07.12.2010

Безопасность SCADA: Stuxnet – что это такое и как с ним бороться?

image

Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки.

Павел Волобуев,
Специалист по информационной безопасности
технологических систем,
Digital Security

Про этого червя писали много. Но все же по странным причинам не так много, как могли бы, ведь речь идёт не просто об обычном вирусе.  Stuxnet фактически является первым в истории вирусом, переступившим через границу киберпространства в реальный физический мир, первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки. Его появление не только выявило очередные уязвимости в операционных системах Microsoft, но и устремило взоры специалистов по информационной безопасности в абсолютно новую для них область – безопасность промышленных систем. Раньше мало кто задумывался об этом, хотя некоторые компании предупреждали об этом ещё несколько лет назад.  Причины вполне ясны: промышленные сети обычно изолированы не только от сетей общего пользования, но и от внутренних сетей предприятия, в них применяется очень специфическое оборудование и ПО, все процессы чётко регламентированы. Казалось бы, никакой опасности быть просто не может! Но как выясняется, это не так. Подобную «фантастическую» картину мы могли видеть в уже достаточно старом фильме «Хакеры». Разработчикам червя Stuxnet  удалось без труда обойти эту, казалось бы, самую надёжную физическую защиту. Почему «разработчикам»? Потому что тут речь, несомненно, идёт не об одном человеке, а о целой группе, в составе которой кроме профессиональных программистов и эксплоитописателей были и инженеры, и специалисты по АСУ ТП, знающие специфику работы с промконтроллерами и другим периферийным оборудованием. Вопросов много, а ответов… несмотря на то, что прошло уже 4 месяца с момента первого обнаружения червя, чётких ответов пока нет. Причин этого несколько:

  • Во-первых, это, пожалуй, первый случай появления вредоносной программы, направленной именно на промышленные системы;
  • Во-вторых, специалисты по информационной безопасности и антивирусной защите обычно имеют крайне далекое представление о том, что такое PLC и SCADA, а специалисты по АСУ ТП далеки от информационной безопасности, и это очень сильно затрудняет анализ вируса;
  • Ну и последнее – поскольку вирус затронул работу крупнейших промышленных и энергетических компаний, информация о нем тщательно скрывается. И если руководство компаний знает и озабочено этой проблемой, то сокрытие информации обычно идет на нижнем уровне.

Digital Security – одна из немногих в России компания, работающая в сфере информационной безопасности, имеющая в штате специалистов с опытом разработки и внедрения автоматизированных систем управления сложными технологическими процессами. И именно по этой причине мы решили провести собственный анализ, чтобы разобраться, что же происходит на самом деле.

Итак, попробуем разобраться по порядку…

Промышленная сеть: что это такое?

Представьте себе промышленную установку, которая что-то делает, и агрегатами которой нужно управлять по заданному алгоритму. Мы обвешиваем эту установку различными датчиками и исполнительными механизмами и подключаем к PLC – контроллеру, который и выполняет этот алгоритм. При этом контроллер проверяет уровни температуры, напряжения, давления, следит за оборотами двигателей, включает и выключает различные механизмы. И если какие-то параметры заходят за пределы дозволенного (уставки этих пределов также прописаны в контроллере), он останавливает установку или технологический процесс. Установок может быть много, и контроллеров, соответственно, тоже. Общаются они между собой обычно через Ethernet, RS485,и их вариации. Промышленная сеть Ethernet – это обычная сеть Ethernet, в которой активное оборудование для промышленных сетей является более стойким к внешним воздействиям, вибрации, электромагнитным помехам, температуре, влажности и пр.  Промышленные протоколы Modbus, Profibus и пр. в современных промышленных сетях часто работают поверх TCP/IP. На самом деле отличия от классических сетей, конечно, есть, но они не принципиальны в контексте данной статьи.

