מומחי אבטחה שבחנו את תולעת Stuxnet שהתגלה במערכות שליטה ובקרה באיראן מעריכים כי מאחוריו עומדת מדינה, שתכננה לפגוע במטרה בעלת חשיבות גבוהה ביותר

התולעת שזכתה לכינוי Stuxnet התמקדה במיוחד במערכות של שליטה ובקרה מרחוק של תשתיות מתוצרת חברת סימנס. המערכות המדוברות (המכונות SCADA, ראשי תיבות של Supervisory Control and Data Acquisition) משמשות לניהול מרחוק של מערכות כמו חשמל, מים, גז ומתקני נפט .

לנגנר מציין עוד כי "ההתקפה משלבת המון ידע - רק תחשבו על השימוש בכמה פרצות שעדיין לא תוקנו (0Day), הרשיונות הגנובים וכו'. ההתקפה הזו נוצרה בידי צוות של מומחים מהשורה הראשונה, כולל כמה עם ידע ספציפי במערכות שליטה ובקרה. לא מדובר באיזה האקר שיושב במרתף של בית הוריו. לי נראה שהמשאבים הדרושים לבצע את ההתקפה מצביעים על מדינה". לנגנר ציין עוד כי היה מדובר בנשק לשימוש יחיד, וכי יוצריו לא חששו ממאסר.
http://www.haaretz.co.il/hasite/spages/1190342.html

התולעת נפוצה בכל העולם אך 60% ממקרי ההדבקות היו באירן

החוקר לנגר מתאר את ההתקפה כ"התקפת המאה"! ! ! הוא טוען גם שהקוד המסכל נשלח לפגיעה חד פעמית, וכדאי לצפות למשהוא גדול שיתפוצץ בקרוב, הרחבה ופרוט בקישור:
http://www.langner.com/en/index.htm

ציטוט ישן עם גילוי התולעת:
לדברי שון מק'גורק, מנהל מערכות האבטחה והשו"ב במשרד להגנה על תשתיות לאומיות בארצות הברית (US Department of Homeland Security), "הכרנו עד כה נוזקות המנסות להשתלט על מערכות מיחשוב של ארגונים, כדי לדלות מהן מידע. זו הפעם הראשונה שבה זוהה קוד זדוני, שמצליח לתקוף רכיבים פיזיים במערכות, לפתוח ולסגור דלתות. ההאקרים לא מנסים לפרוץ רק שורת קוד אחת או תריסר, אלא מנסים להגיע לרכיבים שמייצרים או מנטרים את כל תהליך הייצור".
http://www.pc.co.il/?p=38095

כבר הוכח (בניסויים שנערכו בארה"ב - אם אני זוכר נכון) שוירוסים וקוד זדוני בהחלט יכול לגרום לנזק פיזי לתשתיות, וכפועל יוצא גם לנזקים חמורים ביותר למדינות...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

-ניתוח: המדינות הבלעדיות המסוגלות לתכנת "טיל סייבר באיכות צבאית" שכזה, ארה"ב וישראל, גם הסיבות מצביעות עליהם,
-קוד זדוני קדום שנשלח בידי הCIA ליירוט מתקן סובייטי בשנות ה80
http://www.calcalist.co.il/internet...3418420,00.html

ציטוט:

במקור נכתב על ידי דאגלאס -ניתוח: המדינות הבלעדיות המסוגלות לתכנת "טיל סייבר באיכות צבאית" שכזה, ארה"ב וישראל,

לא ידעתי שהרוסים, הסינים, הצפ"קים ואפילו האירופים יצאו לפנסיה...

מר רוג - כי החיים קצרים מדי לשמות מלאים

יש לך משהוא נגד ניגריה שלא צרפת אותה למועדון הסייבר שכל ילד-סקריפטים חבר בו?
הנ"ל מדברים על ניתוח הקוד ויכולותיו, עושה רושם מהרחישות ברשת שמאוד התלהבו מהיכולות שלו

אין לי ספק שהקוד מתקדם ויכולותיו מרשימות.

זה לא אומר שישראל וארה"ב הן היחידות שיכולות לפתח משהו כזה. הרוסים, הסינים והצפ"קים משקיעים הרבה בלוחמת סייבר ויכולותיהם בתחום מעולות...

