Siemens WinCC под угрозой

[hell_boy]

http://itbelarus.biz/belorusy-obnaruzhi ... s-v-irane/

Сегодня [26-09-2010] появились новые экземпляры вируса, которые содержат подлинную электронно-цифровую подпись компании JMicron. После обнаружения этой разновидности вируса сертификат был аннулирован.

[Василий Иванович]

Полагаю, "сегодня" было сказано корреспондентом фигурально. И не 26, а 24 сентября, кстати. Иначе мы бы смогли прочитать об этом на сайте компании, у которой брали интервью.

А вот то, что Майкрософт молчал в тряпку и разродился патчем лишь через шесть недель (успев между делом прекратить суппорт для WinXP SP2, для которого патча в конце концов и не вышло) - оно вызывает вопросы...

[green_3mii]

http://pessimister.livejournal.com/9035.html

Заражению подвержены системы Simatic WinCC и PCS7. При этом, вирус активируется не в любых приложениях, а только в тех, которые удовлетворяют некоторому шаблону. То есть, вредоносная программа ищет производства, использующие вполне конкретные технологические процессы (какие именно, не упоминается). Её разработчики имеют хорошее представление об управлении такими процессами.

Вирус устанавливает на зараженный компьютер особый руткит, позволяющий соединяться с ПЛК и изменять их программу.

Вирус проявляет себя тем, что создает специфические программные блоки (FC1865, FC1874) и блок данных (DB890). Также он встраивает их вызов в программу ПЛК.

Stuxnet умеет общаться с себе подобными и с внешним миром по принципу peer-to-peer. Благодаря этому он может децентрализованно управляться извне и даже получать обновления. Сейчас по миру гуляет уже третья версия этого вируса.

[Василий Иванович]

Могу добавить, что для инженера, программирующего контроллер, код, загруженный вирусом в контроллер, остаётся невидимым, т.к. вирус фильтрует запросы списков блоков данных и функций и вытирает себя из них. Более того, он перегружает функцию опроса устройств Профибус в контроллере и подставляет свои данные с целью дезинформации оператора. Что за процесс - просто пока неизвестно. С большой долей вероятности можно сказать, что проект Step7, на который нацелен вирус, не единичный, а автоматизирует типовое оборудование, имеющееся во многих экземплярах.
Peer-to-peer нужен для того, чтобы проникнуть на инженерные станции, которые как правило являются изолированными от заводской сети и подключаются лишь спорадически либо через флешки. Чтобы обеспечить гарантированное заражение инженерной станции, вирус ищет на компьютере проекты Step7 и записывается в них. При открытии заражённого проекта даже на "чистом" компьютере происходит активация вируса и заражение компьютера. Заражается также и база данных WinCC. Последняя версия вируса датирована мартом 2010 года.

http://www.symantec.com/content/en/us/e ... ossier.pdf

[Бондарев Михаил]

А вот китайцы и прочие корейцы вообще windows-based или SoftPLC контроллеры пользуют, на зачастую, опасных производствах...

Что за процесс - просто пока неизвестно. С большой долей вероятности можно сказать, что проект Step7, на который нацелен вирус, не единичный, а автоматизирует типовое оборудование, имеющееся во многих экземплярах.

Из чего такой вывод сделан? Обогатительные центрифуги - как вариант?

[Василий Иванович]

Из чего такой вывод сделан? Обогатительные центрифуги - как вариант?

Это видно из привязки не к конкретному проекту, а к типу оборудования, на котором он исполняется. Если бы нужно было завалить один проект, к этому проекту бы и привязались.

[Бондарев Михаил]

И что, этим нужно гордится?

нет, нужно этого опасаться... всему дальнему востоку.

Вообще, уровень компетенции постоянно понижается...я не пойму- почему?

