Vai al contenuto
PLC Forum


Stuxnet; Virus per SCADA siemens - unita la discussione " Virus Per Plc/scada" di Volutamente A


gluca2

Messaggi consigliati

Vorrei saperlo così adotto lo stesso metodo e apro pure una ditta di sicurezza software perchè a sentirti il tuo sistema è inattaccabile.

Da ultimo. Esistono esperti che fanno della sicurezza informatica una professione. Si fanno pagare perchè chi lavora deve essere pagato. Se non si è capaci di fare sicurezza in proprio meglio rivolgersi ad un esperto, alla fine costa meno.
Link al commento
Condividi su altri siti


Quindi quando vai in trasferta all'estero ti porti un esperto di sicurezza informatica ?

Non ci credo, e penso anche che se devi interfacciarti ad un'altra linea, ti fai dare il software su una chiave usb, lo controlli con un antivirus, e poi copi il software come il 99,999% dei programmatori del mondo.

Se l'antivirus non vede il virus, lo becchi anche tu come tutti.

Link al commento
Condividi su altri siti

Quindi quando vai in trasferta all'estero ti porti un esperto di sicurezza informatica ?

Vorrei fare un commento sarcastico ma evito.

Io ho sempre avuto la buona abitudine di documentarmi prima e non dopo.

I guai si fa il pssibile per prevenirli e, comunque, ci si prepara almeno un'uscita di sicurezza. Questo è il modo di operare di un tecnico serio e competente.

Invece di fare commenti pseudospiritosi faresti meglio a documentarti, studiare. La metodologia per prevenire la corruzione dei dati, e le infezioni dei programmi, ha un approccio deterministico, non è una pratica esoterica di magia bianca. Basta avere la volontà di studiare il problema, non è necessario portarsi appresso un esperto in sicurezza dei dati.

Se invece preferisci lavorare male coontinua pure così, però evita di lamentarti per le conseguenze.

Non ci credo, e penso anche che se devi interfacciarti ad un'altra linea, ti fai dare il software su una chiave usb, lo controlli con un antivirus, e poi copi il software come il 99,999% dei programmatori del mondo.

Hai usato un termine errato. Non si tratta di programmatori, ma di pseudotecnici che cercano di far funzionare un impianto a martellate. Un programmatore che si rispetti agisce in modo differente, con raziocinio soprattutto.

C'è ancora qualcuno che prima pensa e poi opera.

Questo è il mio ultimo intervento in questa discussione, a meno di novità tecniche.

Modificato: da Livio Orsini
Link al commento
Condividi su altri siti

Il famoso "documento programmatico sulla sicurezza", che tutte le aziende, inclusi i singoli, devono fare e rispettare, dove è finito?

Sembra di capire, leggendo questo thread, che, come molte altre sane abitudini, al di là della carta, sono solo aria fritta.

L'esperto informatico non te lo devi portare dietro e, sopratutto in occasione di trasferte, devi fare doppiamente attenzione.

Da una trasferta non può arrivare più male rispetto al fatto che Internet è sempre aperta, ma, cribbio, le basi, le perle dell'attenzione senziale?

La sicurezza non la fa un software, chiamato antivrus. (Come d'altro canto i software non fanno proprio nulla), semmai, dei buoni metodi di lavoro.

Sembra un poco la storiella del programma che progetta, del programma per fare la dieta, del programma ... per il superenalotto?

Non bisogna confondere quello che è il lavoro di certe persone che si ingegnano, tra l'altro, per produrre programmi con qualche sorta di back-door, che sino ad ora non avevamo mai visto in questo settore, e, quelli che sono sani e banali metodi comportamentali, sul lavoro, per la tutela propria, dei propri clienti, dei colleghi, del sistema paese.

E' facile installare programmi craccati, generatori di chiavi, ecc. Se stiamo nello specifico di questo virus, per infettare il PC/PG è stato indubbiamente lanciato un eseguibile infetto, perché diversamente non ha il modo di sostituire delle dll della famiglia STEP 7. Ed un eseguibile infetto, seppure in trasferta, non si genera da se nel PC. In eseguibile infetto si avvia, da una chiavetta, solo se non si è tarato bene il proprio PC. Basterebbe, in Windows, disattivare l'autorun dalle periferiche removibili per limitare molti problemi.