Сам контроллер – это тот же компьютер, но в миниатюрном исполнении, предназначенный для выполнения определенных задач, и со своей операционной системой. ОС на промконтроллерах – обычно собственной разработки производителя, информация о которой малодоступна – QNX (реже Lunix) или DOS. Структура контроллеров, как правило, является модульной: к ним подключаются различные модули ввода-вывода для решения ряда задач. И все бы было хорошо, но кроме контроллеров за работой процесса следит еще и человек – оператор. И следить за информацией с десятков, а зачастую и сотен контроллеров вручную ему, конечно, неудобно. Для оператора в промышленную сеть устанавливается АРМ – Автоматизированное Рабочее Место. АРМ – это компьютер с операционной системой Windows, на который устанавливается программа для отображения технологического процесса (SCADA). SCADA выводит на экран показания с контроллеров, обеспечивает возможность управления механизмами в ручном режиме и позволяет изменять некоторые параметры технологического процесса, а так же ведёт запись архивов. На АРМах часто устанавливают базу данных для записи статистики и генерации отчетов. АРМов в сети может быть несколько – их количество зависит от величины производства и количества операторов. АРМы всегда находятся в одной сети с контроллерами. Зачастую антивирусное ПО на них не устанавливается, а если и устанавливается, то уж точно не обновляется. Считается, что вирусы в этой изолированной среде появиться никак не могут… Стоит отметить также, что никакого обновления системного ПО на АРМах естественно не происходит: многие из них до сих пор работают под Windows XP SP1 или, вообще без Service Pack, что делает их крайне уязвимыми.

У многих малознакомых с АСУ ТП людей возникает вполне логичный вопрос: если есть полноценные компьютеры, которые могут всем управлять, то зачем еще и контроллеры? Ответ прост: им не доверяют. Компьютеры под управлением Windows имеют свойство «виснуть», и, собственно, Windows никак не претендует на звание Realtime OS. А у контроллеров своя операционная система, свое промышленное резервированное питание, и отказоустойчивость в разы выше, чем у любого персонального компьютера.

Конечно, это было очень поверхностное объяснение принципов работы промышленных систем, но без него было бы трудно рассказать о самом черве, а главное –  о проблемах, связанных с его лечением. Итак, Stuxnet…

Stuxnet – что это такое?

Речь идет о чрезвычайно высокотехнологичном вредоносном ПО во всех его проявлениях. Данный червь использует четыре ранее неизвестные уязвимости системы Microsoft Windows, одна из которых направлена на распространение при помощи USB-flash накопителей. Причем данная уязвимость выявлена во всех версиях Windows, включая XP, CE, Vista, 7, Windows Server 2003, 2008 и 2008R2, как в 32разрядных, так и в 64разрядных. Уязвимость заключается в выполнении кода при попытке системы отобразить иконку c накопителя, например, при просмотре в проводнике. Исполнение кода происходит даже при полностью отключенном автозапуске для всех носителей. Кроме этого в коде зловреда реализована и возможность заражения по сети. Но, тем не менее, на большинство промышленных объектов червь попал именно через внешние носители – как и почему, будет рассказано  немного позднее. Большой вклад в анализ кода червя и используемых им уязвимостей внесло Российское представительство компании ESET во главе с Александром Матросовым.

Червь устанавливает в систему два драйвера, один из которых является драйвером-фильтром файловой системы, скрывающим наличие компонентов вредоносной программы на съемном носителе. Второй драйвер используется для внедрения зашифрованной динамической библиотеки в системные процессы и содержит в себе специализированное ПО для выполнения основной задачи. Драйверы, которые троян устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. Известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp. Злоумышленники используют цифровую подпись для «тихой» установки драйверов руткита в целевую систему. В системах безопасности многих производителей файлы, подписанные известными фирмами, заведомо считаются безопасными, и наличие подписи дает возможность  беспрепятственно, не выдавая себя, производить действия в системе. Кроме того, червь располагает механизмами контроля количества заражений, самоликвидации и дистанционного управления.

Кроме распространения посредством внешних носителей червь также успешно заражает компьютеры посредством соединения через локальную сеть. То есть оказавшись на компьютере вне промышленной сети, он анализирует все активные сетевые соединения и «пробивается» к промышленной сети всеми возможными способами. После внедрения в систему вредоносное ПО ищет в ней присутствие SCADA-системы фирмы Siemens. Причем им атакуются только системы SCADA WinCC/PCS7. Данных о заражении другой SCADA-системы от Siemens – Desigo Insight, которая широко используется для автоматизации зданий и жилых комплексов, аэропортов и т.д., у нас нет. Это говорит о «заточенности» червя на крупные промышленные и стратегические объекты. 

