1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Безопасность АРМ АСУ ТП

Модератор: Глоб.модераторы

Ответить
Аватара пользователя

MuadDib
частый гость
частый гость
Сообщения: 462
Зарегистрирован: 31 июл 2010, 09:12
Имя: Павел
Страна: РФ
Благодарил (а): 10 раз
Поблагодарили: 17 раз

Re: Безопасность АРМ АСУ ТП

Сообщение MuadDib »

VADR писал(а):Сколько раз за это время роняли сервера MS? Тишина... Отсутствие информации - рулит :lol: .
И правда, сколько? То есть, какой-то какер добился бы главного достижения жизни и молчал бы в тряпочку? Ню-ню :-P "Правительство скрывает!" :ges_clap2:
VADR писал(а): "Взломанные" или всё-таки "подконтрольные"? Две большие разницы, как говорят в некоторых городах :)
/*...*/
Server ‘A’ was located in Vietnam and was used to control Duqu deployed in Iran. This was a Linux server running CentOS 5.5. Actually, all the Duqu C&C servers we have found so far run CentOS – version 5.4, 5.5 or 5.2. It is not known if this is just a coincidence or if the attackers have an affinity (exploit?) for CentOS 5.x.

The attackers replace the stock OpenSSH 4.3 with version 5.8, and it has been possible to demonstrate it, but we don’t know real reason.

Server ‘B’ was located at a data center in Germany that belongs to a Bulgarian hosting company. It was used by the attackers to log in to the Vietnamese C&C. Evidence also seems to indicate it was used as a Duqu C&C in the distant past, although we couldn’t determine the exact Duqu variant which did so.
/*...*/
Впрочем, если, таки пользоваться приемами дискуссии из некоторых городов, таки окажется, что во всем на самом деле виноват Виндоус, а Линукс, таки - неприступная крепость :crazy0to: В случае с kernel.org на том и порешили. "Безопасность", чо. Не то, что у всяких там проприетастов :D
VADR писал(а): Дело не только и не только в свободе кода. Важна, к примеру, политика прав пользователя. Под продуктами MS по умолчанию пользователь является администратором. Он же (пользователь) может запустить любой исполняеый файл, откуда бы он ни был получен. С запросом, естестенно: "Вы уверены, что этот файл можно запускать?" /*...*/
Эмм, что? :? По умолчанию пользователь является "собой". Если нужны права администратора, нужно явно запускать от имени администратора, с вводом соответствующего пароля. Пользователь будет админом по умолчанию только если вы специально его админом сделаете (вручную добавите имя пользователя в соответствующую группу). Так что, если у вас все по умолчанию идет от имени админа, понятно, откуда проблемы с вирусами ;) Кстати, винда еще с winxp настоятельно рекомендует сразу после установки создать пользователя с ограниченными правами. Но для многих пользователей это, видите ли, неудобно, и они постоянно сидят под админом. Для таких особо одаренных товарищей начиная с Vista сделали следующее: проги по умолчанию работают с ограниченными правами, но при необходимости повышения уровня привилегий выскакивает окошко с запросом подтверждения (без требования пароля). Думаю, большей части вирусных эпидемий под виндой можно было бы избежать, если бы не разгильдяйство пользователей в отношении прав.
Другой вид запроса на подтверждение запуска файла возникает при попытке запуска из папки загрузок браузера и тому подобных мест. "nnn.exe является исполняемым файлом... Вы уверены...? Да/нет" (причины понятны :) ).
VADR писал(а): Под *nix-ами ситуация кардинально другая. По умолчанию пользователь - просто пользователь и запустить что-то, что может повлиять на функционирование системы, не сможет. И установить что-то, не подписанное электронной подписью репозитория - тоже вряд ли. Всё это, конечно, можно отключить, только зачем?
Та же самая ситуация, что и в винде. По умолчанию в моей версии Linux любой исполняемый файл запускается откуда угодно. Если для работы нужны особые права, требуется запуск от имени нужного пользователя (или рута). Никакая подпись для исполняемого образа не нужна. Скомпилируйте любую программку на Си и убедитесь сами, что она работает без проблем, безо всяких ключей и сертификатов. Графические менеджеры файлов есть во всех средах рабочего стола по умолчанию, файл с открытым "x"-доступом будет запускаться по двойному клику мышкой. Инсталляция опциональна. Разве что никаких напоминаний при запуске файлов из совершенно "левых" директорий нет.
VADR писал(а): Вообще говоря, уже немало. Линухи на операторских станциях - пока ещё редкость, но линухи в контроллерах - обычное явление.
Вот спасибо, нам на контроллерах, где ОС общего назначения вообще не нужна, линуксовых дыр только не хватало. И речь в теме вообще не о контроллерах.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Безопасность АРМ АСУ ТП