מר רוג - כי החיים קצרים מדי לשמות מלאים

על-סמך מה אתה אומר את זה?
97% ממה שאומרים בתחום הזה ה'מומחים' הגדולים הוא שטויות ואגדות. אז חבורה של האקרים רוסים הפילה 4 וחצי אתרים באסטוניה. זו ההוכחה הגדולה?

ציטוט:

במקור נכתב על ידי MS_Rogue אין לי ספק שהקוד מתקדם ויכולותיו מרשימות. זה לא אומר שישראל וארה"ב הן היחידות שיכולות לפתח משהו כזה. הרוסים, הסינים והצפ"קים משקיעים הרבה בלוחמת סייבר ויכולותיהם בתחום מעולות...

ואני מתכוון להאקרים. כל ילד זב חוטם יכול להוריד שורה של כלים אוטומטיים שחלקם יכול לגרום נזק אדיר למחשב המותקף.
אבל לקרוא לזה התקפה או להם האקרים זו הגזמה.
כל עוד רוסיה לא תפתח תעשיית מחשב משלה, מערכות הפעלה, שפות תכנות וכו', ותסממך על כלים שפותחו במערב - היכולות שלה יהיו מוגבלות למדי, ואפשר בקלות למנוע ממנה את היכולות הללו.
כאן - לפי המתואר- מדובר על משהו אחר לגמרי.
אם מישהו הצליח להשתלט למשל על מערכת שעושה ניטור של רכיב מסוים בכור או במפעל, ויכול להשבית אותו או לשבש אותו - ההשלכות יכולות להיות מסמרות שיער ממש.
שתילת קוד זדוני במחשב מאחר פירושה בד"כ קבלת הרשאות ברמת root או admin כה או אחר. משמע - התהליך הזדוני רץ באותה רמת הרשאות שרצים תהליכים קריטיים ומערכת ההפעלה עצמה.
זה, בשילוב עם ידיעת פרצות שונות במ"ה וברכיבי התוכנה שרצים שם, ובשילוב ידיעת הארכיטקטורה של מערכות בקרה בזמן אמת למשל, יכול להיות חומר גלם ליצירת קוד זדוני באמת, כולל אפשרות של שתילת פצצות לוגיות והשארת דלתות אחוריות לרוב. אם מישהו עשה משהו אפילו דומה - האיראנים בצרה צרורה כי הם לא יכולים להיות בטוחים שהמערכות שלהם נקיות. ויותר מזה: הם ייאלצו לנתק רשתות זו מזו ולמעשה להשבית תהליכים שלמים, כדי למנוע התפשטות התולעת והדבקת מערכות נוספות.

למה לכתוב על משהו שאתה במובהק לא ממש מבין בו?

ציטוט:

במקור נכתב על ידי hellfrost למה לכתוב על משהו שאתה במובהק לא ממש מבין בו?

לא עצבנת אותי, זה בסדר...

אין שום צורך ב'הוכחות' וב"בניסויים שנערכו בארה"ב" (שממילא לא ברור מהן ומה הערך שבהן).
מספיק לנתח את הקוד ש-Stuxnet משנה ב-PLC של סימנס, ולראות מה הוא עושה. בינתיים לא קבעו סופית מה הוא עושה בדיוק, אבל להתעלם משגיאה זה כנראה לא דבר טוב.

http://www.langner.com/en/index.htm

http://www.symantec.com/connect/blo...fection-process

בוודאי שאין צורך, אני רק ציינתי עובדה.
אני אפילו זוכר בזמנו שראיתי תוכנית ב-National Geographic על הנושא, ושם בניסוי המדמה תחנת כוח אמיתית, על גנרטור מסוג הנפוץ בתחנות כוח - בעזרת וירוס, הצליחו לגרום לו לעומס יתר, ואפילו עקפו את מנגנוני ה-fail safe שלו, והגנרטור ממש התפוצץ (צילמו אותו תו"כ הניסוי).
אאז"נ הציגו זאת בעיקר לאור העובדה שיש מדינות שתשתיות חיוניות שלה כלל לא מוגנות בפני תקיפות כאלה (למשל ברזיל), ובמקרה ותהיה התקפה כזו עליהן הן עלולות להינזק בצורה עצומה...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

מסתבר שגם לגנרטור מNG שלום... כל האפקטים שם הדמיות וביצועים ממוחשבים. למה להרוס אם בכמה דקות אתה מגיע לתוצאות זהות בתוכנות שונות. כמו כן אם ידוע לך על אף חצאי מידע מאותו סרט, אשמח אם תשתף אותי. לצורך זיהויו.