Когда червь «понимает», что оказался на машине с WinCC, он заходит в систему, используя стандартные учётные записи. Стоит заметить, что официальный Siemens не рекомендует менять стандартные пароли на своих системах, так как «это может повлиять на работоспособность системы», и использование червем стандартных паролей гарантирует почти 100% успешной авторизации. Итак, вирус соединяется с WinCC и таким образом получает доступ к технологическому процессу. Но и это еще не все… Он «осматривается» в локальной сети АРМа. Найдя в ней другие АРМы, червь заражает и их, используя 0day уязвимости в службе печати Windows (кроме того, червь может получать права системы, в случае необходимости используя две другие уязвимости нулевого дня). Также червь видит в сети и контроллеры. Тут мы дошли, пожалуй, до самого главного и опасного его функционала: да, Stuxnet умеет перепрограммировать PLC, естественно не все, а только Simatic фирмы Siemens. И это не так мало, если учесть, что на этих контроллерах построен технологический процесс на огромном количестве объектов, в том числе стратегических и военных. Например, атомная станция в Иране (Бушер), которую многие эксперты считают «целью» этого кибероружия (именно так охарактеризовал червя Евгений Касперский), конечно, не использует контроллеры Siemens для управления самим реактором, но использует их в большом количестве для управления вспомогательным оборудованием. А этого вполне достаточно чтобы червь мог парализовать работу атомной станции. Причем сам процесс «парализации» проходит очень интересно. Троян не записывает в контроллеры мусор и не выводит их из строя. «Живя» в системе достаточно долгое время, он накапливает информацию о технологическом процессе, о режимах работы оборудования – о тех самых «уставках» температуры, давления, частоте работы двигателей о которых я уже говорил выше. И в какой-то момент троян их меняет. Пример: допустим, аварийная уставка по температуре охлаждающей жидкости в установке равна 75°С. Нормальная температура работы – 40-45°С. Изменение значения аварийной остановки в контроллере с 75 до 40’ приведёт к тому, что контроллер будет инициировать остановку агрегата по аварии в тот момент, когда он достигает своей нормальной рабочей температуры. Или ещё хуже – уставка меняется в другую сторону, и агрегат продолжает работать после перегрева до полного самоуничтожения. При этом на экране SCADA-системы оператор продолжает видеть нормальные значения и уставки, которые троян подменяет в реальном времени. И если это, например, установка, перекачивающая газ, управляемая САУ турбоагрегатами «последнего» поколения, то изменение уставок может привести к исчезновению с карты всей  компрессорной станции вместе с  прилегающими к ней районами.

В одной из версий червя, «разобранной» специалистами компании Symantec, найден функционал управления частотно-регулируемыми приводами (ЧРП) электродвигателей, причем двух конкретных производителей, при работе на определенной частоте. По последним данным, в Иране червь уже привел к выходу из строя большого количества центрифуг, используемых для обогащения урана. В управлении ими как раз применялись ЧРП. Читатель может задать логичный вопрос: нас должно волновать, что в Иране ломаются центрифуги? Ответ прост: Stuxnet может, например, вывести из строя сверхскоростные поезда «Сапсан», которые полностью построены на системах Simatic и используют в работе большое количество тех самых «частотников»… И не только «Сапсан», а огромное количество самых разных систем…

Еще одна интересная функциональная особенность вируса – искать активное Интернет-соединение и отсылать информацию на определенные адреса. По всей видимости, именно эта особенность стала причиной заявления специалистов антивирусной лаборатории Данилова о возможном использовании трояна в качестве инструмента для промышленного шпионажа. Также червь умеет обновлять себя через Интернет, и именно этим обусловлен тот факт, что у разных аналитиков «выловленные» копии вируса сильно отличаются как по размеру (примерно от 500к до более чем 2Мб), так и по функционалу.

