Киберзащита АСУ ТП

[Василий Иванович]

по всем признакам не было там никакой кибератаки,

Александр,
а можно два слова с описанием "всех признаков"?
Я вот слышал из компетентных источников, что это была таки настоящая атака.

[Василий Иванович]

Вот вам ещё хороший пример на тему "а кому наш свечной заводик нафиг нужен".

Police warning after drug traffickers' cyber-attack

By Tom Bateman
Reporter, Today programme

16 October 2013

Drug traffickers hacked into the computer controlling shipping containers at the port of Antwerp
Image caption
Earlier this year drug traffickers hacked into the computer controlling shipping containers at the port of Antwerp

The head of Europe's crime fighting agency has warned of the growing risk of organised crime groups using cyber-attacks to allow them to traffic drugs.

The director of Europol, Rob Wainwright, says the internet is being used to facilitate the international drug trafficking business.

His comments follow a cyber-attack on the Belgian port of Antwerp.

Drug traffickers recruited hackers to breach IT systems that controlled the movement and location of containers.

Police carried out a series of raids in Belgium and Holland earlier this year, seizing computer-hacking equipment as well as large quantities of cocaine and heroin, guns and a suitcase full of cash.

Fifteen people are currently awaiting trial in the two countries.

Mr Wainwright says the alleged plot demonstrates how the internet is being used as a "freelance marketplace" in which drug trafficking groups recruit hackers to help them carry out cyber-attacks "to order".

"[The case] is an example of how organised crime is becoming more enterprising, especially online," he says.

Out of media player. Press enter to return or tab to continue.

Media captionA Europol official tells Tom Bateman how traffickers hacked into the IT system at Antwerp port

"We have effectively a service-orientated industry where organised crime groups are paying for specialist hacking skills that they can acquire online," he adds.

Vanishing containers

The attack on the port of Antwerp is thought to have taken place over a two-year period from June 2011.

Prosecutors say a Dutch-based trafficking group hid cocaine and heroin among legitimate cargoes, including timber and bananas shipped in containers from South America.

The organised crime group allegedly used hackers based in Belgium to infiltrate computer networks in at least two companies operating in the port of Antwerp.

The breach allowed hackers to access secure data giving them the location and security details of containers, meaning the traffickers could send in lorry drivers to steal the cargo before the legitimate owner arrived.

Workers were first alerted to the plot when entire containers began to disappear from the port without explanation.

"These criminal organisations always look for a new way to get drugs out of the harbour," says Danny Decraene who heads the Antwerp organised crime unit of the Belgian Federal Police.


Bag of cash seized by Belgian police
Image caption
This suitcase, containing 1.3m euros, was seized by Belgian police during raids on drug traffickers

"In this case they hired hackers [who were] very high level, intelligent guys, doing a lot of software work," he adds.

He says the operation to hack the port companies took place in a number of phases, starting with malicious software being emailed to staff, allowing the organised crime group to access data remotely.

When the initial breach was discovered and a firewall installed to prevent further attacks, hackers broke into the premises and fitted key-logging devices onto computers.

This allowed them to gain wireless access to keystrokes typed by staff as well as screen grabs from their monitors.

Assault rifle attack

Mr Decraene says the total quantity of drugs trafficked by the group is unknown, but in a series of raids earlier this year police seized more than a tonne of cocaine, with a street value of £130m, and a similar amount of heroin.

In January a lorry driver unconnected to the plot was shot at after he had unwittingly driven a container allegedly filled with cocaine from the terminal at Antwerp.

The attack took place in the province of Limburg, where suspects armed with AK-47 assault rifles fired at the driver, who was unharmed.

Following the cyber-attack in Antwerp, a joint operation by Belgian and Dutch police resulted in raids on more than 20 homes and businesses.

Officers seized six firearms including a machine gun and silencer, bullet-proof vests, and 1.3m euros (£1.1m) in cash inside a suitcase.