No, non c'è bisogno di grandi esperti informatici.

Link al commento
Condividi su altri siti

Finora ho sentito tante grandi parole e sentenze, ma nessuna risposta specifica.

Ho sentito evocare sistemi di sicurezza, misteriose procedure di prevenzione, grandi esperienze nel campo ma alla fine nessuna soluzione pratica ed applicabile all'esempio reale che ti ho portato.

Sei all'estero, devi intervenire sul programma di una o più macchine non previste (succede a tutti quelli che lavorano e non stanno solo in ufficio a parlare), senza connessione internet e il software che devi modificare è su una chiavetta USB, come ti comporti ?

Rinunci al lavoro o riempi la testa del cliente con mille discorsi ?

Finora mi hai solo coperto di critiche ingiustificate perchè ho reso noto (per l'utilità di tutti) le mie informazioni e la mia esperienza diretta con il virus stuxnet, senza dare nessuna indicazione su come affrontare la situazione in sicurezza, ma vantandoti che a te non sarebbe successo.

Sto ancora aspettando la tua risposta al caso specifico, perchè credo sia interessante per tutti i lettori del forum capire come affrontare tali situazioni di emergenza.

X MUBETA

Il virus si prende al solo inserimento di una chiavetta infetta, sfrutta 4 falle sconosciute di windows, fino alla scoperta dello stuxnet.

Non ho nessun programma craccato sul mio PC di lavoro. La chiavetta mi è stata consegnata dal reponsabile dell'impianto.

Modificato: da biuly
Link al commento
Condividi su altri siti

  • 1 year later...

Topic molto interessante. Discutevo giusto qualche giorno fa coi miei colleghi circa la sicurezza dei pc di supervisione.

Lavoro da qualche mese in una ditta del settore automazione. I nostri pc di supervisione che vengono spediti ai clienti montano sistema operativo Windows XP, due schede di rete di cui una per il collegamento al PLC e l'altra per il collegamento alla rete locale del cliente (connessa a Internet), che serve a noi per il collegamento in remoto tramite software "Teamviewer" per fare assistenza in caso di fermo impianto. Sul pc in questione l'unico sistema di sicurezza è un comune antivirus (Security Essentials), per il resto possiamo solo sperare nell'esistenza di un firewall aziendale e nelle buone abitudini del cliente.

Mi sembra che in questo caso la sicurezza sia abbastanza lacunosa. Questo Teamviewer, ad esempio, che ultimamente vedo usato da molte aziende, offre delle garanzia di sicurezza o rischia di aprire la porta del cliente a qualche simpatico smanettone di qualche parte del globo?

Adesso poi che arrivano pure i virus che infettano il software per PLC, le cose si fanno sempre più complicate...

Link al commento
Condividi su altri siti

A distanza di un anno, di questo "stuxnet" se ne sa un po' di più.

Non si tratta di un virus creato dal solito pirata informatico più o meno bravo (da non confondere MAI con hacker, che è tutta un'altra cosa).

Per la creazione di questo virus è stato messo in piedi un imponente team, formato da tecnici (militari e non) altamente qualificati di almeno due paesi.

Penso si possa anche dire quali sono questi due paesi, tanto non è un segreto per nessuno: Israele e USA.

Obiettivo del virus? Colpire gli impianti iraniani. In particolare, il virus dovrebbe causare un malfunzionamento del controllo delle vibrazioni delle centrifughe (e non stiamo parlando di lavatrici :rolleyes: , ma di centrifughe per la produzione di combustibile nucleare), in modo da arrivare al deterioramento precoce dei cuscinetti. Questa anomalia, a prima vista banale, ha causato gravi ritardi al programma nucleare iraniano.

Il virus, si dice, è studiato in maniera da non danneggiare altri tipi di impianti.

