Siemens WinCC под угрозой

[Василий Иванович]

И всё-таки центрифуги...

http://www.symantec.com/connect/de/blog ... eakthrough

[Бондарев Михаил]

Таки центрифуги были целью http://lenta.ru/news/2011/01/16/stuxnet/

[san]

14 декабря 2010 года немецкий IT-специалист Ральф Лангер (Ralph Langer), проанализировавший код вируса, заявил, что Stuxnet отбросил атомную программу Ирана на два года назад.

Ральф Лангер пилит сук, на котором сидит Сименс. Еще трохи - и Иран перейдет на "более надежное" китайское оборудование.

[Василий Иванович]

Да он уже несколько лет о том и говорит, что в плане безопасности Сименс - говно. И зарабатывает на всяких пришлёпках, позволяющих эту безопасность повысить. А потом Сименс сам отдаёт своё грязное бельё на анализ американцам:

In early 2008 the German company Siemens cooperated with one of the United States’ premier national laboratories, in Idaho, to identify the vulnerabilities of computer controllers that the company sells to operate industrial machinery around the world — and that American intelligence agencies have identified as key equipment in Iran’s enrichment facilities.

Seimens says that program was part of routine efforts to secure its products against cyberattacks. Nonetheless, it gave the Idaho National Laboratory — which is part of the Energy Department, responsible for America’s nuclear arms — the chance to identify well-hidden holes in the Siemens systems that were exploited the next year by Stuxnet.

После чего появление стукнета становится делом времени.а

[Eugene Sergejev]

Руководство к хакингу от Ральфа Лангерна

Это трудно назвать руководством. Так, философствование на заданную тему.

[Marrenoloth]

Да - на них похоже. Одно то, что все, кто плотно с Сименсом работают, предпочитают железо заказывать напрямки из Германии, доставляет весьма!

[freydman]

Здравствуйте, коллеги!

Открываю новую тему - Stuxnet & Bezopasnost SCADA, т.к. не только Siemens WinCC - а все виндусовые
СКАДы под угрозой.

Я разместил перевод доклада Symantec с анализом кода Stuxnet:
http://www.phocus-scada.com/rus/pub/Stu ... ys-rus.pdf

Здесь нет ничего своего, от себя добавлю в следующий раз.
Просьба почитать на досуге, если будут замечания по качеству
перевода прошу сообщать в новой теме.

С уважением,
Андрей Фрейдман
NAUTSILUS Ltd., Moscow

[hell_boy]

Все же, Stuxnet - диверсия. Сами сознались, когда все улеглось. Статья The New York Times
Краткое содержание на русском http://www.asu-tp.org/index.php?option= ... 4&Itemid=1

[CHANt]

Да лажа очередная, в плане того что в нетании испытывали на АЭС. Нафик вирусятину было гонять два года на АЭС, когда к АЭС она никакого отношения не имела? Как и собственно исходники, приведенные в докладе семантика, либо намеренно искажены, либо они их так и не разобрали, но, частотниками Vacon таким образом управлять не получится. А такую системку можно и просто на стенде собрать, и там спокойно вирус отлаживать.

[Alexander]

Та ну на хрен, с какого дуру вот это все нужно было толкать в Интернет? Не верю в такие дикие фантазии разработчиков более или менее ответственных систем. Особенно, если учесть, что ОС контроллера находится в ROM -какие вирусы, о чем вы?

[CHANt]

Особенно, если учесть, что ОС контроллера находится в ROM -какие вирусы, о чем вы?

Да там много непонятного. Помимо выньсиси, должен был быть step7, чтобы загрузить блоки с номерами выше 6000 (!). Скажем так, не каждый симатик имеет столь большую память под область адресации, т.е. рассчитано под конкретную старшую линейку 300 серии или на 400. Далее, в конфигурации контроллера обязательно должен быть коммуникационный процессор CP 342-5 под профибас, ибо все это работало только с учетом применения определенных функциональных блоков под коммуникационник. Ну и цель - выдавать с частотника свыше 1000 Гц, явно не под стандартные задачи.
Слухи о том что израильтяне учавстовали в разработке были и раньше...Тут вроде ничего удивительного. Но причем тут отладка на АЭС (?) так и не понял.

[Бондарев Михаил]

аэс и велосипедисты!
сионизм и журналисты!

