1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Siemens WinCC под угрозой

Ответить

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Re: Siemens WinCC под угрозой

Сообщение Степа »

Бондарев Михаил писал(а):А где вы в 2003 году такой контроллер взяли?
Сами сделали. Были просто не совсем нормальные требования заказчика, поэтому и пришлось немного поизобретать...
К надежности Win нет такой предубежденности, какая есть у школяров, которые кроме пары сайтов в своей жизни еще ничего не видели. Тогда, когда, изобретательством занимался, я пытался немного поотрезать "лишнее"... Больше суток после этого Win95 не жила. Чаще всего падала быстрее. А потом поставил набор "по умолчанию" и... Уже лет семь как работает. Никаких там чистилок, исправлялок, дефрагментаторов и прочего не запускалось отродясь. Игрушек и прочей дребедени - нечем: клавы там тоже нет. Только левая кнопка мыши в наличии в виде пальца по экрану.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Siemens WinCC под угрозой

Сообщение Василий Иванович »

И всё-таки центрифуги...

http://www.symantec.com/connect/de/blog ... eakthrough

Бондарев Михаил
почётный участник форума
почётный участник форума
Сообщения: 1037
Зарегистрирован: 25 июл 2008, 23:23
Имя: Бондарев Михаил Владимирович
Страна: Россия
город/регион: Магнитогорск
Благодарил (а): 30 раз
Поблагодарили: 19 раз

Re: Siemens WinCC под угрозой

Сообщение Бондарев Михаил »

Таки центрифуги были целью http://lenta.ru/news/2011/01/16/stuxnet/
Аватара пользователя

san
преподаватель
преподаватель
Сообщения: 1357
Зарегистрирован: 01 сен 2008, 18:32
Имя: Пупена Александр
Страна: Украина
город/регион: Киев
Поблагодарили: 6 раз

Re: Siemens WinCC под угрозой

Сообщение san »

14 декабря 2010 года немецкий IT-специалист Ральф Лангер (Ralph Langer), проанализировавший код вируса, заявил, что Stuxnet отбросил атомную программу Ирана на два года назад.
Ральф Лангер пилит сук, на котором сидит Сименс. Еще трохи - и Иран перейдет на "более надежное" китайское оборудование.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Siemens WinCC под угрозой

Сообщение Василий Иванович »

Да он уже несколько лет о том и говорит, что в плане безопасности Сименс - говно. И зарабатывает на всяких пришлёпках, позволяющих эту безопасность повысить. А потом Сименс сам отдаёт своё грязное бельё на анализ американцам:
In early 2008 the German company Siemens cooperated with one of the United States’ premier national laboratories, in Idaho, to identify the vulnerabilities of computer controllers that the company sells to operate industrial machinery around the world — and that American intelligence agencies have identified as key equipment in Iran’s enrichment facilities.

Seimens says that program was part of routine efforts to secure its products against cyberattacks. Nonetheless, it gave the Idaho National Laboratory — which is part of the Energy Department, responsible for America’s nuclear arms — the chance to identify well-hidden holes in the Siemens systems that were exploited the next year by Stuxnet.
После чего появление стукнета становится делом времени.а

Eugene Sergejev
освоился
освоился
Сообщения: 236
Зарегистрирован: 28 июл 2008, 15:40
Имя: Сергеев Евгений Викторович
Страна: Karjala/Suomi
город/регион: Petroskoi/Helsinki
Благодарил (а): 3 раза
Поблагодарили: 3 раза

Re: Siemens WinCC под угрозой

Сообщение Eugene Sergejev »

Руководство к хакингу от Ральфа Лангерна
Это трудно назвать руководством. Так, философствование на заданную тему.
пдпс скрщна по трбвнию мдратра
Аватара пользователя

Marrenoloth
завсегдатай
завсегдатай
Сообщения: 524
Зарегистрирован: 05 окт 2009, 11:51
Имя: Тихомиров Дмитрий Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 17 раз
Поблагодарили: 20 раз

Re: Siemens WinCC под угрозой

Сообщение Marrenoloth »

Да - на них похоже. Одно то, что все, кто плотно с Сименсом работают, предпочитают железо заказывать напрямки из Германии, доставляет весьма!

freydman
здесь недавно
здесь недавно
Сообщения: 6
Зарегистрирован: 01 мар 2011, 14:13
Имя: Фрейдман Андрей Витальевич
Страна: Russia
город/регион: Moscow

Re: Siemens WinCC под угрозой

Сообщение freydman »

Здравствуйте, коллеги!