Mr Wainwright says the IT attack is consistent with a "new business model" of organised crime activity and he says he expects this kind of cyber-security breach to "become a more significant feature in future" of drug trafficking.

"What it means therefore is that the police need to change the way they operate - they have to become much more tech savvy," he says.

"But also I think governments and parliaments need to help us to make sure therefore that we have the right laws to fight back against this massive exploitation of the internet," he adds.

Container companies operating out of the port of Antwerp say their IT security has now been improved.

http://www.bbc.com/news/world-europe-24539417

[VADR]

а можно два слова с описанием "всех признаков"?

Вообще говоря, вот здесь это уже обсуждалось. Не поленитесь прочитать - там довольно подробно разложено.

Я вот слышал из компетентных источников, что это была таки настоящая атака.

Я я вот читал отчёт по инциденту https://ics-cert.us-cert.gov/alerts/IR- ... -16-056-01, из которого следует, что авторы отчёта никаких доказательств в глаза не видели, а заключение делали со слов заинтересованной стороны:

The following account of events is based on the interagency team’s interviews with operations and information technology staff and leadership at six Ukrainian organizations with first-hand experience of the event. Following these discussions and interviews, the team assesses that the outages experienced on December 23, 2015, were caused by external cyber-attackers. The team was not able to independently review technical evidence of the cyber-attack; however, a significant number of independent reports from the team’s interviews as well as documentary findings corroborate the events as outlined below.

[Василий Иванович]

В той ветке я нашёл критику Евгением неквалифицированного пересказа журналюги плюс флейм, но не было критики отчета ICS-CERT. То, что описано в отчёте, на мой взгляд, выглядит связно, непротиворечиво и вполне правдоподобно. И обратите внимание, что атаке подверглась не одна, а несколько разных компаний, причём практически одновременно.
Советую также перечитать приведённую Вами цитату, а в особенности последнюю строку из неё со словами as well as documentary findings.

[VADR]

И обратите внимание, что атаке подверглась не одна, а несколько разных компаний, причём практически одновременно.

И опять таки - со слов персонала. Энергетические компании слегли, а другие, тоже критические - нет (хотя, по утверждению персонала, тоже были атакованы). Вот интересно, если бы в 2003-м (когда в США и Канаде электричество отключалось) было также можно обвинять "российских хакеров" - кто-нибудь стал бы изучать цепное развитие аварии в энергосети или по-простому перевели бы стрелки на Россию? (поясню: отключение одной из мощных станций вполне может привести к аварийному отключению других, и такое уже было)

а в особенности последнюю строку из неё со словами as well as documentary findings

Всё замечательно. Где хоть одно реальное упоминание этих "documentary findings" в тексте отчёта?

[Jackson]

Какая разница от кого получен правильный ответ, если он в итоге получен :) Думайте не обо мне, а о том как ответ вам поможет в работе.

А вот это не вам решать, есть мне разница или нет. Это и есть элементарная невоспитанность, позволяющая решать кого, что и как должно интересовать, вместо банальной попытки разобраться а что собственно не так. Здесь это не приемлемо - это официальное предупреждение, последнее. Точка.

полностью согласен с человеческим фактором:

Всё верно. А другого и быть не может:

• потому что вся эта суета с хакингом нужна людям, а не системам;
• потому что зная о возможностях криворукого персонала вывести систему из строя, по факту не предпринимается никаких мер для исключения такой возможности;
• потому что дыры в безопасности являются таковыми только для тех кто в них лезет, а не для тех кто их имеет.

Сделанная полностью по уму система взломана извне быть не может. Сделанная по уму - это такая, которая реализует только те функции, которые нужны, а не все подряд потому что они заодно тоже есть. Проще не создавать дыр, чем носится потом в попытках их найти и позакрывать.