Proprio per l'elevato livello di sicurezza degli impianti bersaglio di questo virus (che non hanno nessun tipo di connessione con l'esterno) come veicolo di infezione si è scelta la chiavetta USB.

Certo, se il virus è entrato, indipendentemente da quale sia la porta usata, significa che da qualche parte c'è stata una falla.

Ma affermazioni come:

La prima regola di sicurezza prevede la tassativa esclusione di scambio di files con sistemi non certificati secondo le procedure di sicurezza.
Quando non si ha la certezza della sicurezza dei dati, e un comune antivirus non da nessuna certezza, si evita lo scambio dei dati. Questa è la prima regola da seguire.

Lasciano il tempo che trovano.

Parole altisonanti che non spiegano però come risolvere il problema, visto che non esiste la sicurezza assoluta che i dati non siano infetti, e non scambiare dati equivale a non lavorare.

La proposta di riscrivere a mano le istruzioni è decisamente inattuabile. O meglio, può essere presa in considerazione se si parla di poche istruzioni, ma non certo di un programma completo.

Anche solo copiare un programma, in base alle dimensioni, potrebbe richiedere da poche ore a mesi.

Inoltre è umanamente impossibile copiare anche solo poche migliaia di righe di codice senza commettere errori.

Questo modus operandi quindi ti metterebbe (forse) al riparo da virus, ma introdurrebbe inevitabilmente degli errori.

Ho scaricato anche programmi usando il mulo, però per queste operazioni uso un PC isolato, prima di trasferire eventualmente il software faccio tutte le verifiche in loco. Solo quando ho la certezza che il software è esente da virus, worm, trojan et similia mi azzardo a trasferirlo.

Cosa vuol dire: "solo quando ho la certezza che il software è esente da virus..."? Cosa ti può dare questa certezza?

Quando trasferisci il file scaricato (ma non solo col mulo, può essere anche un file preso direttamente dal sito ufficiale del costruttore) sull'altro PC, la certezza è svanita.

Questo per almeno due motivi:

1 - puoi controllare il file scaricato con tutti gli antivirus e i programmi antimalware che vuoi, ma un virus come stuxnet un anno fa nessuno te lo avrebbe trovato

2 - anche se il file è pulito, nel momento in cui lo trasferisci da un pc ad un altro, indipendentemente dal mezzo usato, potresti trasferire anche un'infezione.

Quando poi si lavora su un impianto, ci si deve connettere all'impianto. Penso sia difficile trovare un'affermazione più lapalissiana di questa.

Per quanto riguarda il PLC potrei scollegarlo dalla rete ogni volta che invio una modifica. Questo però significherebbe fermare ogni volta l'impianto, e non poter effettuare il debug.

Se poi devo anche interagire col programma di supervisione installato su un PC, la connessione con questo PC è, ovviamente, inevitabile.

A questo punto, io posso e devo prendere tutte le precauzioni del caso, ma nulla mai mi potrà dare la garanzia assoluta di non prendere infezioni.

Insomma, sono pienamente d'accordo sul fatto che molti per le questioni di sicurezza si affidino più alla Divina Provvidenza piuttosto che a strumenti, procedure e buon senso, ma affermare che i virus se li becchino solo quelli che non stanno attenti è assolutamente sbagliato.

Personalmente sono piuttosto attento a queste cose. Talvolta vengo anche bonariamente preso in giro dai miei colleghi per quelle che alcuni definiscono le mie "manie".

Fino ad oggi non ho mai avuto problemi causati da virus o malware in generale, ma sono pienamente cosciente del fatto che le mie precauzioni servono per ridurre quanto più possibile il rischio di infezioni, ma nulla mai potrà portare questo rischio a zero.

Le accuse di scarsa attenzione mosse a "Biuly" (e a chiunque abbia avuto problemi di infezioni), dato che non sappiamo come operi, potrebbero essere vere ma potrebbero anche essere infondate.

Anche sostenere che i problemi di sicurezza colpiscano solo chi installa programmi craccati è un madornale errore.