Разруха в головах, клозетах, университетах... периодически вычитываю "черчежи" (с) без слез не взглянешь, и что самое страшное что проектные институты(!) эти самые "черчежи"(с) пропускают...т.е. не мимо глаз пропускают, а через себя (ну там процесс согласования, устранения "замечаний" и т.п.), а на выходе "черчежи"(с) "черчежами"(с) же и остаются...

как говорится "а кто проверит проверяющих?"(с)

[Василий Иванович]

Обогатительные центрифуги - как вариант?

Кстати, а почему бы и нет?

http://www.nytimes.com/2010/09/30/world ... technology

[Василий Иванович]

Как почистить Виндоус от вируса, я и так знаю. Однако вирус сидит не только в Винде, но и в проекте, а также может быть и в контроллере! Если на почищенном компьютере открыть заражённый проект, вирус снова активизируется.
Как бороться с этим, на сименсовском сайте увы до сих пор не рассказывается.

[san]

Вспомнил анегдот....
- доктор как уберечеться от СПИДА?
- одеваете презерватив, обматывайте бинтом, после чого обмазываете едиком, и главное - никаких половых отношений.

.... и главное - никаких Симатиков.
Шютка.

[san]

Я один раз поробовал 300-ку. Чесно говоря никаких претензий. Кто-то тут явно нагадил в "брендовость". Думаю хотели бы подловить какого-то другого бренда, сделали бы и это. Все ломается, если приделить этому много усилий и времени. Хотя как это уже неоднократно прозвучало, может это копают не под Сименс, а под Иранские дела.
А насчет реакции ... Я так и не понял, насколько в этом виноват Сименс?

[san]

Каокое ПО? Работал со STEP7. Бывает и поудобнее, но в основном все устраивало. На счет остального ни WinCC, ни флекс, ни аля DCS-вские примочки на производстве не внедрял, а споследним даже не сталкивался. А вобще, использование каких-либо DCS у меня останется наверное только в мечтах. По-этому в этом контексте вобще не могу ни с чем сравнивать.
Конечно, Сименс по хорошему должен был бы среагировать и что-то предпринять. Но симатиколюбы отвечают, что это не изъян Симатиков, а изъян Винды. Возможно в этом они правы.

[san]

У нас давно поговорка ходит: Покупаешь Сименс? Ты либо слишком молодой либо слишком бедный.

Хорошо живете. У нас Сименс не считается "дешевым" оборудованием. Хотя конечно у нас и объекты разные. Мы, например, о функционально безопасных производствах только с книг наслышаны. У нас если что-то случается - максимум - это испорченый продукт. По-этому даже о резервировании и речи быть не может. Я конечно утрирую в сторону уменьшения, но в соновном так.
У Вас же, я так понимаю, объекты очень ответственные, и сэкономить - значит взять на себя большую отвтетственность за безопасность людей.
А по поводу молчанки, Сименс навреное промолчал, чтоб случайно не взять на себя отвтственность. Не хорошо это, но думаю, что большинство фирм так точно бы и сделали.
Чуть не втему.. Как-то делали проект на довольно популярных сегодня буржуйских ПЛК, не буду нызывать каких... Мы практически делали первое их внедерение в Украине. Подопытные кролики вобщем получились. И как-то обнаружилось, что при опредленных числах он .... не умеет умножать. Мы конечно обалдели, и подумали что это что-то с нашим процом. Но при запросе к производителю нам сообщили: да, мы знаем об этом. В новой партии процессоров этого уже нету. Вот вам заглушка.
Блин! Так об этом предупреждать надо! Че ж вы с процом сови программные заглушки не распостраняете! Если вы знаете о багах, их надо исправлять! До сих пор обалдеваю. ....Какие там возрваты проданых автомобилей....

[Василий Иванович]

Да предупреждали они ещё в июле, и инструменты давали, сходите по Вашей же ссылке или на русский форум Сименса. Другое дело, что вирус сложен в изучении и рекомендации до сих пор неполны.