Открываю новую тему - Stuxnet & Bezopasnost SCADA, т.к. не только Siemens WinCC - а все виндусовые
СКАДы под угрозой.

Я разместил перевод доклада Symantec с анализом кода Stuxnet:
http://www.phocus-scada.com/rus/pub/Stu ... ys-rus.pdf

Здесь нет ничего своего, от себя добавлю в следующий раз.
Просьба почитать на досуге, если будут замечания по качеству
перевода прошу сообщать в новой теме.

С уважением,
Андрей Фрейдман
NAUTSILUS Ltd., Moscow
Аватара пользователя

hell_boy
почётный участник форума
почётный участник форума
Сообщения: 1746
Зарегистрирован: 18 янв 2009, 12:25
Имя: Дмитрий
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 143 раза

Re: Siemens WinCC под угрозой

Сообщение hell_boy »

Все же, Stuxnet - диверсия. Сами сознались, когда все улеглось. Статья The New York Times
Краткое содержание на русском http://www.asu-tp.org/index.php?option= ... 4&Itemid=1
"Умные люди обсуждают идеи, средние - события, а глупые - людей" Л.Н. Толстой
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Re: Siemens WinCC под угрозой

Сообщение CHANt »

Да лажа очередная, в плане того что в нетании испытывали на АЭС. Нафик вирусятину было гонять два года на АЭС, когда к АЭС она никакого отношения не имела? Как и собственно исходники, приведенные в докладе семантика, либо намеренно искажены, либо они их так и не разобрали, но, частотниками Vacon таким образом управлять не получится. А такую системку можно и просто на стенде собрать, и там спокойно вирус отлаживать.
--------------------------------------------------------------------------------------------

Alexander
БАН
БАН
Сообщения: 642
Зарегистрирован: 03 июн 2010, 12:26
Имя: Козин Александр Елисеевич
Страна: Украина
город/регион: Одесса
Благодарил (а): 2 раза
Поблагодарили: 6 раз
Забанен: Бессрочно

Re: Siemens WinCC под угрозой

Сообщение Alexander »

Та ну на хрен, с какого дуру вот это все нужно было толкать в Интернет? Не верю в такие дикие фантазии разработчиков более или менее ответственных систем. Особенно, если учесть, что ОС контроллера находится в ROM -какие вирусы, о чем вы?
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Re: Siemens WinCC под угрозой

Сообщение CHANt »

Alexander писал(а):Особенно, если учесть, что ОС контроллера находится в ROM -какие вирусы, о чем вы?
Да там много непонятного. Помимо выньсиси, должен был быть step7, чтобы загрузить блоки с номерами выше 6000 (!). Скажем так, не каждый симатик имеет столь большую память под область адресации, т.е. рассчитано под конкретную старшую линейку 300 серии или на 400. Далее, в конфигурации контроллера обязательно должен быть коммуникационный процессор CP 342-5 под профибас, ибо все это работало только с учетом применения определенных функциональных блоков под коммуникационник. Ну и цель - выдавать с частотника свыше 1000 Гц, явно не под стандартные задачи.
Слухи о том что израильтяне учавстовали в разработке были и раньше...Тут вроде ничего удивительного. Но причем тут отладка на АЭС (?) так и не понял.
--------------------------------------------------------------------------------------------

Бондарев Михаил
почётный участник форума
почётный участник форума
Сообщения: 1037
Зарегистрирован: 25 июл 2008, 23:23
Имя: Бондарев Михаил Владимирович
Страна: Россия
город/регион: Магнитогорск
Благодарил (а): 30 раз
Поблагодарили: 19 раз

Re: Siemens WinCC под угрозой

Сообщение Бондарев Михаил »

аэс и велосипедисты!
сионизм и журналисты!