Сообщение Василий Иванович »

MuadDib писал(а):Речь идет о клиентских машинах, где не нужны веб-серверы и СУБД с доступом извне. На любом сервере, с любой операционной системой постоянный контроль безопасности и патчи нужны по умолчанию.
Ну, во-первых, веб-сервер на клиенте - вещь не такая уж и редкая. Я к тому, что взваливать все интерфейсы "наверх" на сервер не всегда возможно, и если возможно - то не всегда целесообразно. А во-вторых - вполне возможен случай, когда вирус придет минуя сервер, напрямую через рутер, если таковой имеется. То же касается DoS-атак.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Безопасность АРМ АСУ ТП

Сообщение Василий Иванович »

Бондарев Михаил писал(а):Вообще все эти крики про stuxnet - они слегка истеричны. Поправьте если я не прав: да, системы уязвимы, но поражена-то была только одна, та для которой все и затевалось. Остальные тупо носители ( как с герпесом ), но сами никак не страдают.
Стакснет не герпес - он конкретно мешает работать и тем, кто не является целью атаки, особенно если на компьютере стоит WinCC. Его и открыли таким образом - по жалобе обыкновенного клиента.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Re: Безопасность АРМ АСУ ТП

Сообщение VADR »

MuadDib писал(а):
VADR писал(а):Сколько раз за это время роняли сервера MS? Тишина... Отсутствие информации - рулит :lol: .
И правда, сколько? То есть, какой-то какер добился бы главного достижения жизни и молчал бы в тряпочку? Ню-ню :-P "Правительство скрывает!" :ges_clap2:
С чего вдруг "главное достижение"? Виндовые сервера взломать? Вот уж где "неуловимый Джо" - устойчивость систем от МС обеспечена тем, что ломать их неинтересно :lol:
MuadDib писал(а):
VADR писал(а): "Взломанные" или всё-таки "подконтрольные"? Две большие разницы, как говорят в некоторых городах :)
/*...*/
Server ‘A’ was located in Vietnam and was used to control Duqu deployed in Iran. This was a Linux server running CentOS 5.5. Actually, all the Duqu C&C servers we have found so far run CentOS – version 5.4, 5.5 or 5.2. It is not known if this is just a coincidence or if the attackers have an affinity (exploit?) for CentOS 5.x.

The attackers replace the stock OpenSSH 4.3 with version 5.8, and it has been possible to demonstrate it, but we don’t know real reason.