А по поводу ПО... Да, есть грабли и слабые места, но у кого их нет? А по цене - были бы дорогие, не смогли бы столько продать, и в России, и по всему миру.

[Krona]

Наверное скоро стоит ждать HMI под Mac OS X.

Лично я бы больше смотрел в сторону Linux.
Мало того, уже давно слежу про развитие проекта http://oscada.org/ и могу сказать, что этот проект SCADA под Linux дорос не только до версий для промышленного использования но и до платной тех поддержки.
Тем более, что это именно Юникс, а не на базе юникс.

[Krona]

Везде есть плюсы и минусы. Линуксов в последнее время слишком много развелось :) Не факт что то, что сейчас работает под одной сборкой, будет работать под другой.

Хех, Вы не совсем правы, но если вдруг что, то там у производителей есть уже готовые образы установочных дисков со скадой. Ну и вообще, я считаю, что чем больше выбор - тем лучше. Тем более, что с появлением новой спецификации ОРС UA, теперь ОРС не привязан к ОС от мелкихимягких (http://wiki.oscada.org/Doc/OPCUA?v=8br).

Как еще один вариант: QNX (сейчас принадлежит BlackBerry).

QNX - опять таки дорого и абсолютно закрытая система. И под нее уже есть скады.

Но все же прикладного ПО гораздо больше под MAC OS х.

Что Вы понимаете под прикладным ПО? ПО для АСУ ТП? Я спрашиваю, т.к. с макос не знаком, а на Linux работаю постоянно.

[Михайло]

BitDefender выпустил утилиту для удаления червя Stuxnet
http://www.bitdefender2011.ru/NW1803-ru ... uxnet.html

Блин, ссылка кириллицей. Будьте внимательны.
/подправил ссылку/VADR/
P.S. Не знаю, стоит ли использовать американский антивирус... :D

[Степа]

и более чем надежна в плане уязвимостей (по сравнению с Виндами)

Лично я бы больше смотрел в сторону Linux.

Мне вас жаль господа, но эти оси гораздо хуже Виндов в плане безопасности. Пока Линуксы и Маки выигрывают только из-за дикой нераспространенности своих поделий. Вот сейчас Маки начали набирать популярность, и уже мелькнуло несколько раз сообщение за вирусы. Мелочь, чаще всего сам пользователь должен запустить его, но ведь прокладка между моником и стулом это сделает... Это мы, программисты-разработчики, знаем, чем это грозит...

Тем более, что с появлением новой спецификации ОРС UA, теперь ОРС не привязан к ОС от мелкихимягких

Это с новой спецификацией. А с существующей? Существующих OPC очень так немало...
А сколь старые спецификации вводили в Винды? До NT 4.0 проблемы были... А чем Линуксы такие уникальные, что вот прямо сейчас без проблем заработает?

QNX - опять таки дорого и абсолютно закрытая система.

Я бы сказал так - сказочно дорогая. Пытались в свое время использовать... Оказалось, что все железо обойдется в 60 тысяч рублей, а лицензия QNX - 75 тысяч. Плюс программисту... Мы распорядились так: железо 60 тысяч, MS-DOS /бесплатно/ и программисту. 75 тысяч чистой экономии.
Все вкусности QNX прекрасно реализовались под MS-DOS. Разве что красивой графики не было /так не особо и хотелось/...

[Степа]

Вот сейчас Маки начали набирать популярность, и уже мелькнуло несколько раз сообщение за вирусы.

Кстати, вот... Чепуха конечно, пользователю для осуществления заражения надо выполнить некие действия. Но ведь первые вирусы под MS-DOS были не намного более умными. И под Винду тоже... Все течет, все меняется.
Под Винду уже создан пласт производителей защитных программ, в реальных условиях отработаны механизмы защиты. Из ПО различных производителей можно уже создавать глубоко эшелонированные системы защиты, которые проломить будет очень и очень непросто.
Ничего этого под Линукс и MacOS пока нет, все больше теоретические разработки да заявления фанатов /которые основаны как раз на меньшем пока количестве вирусов и их сильной нераспространенностью/. В теории возможно линуксы да MacOS более защищены, но это в теории. На практике встречаются ошибки в реализации, ошибки программирования...

