Ай-да новости: об атомных станциях и кибервоенщине.

Previous Entry Поделиться Next Entry
8 октября, 2015
e_kaspersky
В этот раз выпуск по следам наших давних публикаций.

Первое.

nuclear_stationКДПВ – атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью

Мы уже много лет на всех углах звоним в колокола о проблемах кибербезопасности промышленности и инфраструктуры. И эта проблема всё чаще оказывается в центре внимания госорганов, исследовательских институтов, СМИ и широкой публики. Но, к большому сожалению, пока мы не наблюдаем заметных положительных подвижек в этой сфере.

На этой неделе вышел отчет британского исследовательского центра Chatham House, в котором говорится, что риски кибератак на атомные электростанции растут по всему миру. Отчет длинный, основан на интервью с экспертами. Звучит, как ознакомление с содержанием эротического фильма по рассказу смотревшего его. Но что делать, отрасль-то секретная.

От  выводов исследования волосы понимающего человека начинают отчетливо шевелиться:

  1. Никакой «физической изоляции» компьютерных сетей атомных станций не существует, это миф (тут замечу, что речь идет только о тех станциях, с которыми знакомы опрошенные международные эксперты; в любом случае, никакой конкретики). Британцы пишут, что на АЭС часто существуют соединения через VPN, часто их делают подрядчики, часто они в принципе не документированы, иногда просто забыты, но вполне себе живы и готовы к использованию.

  2. Большое количество такого рода подключенных систем без проблем находятся в интернете через поисковики вроде Shodan.

  3. Если изоляция существует, то она преодолевается с помощью флэшек (привет, Stuxnet!)

  4. Атомная энергетическая отрасль по всему миру мало участвует в обмене информации о кибер-инцидентах, и в результате, мало учится у более продвинутых в этой сфере отраслей.

  5. При этом повсеместно по экономическим соображениям увеличивается использование массового коммерческого (уязвимого) софта.

  6. Множество промышленных систем управления изначально небезопасно спроектированы, и патчить их, без ущерба для производственных процессов, очень трудно

  7. И много-много чего ещё, в полном отчете 53 страницы.


Эти леденящие кровь факты и подробности, конечно, вряд ли новость для специалиста по IT-безопасности. Но, будем надеяться, от таких публикаций что-то начнёт меняться. Самое главное, чтобы все заинтересованные участники стали активно латать дыры и чинить IT-безопасность до наступления больших неприятностей, а не после них, как, к сожалению, обычно в мире и бывает.

Отчёт рекомендует, среди прочего, продвигать проектирование изначально безопасных промышленных систем (“Security by design”). Это мы поддерживаем всеми руками! Наша безопасная ОСинициатива как раз из этой серии. Сделать системы управления промышленным оборудованием, включая АСУТП, невзламываемыми означает принципиально улучшить ситуацию с кибербезопасностью мира вокруг нас. К сожалению, дорога это длинная и мы лишь в самом начале пути. Зато, уверен, движемся мы в правильном направлении.

Второе.

Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной. Сказать, что лёд в этом отношении тронулся, я пока не могу. Но он отчётливо трещит! Проблему обсуждают специалисты, дипломаты и научные работники. На высшем международном уровне, очевидно, идет поиск хоть каких-нибудь договоренностей, которые хоть как-нибудь должны ограничить и поставить в рамки кибершпионов и кибервояк.

obama-xiФото Michael Reynolds/EPA отсюда

Вот и Барак Обама и Си Цзиньпин в конце сентября договорились, что их страны – две крупнейшие экономики мира - не будут заниматься коммерческим шпионажем друг у друга. Более того, тема кибербезопасности доминировала на их совместной пресс-конференцией наряду с мерами по борьбе с изменением климата. При этом интересно, что проблему политического и военного кибершпионажа они обошли стороной.

Прорыв ли это? Конечно же, пока нет.

Однако это шажок в очень правильном направлении. Ходили слухи, Пекин с Вашингтоном ведут переговоры о «договоре о ненападении» в киберсфере. Предполагалось, что в нём две страны должны взять на себя обязательства в мирное время не нападать с помощью кибероружия друг на друга. На сентябрьской встрече лидеров стран эта тема не поднималась, но, будем надеяться, ещё поднимется. Это был бы хоть и символический, но важный шаг.

Хорошо бы такие договоры подписали в будущем все страны, а потом бы и вовсе договорились бы сделать Интернет и всю киберсферу демилитаризованной зоной. Это был бы самый хороший, хотя, увы, пока что и не очень реалистичный сценарий.



Метки: ,
Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «cyber warfare»

  • Ай-да новости: кибер гоп-стоп.

