Агенство Reuters опубликовала информацию о том, что спецслужбы США планировали нацелить вредоносное ПО схожее с червем Stuxnet на ядерные объекты Северной Кореи, как они это уже делали пять лет назад в случае с Ираном. Предполагалось, что при попадании на компьютер, вредоносная программа будет активироваться только в случае обнаружения настроек корейского языка в системе. Специалистов по развертыванию вредоносной программы постигла неудача, поскольку им не удалось получить доступ к основным компьютерам, задействованным в ядерной программе.
Речь идет о том, что сеть таких главных компьютеров является изолированной и в ней используется специальная архитектура, что существенно препятствует проведению кибератаки. Северная Корея имеет одну из самых закрытых коммуникационных сетей в мире, на использование сети Интернет также налагается табу, за исключением некоторых высокопоставленных чиновников.
Однако, у ядерных объектов Северной Кореи и Ирана есть сходства, которые позволили бы адаптировать Stuxnet для кибератак и на объекты Северной Кореи. В частности, для этих объектов используется схожее ICS ПО Siemens AG, которое функционирует в ОС Windows.
Like Iran, North Korea probably directs its centrifuges with control software developed by Siemens AG that runs on Microsoft Corp's Windows operating system, the experts said. Stuxnet took advantage of vulnerabilities in both the Siemens and Microsoft programs.
Речь идет о том, что сеть таких главных компьютеров является изолированной и в ней используется специальная архитектура, что существенно препятствует проведению кибератаки. Северная Корея имеет одну из самых закрытых коммуникационных сетей в мире, на использование сети Интернет также налагается табу, за исключением некоторых высокопоставленных чиновников.
Однако, у ядерных объектов Северной Кореи и Ирана есть сходства, которые позволили бы адаптировать Stuxnet для кибератак и на объекты Северной Кореи. В частности, для этих объектов используется схожее ICS ПО Siemens AG, которое функционирует в ОС Windows.
Like Iran, North Korea probably directs its centrifuges with control software developed by Siemens AG that runs on Microsoft Corp's Windows operating system, the experts said. Stuxnet took advantage of vulnerabilities in both the Siemens and Microsoft programs.
Color
Ну так корейцы то не дураки, делать стратегическую сеть с прямым выходом в интернет
Jeditobe
Stuxnet передается через флешки.
Color
Видимо, и порты залочены :)
Как на заводе
Dywar
Людей не залочить. Не продаются видать жители, и подкопать нечем было.
UrbanRider
У нас, например работает белый список софта на компьютерах, и также белый список портов на пользовательских компах и серверах. На флешки пофиг, хотя и они тоже не работают без предварительной регистрации.
den_rad
SRP?
IRainman
Скорее всего у них SRP для запрета запуска из папок куда пользователи писать могут + AppLocker вторым слоем для проверки подписи и контрольных сумм для ограничения набора софта. Но могу ошибаться ибо
явное «кхм» поскольку белый список портов это бессмысленное закручивание гаек совсем не в том месте и со всеми вытекающими последствиями в виде проблем в эксплуатации, иллюзии безопасности сети и т.д…
VenomBlood
А люди то в таких условиях работают? На положении рабов.
UrbanRider
Я с вами не согласен, люди должны работать, а не вконтактики смотреть, хотя у отдела связи с общественностью доступ к социалкам есть.
VenomBlood
Люди должны работать в человеческих условиях. Если я хочу вконтактик зайти, или на хабр, или котят посмотреть отвлечься — не надо мешать, к людям должно быть человеческое отношение.
Может для гостайны можно сделать исключение, но там и платить должны соответственно. А в «ООО «АНТ-Информ» Адлерское отделение.», которое у вас написано, гостайта вряд ли есть.
UrbanRider
Вы посмотрите, что это ооо обслуживает и поймете, что там все есть.
VenomBlood
hh.ru/employer/29304
Не вижу что там есть. Обычная шаражка. Стоимость данных «корпоративной тайны» в разы (скорее на порядки) меньше чем в крупных международных компаниях (Google, Facebook, Amazon и т.д.), которые ограничиваются базовой фильтрацией малвари по блеклистам (и да, вконтактики там открыты и никто не придирается).