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Siemens WinCC под угрозой

Сообщение Василий Иванович »

Отладка нужна была, чтобы узнать, что произойдёт физически с центрифугой и её содержимым. Я и раньше читал, что они в Израиле тестили.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Re: Siemens WinCC под угрозой

Сообщение CHANt »

А где центрифуги на АЭС? Вроде про них писалось что есть в центре ядерных исследований, или в Иране это одно и тоже? )))
--------------------------------------------------------------------------------------------
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Re: Siemens WinCC под угрозой

Сообщение CHANt »

ну а АЭС тут причем? :)
)) В общем, все эти публикации вокруг да около, что на самом деле, видимо, узнаем не скоро. А видео где-то попадалось - семантик работу вируса демонстрировал, так что сомнений в его работоспособности нет. Только вот в докладе информация, на мой взгляд, искажена и специально :)
--------------------------------------------------------------------------------------------

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Siemens WinCC под угрозой

Сообщение Василий Иванович »

А, понял. Вы читали русский говноперевод. В Таймс ясно написано, что испытывали на ядерном объекте в Израиле, куда подвезли таких же центрифуг. Слово "АЭС" в оригинальной публикации вообще не упоминается.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Siemens WinCC под угрозой

Сообщение Василий Иванович »

CHANt писал(а):
Alexander писал(а):Особенно, если учесть, что ОС контроллера находится в ROM -какие вирусы, о чем вы?
Да там много непонятного. Помимо выньсиси, должен был быть step7, чтобы загрузить блоки с номерами выше 6000 (!). Скажем так, не каждый симатик имеет столь большую память под область адресации, т.е. рассчитано под конкретную старшую линейку 300 серии или на 400. Далее, в конфигурации контроллера обязательно должен быть коммуникационный процессор CP 342-5 под профибас, ибо все это работало только с учетом применения определенных функциональных блоков под коммуникационник. Ну и цель - выдавать с частотника свыше 1000 Гц, явно не под стандартные задачи.
У разработчиков Stuxnet был в руках оригинальный проект, который надо было инфицировать, поэтому вирус заточен именно под этот проект, а именно такой, в котором есть CPU315-2 и 417, частотники двух конкретных производителей и т.п. И заражает он не контроллеры, а Step7-проекты, которые в контроллер вполне себе легально грузит сам же программист-иранец. А интернет нужен прежде всего для обратной связи и обновления версий вируса.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5750
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 650 раз
Поблагодарили: 805 раз

Re: Siemens WinCC под угрозой

Сообщение Ryzhij »

Мне бы Ваш оптимизм, Василий Иванович! :D
Особенно пассаж про частотники порадовал :ext_secret:
Но пока, из материалов открытой печати мне очевидно, что связка Simatic+WinCC скомпрометирована с точки зрения безопасности.
http://www.symantec.com/content/en/us/e ... ossier.pdf
http://www.phocus-scada.com/rus/pub/Stu ... ys-rus.pdf
У Вас есть уверенность, что после публикации всех материалов по Stuxnet не появятся новые модификации вируса?
Историю с вирусом "Чернобыль" напомнить?
Только коренное изменение архитектуры системы теперь способно на какое-то время устранить возникшую угрозу.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Re: Siemens WinCC под угрозой

Сообщение Василий Иванович »

Про частотники можете почитать отчёт Симантека, ссылку на который Вы сами же и выложили.
The System Data Blocks are enumerated and parsed. Stuxnet must find an SDB with the DWORD at offset 50h equal to 0100CB2Ch. This specifies the system uses the Profibus communications processor module CP 342-5. Profibus is a standard industrial network bus used for distributed I/O, In addition, specific values are searched for and counted: 7050h and 9500h. The SDB check passes if, and only if, the total number of values found is equal to or greater than 33. These appear to be Profibus identification numbers, which are required for all Profibus DP devices except Master Class 2 devices. Identification numbers are assigned to manufacturers by Profibus & Profinet International (PI) for each device type they manufacture. 7050h is assigned to part number KFC750V3 which appears to be a frequency converter drive (also known as variable frequency drive) manufactured by Fararo Paya in Teheran, Iran. 9500h is assigned to Vacon NX frequency converter drives manufactured by Vacon based in Finland.
Я никоим не образом не утверждал, что PCS7 не дырявый. Покупайте восьмуй версию, вышедшую на днях - и получите более высокую степень безопасности, но, конечно, не стопроцентную. Лично у меня есть уверенность, что при наличии хорошего бюджета можно ломануть много других систем, а не только PCS7. Сименс попал под раздачу из-за того, что его иранцы взяли его за основу системы управления.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Re: Siemens WinCC под угрозой

Сообщение CHANt »