Server ‘B’ was located at a data center in Germany that belongs to a Bulgarian hosting company. It was used by the attackers to log in to the Vietnamese C&C. Evidence also seems to indicate it was used as a Duqu C&C in the distant past, although we couldn’t determine the exact Duqu variant which did so.
/*...*/
Впрочем, если, таки пользоваться приемами дискуссии из некоторых городов, таки окажется, что во всем на самом деле виноват Виндоус, а Линукс, таки - неприступная крепость :crazy0to: В случае с kernel.org на том и порешили. "Безопасность", чо. Не то, что у всяких там проприетастов :D
То есть, именно CentOS. Не RH. То, что CentOS - по сути клон RH, не замечается... ню-ню...
MuadDib писал(а):
VADR писал(а): Дело не только и не только в свободе кода. Важна, к примеру, политика прав пользователя. Под продуктами MS по умолчанию пользователь является администратором. Он же (пользователь) может запустить любой исполняеый файл, откуда бы он ни был получен. С запросом, естестенно: "Вы уверены, что этот файл можно запускать?" /*...*/
Эмм, что? :? По умолчанию пользователь является "собой". Если нужны права администратора, нужно явно запускать от имени администратора, с вводом соответствующего пароля. Пользователь будет админом по умолчанию только если вы специально его админом сделаете (вручную добавите имя пользователя в соответствующую группу). Так что, если у вас все по умолчанию идет от имени админа, понятно, откуда проблемы с вирусами ;) Кстати, винда еще с winxp настоятельно рекомендует сразу после установки создать пользователя с ограниченными правами.
Да ну? Предлагается - да, но этот пользователь селится в админскую группу (сюрпрайз, да?), только если при установке машина в домен не селится. Но неужто у кого-то где-то есть AD в пределах АСУТП? Это жеж... даже не знаю, как и назвать...
К слову, у нас "всё по умолчанию" идёт не от админа, админская учётка на каждой машине есть, админский пароль на каждой машине свой и регулярно меняется, админские шары запрещены, неадминская учётка урезана под самый минимум. Но это всё дает лишь тот эффект, что оператор не может что-нибудь с флешки запустить, или "стандартным путём" открыть "проводник". Для вирусов всё это абсолютно не важно.
MuadDib писал(а):
VADR писал(а): Под *nix-ами ситуация кардинально другая. По умолчанию пользователь - просто пользователь и запустить что-то, что может повлиять на функционирование системы, не сможет. И установить что-то, не подписанное электронной подписью репозитория - тоже вряд ли. Всё это, конечно, можно отключить, только зачем?
Та же самая ситуация, что и в винде. По умолчанию в моей версии Linux любой исполняемый файл запускается откуда угодно. Если для работы нужны особые права, требуется запуск от имени нужного пользователя (или рута). Никакая подпись для исполняемого образа не нужна. Скомпилируйте любую программку на Си и убедитесь сами, что она работает без проблем, безо всяких ключей и сертификатов. Графические менеджеры файлов есть во всех средах рабочего стола по умолчанию, файл с открытым "x"-доступом будет запускаться по двойному клику мышкой. Инсталляция опциональна. Разве что никаких напоминаний при запуске файлов из совершенно "левых" директорий нет.
Точно? И любой свежескомпилированный исполняемый файл сможет получить доступ к данным процесса, не принадлежащего этому пользователю? Ню-ню... И пользователь, которому через sudo дано право на работу с менеджером софта, но не дано право настройки этого менеджера менять, сможет что-то установить из того, что не разрешено? Агасчазд...
MuadDib писал(а):
VADR писал(а): Вообще говоря, уже немало. Линухи на операторских станциях - пока ещё редкость, но линухи в контроллерах - обычное явление.
Вот спасибо, нам на контроллерах, где ОС общего назначения вообще не нужна, линуксовых дыр только не хватало. И речь в теме вообще не о контроллерах.
А при чём тут вообще ОС общего назначения? Линукс - ядро, и не более того. Конкретные дистрибутивы линукса - сборки комплектов ПО. Линуксы (операционные системы с необходимым функционалом, набором необходимого софта как общего пользования, так и специализированного, на основе ядра линукс) в контроллерах - данность, от которой уже никуда не уйти. Вот продукты от МС в таких местах - скорее нонсенс (хотя тоже есть).
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Re: Безопасность АРМ АСУ ТП

Сообщение Jackson »

Ну вы ещё подеритесь :) А началось-то всё с простого АРМа......
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

MuadDib
частый гость
частый гость
Сообщения: 462
Зарегистрирован: 31 июл 2010, 09:12
Имя: Павел
Страна: РФ
Благодарил (а): 10 раз
Поблагодарили: 17 раз

