Советы бывалого релейщика

Форум посвящен вопросам релейной защиты и автоматики. Обмену опытом эксплуатации РЗА. Общению релейщиков ЕЭС России.



Советы бывалого релейщика » Червь для SCADA-систем

« Предыдущая   Следующая »
Червь для SCADA-систем
Автор
Сообщения
Модераторы форумов
grsl +98
 
Сообщения: 4564
Регистрация: 04.03.2008
Откуда: http://rzia.ru/
falcon>З.Ы. У нас по сегодняшнему-то положению по безопасности, если разобраться, юзер имеет право 1) включить комп; 2) выключить комп. На этом список прав юзера исчерпан.


А наладчика АСУ ????

http://rzia.ru/
22.07.2010 16:47
Цитировать
 
Dmitriy +28
 
Сообщения: 1061
Регистрация: 20.06.2007
Откуда: Berlin
Yuran>Любая система АСУ должна быть на физическом уровне изолирована от внешнего мира, должны быть аппаратно выключены USB-порты. Хотя у нас как всегда пока гром не грянет...

Юра, я не эксперт в АСУ это был пример.
USB порты могут быть выключены, я говорил о заражении самой системы, изначально.

Или прошивки конкретного терминала.
Почем знаете, что не залили в 20 аппаратов скрытый алгоритм который при наступлении определенного события не отключит все?
Например при установке нового девайса сам не зная того скачал скрытую утилитку которая мне в дигси сделала добавочку и при параметрировании терминала заливает туда какой нить CFC планчик с пометкой отключить все в "день энергетика через 3 года".
И с этой прогой объехал я за 3 года 150 подстанций.

http://3d-projektierung.de - Home Page
22.07.2010 17:00
Цитировать
 
Sergei +55
 
Сообщения: 1509
Регистрация: 20.07.2007
будем реалистами:
какой бы совершенной не была система безопасности, однажды она будет нарушена: по умыслу, по глупости или по недопониманию - благодаря современным сетевым технологиям (особенно АСУ ТП) заражение неизбежно распространится на всю систему (на шлюзы и т.п. надеяться нельзя - см. ниже)
заражение системы может (и наверняка) произойдет до введения в работу системы безопасности - на этапах наладки или обновления, и...
обнаружить это невозможно, потому что:
1. не существует ни одной анти-вирусной программы, способной гарантировать обнаружение всех вирусов. Даже на уровне домашних пользователей рекомендуется использовать не менее 3-4 анти-вирусных программ одновременно, что бы говорить о 99% достоверности обнаружения! Но здесь и это не поможет, потому что:
2. антивирусы рассчитаны на ОБЫЧНЫЕ компьютерные системы (Интел) и их программное обеспечение. В спец.системах таких как (АСУ ТП) они не шарят.
Реально это значит, что любой обиженный Вами IT-спец, осуществляющий поддержку АСУ ТП, за вечер-два дома может состряпать вирус, и система не поднимется ОЧЕНЬ долго...

а если уж совсем реально, то:
вас развели на АСУ ТП,
потом развели на 61850 и оптику (сделали АСУ ТП максимально уязвимой),
а теперь будут разводить на спец. софт/оборудование защищающие все это - и мало не покажется!

ЗЫ. я еще не сказал, что любая новая железка, устанавливаемая в работающую систему, может ее умертвить без проблем

ЗЫЗЫ. Вы еще не успели на межстанционный 61850 перейти?
22.07.2010 17:09
Цитировать
 
Ugrumy +30
 
Сообщения: 696
Регистрация: 31.05.2007
Так и хочется по стариковски прокряхтеть:" А я предупреждал"

Моя версия выглядит так: "производитель" оставил для себя лазейку в системе, с умыслом или в результате ошибки.Я склоняюсь к первому. Так вот, дальше уже человеческий фактор. Ибо сказано в писании - "..если в углу выкрутить лампочку, то там будет нагажено"

Никогда не бывает так плохо, чтоб не могло быть еще хуже. (С)
27.09.2010 14:53
Цитировать
 
Ugrumy +30
 
Сообщения: 696
Регистрация: 31.05.2007
Sergei>ЗЫЗЫ. Вы еще не успели на межстанционный 61850 перейти?
--------------------------------------------------------------------------------------
Этого пока нет, а вот ЭТЛьки на каждой ПС стоят. И при желании дел натворить могут.

Никогда не бывает так плохо, чтоб не могло быть еще хуже. (С)
27.09.2010 14:55
Цитировать
 
scorp +29
 
Сообщения: 1507
Регистрация: 06.04.2007
Откуда: заМКАДье
Sergei>будем реалистами:
Sergei>какой бы совершенной не была система безопасности, однажды она будет нарушена: по умыслу, по глупости или по недопониманию - благодаря современным сетевым технологиям (особенно АСУ ТП) заражение неизбежно распространится на всю систему (на шлюзы и т.п. надеяться нельзя - см. ниже)
Аварийные осциллограммы автоматом пока не передаются,а диспетчера разных уровней требуют осциллограмму,им видишь ли недостаточно что ОП может сообщить по телефону аварийные параметры.Вот тут и втыкается в комп АРМ пресловутая флешка,якобы специально предназначенная для этих целей и грозным приказом форматировать ее перед каждым втыканием,ну а затем флешка эта втыкается в комп имеющий выход в инет.В общем,скорее по глупости это случится.
27.09.2010 16:17
Цитировать
 
Sergei +55
 
Сообщения: 1509
Регистрация: 20.07.2007
эх, не о том вы думаете...
вот когда эта зараза в комплексы ПА пролезет, вот тогда точно никому мало не покажется... их поди сейчас тоже не на БЭСМ делают... а на тех же промкомпьютерах...
27.09.2010 17:22
Цитировать
 
LIK +52
 
Сообщения: 1897
Регистрация: 22.08.2008
Откуда: Киев
Две похожие темы сегодня. Эта и …в смысле, а не вернуться ли нам к электромеханике из-за компьютерных виру сов.
Я сей час в основном рисую. Могу рисовать и ЭМ. Только, думаю, другие с этим не согласятся.
И еще. Вирус – это дополнительный аргумент, чтьобы не путать АСУ с каналами связи, по которым идут сигналы алгоритмов РЗА.
Скажут, вирус можно занести и в РЗА через те каналы. А может, и не скажут. Я не знаю, не спец. Но если даже и можно, то рамного сложнее, чем из общей сети АСУ (это даже я могу сказать).
27.09.2010 17:40
Цитировать
 
scorp +29
 
Сообщения: 1507
Регистрация: 06.04.2007
Откуда: заМКАДье
Sergei>эх, не о том вы думаете...
Sergei>вот когда эта зараза в комплексы ПА пролезет, вот тогда точно никому мало не покажется... их поди сейчас тоже не на БЭСМ делают... а на тех же промкомпьютерах...
Я описал вероятный способ проникновения заразы.А так как,по всей видимости,это творение не одного человека,а целого коллектива, знакомого с SCADA системами, проникнуть может куда угодно
27.09.2010 17:41
Цитировать
 
Sergei +55
 
Сообщения: 1509
Регистрация: 20.07.2007
у них нет ЦПА систем... этот эффект для кого-то будет бонусом...

ЗЫ.
а вообще скорее всего:
кто-то спер результаты/материалы исследований группы обнаружения уязвимостей пром-систем
американские дела - одним махом завалить иранцев и конкурента подрезать (страннА ориентация на одного производителя, войны америка-европа никто не отменял)
27.09.2010 17:46
Цитировать
 
Ответить « Предыдущая   Следующая »

Переход:      
 
 
Powered by communityHost.ru v3.2