Тут вопрос простой. Произвольный человек (сотрудник), у которого флешки не работают и вконтактик заблокирован — подписывал допуск к гостайне? Нет?
UrbanRider
Ну даже не знаю, эта шаражка одна из крупнейших ИТ компаний страны.
VenomBlood
1000 человек? Одна из крупнейших? Ну может в ТОП 1000 входит, если вы об этом.
И вообще как это влияет на идиотские меры по издевательству над работниками? Есть компании в которых в 100 и в 200 раз больше человек чем у вас и они не страдают подобным. Есть компании чья капитализация превышает вашу на порядки — и они опять же не страдают подобной фигней. Есть компании стоимость некоторых объектов корпоративной тайны которых больше чем вся капитализация этого «ант-информа», и все равно — так подобным не страдают. Шарага в первую очередь по организации рабочих процессов.
IRainman
Есть такая штука как физиология и её надо учитывать. Человек не машина и не может непрерывно находиться в постоянной концентрации в течении даже пары-тройки часов подряд, не говоря уж о рабочем дне или, тем более, 12 часовой, или как у врачей — суточной, смены. Мозг будет лажать, часто незаметно для человека, но будет и это поведение сознательно не регулируется никак. Когда мозг находится в напряжении больше положенного он просто вырубается и начинает заниматься очисткой тканей от продуктов собственной жизнедеятельности. В качестве аналогии можно привести процессор который начиная перегреваться включает троттлинг пропуская всё большую часть тактов, а потом и вовсе аварийно выключается и не включается до тех пор пока не остынет до приемлемой температуры.
Так вот, не давая людям переключить внимание и (или) отдохнуть получается как раз перегревающийся из-за намеренного выключенного охлаждения процессор. При периодическом переключении внимания доказано, что мозг работает лучше, вплоть до очевидных для всех моментов вроде того, что начинают мгновенно решаться задачи, которые до переключения внимания в течении долгого времени вызывали ступор.
Не обращать внимания на такие факты это самое настоящее издевательство над людьми ну и вообще преступная халатность ибо внимание у уставшего человека будет расфокусировано и он может пропустить что нибудь важное, произойдёт это не специально, а просто потому что мозг пофильтрует мимо ушей (глаз или другого органа) часть информации ибо частично будет уже «спать», хоть человек при этом и будет находиться в сознании.
По опыту и не только собственному рекомендую во время обеденного перерыва людям подремать примерно 15 минут. Время надо подбирать индивидуально, самое главное не превысить порог после которого дрёма проскакивает из фазы быстрого сна в глубокий ибо после него мозг корректно разбудить получается лишь через несколько часов, так что на дрёму обязателен будильник. По хорошему такие перерывы стоит делать и чаще, т.е. по мере надобности и реальной усталости. Это реально помогает, даже в условиях активного мозгового штурма после такого перерыва как новенький. Отдельно отмечу что такие перерывы это точно не замена полноценного ночного сна ибо глубокой очистки тканей за короткий период не получится, но в условиях напряжённой работы уж лучше немного отдыха чем ничего.
Всё это я к тому, что если пытаться бороться с физиологией и (или) другими способами уничтожать комфортные для работы условия то производительность труда будет неуклонно падать, а, что пожалуй ещё хуже, количество неосознанных ошибок будет расти. К сожалению, в нашей стране, очень малое число руководителей понимает это, ну а результаты этого допущения (что человек машина и может с 9 до 18 работать равномерно и одинаково эффективно с перерывом в один час) всем известны: по стране производительность труда одна из самых низких на шарике, при этом всем всё влом и всех надо ходить пинать.
P.S. Уж если драконовские меры применяете, то хоть на Ауру (звуковая атмосфера леса) обратите внимание и внесите софт в список разрешённого ПО ;)
IRainman
И как оно, помогает? Аудиты безопасности что показывают? Каким образом эта схема помогает защитится от уязвимостей софта и ОС, например, или от явно целенаправленных атак, например, внутрисетевых?
Сеть с критичными данными у вас целиком зашифрована? Это довольно распространённое, эффективное и простое для конечного пользователя решение, т.е. подключение только через VPN по ключам *, иначе блок любых внешних соединений на терминале.