Re: Безопасность АРМ АСУ ТП

Сообщение MuadDib »

2 VADR

Линукс-сервера в последнее время валят ничуть не реже (а то и чаще), чем виндовые. Более того, валят сервера "столпов" сообщества, и часть таких фактов я перечислил. Смысл этой информации не в том что "винда" более защищена, а в том, что вера в безопасность свободной ОС заменой безопасности не является. Некие хактивисты уже доказли это. На деле. Нормального расследования ситуации не было, использованные ими дырки никто не нашел. Следовательно, такие ситуации будут повторяться, нравится вам это или нет. Вижу, что аргументов по теме у вас нет, а участвовать во флейме далее я не собираюсь.

По поводу настроек безопасности в Windows, вы в двух последовательных постах противоречите сами себе. То у вас пользователь по умолчанию администратор, то - не администратор, то, цитирую, "пользователь селится в админскую группу (сюрпрайз, да?), только если при установке машина в домен не селится" (???). Возможно, я был не прав в своих суждениях выше, но разбираться в этой каше в рамках текущей темы не вижу смысла. Если вас данный вопрос интересует, предлагаю вам создать отдельную ветку специально для этой цели.
Аватара пользователя

MuadDib
частый гость
частый гость
Сообщения: 462
Зарегистрирован: 31 июл 2010, 09:12
Имя: Павел
Страна: РФ
Благодарил (а): 10 раз
Поблагодарили: 17 раз

Re: Безопасность АРМ АСУ ТП

Сообщение MuadDib »

Василий Иванович писал(а): Ну, во-первых, веб-сервер на клиенте - вещь не такая уж и редкая. Я к тому, что взваливать все интерфейсы "наверх" на сервер не всегда возможно, и если возможно - то не всегда целесообразно. А во-вторых - вполне возможен случай, когда вирус придет минуя сервер, напрямую через рутер, если таковой имеется. То же касается DoS-атак.
Если на АРМ есть ПО, обладающее функциями сервера, то очевидно, что относиться к его безопасности нужно так же, как и к безопасности типичного сервера. Работающее серверное ПО - это открытая дверь, а за открытой дверью надо следить. Откуда может проникнуть зараза - через рутер ли, через машину, входящую в 2 сети или даже с машины злоумышленника, подключенной к свичу, за которым никто не присматривает - дело десятое. Удаленные уязвимости следует прикрывать, спору нет.

В принципе, вы были правы в своем посте относительно необходимости накатывать апдейты на чисто клиентские машины. В данном топике уже перечислили службы "клиента", ранее содержавшие дырки (RPC, LSASS, Server service). В текущих версиях Windows эти дыры закрыты, и свежих эпидемий такого рода не было довольно давно. Но "во избежание" действительно имеет смысл патчиться даже на чистом клиенте. Впрочем, то же самое следует делать и с конкурирующими ОС - последние факты говорят сами за себя... Это при условии, что "конкуренты" потрудятся сделать патчи, а не скорчат покерфейс после очередного эпичного фейла, как это иногда бывает :D
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Re: Безопасность АРМ АСУ ТП

Сообщение VADR »