Исключительно нерациональный подход к созданию и эксплуатации систем создаёт так называемую угрозу кибербезопасности, потому что даёт такие возможности. Не хакеры угроза, а те кто им дорогу прокладывает.

Хотите пример? Держите. Тут уже упоминали про системы мониторинга объектов, разбросанных на больших пространствах, хоть по всему миру. Таких много. Суть заключается в том, что если требуется мониторинг - он и должен быть мониторингом, то есть передачей данных о работе объекта по определённым запросам. истина в каждом слове (как в Советском гимне):

• передача данных - это значит приёма данных нет в принципе, никаких, система знать не знает про то что она может получить ещё какой-то запрос, кроме одного-двух определённых, и никак не реагирует на иные запросы, кроме определённых
• о работе объекта - это значит что ничего другого кроме определённых рабочих параметров система о себе не сообщает, иные данные просто отсутствуют в адресном пространстве и взять их негде потому что их просто нет
• по определённым запросам - запросам в определённом формате от определённых устройств по определённым каналам, вплоть до прямой физической привязки всеми возможными способами. Запросы, полученные не так, невовремя и не с того источника просто игнорируются.

А если нужен удалённый дебаггинг, удалённая перепрошивка - позвоните соответствующему персоналу на объекте и затем вышлите ему прошивку с подробной инструкцией. или садитесь в самолёт и сделайте всё сами, на месте. Каждый день оборудование не перепрошивается (а если это не так - значит нечего было выбирать такое оборудование). Десяток таких поездок - и вы научитесь делать такие системы, которые не будут требовать таких действий. Удалённый дебаггинг или разбор полётов? - По вашему указанию персонал на месте локально делает нужные дампы и отправляет вам, если нужна ваша ответная заливка параметров или прошивок - то же самое в обратную сторону, или опять таки езжайте туда сами. Несколько таких поездок и вы начнёте создавать системы так, что этого всего не будет требоваться, или будет но не вам и тогда будете кататься с ветерком за счёт заказчика.

При создании интерфейса во внешний мир хорошо бы его действительно создать, то есть полного нуля предусмотреть выполнение нужных функций (только оговоренных, по списку), а не брать готовые библиотеки и контроллеры которые могут всё и не декларировать что из всего разнообразия его функций вы можете использовать их десяток.

Лениться не надо. Поленились подумать при создании системы - значит позже додумаете, когда что-то случится, но если раньше вы могли это сделать спокойно, то позже вы сделаете это под воздействием мощного пинка - сами решайте что вам интереснее. Передали на объект избыток недокументированных функций - значит ждите развлечений по их удалению или блокированию, хотя могли просто их не давать. Лень - мощная штука. А на хакеров потом валить - глупо, ведь вы сами дали им те возможности, которыми они воспользовались. Исключительно лень создателей систем кормит крупных специалистов по затыканию дыр: не хотите заплатить за создание надёжной системы - заплатите потом им, никуда не денетесь; не хотите при создании системы вникнуть в вопрос и потратить время на постановку задачи и проверку реализации - заплатите потом им за разбор полётов и тот же самый анализ который могли бы сделать сами.
А лень эта настолько массовая что дошло дело уже до решений на уровне постановлений уровня министерств и правительства РФ.

[Anton Shipulin]

Anton Shipulin писал(а):
Источник цитаты Какая разница от кого получен правильный ответ, если он в итоге получен :) Думайте не обо мне, а о том как ответ вам поможет в работе.

А вот это не вам решать, есть мне разница или нет. Это и есть элементарная невоспитанность, позволяющая решать кого, что и как должно интересовать, вместо банальной попытки разобраться а что собственно не так. Здесь это не приемлемо - это официальное предупреждение, последнее. Точка.