Зачем все эти интернет-функции, когда промышленные сети не связаны с интернетом? Хочу вас расстроить: связаны. Не все, и не постоянно, но связаны. На некоторых предприятиях связь осуществляется посредством второй сетевой карты на АРМе для дистанционного контроля и сбора статистики, на других – GSM-модемом для удаленной техподдержки или диспетчеризации. В некоторых случаях АСУ ТП и ERP-система предприятия вообще бывает «в одном флаконе»… Способов выхода во внешний мир много, и это непринципиально… главное – сам факт: многие промышленные сети связаны с сетями общего доступа на постоянной или временной основе.

Политика и ситуация «на местах»

На сегодняшний день все современные антивирусные программы успешно чистят компьютеры от червя Stuxnet. И, казалось бы, все хорошо: антивирусы лечат машины от червя, Microsoft выпустил обновления для устранения критических уязвимостей, которые использует червь для распространения, SIEMENS тоже выпустил «заплатку» для WinCC. Проблема решена? Нет… Антивирус очищает от зловреда только АРМ, то есть ту часть технологической сети, которая работает под управлением Windows. А как же контроллеры? А вот тут мы подходим к самому интересному…

Как было сказано выше, основным источником распространения червя являются внешние носители. По регламенту практически всех предприятий подключение таких носителей, тем более личных, категорически запрещено. Но кто же соблюдает регламенты… Оператор, сидящий в ночную смену, сильно скучает: на предприятии тихо, никого нет, технологический процесс идет в автоматическом режиме… а перед глазами АРМ, то есть компьютер! Хочется фильм посмотреть, в игрушку поиграть. По нашему опыту работы на объектах можно утверждать – вирусы на АРМах были, есть и будут. Компании, занимающиеся разработкой и поддержкой АСУ ТП, время от времени специально посылают своих специалистов на объекты для чистки АРМов и находят множество вирусов. И проблема эта совсем не новая… просто до недавнего времени вирусы не атаковали промконтроллеры, и присутствие их на АРМах хоть и приносило некоторые неудобства, но не представляло реальной опасности.

Как же защититься от подобных действий персонала? Если CD/DVD приводы просто не устанавливаются в машины пользователей, то USB входы всегда есть по умолчанию. Элегантное решение нашли технические специалисты одного из коммерческих банков Санкт-Петербурга – все USB порты были залиты клеем из термопистолета. Но такое решение не всегда можно использовать, т.к. может существовать необходимость использования портов USB, например, для ключей защиты программных продуктов или для переноса информации инженерно-техническим персоналом. К тому же через USB зачастую работают средства пользовательского интерфейса и принтеры, так что физическое уничтожение портов не совсем уместно, вот почему не рекомендуется прибегать к таким радикальным мерам. Единственный способ уберечь системы от заражений, и не только Stuxnetом, но и другой заразой – это соблюдение персоналом регламентов предприятия и элементарных правил информационной безопасности. К сожалению, этому аспекту уделяют мало внимания, а зачастую и вовсе забывают об этом. По личному опыту знаю – персонал на большинстве объектов даже не задумывается о том, к каким последствиям может привести установленная на АРМе компьютерная игра, или принесенный с собой GSM-модем для «серфинга» с АРМа по сети Интернет. Среди персонала также часто наблюдается отсутствие элементарной компьютерной грамотности. Начальство же либо не знает о происходящем, либо закрывает на это глаза, хотя не должно ни в коем случае. Персонал, непосредственно работающий с АРМами и другими частями современной АСУ ТП, должен проходить соответствующее обучение и инструктаж, в том числе и по проблемам информационной безопасности, но этого, к сожалению, не происходит.
Именно этим объясняется то, что Stuxnet присутствует на большом количестве объектов и систем, но факт такого присутствия тщательно скрывается персоналом и руководителями «на местах». Нам известны факты такого сокрытия, когда руководство крупной компании после появления Stuxnet разослало по всем своим объектам инструкции и ПО для выявления и лечения вируса. И вирус действительно нашли на многих объектах, но НИКТО ЕГО НЕ ЛЕЧИТ! Причина: для успешной очистки системы от вируса необходима перезагрузка системы (систем), то есть остановка технологического процесса. Также настоятельно рекомендуется присутствие специалистов для выявления и возможного исправления изменений в контроллерах. Остановить установку, цех или все предприятие – дело непростое: это ЧП, которое нужно чем-то обосновывать. А обосновывать наличием вредоносного ПО нельзя, ведь именно руководители на местах отвечают за выполнение регламента и инструкций. Если червь попал в систему, значит инструкции не выполнялись, и у руководителя будут неприятности. А неприятностей никто не хочет… Объекты так и живут со Stuxnetом, и не только с ним, а мы все сидим на этой «пороховой бочке». Именно на «пороховой бочке», потому что никто не может гарантировать, что пока что «спящий» троян в какой-то момент не атакует любой из этих объектов или не появится новый экземпляр. По нашим данным, кроме ядерной программы Ирана Stuxnet уже успел навредить некоторым промышленным предприятиям в Китае и разным объектам других странах, и системы эти не имели отношения к ядерным программам.