MuadDib писал(а):Линукс-сервера в последнее время валят ничуть не реже (а то и чаще), чем виндовые. Более того, валят сервера "столпов" сообщества, и часть таких фактов я перечислил. Смысл этой информации не в том что "винда" более защищена, а в том, что вера в безопасность свободной ОС заменой безопасности не является. Некие хактивисты уже доказли это. На деле. Нормального расследования ситуации не было, использованные ими дырки никто не нашел. Следовательно, такие ситуации будут повторяться, нравится вам это или нет. Вижу, что аргументов по теме у вас нет, а участвовать во флейме далее я не собираюсь.
Валят, валят сервера. И виндовые, и фряшные, и линуховые. Более того, в своё время я админил хостинг, на котором были и виндовые сервера, и линуховые (фряшных не было). Линуховые сервера атаковали практически ежёдневно, иногда - успешно: если появился свежий экспплойт, тут же толпа школоты бежит его проверять, количество атак увеличивается от 1-2 в сутки примерно до 1000. Успешность - до выхода апдейта, обычно не больше недели. Иногда приходилось некотороые компоненты отрубать. Виндовые сервера атаковали крайне редко (раз в месяц - максимум), но почти всегда успешно, несмотря на полный комплект свежих апдейтов.
Что касается конкретно случая с "взломом" серверов с CentOS на борту, так я не зря акцентировал внимание на том, что CentOS - клон RH, и соответвенно имеет тот же комплект уязвимостей. В то же время взломанных RH-шных серверов не было. Почему? Да потому, что взломаны были не сервера, а администраторы :). Искали в поисковиках какую-нибудь софтину, которой нет в официальных репозиториях, нашли какой-то левый репозиторий, в котором заботливо был размещён вредоносный код. Ну, что делать. От криворукости админов никакая ОС не спасёт.
MuadDib писал(а):По поводу настроек безопасности в Windows, вы в двух последовательных постах противоречите сами себе. То у вас пользователь по умолчанию администратор, то - не администратор, то, цитирую, "пользователь селится в админскую группу (сюрпрайз, да?), только если при установке машина в домен не селится" (???).
Какие противоречия? Никаких противоречий нет. Если машина при установке подключается к домену AD, созданный пользователь не является администратором, и попадает в группу в соответствии с настройками на контроллерах домена. Если подключение к домену не делается (это я и называю - "по умолчанию"), то пользователь, созданный в процессе установки, входит в группу администраторов. Так работает стандартный инсталлятор.
MuadDib писал(а):Возможно, я был не прав в своих суждениях выше, но разбираться в этой каше в рамках текущей темы не вижу смысла. Если вас данный вопрос интересует, предлагаю вам создать отдельную ветку специально для этой цели.
Да и правда, нафиг этот холивар.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Безопасность АРМ АСУ ТП

Сообщение Василий Иванович »

MuadDib писал(а):Но "во избежание" действительно имеет смысл патчиться даже на чистом клиенте.
На самом деле тут есть ещё подводные камни, а именно риск, что прикладной софт не будет работать должным образом после установки виндового патча. По-хорошему надо это дело тестировать, и многие производители это делают и после этого дают разрешение на установку. Вот только с момента выхода патча проходит уже минимум неделя, и это потерянное время особенно опасно. Если добавить к этому еще и потерю АРМ для управления процессом во время установки патча да и стоимость работы, то можно понять многих, кто этим не занимается.
Аватара пользователя

skr
специалист по WEINTEK
специалист по WEINTEK
Сообщения: 208
Зарегистрирован: 22 мар 2013, 11:52
Имя: Денис Порфирьев
город/регион: Санкт-Петербург
Поблагодарили: 6 раз

Re: Безопасность АРМ АСУ ТП

Сообщение skr »

MuadDib писал(а):Ясное дело, во времена Win98 было много всяких веселостей, в частности, в реализации стека TCP/IP. Но сейчас везде уже используются винды на основе WinNT. И лично я не припоминаю ни одного факта такой вот вопиющей удаленной уязвимости. Локальные уязвимости - полно. Заражения через браузер (с деятельным участием пользователя) - в ассортименте. Но так чтобы на WinNT просто что-то прилетело и само запустилось и установилось...
гугль "уязвимость tcp/ip windows 7 выполнение кода" например
Аватара пользователя

Valerich
эксперт
эксперт
Сообщения: 1030
Зарегистрирован: 27 июн 2013, 12:20
Имя: Валерич
Страна: СССР
Благодарил (а): 44 раза
Поблагодарили: 106 раз

Re: Безопасность АРМ АСУ ТП

Сообщение Valerich »