Ну что Вы, я все лишь выразил свое мнение, причем вежливо, со всем уважением (Вы в своих комментариях допускали более грубые высказывание в мой адрес: "Бред", "Глупости" и т.д.). А Вы угрожатете меня забанить за это пользуясь правами администратора? Будет жаль если я не смогу делиться мнением и полезной информацией со всегда уважаемой мной аудиторией данного форума. Призываю Вас сойти с тропы войны :)

quq писал(а):
Источник цитаты полностью согласен с человеческим фактором:

Всё верно. А другого и быть не может...

Со многим с Вами согласен как надо строить систему. Только советую не забыть показать архитектуру профессиональным аналитикам по безопасности чтобы они показали актуальные риски (кторые либо будут приняты, либо будут оперативно устранены). И аналогично показать им результат реализации арихтектуры (и проводить такой анализ регулярно). И тогда можно будет говорить об объективной оценке безопасности.

[Василий Иванович]

И обратите внимание, что атаке подверглась не одна, а несколько разных компаний, причём практически одновременно.

И опять таки - со слов персонала.

Я ведь вам указывал, что использовались и документальные свидетельства. Ваша воля - верить авторам отчёта или нет, но опровергнуть его Вы не можете. А вот то, что инцидент случился на нескольких разных фирмах, подрывает Вашу теорию заговора.

а в особенности последнюю строку из неё со словами as well as documentary findings

Где хоть одно реальное упоминание этих "documentary findings" в тексте отчёта?

А зачем Вам реальное упоминание типа "в логах системы обнаружен отказ модуля" в отчёте длиной две странички? Оно там излишне, поскольку цель отчёта - не возбуждение уголовного дела прокурором, а информирование широкой общественности.

[Василий Иванович]

А если нужен удалённый дебаггинг, удалённая перепрошивка - позвоните соответствующему персоналу на объекте и затем вышлите ему прошивку с подробной инструкцией.

Евгений, только не говорите, что для перепрошивки не используется софт на компьютере. А если так - его можно ломануть. И никакой air gap, как в случае со стакснетом, не поможет.

[Jackson]

Евгений, только не говорите, что для перепрошивки не используется софт на компьютере. А если так - его можно ломануть. И никакой air gap, как в случае со стакснетом, не поможет.

Это уже прямая диверсия. А против лома нет приёма. Значит ноги в руки и дебажить на месте.

Не надо строить защиту от всего подряд - иначе с такой защитой объект полностью перестанет функционировать.

Отправлено спустя 1 минуту 41 секунду:

Ваша воля - верить авторам отчёта или нет, но опровергнуть его Вы не можете.

Так нечего и опровергать, нечему и верить. Здесь техника, допущения не прокатывают - нужны документы, факты, акты, а то на заборах тоже много чего пишут.

[Василий Иванович]

Ну здрасьте! Стакснет - тоже диверсия, по Вашему же определению. Он заражал не контроллер, а систему программирования и манипулировал загрузочную программу. Причём система программирования не была подключена к интернету. И что, против него приёмов нет, что ли?

нужны документы, факты, акты, а то на заборах тоже много чего пишут.

Чтобы взять на себя смелость утверждать, что отчёт - фуфло, нужно это обосновать, и отсутствие документов в кратеньком отчёте - это увы не катит. Пока не смогли найти противоречие в отчёте независимой широко признанной организации ICS-CERT, широкой общественности придётся верить ей, а не Вам, Евгений.

[Jackson]

Чтобы взять на себя смелость утверждать, что отчёт - фуфло, нужно это обосновать, и отсутствие документов в кратеньком отчёте - это увы не катит.

Чтобы взять на себя смелость утверждать что отчёт честный, нужно это обосновать, и отсутствующие документы это, увы, не делают.

Отправлено спустя 1 минуту 58 секунд:

Ну здрасьте! Стакснет - тоже диверсия, по Вашему же определению.

Добрый день!
Я не даю никаких определений, про стакснет я вообще не упомянул ни разу. Василий Иванович, Вы, по-моему, путаете головы. То что думаете Вы о написанном мной - судя по тому что я вижу, мало связано с тем что написано мной.