* по ним же и авторизация пользователя на машине идёт, что бы без паролей и логинов весь доступ был.
И ещё вопрос: сеть с интернетом для обычной работы и сеть для работы с критичными данными это хоть разные сети? Ибо всё описанное закручивание гаек крайне сомнительно на машинах для обычных работ, на прямую не связанных с работами непосредственно с критичными данными… ну а работники
будут работодателя тихонько ненавидеть и мститьуйдут в итоге работать в место где к ним относятся с уважением, а не содержать на работах в концлагере.На полном серьёзе и без всякого сарказма спрашиваю ибо мой опыт за многие годы (ох, только сейчас понял, что опыту уже 11 лет) показывает, что бюрократия и странные, но драконовские меры в организациях обычно свидетельствуют о том, что реальных мер по обеспечению безопасности нет совсем.
UrbanRider
Описанное мной — только дополнительная защита обычной пользовательской сети.
Технологические сети ограждаются отдельными устройствами сетевой защиты, которые не видны в сети, и могут фильтровать трафик на 7 уровнях, зеркалируя его на сервера анализа атак.
Более того в технологическом сегменте работают только сертифицированные ФСТЭК Windows и такие же CISCO.
Более того на внешних каналах связи в разрыв установлены зеркалирующие устройства ФСБ, которые зеркалируют трафик на ФСБшный сенсор. При определении подозрительного трафика сенсор направялет автоматом в региональный центр ФСБ подозрительный трафик, который обрабатывает оператор, определяет угрозу и сообщает на электростанцию.
Это звучит удивительно, но уже были случаи, когда операторы звонили и сообщали о наличии троянов в пользовательской сети, которые антивирус не видел.
После последнего обращения мы и включили белые списки на софт и брандмауэр.
И да, из работников никто не уходит.
Есть конкретная политика по разрешенным приложениям, распространенная на все филиалы.
IRainman
Здорово, т.е. получается, что у вас там для критических данных всё таки огороженная от внешнего мира сеть с доп. защитой на основе DPI между участками. Тогда всё хорошо. Рад слышать, что за безопасностью электростанций следят.
это как раз не удивительно, ни один антивирус не даёт полной защиты, особенно если зараза какая нибудь очень хитрая и ранее не применялась, то на неё даже эвристика в антивирусе может не среагировать если конечно зараза не будет вести себя совсем уж нагло.
Проблема для особо значимых в плане безопасности объектов в том, что на них устраиваются целенаправленные атаки. Т.е. антивирус тут в первую очередь ещё одна прослойка для защиты от глупости в действиях простых людей но уж точно никак не панацея, а вот уже комплекс мер и специализированного ПО со сложной эвристикой на разных слоях и с барьерами на разных уровнях значительно увеличивает шансы если не на полное предотвращение, то на своевременное обнаружение проблемы. В том числе там внутри будет, местами, и ручной труд.
К сожалению, до изобретения полноценного ИИ человека из надсмотрщиков над поведением сложных систем исключить не получится. Собственно это даже не безопасности касается, а скорее вообще ремарка, о том почему большинство операторских мест автоматизировать без ИИ не выйдет.
Dimusik
Просто там человек стоит дешевле чем копия виндоус. Чуть что — из зенитки расстреляют.
UrbanRider
Нет, людей ценят и обучают за дорого. Много плюшек. Зарплата достойная и все делают свое дело. Но от людей требуют работать. Лично я не жалуюсь.
den_rad
Иранцы тоже так думали )
IRainman
Не понимаю я всей этой ситуации. Банальный SRP на Windows не позволяет запускать ничего из любых мест, которые явно не разрешены. На Linux, по идее, всё ещё проще из-за прав доступа на исполнение, которые просто-юзер без админских прав поменять не может.
HunterSpy
Встает вопрос сколько надо заплатить и гражданство какой страны надо предложить админу чтоб он/она пришла на работу с «нужной» флешкой?
Dywar
Один из способов обхода (конь в вакууме определенно):
Пользователь может изменить значение переменной окружения для одного процесса, например %programfiles% через cmd.exe. И если это прокатит, то запуск программ будет разрешен с указанного в команде места, и если запуск будет из этого же экземпляра cmd.exe. (Права администратора не требуются.) Не сработает для Applocker, и если путь задан с использованием %programfiles%.