[Василий Иванович]

Отладка нужна была, чтобы узнать, что произойдёт физически с центрифугой и её содержимым. Я и раньше читал, что они в Израиле тестили.

[CHANt]

А где центрифуги на АЭС? Вроде про них писалось что есть в центре ядерных исследований, или в Иране это одно и тоже? )))

[CHANt]

ну а АЭС тут причем? :)
)) В общем, все эти публикации вокруг да около, что на самом деле, видимо, узнаем не скоро. А видео где-то попадалось - семантик работу вируса демонстрировал, так что сомнений в его работоспособности нет. Только вот в докладе информация, на мой взгляд, искажена и специально :)

[Василий Иванович]

А, понял. Вы читали русский говноперевод. В Таймс ясно написано, что испытывали на ядерном объекте в Израиле, куда подвезли таких же центрифуг. Слово "АЭС" в оригинальной публикации вообще не упоминается.

[Василий Иванович]

Особенно, если учесть, что ОС контроллера находится в ROM -какие вирусы, о чем вы?

Да там много непонятного. Помимо выньсиси, должен был быть step7, чтобы загрузить блоки с номерами выше 6000 (!). Скажем так, не каждый симатик имеет столь большую память под область адресации, т.е. рассчитано под конкретную старшую линейку 300 серии или на 400. Далее, в конфигурации контроллера обязательно должен быть коммуникационный процессор CP 342-5 под профибас, ибо все это работало только с учетом применения определенных функциональных блоков под коммуникационник. Ну и цель - выдавать с частотника свыше 1000 Гц, явно не под стандартные задачи.

У разработчиков Stuxnet был в руках оригинальный проект, который надо было инфицировать, поэтому вирус заточен именно под этот проект, а именно такой, в котором есть CPU315-2 и 417, частотники двух конкретных производителей и т.п. И заражает он не контроллеры, а Step7-проекты, которые в контроллер вполне себе легально грузит сам же программист-иранец. А интернет нужен прежде всего для обратной связи и обновления версий вируса.

[Ryzhij]

Мне бы Ваш оптимизм, Василий Иванович! :D
Особенно пассаж про частотники порадовал
Но пока, из материалов открытой печати мне очевидно, что связка Simatic+WinCC скомпрометирована с точки зрения безопасности.
http://www.symantec.com/content/en/us/e ... ossier.pdf
http://www.phocus-scada.com/rus/pub/Stu ... ys-rus.pdf
У Вас есть уверенность, что после публикации всех материалов по Stuxnet не появятся новые модификации вируса?
Историю с вирусом "Чернобыль" напомнить?
Только коренное изменение архитектуры системы теперь способно на какое-то время устранить возникшую угрозу.

[Василий Иванович]

Про частотники можете почитать отчёт Симантека, ссылку на который Вы сами же и выложили.

The System Data Blocks are enumerated and parsed. Stuxnet must find an SDB with the DWORD at offset 50h equal to 0100CB2Ch. This specifies the system uses the Profibus communications processor module CP 342-5. Profibus is a standard industrial network bus used for distributed I/O, In addition, specific values are searched for and counted: 7050h and 9500h. The SDB check passes if, and only if, the total number of values found is equal to or greater than 33. These appear to be Profibus identification numbers, which are required for all Profibus DP devices except Master Class 2 devices. Identification numbers are assigned to manufacturers by Profibus & Profinet International (PI) for each device type they manufacture. 7050h is assigned to part number KFC750V3 which appears to be a frequency converter drive (also known as variable frequency drive) manufactured by Fararo Paya in Teheran, Iran. 9500h is assigned to Vacon NX frequency converter drives manufactured by Vacon based in Finland.

Я никоим не образом не утверждал, что PCS7 не дырявый. Покупайте восьмуй версию, вышедшую на днях - и получите более высокую степень безопасности, но, конечно, не стопроцентную. Лично у меня есть уверенность, что при наличии хорошего бюджета можно ломануть много других систем, а не только PCS7. Сименс попал под раздачу из-за того, что его иранцы взяли его за основу системы управления.

[CHANt]

Но пока, из материалов открытой печати мне очевидно, что связка Simatic+WinCC скомпрометирована с точки зрения безопасности.

