Федеральная Служба Опасности



Ого.

Так сказать, "добро пожаловать в кибервойну".

причем уже настоящую

просто поломать, или взять под контроль?
следующая цель - самолет на роквиль? :-)
про немцев - интересно, они специализируются на атомной энергетике?
про вирус - каким образом нацелить его на конкретное государство? фильтровать айпи адреса? к тому же, для чего это делать - специально намекнуть иранцам на слабость их айти? похоже на какое-то предупреждение.

Вирус отключает неизвестно что, в какой-то конкретной программе. Больше похоже на поломать.

WinCC - довольно популярный пакет, не заточенный специально под ядерную энергетику.

Вирь не был привязан к конкретному государству, кроме Ирана, он зацепил еще Индонезию и еще несколько стран. Скорее всего его просто выпустили в Иране, а дальше он сам, как мог.

http://www.symantec.com/connect/blogs/w32stuxnet-network-information

Edited at 2010-09-18 10:29 am (UTC)

кстати, может, это промышленный шпионаж? чтобы узнать, что там происходит на самом деле?

Шпионить оно тоже умеет.

(no subject) (Anonymous) Expand
посмотрите исходники www.atomstroyexport.com/index-e.htm

Ой.

что ой то ?
хуй блядь !

и, казалось бы, при чём тут безопасность в атомной энергетике ?
аффтар, расскажи, так ты их связываешь ???

Поскольку немного знаком с WinCC и вообще Сименсовской автоматизацией, то могу сказать, что есть тут определенная хрень..
WinCC это программа не для программирования, а скорее для отображения состояния системы и возможности передать ей пользовательские сигналы управления.. Программу контроллера с ее помощью насколько я помню не похеришь..

Вроде бы, атаковали связку PCS 7 + WinCC + S7. S7 - это точно контроллер.

http://www.langner.com/en/index.htm:

Fact: As we have published earlier, Stuxnet is fingerprinting its target by checking data block 890. This occurs periodically every five seconds out of the WinCC environment. Based on the conditional check in code that you can see above, information in DB 890 is manipulated by Stuxnet.

Interpretation: We assume that DB 890 is part of the original attacked application. We assume that the second DWORD of 890 points to a process variable. We assume that this process variable belongs to a slow running process because it is checked by Stuxnet only every five seconds.

Fact: Another fingerprint is DB 8062. Check for the presence of DB 8062 in your project.

Fact: Stuxnet intercepts code from Simatic Manager that is loaded to the PLC. Based on a conditional check, original code for OB 35 is manipulated during the transmission. If the condition matches, Stuxnet injects Step7 code into OB 35 that is executed on the PLC every time that OB 35 is called. OB 35 is the 100 ms timer in the S7 operating environment. The Step7 code that Stuxnet injects calls FC 1874. Depending on the return code of FC 1874, original code is either called or skipped. The return code for this condition is DEADF007 (see code snipplet).


Кстати, не знаете, что такое "ключ проекта" в документации к библиотеке CEMAT? Его требуют ввести при установке, но что он значит? И почему приведено всего 9 ключей? Это какие-то модификации?



(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)

Бало время спокойное, а теперь...

Получается, что в некоторых вопросах технический прогресс вреден по соображениям безопасности. Абсурд, но факт: человек как Буратино, сам себе враг. Лучше бы атомная энергетика жила с калькуляторами и не имела столь развитых сетей.

(Deleted comment)
Я работал на строительстве АЭС в Бушере.
Насколько мне известно, прога для управления реактором -- российская самописная, под сильно переработанным линухом.
Так что сам реактор этот вирус не сломает.
И опять есть подозрение, что это инфовброс (с какой целью, правда, непонятно), потому что размножающийся на флешках вирус (из-за того, что промышленные системы не подключены к инету) не может, естественно, организовать ботнет.

точно вброс
туфта всякая написана

(no subject) (Anonymous) Expand
(Deleted comment)
Увы, но винда управляет и Питерскими эскалаторами, например; и, что совсем ужасно, она используется в некоторых центрах управления полётами.

(Deleted comment)
(Deleted comment)
(Deleted comment)
как интересно...

Как он правильно называется - стухнет или стихнет?

Браво! Американский марсоход, связь с которым была потеряна 2 недели назад, обнаружен в Дагестане с перебитыми номерами. (гыгы)

Интересно, а на СШГЭС ничего под виндой не работало?

Эскалаторы ...это интересно....

))))Пацаны вы их не отключайте....мне лень пешком ходить...))))

неплохо- неплохо, ребята на диструктиве очки зарабатывают )))

Далеко пойдет тот кто написал его)

Пока не обязали вживлять в голову usb вход я спокоен! =)

скоро обяжут...

Однако!

Линуксы надо пользовать! :)

линукс sucks! freebsd рулит.

везде враги

Чуваки капитально заморочились. Такую штуку сваять, да ещё ключи добыть, да еще замутить через р2р сети управление - зачётно. Похоже на спецслужбы.

Особенно управление через сети машинами, не подключенными к сети.
Это мощно.

Вот и настало то время когда человек сам себе умышленно вредит...

дак тут не сам себе вроде...

какое отношение сайт АтомСтройЭкспорта имеет отношение к уровеню безопасности в атомной энергетике?

Ну что сказать, это бред сумасшедшего. WinCC работает на десятках тысяч производств во всем мире, и, если вирус так легко распространяется - ни одна спецслуюжба не поставит под удар собственную страну. Превентивные же меры у себя ввиду массовости неизбежно рассекретили бы, откуда растут ноги. Едем дальше. "Уничтожение" сервера WinCC НЕ может привести к остановке технологического процесса, это скада-система для визуализации и контроля технологических параметров процесса. Участком управляет промышленный контроллер, который может и не быть подключен к сети ethernet. Серверов WinCC как правило несколько, и как правило они редундантны, а остановка одного или даже обоих серверов практически никогда не ведет к остановке контроллера, с которым работают сервера. Связи с интернетом производственные сети АСУ как правило не имеют, это верно, но и флешки как правило использовать там запрещено, это правило даже для обычных промышленных компаний, не только для атомных станций. Даже если вирус прописался, но связи с инетом нет, про какую p2p для обновления речь - тоже неясно. Более того, внутренние производственные сети обязательно разбиты на подсети по технологическому признаку. На картинке вижу лишь ошибку, связанную с банальным отсутствием лицензии в сименсовском лайсенс менеджере. Это не смертельно, надо просто их поставить. Про какие программируемые чипы, прошиваемые чудесным образом вирусомиз сети ethernet вообще непонятно. Набор бреда псевдотехнического и стопроцентная утка низкого качества.

Угу, еще скажи что и этого http://hardarea.ru/news/952.html не было?
А я поцанчика погибшево лично знал, у меня сестра в свердловске, и племянник с ним дружил.
Тебе не представить что пережили родители, а это еще когда было. Теперь вот негодяи до АТАМА добрались.
Надо всех вирусописак разстреливать срочно сразу. И эти, как их рэ2рэ запретить навсегдда!!!!!!11

(Deleted comment)
ох елки!!! а у меня нет аваста. бида-бида

?

Log in