[Бондарев Михаил]

QNX - опять таки дорого и абсолютно закрытая система. И под нее уже есть скады.

Ну, во-первых давно уже открытая. Во-вторых, Windows что-ли открытый? В третьих это система совершенно другого класса.

Я бы сказал так - сказочно дорогая. Пытались в свое время использовать... Оказалось, что все железо обойдется в 60 тысяч рублей, а лицензия QNX - 75 тысяч. Плюс программисту... Мы распорядились так: железо 60 тысяч, MS-DOS /бесплатно/ и программисту. 75 тысяч чистой экономии.

MS-DOS НЕ бесплатен (или я что-то пропустил?). 75 тысяч рублей, для любой промышленной системы, это копейки (посмотрите цены на Windows+WinCC), если 75 тысяч - проблема для бюджета проекта, значит нужно менять проект))))
А сравнивать QNX и MS-DOS по функционалу, инструмнтарию, удобству для программиста уж увольте, не будем.

Мне вас жаль господа, но эти оси гораздо хуже Виндов в плане безопасности. Пока Линуксы и Маки выигрывают только из-за дикой нераспространенности своих поделий. Вот сейчас Маки начали набирать популярность, и уже мелькнуло несколько раз сообщение за вирусы. Мелочь, чаще всего сам пользователь должен запустить его, но ведь прокладка между моником и стулом это сделает... Это мы, программисты-разработчики, знаем, чем это грозит...

Ну в пром. системах вероятность попадания квалифицированной прокладки между монитором и стулом, все-же повыше. Поэтому и вероятность запуска "левых" программ пониже будет. Опять же элементарные правила и минимальная грамотность ( не работать из под root'а и т.п.) решают 99% "проблем безопасности.

Опять же такие вещи как POSIX совместимость (ну и общая UNIXобразность системы) - вполне себе неплохие бонусы для программиста.

А насчет цены - политика у QSSL очень гибкая, есть инфа что для массовых применений фигурируют цифры типа 1$ за лицензию (автопром)

[Krona]

и более чем надежна в плане уязвимостей (по сравнению с Виндами)

Лично я бы больше смотрел в сторону Linux.

Мне вас жаль господа, но эти оси гораздо хуже Виндов в плане безопасности.

Почему жаль то? И в чем выражается, что они хуже? Просто интересно.
Вы поставите заказчику или себе на предприятии контроллер с виндами внутри (а такие есть?)? Я - нет, и я уверен, большинство - нет. А с Linux? Вот Вам и ответ про надежность ОС.

Тем более, что с появлением новой спецификации ОРС UA, теперь ОРС не привязан к ОС от мелкихимягких

Это с новой спецификацией. А с существующей? Существующих OPC очень так немало...

То, что новая спецификация не заточена под винды, говорит о том, что разработчики спецификации смотрят вперед, а не в рот Гейтсу. :D

QNX - опять таки дорого и абсолютно закрытая система.

Я бы сказал так - сказочно дорогая. ...
Все вкусности QNX прекрасно реализовались под MS-DOS. Разве что красивой графики не было /так не особо и хотелось/...

Да мы тоже обходились возможностями ДОС, но до поры до времени. Вполне возможно, что вскоре QNX окончательно выживут с "военного" рынка, обязательным внедрением МСВС.

[Krona]

Что Вы понимаете под прикладным ПО? ПО для АСУ ТП?

Нет. В основном- бизнес-приложения (тот же Офис). Это тоже важно.

Ну Опенофис или гугль документы решают задачу офиса.
Кстати уже как минимум две кад (CAD) системы работают под Linux. Даже 1С, Гарант и т.д. уже работают под Линукс. Так что больших проблем с организацией офиса под Линуксом нет.
А как дела у маков с 1С и т.п.?