[VADR]

И обратите внимание, что атаке подверглась не одна, а несколько разных компаний, причём практически одновременно.

И опять таки - со слов персонала.

Я ведь вам указывал, что использовались и документальные свидетельства. Ваша воля - верить авторам отчёта или нет, но опровергнуть его Вы не можете. А вот то, что инцидент случился на нескольких разных фирмах, подрывает Вашу теорию заговора.

В Штатах в 2003-м году тоже инцидент случился не нескольких разных фирмах. Если бы это было сейчас - наверняка бы приплели "русских хакеров", а любую попытку оспорить относили бы к действиям "ольгинского контингента", который так никто и не смог найти :). А так - нашли причины технологического характера, из-за которых авария распространилась по цепочке объектов. Строго говоря, на объектах кроме первого это и не было в полной мере аварией: сработали противоаварийные защиты и отключили оборудование. Впрочем, про провисание проводов высоковольтной ЛЭП до уровня неспиленных деревьев и замыкание через одно из них на землю - тоже верится с трудом: это дерево наверняка было бы найдено, имело бы очень характерный вид и его фото обошло бы весь интернет, как причина супер-аварии.

а в особенности последнюю строку из неё со словами as well as documentary findings

Где хоть одно реальное упоминание этих "documentary findings" в тексте отчёта?

А зачем Вам реальное упоминание типа "в логах системы обнаружен отказ модуля" в отчёте длиной две странички? Оно там излишне, поскольку цель отчёта - не возбуждение уголовного дела прокурором, а информирование широкой общественности.

А зачем людям свидетельские показания кого-либо, если у них в руках есть логи? С другой стороны - откуда взяться логам, если хакеры получили полный доступ к системе, а значит - и возможность эти логи вычистить? :) Какие тогда имеются в виду документальные свидетельства?

[Василий Иванович]

Чтобы взять на себя смелость утверждать что отчёт честный, нужно это обосновать, и отсутствующие документы это, увы, не делают.

Они не делают, по двум причинам.
Первая причина банально проста: приведение подробной документации не соответствует цели и аудитории данного отчёта. Вот прокурору на стол ляжет уже всё необходимое, а публичное информсообщение не должно содержать подобных деталей.
А вторая причина в том, что, кроме Вас, мало кто поставил это под сомнение. Более того, документы у них есть, о чём было упомянуто в отчёте. При наличии обоснованных сомнений со стороны авторитетных инстанций эти документы будут предоставлены.
А в-третьих, презумпцию невиновности никто не отменял. Вы, обвинив их во лжи, обязаны это доказывать, а не они.

Ну здрасьте! Стакснет - тоже диверсия, по Вашему же определению.

Добрый день!
Я не даю никаких определений, про стакснет я вообще не упомянул ни разу. Василий Иванович, Вы, по-моему, путаете головы. То что думаете Вы о написанном мной - судя по тому что я вижу, мало связано с тем что написано мной.

Стакснет и подобные им вирусы - это чистой воды кибердиверсия, против которых у Вас "нет приёма" (тогда как на самом деле и от них можно защититься).
Раз так, Ваши слова о "так называемой угрозе кибербезопасности" и "сделанная по уму система взломана быть не может" не имеют под собой основания.

[Василий Иванович]

Какие тогда имеются в виду документальные свидетельства?

Александр, я не знаю, какие у них документы. Более того, мне это неинтересно, поскольку я не подвергаю сомнению их отчёт. Ну зачем им всем врать, в конце концов?!

[VADR]

А в-третьих, презумпцию невиновности никто не отменял. Вы, обвинив их во лжи, обязаны это доказывать, а не они.

Вот тут как раз вопрос в том, кто первый кидается обвинениями. Уж если они обвиняют неких "российских хакеров", то им и доказывать. А пока что - я, конечно, не Станиславский, но сыграно откровенно хреново.