Второй (конь). Быстро освежил в памяти что такое SRP, и что частенько советуют изменить правила для расширения *.lnk. Способ обхода:
SRP не отличает файлы от фолдера, создается папка в конце имени которой .lnk и все что внутри этой папки сможет запустится. (странные настройки для ярлыков надо сделать :D)
IRainman
В том то и дело, что в отношении пункта 1 всё огорожено ибо
в командной строке как переменная окружения для текущего сеанса консоли это не тоже самое, что используется в SRP:
и никак иначе поскольку SRP работает со значениями реестра. Это я к тому, что
на самом деле никогда не сработает :)
В отношении пункта 2 проблема тоже придумана, вот для примера запрос к живой системе, расширение lnk в конфигурации из обработки исключено и разрешён их запуск отовсюду, однако:
Ну и да, это ведь базовая и уже везде обмусоленная, со времён XP точно,
Пуск > Выполнить > gpedit.msc > Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики ограниченного использования программ
Прямо на разделе в контекстном меню выбираем «Создать политику ограниченного использования программ»
В разделе «Дополнительные правила»:
Укажите минимальный список необходимых путей, что бы у пользователей всё работало, но при этом соблюдался запрет на запуск из директорий, к которым пользователи имеют доступ на запись:
Неограниченный
Неограниченный
Запрещено
Запрещено
Для 64х разрядных редакций необходимо добавить ещё два дополнительных пути, это необходимо для корректной работы 32х битных приложений:
Неограниченный
Неограниченный
В настройке «Применение» выбрать:
ко всем файлам программ
всех пользователей
игнорировать правила сертификатов
В настройке «Назначенные типы файлов»
Удаляем расширение LNK,
и добавляем расширение SCF
IRainman
Упс, не всё из документика скопировал:
Устанавливаем «Запрещено» по умолчанию
Dywar
Подтверждаю, спасибо.
У меня Home проверить не мог то что нагуглилось, поборол лень, и на виртуалке протестил.
Оба варианта не срабатывают на Windows 7 (неактивированная копия) которая не обновлялась 3-4 года, хотя статья с перечисленными техниками датировалась 2012 годом.
Надо хост до Про обновить, когда доллар похудеет. Или может акция за 469 рублей еще раз мелькнет к выходу 10 :)
Dywar
Потратил еще чуток времени, воспроизвел ошибку с *.lnk, когда путь в правиле задан «C:\Users\*\Desktop\*.lnk» и программу нашел не из стандартных Windows.
Так что доля правды есть, тестить надо дольше и усерднее.
IRainman
Да, так и есть, расписал ниже :) С такими путями в правилах будут проблемы! Надо писать:
вместо
А правило lnk из выполняемых разумнее просто удалить для устранения потенциальных проблем ибо на безопасность ссылки проверяются совсем другими методами.
IRainman
Упс, ссылку не на ту часть дал, вот правильная с цитатой.
Да, сегодня у меня с внимательностью какая то лажа :(
IRainman
Не за что. Собственно всё, я нашёл статью с этой фразой, аж от 13 мая 2009 г., но там о другом совсем! :)
Т.е. человек сознательно разрешает сферически вакуумный путь со звёздочкой и на что то жалуется :) Ведь SRP работает с путями и это везде абсолютно написано, а значит звёздочка означает, что угодно в том куске пути.
UrbanRider
Проблему можно решить, отказавшись от SRP в пользу обработки запуска приложений антивирусом. Тот же Symantec умеет. И ему все равно откуда запускается приложение.
IRainman
Эх, было бы средство полегче для этих целей, а то городить антивирус взамен SRP как то совсем не хочется ибо это стрельба из пушки по воробьям.
UrbanRider
А потом этому приложению надо что-то сунуть в сеть, а там тоже белый список.
pandas
Сегодня проскочила новость о том, что 20% военного бюджета режима Чучхе уходит как раз на кибер-войнов, которые вполне себе успешно разрабатывают схожее со Stuxnet оружие. И судя по всему у них это даже получается. Во всяком случае явно лучше, чем летать на солнце :-)
qw1
Против кого они воюют? Есть примеры успешных нападений?