Я уже писал на одном форуме, повторюсь ) Нет и не будет защиты, если Вас, разработчика системы, нанять сделать вещь подобную стукснету. В чем проблема? Эта работа не для любителя, это достаточно долгоиграющий проект который необходимо финансировать и задействовать достаточно серьезный круг специалистов.. И, я сомневаюсь. что это дело коммерческой фирмы. Ей надо прибыль получать, а не выводить из строя центрифуги, тратя годы на разработку червя. Червя еще кто-то занести должен.
Еще одна тема - промышленный саботаж. Неужели никто из обсуждающих тему никогда не делал закладки в контроллер, либо не сносил чужие?
Лично я сносил чужие. Несложные, но заказчик своими силами не справился бы и готов был купить новую установку. Т.е., какова бы не была система безопасности, поднастроить систему, на этапе проектирования, в свое русло несложно. А ведь еще есть целый ряд систем которые покупаются совместно с агрегатами и где не даются ни исходники, ни доступ к контроллеру. Кот в мешке. Да тут вариантов масса может быть. И напрягаться ломать ничего не надо.
Если кому интересно, очень, могу поделится проектом Step7 выгруженным с одной установки, в котором разрешатся работать ровно одни сутки, после чего она больше на запускается в автоматическом режиме. Это реальный проект коллег из восточной европы. К сожалению, только символьная адресация.

[hell_boy]

Асимметричный ответ иранцев:
http://www.iran.ru/rus/news_iran.php?ac ... s_id=77257
http://www.xakep.ru/post/58027/

[ndk_63]

Про сименс уже второй раз встречаю данную проблему, год назад на наших объектах безопасники обнаружили вирус STUXNET, у нас на всех машинах установлен MCAfee причем и на офисных и на асушных, он вообще не как не отреагировал на этот вирус убивали зверька drweb или касперским. ничего страшного на наших армах вирус не наделал, у нас везде только InTouch.
Что то не нашел как этот новый зверек называется?

[CHANt]

Про сименс уже второй раз встречаю данную проблему, год назад на наших объектах безопасники обнаружили вирус STUXNET, у нас на всех машинах установлен MCAfee причем и на офисных и на асушных, он вообще не как не отреагировал на этот вирус убивали зверька drweb или касперским. ничего страшного на наших армах вирус не наделал, у нас везде только InTouch.
Что то не нашел как этот новый зверек называется?

Господи, кто ж затащил Вам его? Вы представляете, что этот кто-то, должен был притащить флешку с 1,5 мегабайтным вирусом специально и еще раздобыть его где-то? Просто так он в сети не валяется и по другому его не затащить на комп. Это диверсия просто - целенаправленная. Что-то мне не верится. Может - байки недоумков безопасников?
Что касается вируса, определяется только та часть, которая связана с дыркой винды в настройках общего доступа к печати принтером. Вот там его и можно определить, для WinCC или Step7 сомневаюсь что и Каспер, и DrWeb или что другое, отслеживает содержание папок \Bin. Тем более что пользователь может установить Сименсовское ПО куда угодно.

[ndk_63]

Так все же кто какими антивирусами пользуется?
И как ваша SCADA относится к антивирусу?
На сколько знаю Wonderware категорически против присутствия любых антив. на своих АРМах.

[DelSnos]

Так все же кто какими антивирусами пользуется?
И как ваша SCADA относится к антивирусу?
На сколько знаю Wonderware категорически против присутствия любых антив. на своих АРМах.

Политика WW никогда не запрещала установку антивирусного ПО с своими продуктами, а даже напротив крайне рекомендует периодически обновлять антивирусные базы! Если и возникают проблемы работы SCADA системы из-за анивирусного ПО, то это в большинстве случаев связанно с кривыми руками- мало поставить анивирусник, его же еще надо умело настроить! Для этого надо учитывать и знать много факторов: DCOM-ские настройки, открытость и прозрачность портов, какие службы и процессы должны быть добавленны в "White list" и т.д.
Именно поэтому Сименс и выпускает рекомендации по настройки безопасности - "Security concept"
Читайте маркса-там все написанно :)

Если интересно, то из личного опыта:
- WW без проблем работала с касперским, нодом, макафи. Последний, кстати, вроде само WW использует- по крайне мере российский интегратор точно :D
- Под Сименсом пробывал нод и symantec.
Сейчас по тем или инным причинам, а может просто из-за вкуса, больше симпонирует -НОД32.

год назад на наших объектах безопасники обнаружили вирус STUXNET

Безопасники такие безопасники :D
Они и не то обнаружат, когда им надо! Правильно CHANt сказал: "Может - байки недоумков безопасников?"!