Подброшу дровишек.
Платформонезависимый вирус, живущий в BIOS
Миф или реальность?
В один прекрасный день Рю обнаружил странности в поведении своего MacBook Air: ноутбук сам обновлял BIOS, отказывался загружаться с компакт-диска, самовольно правил настройки операционной системы. Позднее аналогичные аномалии были замечены на других машинах — под управлением MS Windows, Linux, OpenBSD. Переустановка операционных систем проблему не устраняла. Вялотекущее расследование шло три года, но, похоже, только нынче осенью Рю и его коллеги занялись им вплотную. И вскрыли удивительные факты.
badBIOS ОС-независим. Рю считает, что, получив управление, вирус первым делом сохраняет себя в свободное место в микросхеме BIOS, а заодно и подчиняет себе программу инициализации и загрузки компьютера, которой BIOS по сути является. Отсюда странности с отказом от загрузки с CD и других внешних носителей. Позже badBIOS получает через интернет дополнительные модули, которые складирует уже на жёстком диске
Наконец, особенность номер три таится в оригинальной системе связи между инфицированными компьютерами. На высоком уровне badBIOS-узлы общаются друг с другом посредством IPv6, но, даже отключив и удалив из изучаемой персоналки все стандартные средства коммуникаций (Wi-Fi, Bluetooth), Рю обнаружил, что обмен данными не прекратился — до тех пор пока с компьютера не были сняты динамик и микрофон! Фонограмма, сделанная на расстоянии 30 сантиметров от системного блока, выявила активность на частотах выше 20 кГц: судя по всему, близкорасположенные badBIOS-узлы «переговариваются» с помощью ультразвука — и способны таким образом преодолевать пресловутый airgap (то есть общаться даже с компьютерами, отрезанными от обычных коммуникаций).
Из комментариев:
Подтверждаю существование такого типа атаки. Столкнулся в 2006 году. Ситуация: на компе с Windows2000 вырос объем интернет трафика. Переустановили систему - ситуация не изменилась. Поскольку важных данных не было сносим диск "под ноль". Устанавливаем "голую систему" и офигиваем - трафик остался. LiveCD с кубунтой... Трафик остался. Думаем, что вирус прописался в загрузку (хотя позже конечно сообразили - LiveCD не использует загрузку с харда), меняем диск (был доступ к списанному железу)... И получаем тот-же непонятный трафик. С помощью dd "пролистали" хард благо там меньше гига было. В 3-х "пустых" местах обнаружился код около 1-2 Мб. Так как познаний как бороться с заразой на тот момент не было и во избежания различных проблем платы пошли под молоток с последующей утилизацией, а харды на зеркальца.
Фишка была в том, что единственным, что могло работать в качестве загрузчика вируса (с учетом сохранения "левого" трафика при использовании LiveCD и замены харда) был BIOS.
Кстати сканирование показало, что трафик шел на сервер с несколькими "открытыми" портами с номерами более 2048.

Бондарев Михаил
почётный участник форума
почётный участник форума
Сообщения: 1075
Зарегистрирован: 25 июл 2008, 23:23
Имя: Бондарев Михаил Владимирович
Страна: Россия
город/регион: Магнитогорск
Благодарил (а): 52 раза
Поблагодарили: 20 раз

Re: Безопасность АРМ АСУ ТП

Сообщение Бондарев Михаил »

Вот будет прикольно когда напишут вирей под роутер.
Давно уже есть! И под медиаплееры тоже.
Аватара пользователя

skr
специалист по WEINTEK
специалист по WEINTEK
Сообщения: 208
Зарегистрирован: 22 мар 2013, 11:52
Имя: Денис Порфирьев
город/регион: Санкт-Петербург
Поблагодарили: 6 раз

Re: Безопасность АРМ АСУ ТП

Сообщение skr »

