LINUX.ORG.RU
ФорумTalks

По поводу взлома электросети Украины. Стоп, компы с виндой, подключённые к интернету!? #InternetOfShit

 , , , ,


0

2

А линукс тут при том, что IoT и что с линуксом такого бы не случилось.

https://geektimes.ru/post/272232/ Выдержка: «но украинские системы управления лучше защищены от подобного нападения, чем американские, поскольку хорошо отделены файрволами от бизнес-сетей. Но даже такой защиты оказалось недостаточно, поскольку сотрудники удалённо авторизуются в сети SCADA (Supervisory Control and Data Acquisition), откуда происходит управление электрическими подсистемами. При этом отсутствует двухфакторная аутентификация, так что зная учётные данные диспетчера злоумышленники могут взять на себя управление системами управления электрическими подстанциями.»
А теперь больше смака:
"...что хакеры заменили прошивки на критически важном оборудовании в 16 подстанциях, и теперь они не реагируют на команды из центра..." и «При атаке на американскую сеть всё может закончиться более печально, потому что во многих американских подстанциях отсутствуют резервные системы ручного управления, то есть в случае такого саботажа там будет гораздо сложнее восстановить подачу энергии». На последнем я не понял, почему эти люди ещё живы.

Даны начальные условия:
1. Компы с виндой
2. Подключены к интернету
3. Даже без отдельного VPN-шлюза
4. Нет двухфакторной аутентификации. Судя по всему, там просто пароль. Пароль, в 2016-ом, Карл! А мы тут рассуждаем о том, что биометрию можно использовать только вместе со смарткартами.

А теперь вопросы:
0. Какие реальные меры (кроме бумажной безопасности) надо предпринимать в таких случаях? Я предлагаю пароль+смарткарта+OTP-токен с выкидыванием оператора по 5-минутной неактивности, никакой винды НИГДЕ, физические каналы связи с обязательным шифрованием (если через интернеты, то только с отдельными VPN-шлюза, но устройства за ними не должны иметь доступа в интернеты), сами диспетчерские в плане электропитания управляются исключительно локальной автономной системой, имеется out-of-band для перевода систем на резервные контроллеры и откат на предыдущую конфигурацию, имеет журнал безопасности, весь софт подписывается ЭЦП, другой нельзя запустить. Ну и очевидно, что всё не RTOS ПО только на яве. Очевидно, что везде должна быть возможность перехода на ручное локальное управление.
1. На сколько лет надо посадить людей, которые допустили эти пункты (или хотя бы один из них)?
2. Почему даже в таких вопросах к безопасности относятся наплевательски?
3. Риторический вопрос: проведут ли аудит безопасности другие ЭС?
4. Можно ли считать ЭС частью IoT?

Перемещено tailgunner из security

Линукс тут при чём, кармадрочер?

anonymous ()

А линукс тут при том, что IoT и что с линуксом такого бы не случилось.

Выпал из окна? С линуксом бы такого не случилось.

znenyegvkby ()

#InternetOfSheet

Ты уж определись, либо Internet of Sheep, либо Internet of Shit. А то какой-то бумажнолистовой инет получился

upcFrost ★★★★★ ()

Подключены к интернету

Ты где это углядел? По ссылке не ходил, но скада к инету отношение имеет далеко не всегда. я бы даже сказал редко.

Нет двухфакторной аутентификации. Судя по всему, там просто пароль. Пароль, в 2016-ом, Карл!

скада, карл, скада! ты видел промышленные сети? это тебе не rpi и не сиська, там бывает что 33600 это неплохие интернеты (вернее скорость соединения).

IoT

опять же при чем тут инет? ты уверен что он там был?

что хакеры заменили прошивки на критически важном оборудовании в 16 подстанциях

да ладно, у нас тут один чувак случайно прошивку сшиб на линии, уже несколько месяцев обратно никак не встанет. гонят, просто кто-то руки кривые запустил в mtu и все

upd: прошел по ссылке. Про то что сама скада была в инете слов нет. serial-to-Ethernet != serial-to-Internet. Проблема была что у них mtu был через инет доступен из vpn, хотя это вообще говоря часто встречается.

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 2)

#InternetOfSheet

Интернет листов? Каких? Excel'евских?

nexfwall ★★★★ ()

и с вендой бы не случилось. это с головами случилось

dmxrand ()

ну и ржать о людях которые не понимают о безопасности смешно. ну болеют. ты ржешь нат больными дцп? этот взлом (если он был. а я уверен что его небыло - тупо украли бабос это пример как потратить ярды и списать их на хакиров...а завтра купить кйен ))

dmxrand ()

Надо было ставить линукс.

cnupm ()

Утверждение того, что будь там Линукс, его бы не взломали, говорит о критической степени невежества.