Про ОРС UA я в курсе.
Кстати, вот если кто-то приделает к OpenSCADA плагин Luup API (к Vera http://mios.com/for_dev.html )- я тут же скачаю ее для домашнего использования :)

Дык на то эта скада открытая, чтобы каждый желающий мог реализовать свой блок (например протокол обмена Luup) и вставить его в общий проект. Присоединяйтесь! Сами же потом и скачаете.

[Степа]

MS-DOS НЕ бесплатен (или я что-то пропустил?).

Очевидно... Уже лет пять /если не больше/ исходники открыты.

75 тысяч рублей, для любой промышленной системы, это копейки

В данном конкретном случае более чем вдвое увеличивали стоимость не давая абсолютно ничего взамен.
Разве что красивый интерфейс, но имеенно в данном случае интерфейс был нужен, если все совсем плохо. И поэтому там обыкновенный текстовый, 80х25 16 цветов, монитор чаще всего просто выключен.

не работать из под root'а

Все бы это понимали... Никогда не попадались дровишки от сторонних разработчиков, которые не работают иначе, чем из-под Администратора /причина банальна и смешна: драйвер для прочитать из реестра настройки зачем-то требует права и для записи, а "Гость" таковых не имеет; работать в режиме "запустить от имени..." отказывается/? Техподдержка откровенно тупит /"а зачем вам?"/, писать собственные как обычно не хватает времени, и без того забот полон рот.

Вы поставите заказчику или себе на предприятии контроллер с виндами внутри (а такие есть?)? Я - нет, и я уверен, большинство - нет. А с Linux?

Неправильно уверены. Прекрасно Win95 работает уж лет семь. Просто поменьше надо кривыми руками лазить "под капотом" у ОСи.

То, что новая спецификация не заточена под винды, говорит о том, что разработчики спецификации смотрят вперед, а не в рот Гейтсу.

Да флаг им в руки. Только работать надо здесь и сейчас, а не спустя много лет...
Потом... Потом будет видно.

Дык на то эта скада открытая, чтобы каждый желающий мог реализовать свой блок (например протокол обмена Luup) и вставить его в общий проект.

Я дико извиняюсь, но сейчас реализовать свой протокол обмена и подключить к практически любой SCADA могу на счет "раз". При этом заниматься буду ТОЛЬКО поддержкой протокола, а не вылавливанием ошибок в самых неожиданных местах.

[Бондарев Михаил]

не давая абсолютно ничего взамен.

ну значит просто это был не объеект для QNX, вы же реверсивный пускатель на S7-400 собирать не будете)

Прекрасно Win95 работает уж лет семь.

А где вы в 2003 году такой контроллер взяли? да еще с 95й виндой.

Krona писал(а):
Вы поставите заказчику или себе на предприятии контроллер с виндами внутри (а такие есть?)? Я - нет, и я уверен, большинство - нет. А с Linux?

Как я уже писал китайцы ставят и не боятся. А вот я бы на месте жителей дальнего востока боялся... и так с печальной регулярностью по Амуру пятна всякие проходят...

[Степа]

А где вы в 2003 году такой контроллер взяли?

Сами сделали. Были просто не совсем нормальные требования заказчика, поэтому и пришлось немного поизобретать...
К надежности Win нет такой предубежденности, какая есть у школяров, которые кроме пары сайтов в своей жизни еще ничего не видели. Тогда, когда, изобретательством занимался, я пытался немного поотрезать "лишнее"... Больше суток после этого Win95 не жила. Чаще всего падала быстрее. А потом поставил набор "по умолчанию" и... Уже лет семь как работает. Никаких там чистилок, исправлялок, дефрагментаторов и прочего не запускалось отродясь. Игрушек и прочей дребедени - нечем: клавы там тоже нет. Только левая кнопка мыши в наличии в виде пальца по экрану.