    Сегодняшний новостной выпуск в этой традиционной рубрике посвящен одной особенно противной и неприятной проблеме в киберпростанстве. Проблеме…

  • Ай-да новости: о патчах, громе и мужиках.

    "Тятя, тятя, наши сети притащили..." Да, уж, действительно, регулярно наши сети "притаскивают" на берег какие-нибудь непростые новости, от которых…

  • Прогноз кибер-погоды 2017.

    Так устроен homo sapiens, что ему постоянно и отчаянно хочется хоть одним глазком заглянуть за горизонт - увидеть какое будущее нам уготовано, как…


Страница 1 из 2
<<[1] [2] >>
там охрана хотя бы есть?
что-нибудь мешает ворваться и прямо там в комп залезть?
или стрежень из реактора стащить

Да нет там особо ничего, так - проходная, да вахтёр сидит. )))))

Я специалист по безопасности. Но фиговый.

Изоляция систем могла бы решить многие проблемы, но на готовых станциях реализовать её будет проблематично.

Интересная информация, но как ее проверить?)

psa_kolbasa

2015-10-08 13:40 (UTC)

Интересная информация, но как ее проверить?)

Блин, ну неужели физическая изоляция внутренних технологических сетей - это так сложно?! Огромных, титанических усилий требует опустить ручку шаловливую системного инженера АЭС , тянущуюся с кабелем к маршрутизатора Интернет! Только Гераклу по силам эту руку остановить!
Видимо реактором невозможно управлять, без постоянной сверки своих действий с Виккипедией)

не переживайте, просто безопасники набивают себе цену

По России то хотя бы данные утешительные, или такой же бардак?

Был опыт работы с атомными станциями (в основном расположенными на территории США) - уровень безопасности отличается от станции к станции, но проблема есть, и это заметно даже неспециалисту. Даже была задумка написать фантастический рассказ на эту тему ) Но боюсь, что реальность способна переплюнуть и самые смелые задумки.

VPN и удаленка на атомных станциях? Через интернет?
мда, пора в тайгу, дотуда не сразу дойдут облака заражения после кибертерактов на АЭСах

Не торопитесь.
Заглушить реактор таким образом, может быть, ещё и возможно, но вот разогнать до взрыва... Именно до взрыва, а не до meltdown....
Для этого надо очень хорошо знать реализацию конкретно этой станции, причём не только программную, но и аппаратную (многие защиты там строятся на тупой аналоговой автоматике и отключабельны только ручками и на месте, с применением кувалды/ломика/гаечного ключа) и располагать очень порядочным временем. "Скороварка" враз на саморазгон не выходит. Причём, надо ещё и добиться бездействия/неадекватности оператора на главном пульте и всей дежурной смены.
А теперь прикиньте, сколько людей владеют необходимыми знаниями, имеют возможность и мотив.

Евгений, всё не совсем так, как Вы пишите,

alex_bykov

2015-10-08 14:05 (UTC)

по крайней мере в части АСУ ТП для АЭС. Постепенно АЭС уходят от повсеместного присутствия "Винды" на урезанные для конкретного оборудования сборки Линукса (здесь, кстати, Украина заметно опережает Россию). Поскольку очень многое из этих сборок выкинуто, да и сам Линукс по определению разграничивает права доступа, да и машины, подключённые к внутристанционной сети, из которой, имея права, можно заглянуть на узлы АСУ ТП на блоке, по регламенту не имеют выхода во внешнюю сеть - эти сети разделены физически. Добраться в блочную систему АСУ ТП снаружи, тем более из всемирной паутины, как Вы пишите, сильно проблематично.
То, что Вы пишите по поводу заражения с флешек, может иметь место. Однако, есть процедурный момент, касающийся проноса на блок носителей информации. Кроме того, сотрудник сторонней организации всегда входит в группу, которую возглавляет сотрудник соответствующего цеха АЭС.

То, о чём Вы пишите, не невозможно, но очень и очень непросто.

Re: Евгений, всё не совсем так, как Вы пишите,

koldoblin

2015-10-08 16:45 (UTC)

Со сферическими цыплятами всегда всё просто..
Есть такая штука как "Социальная инженерия", что-то типа, "Можно поговорить с Хомером Симсоном? Хомер, Вас беспокоит тех-отдел, у нас черезвычайная ситуация, наш сотрудник не успеет до вас доехать вовремя, реактор может выйти из под контроля, не могли бы Вы выташить оранжевый кабель из нижнего роутера и вставить в верхний. Спасибо, Вы настоящий герой".