E' facile dire a chi ha avuto problemi con virus: "Per forza, chissà che siti hai visitato. E poi non stai mai attento quando scambi files". Oppure: "E cosa ti aspettavi: con tutti i programmi craccati che hai installato...".

Questo però può servire ad esorcizzare la paura di rimanere vittime di un virus informatico nonostante le mille attenzioni prese ma, oltre a non essere corretto (non sempre, almeno), non serve ad azzerare il rischio, che rimarrà comunque sempre presente.

Mi piacerebbe leggere la risposta alla seguente domanda di "Biuly":

Dimmi pure la procedura rigorosa e sicura per non prendere virus ignoti e per lavorare all'estero che così la seguo anch'io.

Fino ad ora, non è arrivata. Nulla di applicabile nel mondo reale, almeno.

Non dobbiamo mai dimenticare che l'unico PC sicuro è quello spento.

E questa non è certo una mia affermazione, ma lo dicono tutti gli esperti (quelli veri) di sicurezza informatica.

Link al commento
Condividi su altri siti

e da un po che seguivo la discussione .........e devo dire che avrei postato esattamente quello che ha detto batta .......

Intervento veramente encomiable che mi trova in accordo in toto...

Link al commento
Condividi su altri siti

Nel messaggio #28 affermavo che nulla avrei aggiunto sino ad un'eventuale novità tecnica; ebbene ora c'è una novità tecnica: si sa qualche cosa di più sul famoso virus. Poi sugli autori, sugli scopi effettivi del virus e sui risultati ottenuti, nutro molti dubbi. Mi sa tanto di un'altra leggenda della rete.

Per tornare all'argomento generale delle infezioni.

Se si hanno problemi economici si può cercare di risolverli in differenti modi: giocare all'enalotto, attendere che muoia un parente danaroso che ti ha nominato erede universale, oppure lavorare seriamente per cercare una soluzione praticabile ai problemi.

E' fuor di dubbio che la terza soluzione, oltre ad essere la più faticosa, non da garanzia assoluta di arrivare a buon fine. Però tra l'affidarsi solo alla fortuna e l'impegnarsi nella ricerca di una soluzione reale, statisticamente è la seconda ipotesi quella che ha più probabilità di riuscita.

La medesima metodologia è valida per le infezioni da virus informatici (e non solo informatici).

Non dobbiamo mai dimenticare che l'unico PC sicuro è quello spento.

E questa non è certo una mia affermazione, ma lo dicono tutti gli esperti (quelli veri) di sicurezza informatica.

Affermare che l'unico PC al sicuro da infezioni virali sia un PC spento non è esatto; è sufficiente che il PC in questione non abbia alcun tipo di scambio di dati. La condizione è difficile da attuarsi, poco pratica, ma non impossibile.

Poi non bisogna dimenticare che spesso i cosidetti esperti di sicurezza informatica, sono i medesimi che diffondono infezioni e paure, altrimenti verrebbe meno la loro funzione.

Invece è innegabile che se si deve lavorare lo scambio dati sia obbligatorio.

Un modo assolutamente sicuro per scambiare i dati non esiste, almeno allo stato attuale delle conoscenze.

Dimmi pure la procedura rigorosa e sicura per non prendere virus ignoti e per lavorare all'estero che così la seguo anch'io.

Questa è una domanda idiota o stupidamente provocatoria.

Non esiste una risposta univoca, una sorta di pozione magica che ti mette al sicuro.

Però esistono metodologie e protocolli operativi che diminuiscono il rischio da infezione.

Esistono tanti piccoli accorgimenti, tante verifiche (non solo informatiche), molta fatica e...rottura di scatole; la somma di tutto questo ti da un buon grado di protezione. Questo è un caso simile a quello dei sistemi di allarme: se si vuole entrare si entra, l'importante è far si che il gioco non valga la candela, o almeno che le difficoltà siano superiori all'eventuale ricavato.