Лечение

Как написано выше, Stuxnet успешно выявляется и лечится всеми современными антивирусными средствами. И, тем не менее, существуют свои тонкости: после очистки систем от червя необходимо проверить, чтобы программы и уставки в контроллерах соответствовали актуальным значениям, необходимым для нормальной работы АСУ. При необходимости программы должны быть откорректированы. В этом могут помочь специалисты отделов контрольно-измерительных приборов и автоматики КИПиА или производители АСУ ТП. Мы в Digital Security также можем в этом помочь. При лечении систем на базе Windows CE/Embedded ни в коем случае нельзя устанавливать антивирусное ПО непосредственно на компьютер с этой версией Windows. Систему необходимо остановить, через специальный адаптер подключить носитель к другому компьютеру с установленным антивирусным ПО и очистить. С официальными инструкциями по удалению червя Stuxnet можно ознакомиться на сайте Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view. Там же можно скачать и специальную утилиту для удаления Stuxnet, патч для WinCC и патч от Microsoft, которые необходимо установить, чтобы избежать повторного заражения. Если у вас возникнут вопросы – обратитесь за помощью к специалистам по информационной безопасности. Уместно будет заметить, что главный «виновник торжества» - фирма SIEMENS со своим «дырявым» ПО и замечательными рекомендациями о «недопустимости смены паролей» (интересно, зачем в таком случае нужно было тратить время на создание функции запроса паролей) очень немногословна в своих заявлениях. Компания утверждает, что по ее сведениям червь обнаружен всего чуть больше, чем у двух десятков ее клиентов, и случаев нарушения технологического процесса не наблюдалось. Здесь необходимо дать некоторые уточнения:

  1. Говоря о количестве заражений, компания имеет в виду своих прямых клиентов, то есть объекты, которые «строил» непосредственно сам SIEMENS без посредников. Таких объектов действительно не так много, и речь идет о крупнейших объектах в мировом масштабе. По неофициальным данным Stuxnet заразил миллионы компьютеров, и десятки тысяч объектов по всему миру, и по данным антивирусного мониторинга продолжает заражение со скоростью в десятки тысяч машин в сутки.
  2. Далеко не на всех предприятиях проведены проверки, и на многих объектах Stuxnet есть, но об этом никто не знает.
  3. Ну и самое страшное: на многих объектах червь есть, об этом знают, но ничего не делают с этим. О причинах такого поведения, которое кроме как преступным не назвать, было написано выше.

Рекомендации

  1. Проверить на наличие Stuxnet и другого вредоносного ПО все промышленные системы. Господа руководители крупных компаний, простой директивы «на места» не достаточно – никто ничего не сделает! Необходимо либо отправить на объекты своих людей для принудительного выявления и лечения, либо обратиться за помощью к сторонним независимым специалистам .
  2. Провести обновление ОС на АРМах последними доступными обновлениями и патчами.
  3. На АРМы, которые по каким-либо причинам связаны с сетями общего пользования, необходимо установить антивирусное ПО и следить за его обновлениями.
  4. Обеспечить систему резервными копиями ПО в начальном его состоянии для обеспечения возможности восстановления в случае повреждения вирусами или другими факторами.
  5. Провести программу обучения персонала по проблемам информационной безопасности.
  6. Проводить регулярный аудит систем АСУ ТП квалифицированными специалистами на соответствие  требованиям безопасности. Такой аудит должен включать в себя минимум проверку сегментации сети, процедуры обновления, процесс контроля, осведомленность операторов АРМ и многое другое. 