Ryzhij писал(а):Но пока, из материалов открытой печати мне очевидно, что связка Simatic+WinCC скомпрометирована с точки зрения безопасности.
Я уже писал на одном форуме, повторюсь ) Нет и не будет защиты, если Вас, разработчика системы, нанять сделать вещь подобную стукснету. В чем проблема? Эта работа не для любителя, это достаточно долгоиграющий проект который необходимо финансировать и задействовать достаточно серьезный круг специалистов.. И, я сомневаюсь. что это дело коммерческой фирмы. Ей надо прибыль получать, а не выводить из строя центрифуги, тратя годы на разработку червя. Червя еще кто-то занести должен.
Еще одна тема - промышленный саботаж. Неужели никто из обсуждающих тему никогда не делал закладки в контроллер, либо не сносил чужие?
Лично я сносил чужие. Несложные, но заказчик своими силами не справился бы и готов был купить новую установку. Т.е., какова бы не была система безопасности, поднастроить систему, на этапе проектирования, в свое русло несложно. А ведь еще есть целый ряд систем которые покупаются совместно с агрегатами и где не даются ни исходники, ни доступ к контроллеру. Кот в мешке. Да тут вариантов масса может быть. И напрягаться ломать ничего не надо.
Если кому интересно, очень, могу поделится проектом Step7 выгруженным с одной установки, в котором разрешатся работать ровно одни сутки, после чего она больше на запускается в автоматическом режиме. Это реальный проект коллег из восточной европы. К сожалению, только символьная адресация.
--------------------------------------------------------------------------------------------
Аватара пользователя

hell_boy
почётный участник форума
почётный участник форума
Сообщения: 1746
Зарегистрирован: 18 янв 2009, 12:25
Имя: Дмитрий
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 143 раза

Re: Siemens WinCC под угрозой

Сообщение hell_boy »

"Умные люди обсуждают идеи, средние - события, а глупые - людей" Л.Н. Толстой

ndk_63
здесь недавно
здесь недавно
Сообщения: 38
Зарегистрирован: 31 окт 2011, 07:46
Имя: Иван Иваныч
Страна: Россия
город/регион: Самара/63

Re: Siemens WinCC под угрозой

Сообщение ndk_63 »

Про сименс уже второй раз встречаю данную проблему, год назад на наших объектах безопасники обнаружили вирус STUXNET, у нас на всех машинах установлен MCAfee причем и на офисных и на асушных, он вообще не как не отреагировал на этот вирус убивали зверька drweb или касперским. ничего страшного на наших армах вирус не наделал, у нас везде только InTouch.
Что то не нашел как этот новый зверек называется?
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Re: Siemens WinCC под угрозой

Сообщение CHANt »

ndk_63 писал(а):Про сименс уже второй раз встречаю данную проблему, год назад на наших объектах безопасники обнаружили вирус STUXNET, у нас на всех машинах установлен MCAfee причем и на офисных и на асушных, он вообще не как не отреагировал на этот вирус убивали зверька drweb или касперским. ничего страшного на наших армах вирус не наделал, у нас везде только InTouch.
Что то не нашел как этот новый зверек называется?
Господи, кто ж затащил Вам его? Вы представляете, что этот кто-то, должен был притащить флешку с 1,5 мегабайтным вирусом специально и еще раздобыть его где-то? Просто так он в сети не валяется и по другому его не затащить на комп. Это диверсия просто - целенаправленная. Что-то мне не верится. Может - байки недоумков безопасников?
Что касается вируса, определяется только та часть, которая связана с дыркой винды в настройках общего доступа к печати принтером. Вот там его и можно определить, для WinCC или Step7 сомневаюсь что и Каспер, и DrWeb или что другое, отслеживает содержание папок \Bin. Тем более что пользователь может установить Сименсовское ПО куда угодно.
--------------------------------------------------------------------------------------------

ndk_63
здесь недавно
здесь недавно
Сообщения: 38
Зарегистрирован: 31 окт 2011, 07:46
Имя: Иван Иваныч
Страна: Россия
город/регион: Самара/63

Re: Siemens WinCC под угрозой

Сообщение ndk_63 »

Так все же кто какими антивирусами пользуется?
И как ваша SCADA относится к антивирусу?
На сколько знаю Wonderware категорически против присутствия любых антив. на своих АРМах.
Ответить

Вернуться в «WinCC»