Forse io sarò particolarmente fortunato ma, cercando di lavorare con un poco di attenzione ed accortezza, in almeno venti anni di lavori sul campo non ho mai avuto un PC infettato. Come ho fatto? Bhee i metodi, in generale, li ho elencati in precedenza e non starò a ripeterli.

La condizione di principio è che non mi sono mai affidato ne alla Divina Provvidenza, ne alla fortuna.

Forse sarà il carattere ursino, sospettoso per natura, che mi ha aiutato però rimane il fatto che non ho mai subito infezioni.

Modificato: da Livio Orsini
Link al commento
Condividi su altri siti

Onestamente però sembra un pò improbabile che per un impianto di tale importanza strategica abbiano impiegato il sistema operativo più attaccato del mondo e il software commerciale per PLC più diffuso al mondo.

Non credo che gli iraniani siano così sprovveduti.

Link al commento
Condividi su altri siti

Non credo che gli iraniani siano così sprovveduti.

Soprattutto sono così sospettosi, specialmente per quel tipo di progetto, da sconfinare nella paranoia.

C'è però da non dimenticare che la tecnologia è stata ceduta dai russi che, per l'automazione industriale, si appoggiano molto a quella nota multinazionale germanica.

Link al commento
Condividi su altri siti

Volutamente Anonimo

Se posso dire la mia. . ma proprio a livello OT, e con un po' di atteggiamento paranoico.

Secondo me se qualcuno voleva far fuori qualche centrifuga e' piu' probabile che:

a) infiltrare e/o pagare qualcuno all'interno

b ) contemporaneamente creare un virus un po' complesso che si propagasse un po' solo per proteggere il "qualcuno".

Che non investire in un sistema che discriminasse il sw in base all'uso e operasse solo danneggiando le centrifughe.

IMHO

Link al commento
Condividi su altri siti

Onestamente però sembra un pò improbabile che per un impianto di tale importanza strategica abbiano impiegato il sistema operativo più attaccato del mondo e il software commerciale per PLC più diffuso al mondo.

Non credo che gli iraniani siano così sprovveduti.

Non è questione di "essere sprovveduti". Semplicemente, chi pensa che Windows e Siemens siano usati solo per i videogiochi e per le luci del presepio, è sulla cattiva strada.

a) infiltrare e/o pagare qualcuno all'interno

E chi dice che non sia stato fatto? Il sistema in questione, proprio per motivi di sicurezza, non è connesso in nessun modo col mondo esterno. Il virus è entrato da una chiavetta USB infetta.

Chi ha introdotto questa chiavetta?

Che non investire in un sistema che discriminasse il sw in base all'uso e operasse solo danneggiando le centrifughe.

Sembra un guasto banale. Invece ha creato grandissimi problemi.

Un virus più "cattivo" sarebbe stato scoperto subito. Avrebbe creato danni forse maggiori ma, una volta scovato e debellato tutto sarebbe ripartito a pieno regime.

Questo virus invece è rimasto nascosto per lungo tempo, e la precoce moria di cuscinetti non sembrava causata certo dal software.

Insomma, il virus è stato studiato attentamente e da personale altamente qualificato non solo per il modo di propagazione, ma anche relativamente al danno che doveva causare.

Link al commento
Condividi su altri siti

Volutamente Anonimo

Ciao Ivan, forse non mi sono spiegato bene.

Volevo dire che secondo me e' piu' probabile che il virus sia stata una "copertura" per proteggere quell'operatore che "materialmente" ha modificato il SW per distruggere le centrifughe.

Ovvero: ho una persona "interna" in grado di danneggiare il sistema.

b ) creo un virus per depistare le indagini.

Link al commento
Condividi su altri siti

  • 5 months later...

Buongiorno a tutti,

penso possa essere di interesse il video di Langner relativo all'architettura di Stuxnet (comprese db e fc) ricavata attraverso un'attività di reverse engineering. Il collegamento con la struttura delle centrifughe dell'impianto iraniano è notevole. Interessante (o provocatoria?) la proposta di rendere di sola lettura l'Immagine di processo degli ingressi.

Saluti,

Andrea

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
×
×
  • Crea nuovo/a...