При подготовке использованы материалы компаний: ESET, SYMANTEC, Антивирусная лаборатория Касперского, Антивирусная лаборатория Данилова, Siemens, а также личный опыт автора, полученный при работе инженером–пусконаладчиком АСУ ТП.
Автор выражает особую благодарность инженерно-техническому персоналу Научно-производственной компании «ЛЕНПРОМАВТОМАТИКА» за помощь в подготовке статьи.

Об авторе

Павел Волобуев родился и вырос в Санкт-Петербурге. В течение 15 лет жил и работал в сфере IT за границей. Его клиентами были крупные компании промышленного, финансового, гостиничного, государственного и образовательного сектора, такие как Intercontinental Hotels, Marriott Hotels, MaltezosSolarSystems, City University, Национальная метеорологическая служба Греции, Министерство обороны и командование ВВС Греции, Афинский Международный Аэропорт и многие другие. После возвращения в Россию работал в должности инженера в НПК «Ленпромавтоматика», участвовал во внедрении и пуско-наладке систем автоматизированного управления технологическими процессами на ответственных объектах. С 2010 года пополнил коллектив Digital Security,являясь ведущим специалистом по информационной безопасности технологических систем.

или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  6  
Да зачем вам моё имя?
07-12-2010 19:37:31
Раздел "политика и ситуация «на местах»" прямо как с нашего предприятия списано. Всё так. За исключением двух моментов. Некоторые производители АРМов снимают гарантию при установке патчей на винду. И все современные антивири требуют иногда перегружать систему после обнов. Поэтому не обновляют и, соответственно "все современные антивирусные программы успешно чистят компьютеры от червя Stuxnet" это не совсем верно. Siemens не рекомендует менять стандартные пароли на своих системах, так как «это может повлиять на работоспособность системы»Сталина на них нет. Колыма по ним плачет.
0 |
23-05-2011 23:16:42
У меня например стоит антивирусный сканер DrWEB, портабельный c обновлениями по инету.Почему нельзя такой сканер установить и на АРМ ?
0 |
Алексей
08-12-2010 00:00:37
Наконец то кто-то популярно объяснил что происходит с этим червем! Огромное спасибо автору! Побольше таких статей!
0 |
ваше имя
08-12-2010 04:18:11
Единственный способ уберечь системы от заражений, и не только Stuxnetом, но и другой заразой – это соблюдение персоналом регламентов предприятия и элементарных правил информационной безопасности. а что должен был сделать сотрудник? отключить автозапуск ? Он его отключил. Но ведь там 0day и выключенный автозапуск не спасёт. проверить флэшку антивирусом? Проверил - но ведь вируса то нету в базах.
0 |
Имя ))
08-12-2010 07:54:40
Что делать? Не тыкать флэшку куда не надо!
0 |
Asimut
08-12-2010 10:49:16
На самом деле есть элементарная система защиты от подобной заразы - большинство современных файерволлов (я рекомендую ZoneAlarm) имеют функцию контроля компонентов. В случае обнаружения подобной заразы тот же ZoneAlarm оповестит о попытке explorer.exe установить драйвер, осуществить запись в реестр и т.п. Ну а кто ж ему разрешит... другое дело, что почему-то говноантивирусники на промышленные компьютеры довольно часто ставят, а вот такие полезные вещи ставят крайне редко. Впрочем, уже многие нормальные антивирусы имеют встроенный контроль компонентов. Ну а если стоит ломаный Касперский 4... ну тогда любой вирус будет угрозой. Насчет лечения... специально для этих целей держу флешку с avz с аппаратным переключателем записи. В 90% случаев даже такие хитрожопые вирусы успешно чистятся с самой зараженной системы - благо avz неплохо обнаруживает всякие драйверы-перехватчики и нейтрализует их, восстанавливая перехваченные функции.
0 |
Ujcnm
08-12-2010 12:53:41
Должен Вас огорчить. Существуют заразы, которые программы типа ZA легко и непринужденно обходят.
