Иран безуспешно борется с червем

[DK]

DK,
так у вас претензии конкретно к числу 19790509?
Какая разница, хоть двоичный, хоть 16-ричный, интерпретировать можно как десятичное число все что угодно, почему бы и нет. Смысла в такой интерпретации особо не вижу. Но и смысла волноваться тоже нет. Зато смысл есть в том, что Израиль представляется могущественной державой, которая доберется до своих врагов любыми способами.

Ответ на отредактированный вариант.
Интерпретировать можно что угодно и как угодно, но смысл менять нельзя. И если там написана команда ADD, то глубокомысленные интерпретации нулей не помогут (Команда ADD для работы с некоторыми регистрами кодируется как ноль в системе команд х86).

[Levy]

DK, я, среди прочих, не имею удовольствия знать, насколько компетентен собеседник, постящий ролики о контактах с пришельцами.
Приходится доверять людям, компетентность которых подтверждена другими. Например, http://www.langner.com/en/index.htm

Не доверяйте. То, что эта мадам показывает, называя "письмом пришельцев" - стандартные графические символы, которые есть в любой мало-мальски серьёзной системе.

[fish]

Levy, серьезные системы тут ни при чем, эти символы были еще в таблицах ascii, за сто лет до изобретения юникода, и использовались в том числе на первых PC под дос, без виндов и без жесткого диска. Ими рисовали таблички. То есть, это совершенно стандартные символы, необходимые так же, как и символы 1-0 или a-Z.
Я тоже не считаю нынешнюю журналистскую интерпретацию разумной, но пусть интерпретируют. Нам только лучше.

А по ссылке http://www.langner.com/en/index.htm нормальный сайт, они-то тут причем? Они про скарабеев с инопланетями ничего не пишут и только поинтересовались, участвует ли Израиль в конференции по поводу всего этого шума. А мне и самой интересно - участвуем мы или нет.

"Stuxnet manipulates a fast running process. Based on process conditions, the original code that controls this fast running process will no longer be executed. (Some people will now want to have their process engineers explain what the DEADF could mean.) After the original code is no longer executed, we can expect that something will blow up soon. Something big".

we can expect - вполне корректно, не так ли, никаких высших сил и проч? Почему бы и не передать код DEADF, в конце концов какой хочу, такой и передаю. Хоть DEAD, хоть BABA.

[DK]

На видео символы со второй страницы расширенного кода ASCII со стандартной кодовой страницы. В русской кодовой странице в этом самом месте находятся русские буквы. Дама случайно, видно, установила в параметрах принтера фонты на базе стандартной кодовой страницы ASCII.

Вот было бы интересно, если бы она поставила кодировку EBCDIC . Пришельцы заговорили бы матом

[alexsmail]

Stuxnet podcast (Russian) http://alexsmail.blogspot.com/2010/10/s ... ssian.html
Stuxnet - more technical details (English) http://alexsmail.blogspot.com/2010/10/s ... glish.html

[digger]

Комментарий.Высокоуровневый ворм - модульная программа,как и большинство других.Существует хакерское сообщество,где бесплатно и за плату передаются примочки.0-Day ,распространение через носители и криптор скорее всего автор не писал.Все это делается за день после недели изучения теории.Что может быть уникально,это заражение избранных компьютеров и пэйлоад.Что он меняет скорость вращения турбины - этой шутке 20 лет.Вирус перехватывеат мышу и ейным шнуром душит юзера.Разрушить весь софт вирусу в статусе админа - элементарно.Но компьютеры управления производством и близко не должны быть в Интернете,и иметь выдранные с мясом устройства внешних носителей,тем более не иметь autorun enabled,все через прожигаемый CD.Но персы все могут.С другой стороны,распознать иврит как дифолтный язык - 10 байт кода,а разгильдяйсто израильтян не меньше,поэтому это вряд ли кибервойна.

[bhairava]

Смутно себе представляю комп, управляющий атомной станцией, под Windows.

[digger]

Windows даже 95 стабилен, если на нем установлен стабильный не изменяемый софт.Они работают десятилетиями без остановки.Система существенно однозадачная.Количество тактов на операцию должно быть предсказуемо и все команды операции обрабатываются в кооперативном режиме,так как пропуск обработки сигнала недопустим.Устойчивость ОС нерелевантна для этих приложений.Устойчивость ОС - это его работоспособность, когда аппликация ведет себя плохо.А если аппликация сдохла, что толку от живой ОС, если техпроцесс умер?