Смешно.
"...Вот и Барак Обама и Си Цзиньпин в конце сентября договорились, что их страны – две крупнейшие экономики мира - не будут заниматься коммерческим шпионажем друг у друга...." Вы в ЭТО ВЕРИТЕ???

я надеюсь, все супер с кибербезопасностью

Dum spiro, spero...

Атомные станции создавались, когда и компьютеров - то не было. Зато защита "от дурака " предусматривалась.

Возникает вопрос - что Вы называете компьютером? Электростанцию в СССР создали в 54-м, первый советский компьютер в 50-м... Американский ЭНИАК в 46-м.. за десять лет до того, как они построили свою АЭС

Здравствуйте!
Ваша запись попала в топ-25 популярных записей LiveJournal. Подробнее о рейтинге читайте в Справке.

Здравствуйте! Ваша запись попала в топ-25 популярных записей LiveJournal России! Подробнее о рейтинге читайте в Справке.

Вы хотите этим сказать, что пока атом не грянет, Владимир Владимирович не перекрестится?

Полагаю так.
Компьютерная система, которую нельзя взломать, делается элементарно просто. Только мало кому такая система, наверное, нужна, из производителей. Если в систему изначально и принципиально закладывается возможность удалённого перехвата управления, то она и может получиться принципиально уязвимой.
Специально изучал защиту информации, знаю, как это делается. Даже разрабатывал аппаратные решения прозрачного контроля прав доступа.
Компьютерную систему можно сделать принципиально неуязвимой для несанкционированного доступа. Открытые линии передачи данных можно сделать принципиально недоступными для постороннего чтения и сколько угодно защищёнными от взлома.

У меня на работе(энергетика) все технологические компы в системе, которую нельзя взломать. Абсолютно. Ибо она не подключена к тырнету. Совсем не подключена.

> Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной.
Кибератаки возможны только против систем, в которых существуют уязвимости. Вся Windows - это одна сплошная дырка. Не зря Некрософт перевёл все свои сервера на Linux. Но и Пингвин не является панацеей - насмотревшиеся до одури в Окошки мальчики-масдайчики идут в Linux и несут туда все дыры Некрософта. Не случайно Android столь же дырявый, как и Windows, хотя ядро там как бы Linux.

Это нормально, поскольку вокруг этих дыр пасётся огромное стадо "спасителей" от вирусов.

Ядро не гарантирует отсутствия дыр в дистрибутиве. Что такое линукс? По сути, если упрощённо и напальцах, это ядро, вокруг которого навешиваются различные пакеты (например, по, дрова и т.д.). Вот эта комбинация потом и зовётся каким-нибудь дебианом или андроидом.
Т.е. проблема-то не в ядре, как таковом, а в том, что вокруг него навешивается. А тут уж каждый волен выбирать, что он добавляет в систему. Да, если ядро с дыркой, то, вероятно, все дистрибутивы, будут с ней. Но если же с ним всё в порядке, то это ещё незначит, что RHEL и Solaris будут одинаково неуязвимы к определённому эксплоиту.

закупки гов ру поиск по "ЛАЭС"

know_your_foe

2015-10-08 19:21 (UTC)

Филиал ОАО "КОНЦЕРН РОСЭНЕРГОАТОМ" "Ленинградская атомная станция"

Инсталляция Cisco Unified Computing System
Начальная настройка Cisco UCS 6248 Fabric Interconnect
Обновление ПО Cisco UCSM
Настройка IP адресации для удаленного доступа
Настройка NTP
Настройка конвергентных портов
Настройка Chassis Discovery Policy
Настройка серверных портов и портов межкоммутаторной связи
Настройка межкоммутаторной связи Cisco Nexus 5548
Создание организации
Создание пулов MAC-адресов
Создание пулов WWPN
Создание пулов UUID
Создание VLAN
Создание VLAN и аггрегирование портов SAN
Создание политики управления Firmware
Создание политики Firmware для хостов
Настройка Jumbo Frames в фабрике Cisco UCS
Создание политики локальных дисков
Создание политики для CDP
Создание политики управления питанием
Создание политики для BIOS
Создание политики размещения vNIC/vHBA
Создание шаблонов vNIC
Создание шаблонов vHBA для фабрик A и B
Создание политик загрузки
Создание шаблона служебного профиля
Создание служебного профиля

Инсталляция Cisco Nexus 5548
Начальная настройка
Ввод лицензий
Настройка глобальной конфигурации
Настройка функций Cisco Nexus
Настройка портов FC
Cоздание VLAN
Создание описаний портов
Создание агрегированых каналов
Настройка агрегации каналов
Настройка виртуальных агрегированных каналов
Настройка VSAN и назначение портов FCoE
Настройка зон
Подключение к существующей сетевой инфраструктуре