0 |
10-12-2010 08:27:09
Большинство SCADA несовместимы с файерволлами. Официально.
0 |
123456
17-12-2010 11:24:39
А сименс не признаёт ничего кроме трендмикро. Официально.
0 |
wlad
20-05-2011 15:13:27
не врите. есть официально разрешенные. Symantec AntiVirus Corporate Edition ● McAfee VirusScan Enterprise ● Trend Micro OfficeScan Corporate Edition
0 |
wlad
20-05-2011 15:15:17
учите матчасть. есть утилита - Simatic security control, которая устанавливаят исключения для файервола. Читайте книги.
0 |
Ujcnm
08-12-2010 12:50:26
"Игрунов" м "серферов" на технологических компьютерах надо увольнять с соответствующей записью в трудовой, чтобы никуда, кроме, как мойщиком общественных сортиров они не могли устроится работать. По хорошему - сажать, но, к сожалению, не реально.
0 |
23-01-2015 17:58:09
Чертовски согласен. За свою трудовую жизнь видел сотни дебилов, любителей поиграть в быдлоигры на своих рабочих компьютерах, втыкающих свои заражённые флешки с порнухой в машины, вообще не относящиеся даже к их рабочему месту (система охраны и видеонаблюдения, к примеру). Причём все эти работники ну просто откровенное дубьё. Так что тут только запаивать внешние порты usb, держать железо в хорошем корпусе на замке с ключом, и обслуживающему персоналу использовать внутренние порты. Хотя, тот же персонал может на своих флешках принести заразу, потому что там дебилов тоже хоть лопатой греби.
0 |
58786
08-12-2010 10:40:40
>>первым вирусом, способным портить не только данные и программный код, но и вполне реальные машины и установки. Вирусы, портящие оборудование были и раньше, просто история сделала очередной виток и про них успели даже начать забывать. А ведь была вирусня, протирающая нулевую дорожку на дискетах постоянным чтением, портящая мониторы, фокусируя все лучи в одной точке, убивающие проц или мать, отключая вентилятор... Другое дело, что Stuxnet нацелен на довольно специфическое промышленное оборудование, чего действительно до сих пор еще не было.
0 |
YA
10-12-2010 00:56:45
> А ведь была вирусня, протирающая нулевую дорожку на > дискетах постоянным чтением, портящая мониторы, > фокусируя все лучи в одной точке, убивающие проц > или мать, отключая вентилятор... Господи! Как же живучи мифы! :P
0 |
WIN95.CIH
14-12-2010 21:38:44
####################################################### #aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa #bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb #cccccccccccccccccccccccccccccccccccccccccccccccccccccc ПЖ жив! Я счастлив!
0 |
evkogan
08-12-2010 12:59:00
Вообще статья какого-то пионера и для пионеров. Мало того, что в 90гг вирусов нацеленных на железо было не много, но они были. Но ведь в статье толком ничего не описано, где ссылки на описание конкретных уязвимостей. Кроме отбражения ярлыков на флешках информации ноль. Как он заражает ПК по сети не ясно, и достаточно ли для предохранения не иметь расшареных принтеров, что в технологической сети должно быть заблокировано, тоже не ясно. Мало того. Даже рекомендации так себе. Первое технологическая сеть не должна быть напрямую связана с внешним миром И шар никаких там быть не долно. Во вторых заблокировать USB порты можно даже средствами Винды, хотя полно спец. утилит. В третьих и главных проблема не в недостатке технологий защиты и даже не в неумении ими пользоваться специалистами IT. Проблема в том что суровые АСУТПшники выросли совсем в другом окружении. Они не думают о безопасности, они как и все производственники думают о том, чтобы работало. И на попытки ITшников, что-то сказать, говорят, а иначе тех процесс встанет и все. И такое отношение от руководства и до конечных исполнителей. Бардак как известно в головах. Ну вот ружье и выстрелило. Только сомневаюсь, что в России ситуация изменится кардинально. У нас как известно, чтоб мужик перекрестился, надо чтоб гром прямо над ним грянул, а не где-то там в Иране. А так по сути да ничего страшного в этом вирусе нет. Если грамотно подходить к построению технологической сети.
