi AV nikoli ni zaščita, ampak program, ki čez čas prežene poznano nesnago. Ljudje, ki se spravljajo na kritične sisteme pač ne operirajo z exploiti, ki so že mesece znani.
Avast in verjetno tudi kateri drugi opazujejo obnašanje programov, in če zazna nenavadno obnašanje ga blokira... ne gleda samo baz podatkov
antonija ::
Ne bos verjel kolk pade ucinkovitost AVjev ce se uporabnik odloci, da pa cisto zares mora obiskat neko stran na netu, ali pa da cist zares mora instalirat svoj najljubsi SW, neglede na opozorila AVja...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Zmajc ::
What goes around comes around
ob tej novici imam občutek da bojo ameri suxnet še drago plačali v prihodnje.
ob tej novici imam občutek da bojo ameri suxnet še drago plačali v prihodnje.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 44185 (26225) | BorutK-73 |
» | Policija gleda v tvoj računalnik (strani: 1 2 )Oddelek: Informacijska varnost | 26151 (22979) | Ale3š |
» | Stuxnet povzročil precej težav na vesoljski postaji in v jedrskih elektrarnahOddelek: Novice / Varnost | 8263 (6272) | zos |
» | Dva izmed treh USB-ključev okužena, pazite na osebne podatke!Oddelek: Novice / Varnost | 13493 (10424) | fosil |