Фонограмма, сделанная на расстоянии 30 сантиметров от системного блока, выявила активность на частотах выше 20 кГц: судя по всему, близкорасположенные badBIOS-узлы «переговариваются» с помощью ультразвука
ультразвука, ага

leon78
эксперт
эксперт
Сообщения: 1146
Зарегистрирован: 25 июл 2008, 10:06
Имя: Леонид
Страна: РФ
Благодарил (а): 49 раз
Поблагодарили: 134 раза

Re: Безопасность АРМ АСУ ТП

Сообщение leon78 »

Я тоже удивился, разве колонки и микрофон могут использовать частоту выше 20кГц?
Они обычно и до этого не дотягивают.
Хард - это то, что можно швырнуть об стенку, а софт - это то, что можно лишь обматерить.
Аватара пользователя

aranea
знаток Eplan
знаток Eplan
Сообщения: 1136
Зарегистрирован: 21 сен 2012, 22:45
Имя: aranea
Благодарил (а): 30 раз
Поблагодарили: 165 раз

Re: Безопасность АРМ АСУ ТП

Сообщение aranea »

=)
это еще экран зараженных ПК на предмет 25го кадра не исследовали! один выводит на экран закодированный сигнал, а другой через камеру считывает информацию, может даже через отражение в зеркале или окне
а если стоят на одном столе, то вообще могут через вибрации жестких дисков общаться
Изображение
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Re: Безопасность АРМ АСУ ТП

Сообщение Jackson »

leon78 писал(а):Я тоже удивился, разве колонки и микрофон могут использовать частоту выше 20кГц?
Они обычно и до этого не дотягивают.
Зачем колонки и микрофон? Забыли как на дисководах моцарта играли? :)
По вопросам работы Форума можно обратиться по этим контактам.

Бондарев Михаил
почётный участник форума
почётный участник форума
Сообщения: 1075
Зарегистрирован: 25 июл 2008, 23:23
Имя: Бондарев Михаил Владимирович
Страна: Россия
город/регион: Магнитогорск
Благодарил (а): 52 раза
Поблагодарили: 20 раз

Re: Безопасность АРМ АСУ ТП

Сообщение Бондарев Михаил »

К вопросу о безопасности открытых систем:

Код: Выделить всё

В результате анализа атаки на одного из крупных хостинг-провайдеров выявлен новый вид бэкдора для GNU/Linux, выполненный в форме разделяемой библиотеки, перехватывающей ряд стандартных вызовов. Библиотека связывается с работающими на системе сетевыми процессами, такими как sshd, берёт на себя обработку указанных вызовов и получает контроль над трафиком поражённых серверных приложений.

При работе бэкдор использует штатные серверный процессы и прослушивает их сетевой трафик. Бэкдор отслеживает появление в трафике маски :!;., при обнаружении которой декодирует следующий за ней блок данных. Данные зашифрованы шифром Blowfish и следуют в формате Base64.

Через закодированные блоки могут передаваться управляющие команды для выполнения произвольной shell-команды или инициирующие отправку собранных данных. Основной функцией бэкдора является перехват и накопление конфиденциальных данных, таких как пароли, ключи шифрования и e-mail. В частности, осуществляется перехват паролей и SSH-ключей пользователей, подключающихся к поражённой системе.

http://www.opennet.ru/opennews/art.shtml?num=38441
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Re: Безопасность АРМ АСУ ТП

Сообщение VADR »

Понравился комментарий:
Т.е. чтобы эта штука заработала, мне надо скачать что-то неведомое, а потом ещё и запустить это из-под рута? Да ещё и не выгружать эту дрянь из памяти?
Думаю, я в безопасности.
Я уже говорил - абсолютно надёжных систем не бывает. А зачастую взлом идёт не через систему, а через администратора.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Valerich
эксперт
эксперт
Сообщения: 1030
Зарегистрирован: 27 июн 2013, 12:20
Имя: Валерич
Страна: СССР
Благодарил (а): 44 раза
Поблагодарили: 106 раз

Re: Безопасность АРМ АСУ ТП

Сообщение Valerich »

Нарыл статью:

Извлечение 4096-битных ключей RSA с помощью микрофона

Исключительно доступный метод извлечения ключей RSA (в реализации GnuPG) с помощью обычного мобильного телефона или микрофона. Достаточно лишь положить телефон в 30 см от компьютера жертвы. Если использовать качественные микрофоны, то извлекать ключи можно с расстояния до 4 метров.