[bhairava]

Не, Windows не подпустят к управлению АЭС, разве что на компе у секретарши найдется.
Я бы предположил, что это диверсия против Siemens скорее, чем против Ирана. Так сказать, особенности конкурентной борьбы.
А иранцы пользуются ситуацией в своих целят - "кругом враги против нас".

[alexsmail]

Комментарий.Высокоуровневый ворм - модульная программа,как и большинство других.Существует хакерское сообщество,где бесплатно и за плату передаются примочки.0-Day ,распространение через носители и криптор скорее всего автор не писал.Все это делается за день после недели изучения теории.Что может быть уникально,это заражение избранных компьютеров и пэйлоад.Что он меняет скорость вращения турбины - этой шутке 20 лет.Вирус перехватывеат мышу и ейным шнуром душит юзера.Разрушить весь софт вирусу в статусе админа - элементарно.Но компьютеры управления производством и близко не должны быть в Интернете,и иметь выдранные с мясом устройства внешних носителей,тем более не иметь autorun enabled,все через прожигаемый CD.Но персы все могут.С другой стороны,распознать иврит как дифолтный язык - 10 байт кода,а разгильдяйсто израильтян не меньше,поэтому это вряд ли кибервойна.

Да что вы говорите?

Attackers would need to setup a mirrored environment that would include the necessary ICS hardware, such as PLCs, modules, and peripherals in order to test their code. The full cycle may have taken six months and five to ten core developers not counting numerous other individuals, such as quality assurance and management.
In addition their malicious binaries contained driver files that needed to be digitally signed to avoid suspicion. The attackers compromised two digital certificates to achieve this task. The attackers would have needed to obtain the digital certificates from someone who may have physically entered the premises of the two companies and stole them, as the two companies are in close physical proximity.

http://www.symantec.com/content/en/us/e ... ossier.pdf p.3

Полуавтоматически перевод:
Нападавшие должны были установить зеракльное отображение окружения, которое будет включать необходимые аппаратные средства ICS, такие как PLCs, модули, и периферия, чтобы проверить свой код. Полный цикл, возможно, занял шесть месяцев и пять - десять основных разработчиков, не подсчитывающих многочисленных других людей, таких как гарантия качества и управление.
Кроме того, их злонамеренные бинаники содержали драйвера, которые должны были быть в цифровой форме подписаны, чтобы избежать подозрения. Нападавшие ипользовали два цифровых свидетельства, чтобы достигнуть этой задачи. Нападавшие должны были бы получить цифровые свидетельства от кого-то, кто, возможно, физически вошел в помещение этих двух компаний и украл их, как эти две компании находятся в близкой физической близости.

[alexsmail]

Не, Windows не подпустят к управлению АЭС, разве что на компе у секретарши найдется.
Я бы предположил, что это диверсия против Siemens скорее, чем против Ирана. Так сказать, особенности конкурентной борьбы.
А иранцы пользуются ситуацией в своих целят - "кругом враги против нас".

Ещё раз, Step 7 бежит только под Windows.

[bhairava]

и что с того?

[alexsmail]

Не, Windows не подпустят к управлению АЭС, разве что на компе у секретарши найдется.

[digger]

Тогда снимаю шляпу, но все равно бесполезно.Откуда они знают конкретную архитектуру поражаемого компьютера, что чем управляет? Проще открыть вирусом бэкдор,посмотреть и убить все руками.Вирус не сможет нанести больше вреда,чем отформатировав диск и подвесив систему.

[alexsmail]

Откуда они знают конкретную архитектуру поражаемого компьютера, что чем управляет?

First, the attackers needed to conduct reconnaissance. As each PLC is configured in a unique manner, the attackers
would first need the ICS’s schematics. These design documents may have been stolen by an insider or even retrieved by an early version of Stuxnet or other malicious binary. Once attackers had the design documents and potential knowledge of the computing environment in the facility, they would develop the latest version of Stuxnet.

http://www.symantec.com/content/en/us/e ... ossier.pdf p.3

Полуавтоматический перевод:
Во-первых, нападавшие должны были провести разведку. Поскольку каждый PLC формируется в уникальной манере, нападавших
сначала нуждался бы в schematics ICS. Эти документы дизайна, возможно, были украдены посвященным лицом или даже восстановлены ранней версией Stuxnet или другой злонамеренной программы . Как только у нападавших были документы дизайна и потенциальное знание вычислительной окружающей среды в устновке, они создадут последнюю версию Stuxnet.