0 |
Александр sh2kerr Поляков
08-12-2010 13:39:49
Описание конкретных уязвимостей навалом в интернете, видимо гугл вас забанил ) к примеру хотябы это. http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf. Статья для пионеров и ничего в этом зазорного нет, к сожалению многие так и не в курсе данной проблемы и была попытка расписать это ПОНЯТНЫМ ЯЗЫКОМ для не просвещённых. Те кто хочет конкретики, пожалуйста можете прочитать отчёт ESET или могли съездить на конференцию Confidence, они рассказывали о всех используемых 0-day в том числе и в Task Scheduler.
0 |
09-12-2010 13:19:33
+1 полностью согласен. Автору зачет, просто и лаконично.
0 |
wlad
20-05-2011 15:17:50
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf читайте про червячка. очень интересно.
0 |
Гость
09-12-2010 16:07:53
Да нет, автор как раз таки правильно описал ситуацию. Все именно так как он описал и происходит на среднестатистическом предприятии. Правила есть, но они не соблюдаются, обучение тоже есть, но как правило это формальность. Если на предприятии есть специалист по ИБ, то и рекомендации по защите от Stuxnet разработаны, но в большинстве случаев они не внедрены... А причины.. их описал автор выше. Спасибо за статью! Прямо и честно показал то что обычно остается за гранью статей по информационной безопасности, но является одной из самых больших уязвимостей ИС.
0 |
10-12-2010 08:30:48
суровые АСУТПшники выросли совсем в другом окружении. Они не думают о безопасностиПозвольте с вами не согласиться. Если вам попадались не думающие о безопасности дилетанты - значит, вам просто не повезло.
0 |
АСУТПшник
10-12-2010 12:18:37
Понимание "безопасности" у "АСУТП-шников" и "IT-шников" действительно несколько отличается. Безопасность в АСУТП - это прежде всего безопасность технологического процесса, поскольку эти самые процессы запросто могут быть связаны с высокими температурами, давлениями, возможными разливами всяких невкусных жидкостей и т.п. В итоге разработчик внимательно относится к прикладному ПО, к блокировке доступа к настройкам системы для неподготовленного персонала и т.п., но не к антивирусной защите и другим "IT-шным" вещам. До сих пор вариант червя, портящего технологическое оборудование, казался сценарием для низкопробной фантастики по следующим причинам: 1. как правильно пишет автор, обычно технологическая сеть не связана с "офисной" локалкой, а тем более с Интернетом. Но последнее время все чаще это не так. Тем более, флэшки стали массово распространенным устройством, а гарантии от того, что скучающий на смене оператор не захочет принести новый пасьянс или фотки с последней рыбалки, не даст никто. 2. компьютер связан с технологическим процессом не через системное ПО (операционную систему), но через прикладную программу. Средств разработки прикладного ПО - море, и пока на этом рынке было много игроков, не было смысла делать вирус под конкретного производителя. Но последнее время (укрупнение и глобализация экономики!) большие фирмы захватывают всё, вытесняя тех, кто поменьше. Siemens становится Microsoft'ом в области АСУТП. Почему бы не сделать вирус под Siemens? 3. контроллеры, как правило, имеют слишком специфическую среду исполнения и довольно хилые вычислительные ресурсы, чтобы там могли жить какие-то вирусы. Но авторы stuxnet'а нашли изящное решение: не надо поселяться в ПЛК, достаточно воздействовать на него из SCADA, как будто сошедший с ума оператор начал сознательно ломать установку! Автор прав, утверждая, что над червем работал коллектив, явно знакомый с промышленной спецификой. В общем, ситуация изменилась. "Добро пожаловать в реальным мир, Нео!"
0 |
Страницы: 1  2  3  4  5  6