В это сложно поверить, но уже проведено несколько успешных экспериментов по извлечению ключей с разных моделей компьютеров, а также написано программное обеспечение, с помощью которого независимые исследователи могут проверить результаты.

Многие компьютеры издают высокочастотный звук во время работы, из-за вибраций в некоторых электронных компонентах, — объясняет Ади Шамир. — Эти акустические эманации больше, чем назойливый писк: они содержат информацию о запущенном программном обеспечении, в том числе о вычислениях, связанных с безопасностью». В 2004 году Шамир доказал, что разные ключи RSA вызывают разные звуковые паттерны, но тогда было непонятно, как извлекать отдельные биты ключей. Основная проблема заключалась в том, что звуковое оборудование не способно записывать звук с достаточно высокой частотой дискретизации: всего лишь 20 КГц для обычных микрофонов и не более нескольких сотен килогерц для ультразвуковых микрофонов. Это на много порядков меньше частоты в несколько гигагерц, на которой работают современные компьютеры.

Теперь благодаря вышеупомянутому Пахманову создано программное обеспечение, которое извлекает полные 4096-битные ключи GnuPG с компьютеров различных моделей после часа прослушивания, если компьютер осуществляет дешифровку. Проведена успешная демонстрация подобной атаки при помощи смартфона, который лежал в 30 см от компьютера, а также атака с использованием направленных микрофонов с расстояния до 4 метров. Фоновый шум, а также звуки вентилятора, винчестера и других компонентов обычно не мешают анализу, потому что они издаются на низких частотах ниже 10 КГц и могут быть отфильтрованы, в то время как интересующие писки электронных компонентов — на более высоких частотах. Использование многоядерных процессоров облегчает атаку. Звуки компьютеров с одинаковой аппаратной конфигурацией тоже не мешают друг другу, потому что компьютеры отличаются по расстоянию от микрофона, по температуре и другим параметрам.

Среди сценариев атаки:

-Установка специального приложение в свой смартфон и организация встречи с жертвой, во время встречи размещение телефона недалеко от его ноутбука.
-Взлом телефона жертвы, установка там специальной программы и ожидание, пока телефон не окажется рядом с компьютером.
-Использование веб-страницы, которая может включить микрофон через браузер (Flash или HTML Media Capture).
-Использование традиционных жучков и лазерных микрофонов для новой области работы.
-Отправка своего сервера на хостинг с хорошим микрофоном внутри. Акустическое извлечение ключей со всех окружающих серверов.
-Установка жучков в вентиляционные отверстия серверов и рабочих станций.

Добивая читателей, у которых ещё не выпала челюсть, Ади Шамир добавляет: «Кроме акустики, подобную атаку можно осуществлять, замеряя электрический потенциал компьютерного корпуса. Для этого соответствующим образом экипированному злоумышленнику достаточно дотронуться до проводящих деталей корпуса голой рукой либо подключиться к контактам заземления на другом конце кабеля VGA, USB или Ethernet».

Статья полностью

Бондарев Михаил
почётный участник форума
почётный участник форума
Сообщения: 1075
Зарегистрирован: 25 июл 2008, 23:23
Имя: Бондарев Михаил Владимирович
Страна: Россия
город/регион: Магнитогорск
Благодарил (а): 52 раза
Поблагодарили: 20 раз

Re: Безопасность АРМ АСУ ТП

Сообщение Бондарев Михаил »

Статья прекрасная, неясно одно:
до первого апреля еще далеко,
а осень уже прошла и обострение отпустить должно бы уже.
Ответить

Вернуться в «Информационная безопасность»