[alexsmail]

В долонку, цитата с четвёртой страницы того же документа, выделенно мной:

Timeline
Table 1
W32.Stuxnet Timeline
Date
Event
November 20, 2008
Trojan.Zlob variant found to be using the LNK vulnerability only later identified in Stuxnet.
April, 2009
Security magazine Hakin9 releases details of a remote code execution vulnerability in the Printer Spooler service. Later identified as MS10-061.
June, 2009
Earliest Stuxnet sample seen. Does not exploit MS10-046. Does not have signed driver files.
January 25, 2010
Stuxnet driver signed with a valid certificate belonging to Realtek Semiconductor Corps.
March, 2010
First Stuxnet variant to exploit MS10-046.
June 17, 2010
Virusblokada reports W32.Stuxnet (named RootkitTmphider). Reports that it’s using a vulnerability in the processing of shortcuts/.lnk files in order to propagate (later identified as MS10-046).
July 13, 2010
Symantec adds detection as W32.Temphid (previously detected as Trojan Horse).
July 16, 2010
Microsoft issues Security Advisory for “Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)” that covers the vulnerability in processing shortcuts/.lnk files.
Verisign revokes Realtek Semiconductor Corps certificate.
July 17, 2010
Eset identifies a new Stuxnet driver, this time signed with a certificate from JMicron Technology Corp.
July 19, 2010
Siemens report that they are investigating reports of malware infecting Siemens WinCC SCADA systems.
Symantec renames detection to W32.Stuxnet.
July 20, 2010
Symantec monitors the Stuxnet Command and Control traffic.
July 22, 2010
Verisign revokes the JMicron Technology Corps certificate.
August 2, 2010
Microsoft issues MS10-046, which patches the Windows Shell shortcut vulnerability.
August 6, 2010
Symantec reports how Stuxnet can inject and hide code on a PLC affecting industrial control systems.
September 14, 2010
Microsoft releases MS10-061 to patch the Printer Spooler Vulnerability identified by Symantec in August.
Microsoft report two other privilege escalation vulnerabilities identified by Symantec in August.
September 30, 2010
Symantec presents at Virus Bulletin and releases comprehensive analysis of Stuxnet.

[bhairava]

Хорошо, я преувеличил.
Сервера WinCC, насколько мне понятно, не управляют непосредственно технологическим процессом, и даже если все их убить, ничего особенного вне рамок предусмотренного поведения системы не произойдет.

Максимум, система запустит этап остановки станции. В штатном режиме, очевидно.

[bhairava]

А что, Сименс таки поставила свое оборудование в Бушер?
От чего она, кстати, отказывается.

Все предположенияя очень притянутые. А из них делается катострофический вывод.

Кто-то зачем-то распространяет страшилки "21 века".

[alexsmail]

502 Bad Gateway

[alexsmail]

А что, Сименс таки поставила свое оборудование в Бушер?

ИМХО, основной удар был по Натанзу... Насчёт Бушера, его Сименс начинал строить.

27 января 2010 г...Руководство крупнейшего немецкого инженерного концерна Sienens объявило вчера в ходе собрания акционеров о прекращении сотрудничества с Исламской республикой Иран.

...Напомним, что многие европейские, и в том числе – немецкие, компании продолжают поставлять Ирану технологии двойного назначения в обход санкций, действуя через третьи страны, такие, как Россия или бывшие республики СССР. Так, концерн Siemens несколько месяцев назад оказался в центре скандала, когда выяснилось, что он поставляет в Иран турбокомпрессоры двойного назначения, действуя через шведскую и китайскую дочерние компании.

Летом прошлого года руководству Siemens пришлось оправдываться, когда выяснилось, что концерн вместе с корпорацией Nokia поставил Ирану технологии для блокирования интернета и мобильной связи, активно применявшуюся иранскими властями во время подавления беспорядков, вспыхнувших после проведения президентских выборов.

http://txt.newsru.co.il/mideast/27jan20 ... ns302.html