[Василий Иванович]

А кто обвиняет "российских хакеров" - ICS-CERT или журналюги? Вряд ли первые...

[Jackson]

Они не делают, по двум причинам.

А вот причины как раз совершенно неинтересны. Нет фактов - нет правды.
И потом, откуда Вам знать эти причины? Они Вам сами их изложили?

[Василий Иванович]

Евгений, это Ваша воля - верить или не верить отчету уважаемой организации. Но оснований не верить этому я от Вас не получил.

В наше время киберпреступления стали весьма распространённым явлением, и отрицать и закрывать глаза на них стало практически невозможно.
Вот Клинтон сегодня прямо обвиняет Россию в киберпреступлениях (не имея на это документальных подтверждений), но тем не менее Вы же не станете утверждать, что преступления эти не были совершены.

[dtv]

Предлагаю расширить тему данного обсуждения, включив в него перспективы повсеместного появления беспроводных автономных датчиков, в т.ч. и промышленных. Данная мысль возникла после прочтения этой статьи:
http://www.cnews.ru/news/top/2016-10-20 ... j_standart
Я понимаю, что дело это на довольно отдалённую перспективу, но сама тема очень интересна, тем более в ней затрагивается промышленность.

[VADR]

А кто обвиняет "российских хакеров" - ICS-CERT или журналюги? Вряд ли первые...

"Журналюги" тут вторым номером. Первым - те же люди, чей представитель как-то пробиркой с белым порошком на заседании ООН тряс.

Ну зачем им всем врать, в конце концов?!

Вот и я думаю, зачем ему тогда было врать, с этой пробиркой?

Вот Клинтон сегодня прямо обвиняет Россию в киберпреступлениях (не имея на это документальных подтверждений), но тем не менее Вы же не станете утверждать, что преступления эти не были совершены.

Я Вас умоляю :). Клинтон - кандидат в президенты США, выборы у них - это большое шоу, в котором надо привлечь на свою сторону максимальное количество избирателей. Тех, кто колеблется - привлекают какой-то темой, находящейся на слуху. А на слуху - обывателя пугают Россией и хакерами. Если это соединить - получается довольно специфический коктейль, который таки на некоторую часть аудитории наверняка подействует. Правила игры у них такие.

[izhidkov]

Предмет обсуждения гораздо более приятно звучит таким образом:
"Информационная безопасность автоматизированных систем"
кстати даже такая специальность в ВУЗах есть : 10.05.03 (в группе специальностей "Информационная безопасность").. Думаю приставка "Кибер" тут вообще не к месту, только паники наводит. Кибербезопасность в ее прямом смысле должна, например, включать и Информационную безопасность, и защиту от неправильно установленных коэффициентов регулирования или неправильной структуры регуляторов , и т.п. вещи .

[Technic4]

А вообще можно узнать какие предметы изучают по специальности "Информационная безопасность"?
Какие специализированные предметы изучают?

[izhidkov]

А вообще можно узнать какие предметы изучают по специальности "Информационная безопасность"?
Какие специализированные предметы изучают?

Есть стандарт специальности, а каждый конкретный ВУЗ может видимо что-то свое добавить может
http://www.garant.ru/products/ipo/prime/doc/99001/

Из стандарта складывается ощущение что 1 специалист по ИБАС ( ) может все АСУ в небольшом государстве защитить в одиночку

[Jackson]

Вот Клинтон сегодня прямо обвиняет Россию в киберпреступлениях (не имея на это документальных подтверждений), но тем не менее Вы же не станете утверждать, что преступления эти не были совершены.

Стану.
Нет фактов - нет правды. Тем более у них там выборы и под это дело они какую только ахинею не несут. Не считая того что Пендостан и без выборов-то никогда не отличался глубоким смыслом заявлений своих высших чинов. Да и г-жа Клинтон такой же спец по ИБАСу, как я по балету, с бумажки читает то что дали.