Настройка СХД, часть 2
Создание igroup
Привязка igroup к LUN

Инсталляция VMware ESXi 5.0
Инсталляция хостов ESXi
Настройка сети управления хостов ESXi
Обновление Cisco virtual interface card (VIC) enic и драйверов fnic
Настройка портов Vmkernel и виртуального коммутатора
Монтирование необходимых хранилищ виртуальных машин
Настройка NTP

Инсталляция VMware vCenter 5.0
Создание виртуальной машины для нужд Microsoft SQL Server
Инсталляция Microsoft SQL Server
Создание виртуальной машины для нужд VMware vCenter
Инсталляция VMware vCenter
Настройка VMware vCenter

Инсталляция Cisco Nexus 1000V
Установка и настройка Cisco Nexus 1000V
Интеграция Cisco Nexus 1000V с сетевым оборудованием

Инсталляция NetApp Virtual Storage Console
Установка ПО NetApp Virtual Storage Console
Регистрация VSC в vCenter
Регистрация контроллеров СХД
Оптимизация настроек хостов ESXi
Настройка Provisioning and Cloning
Настройка резервного копирования/восстановления

Инсталляция Netapp NetApp OnCommand Manager
Создание виртуальной машины для нужд NetApp OnCommand Manager
Инсталляция NetApp OnCommand Core Package
Генерация сертификатов SSL
Подключение контроллеров СХД
Настройка AutoSupport
Запуск диагностических тестов
Настройка SNMP trap
Настройка отправки e-mail для важных и критических событий

Инсталляция NetApp VASA Provider
Создание виртуальной машины для нужд NetApp VASA Provider
Инсталляция ПО NetApp VASA Provider
Настройка ПО NetApp VASA Provider

Настройка виртуального окружения
Создание шаблонов виртуальных машин
Развертывание необходимого набора виртуальных машин
Настройка виртуальных машин для запуска приложений
Настройка и проверка работоспособности отказоустойчивой конфигурации

6.5 Разработка эксплуатационной документации в составе
Выполнение типовых операций в среде vSphere 5,0
Выполнение типовых операций в среде Cisco USC
Выполнение типовых операций ПО Netapp VSC
Выполнение типовых операций ПО NetApp DataFabric Manager
Согласование эксплуатационной документации

Re: закупки гов ру поиск по "ЛАЭС"

aguitar_lord

2015-10-09 04:10 (UTC)

и?
Там ещё встречаются лоты на поставку тапочек для бассейнов, например.

Жесть конечно... а как с порядком на наших АЭС?

Евгений,создайте свою оценку безопасности и выдавайте сертификат,что данный пользователь соответствует такому то уровню безопасности в соответствии с указанными требованиями.

Редкостной глупости пост

periti

2015-10-09 00:18 (UTC)

нда.

" Барак Обама и Си Цзиньпин договорились ..."
Интересно, американцам у китайцев действительно было бы, что украсть ?
С шелком и порохом вроде разобрались :)

>>Британцы пишут, что на АЭС часто существуют соединения через VPN

Суньте голову под холодный душ и прекратите нести херню. Компьютер стоящий в отдельной комнате в которую вас пускают только голым и после приседаний перед зеркалом это тоже "соединение на АЭС". Это блять совершенно не значит что вломившись на этот компьютер вы сможете реактором управлять.

А может не надо, а?

burbilog

2015-10-09 08:34 (UTC)


Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной. Сказать, что лёд в этом отношении тронулся, я пока не могу. Но он отчётливо трещит! Проблему обсуждают специалисты, дипломаты и научные работники. На высшем международном уровне, очевидно, идет поиск хоть каких-нибудь договоренностей, которые хоть как-нибудь должны ограничить и поставить в рамки кибершпионов и кибервояк.


Гильотина как метод лечения насморка.

Что может дать глобальный договор? Только дать еще больше власти государствам контролировать софт, устанавливаемый у людей (ну а заодно помешать opensource движению). Чтобы отобрать у людей криптографию например. Чтобы легче было вводить цензуру. И все как водится во имя безопасности. Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety...

Тут мы полностью неуязвимы. на наших атомных станциях просто нет интернета. =) По крайней мере в Сосновом Бору. =)

Пользователь otorva_404 сослался на вашу запись в своей записи «No title» в контексте: [...] станциях и кибервоенщине. Оригинал взят у в Ай-да новости: об атомных станциях и кибервоенщине. [...]

Страница 1 из 2
<<[1] [2] >>
?

Log in

No account? Create an account