JN ()
Ответ на: комментарий от JN

Утверждение того, что будь там Линукс, его бы не взломали, говорит о критической степени невежества.

Не взломали бы так просто, это точно. Из непроверенный источников: там была искпиха без обновлений. Лул? :)

leretan ()
Ответ на: комментарий от dmxrand

ну и ржать о людях которые не понимают о безопасности смешно.

Убивать мне их не дают, что мне ещё остаётся? *обиженно*

ну болеют. ты ржешь нат больными дцп?

Как и над безграмотными. Или ты про NAT?

leretan ()
Ответ на: комментарий от upcFrost

скада, карл, скада! ты видел промышленные сети? это тебе не rpi и не сиська, там бывает что 33600 это неплохие интернеты (вернее скорость соединения).

Видел. А ты видел индастриал езернет? Там и гигабит уже есть.

опять же при чем тут инет? ты уверен что он там был?

Да. Через него и взломали.

да ладно, у нас тут один чувак случайно прошивку сшиб на линии, уже несколько месяцев обратно никак не встанет. гонят, просто кто-то руки кривые запустил в mtu и все

Что такое MTU? Я так понимаю, что это не тот MTU, о котором на лоре обычно говорят. И да: я так понимаю, что резервного способа подключения (типа как админа на циски ставят serial->ethernet адаптеры) нет?

leretan ()
Ответ на: комментарий от leretan

То, что в икспихе больше дыр, не делает эту задачу простой. При подобном подходе найти/купить несколько 0day в GNU/Linux не является преградой. От подобных взломов спасти может разве что проактивка, и то далеко не факт.

JN ()
Последнее исправление: JN (всего исправлений: 1)
Ответ на: комментарий от leretan

А ты видел индастриал езернет? Там и гигабит уже есть.

ну и какая у него дальность? 100 метров? Или они магистраль кладут прямо на каждом столбе?

Что такое MTU?

Master Terminal Unit. Головной комп у скады короче

upcFrost ★★★★★ ()

И опять SCADA. Я думаю надо законодательно запретить завязывать SCADA-системы эксклюзивно на венду. А сименсу, шнайдеру и прочим вломить иск на многоденег. Может тогда и проблем таких меньше будет.

morse ★★★★★ ()
Ответ на: комментарий от leretan

У шнайдера — гарантированно, я с ним работал. У сименса — почти наверняка, потому что я про это читал когда была та бадяга с иранской ядерной программой, и там писали что сименс — венда-онли. Про остальных не знаю, но подозреваю что там везде одно и то же.

morse ★★★★★ ()
Ответ на: комментарий от morse

Нет я конечно видел: SCADA систему (сфероид (будущей АНТ)) под Linux (Opensuse) на объекте Газпрома , но у нее были огромные проблемы с половиной промышленных протоколов и OPC она не могла, от слова никак .

BlackJack ()

ЯННП. энергетики же тянут по опорам свою ВОЛС для технологических нужд. на кой им интернет сдался, собственная локалка без инета рулит.

irton ★★★★★ ()

всё не RTOS ПО только на яве

Толсто.

никакой винды НИГДЕ

хорошо настроенная винда не уступает по безопасности хорошо настроенной *nix системе. А плохо настроенный Linux - то ещё решето.

На сколько лет надо посадить людей, которые допустили эти пункты (или хотя бы один из них)?

выговор, максимум

WARNING ★★★★ ()

господа это чушь. ну полнейшая. это отмазка от руководства. как и про то что хакеры украли 200 миллиардов из банка. это невозможно. обосновать могу

dmxrand ()

стоит мне уехать в горы как ктулха тут пролезает в толксы, что за фигня?

Deleted ()
Ответ на: комментарий от Deleted

У тебя ктулхофобия, тебе везде ктулху мерещится. Лечиться надо.

leretan ()
Ответ на: комментарий от leretan

потому, что деньги не на вертолете увозят. Их передают по 1 из 3- хканалов (1 - ЦБ, 2 - Клиринг, 3 - карточки).

Через Цб вывод будет чуть ли не сутки идти (и потом обналичь, а иначе бан счету или всему банку)

С клирингом тоже бан счету и банку.

Карточки - там лимит есть. на распыление и на съем дропами уйдет масса времени.

Дефакто воруют карточками обычно. Но там 99% крыша есть.

dmxrand ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.