לזה התכוונת?
"National Geographic Explorer" Electronic Armageddon (2010) יוני 2010
http://www.imdb.com/title/tt1676709/

איראן מודה בהתקפה, אך הקישור מת מיד.
Iran successfully battling cyber attack‏ - Tehran Times‏
http://www.tehrantimes.com/index_View.asp?code=227332

הרחבה טכנית מפורטת ועדכונים נוספים
http://www.wired.com/threatlevel/2010/09/stuxnet/
הנה חלקם:
- ציטוט מYNET לפני שנה (רק במהדורה האנגלית ?!) מאת בכיר בקבינט לשעבר שהדרך הנראית לעצירת איראן היא דרך לוחמת סייבר
- WikiLeaks בניגוד לשגרתו האחידה, מפרסם מידע על תאונה בנתאנאז שמחמתה כנראה התפטר ראש ארגון האנרגיה האוטמית באיראן
- ספקולציות על נתאנז ולא בושהאר
- 2 רשיונות אבטחה דגיטאליים גנובים מעובדים טיוואנים, (ריצ'ארד סילברסטיין מנסה השערה חדשה: הסינים עומדים מאחרי הכל)
- גודל הוירוס חצי מגה, ובניגוד לדעות קודמות, הוא תוכנן לעדכן את עצמו דרך האינטרנט (P2P), דו"ח מלא על יכולות הוירוס תשחרר סימנטק ב29 לספט',

ריצ'ארד סילברשטיין מדבר כ"כ הרבה שטויות בבלוג שלו, שחבל בכלל להתיחס למה שהוא כותב.
מספיק אם תקרא את מה שהוא כותב על הדרך שבה הושמד המכ"מ הסורי ב 2007.
קשקשן חסר תקנה.

ציטוט:

במקור נכתב על ידי פסטן אין שום צורך ב'הוכחות' וב"בניסויים שנערכו בארה"ב" (שממילא לא ברור מהן ומה הערך שבהן). מספיק לנתח את הקוד ש-Stuxnet משנה ב-PLC של סימנס, ולראות מה הוא עושה. בינתיים לא קבעו סופית מה הוא עושה בדיוק, אבל להתעלם משגיאה זה כנראה לא דבר טוב. http://www.langner.com/en/index.htm http://www.symantec.com/connect/blo...fection-process

עם מאמץ אירני כזה, ולכל הפחות לא תתלהב לעשות כן, בלחץ הסנקציות.
האירנים ייאלצו להסתדר לבדם, אם הסיפור הזה נכון.
וזה לא ממש פשוט, כידוע. דבר אחד הוא לתפעל מערכת בקרה באמצעות מסכי שליטה וכו' שסימנס נותנת בידיך ומאמנת את אנשיך.
דבר אחר לגמרי הוא לנתח קוד מקור, ולנסות לדוג מתוכו קוד זדוני. את זה רק סימנס לבדה יכולה לעשות...
וזה יכול לקחת חודשים או שנים, תלוי במידת החשק שלהם.
אם אכן התולעת מתוחכמת מאד, אני מניח שהיא לא סתם תכונתה לעשות רעש, אלא לגרום להשבתת מערכות שלמות ולו מ"חמת הספק": אם יש ספק- אין ספק..משביתים מערכת. בהנחה שיציליחו לתקן אותה- וזה לא בטוח - ייקח הרבה מאד זמן עד שיסיימו הבדיקות שלה. יצטרכו לעשות הרבה מאד בדיקות, והוכחת הבטיחות של הקוד תהיה קשה מאד, אם יוכח שהוא זוהם.
זו משימה בלתי אפשרית כמעט כשמדובר במיליוני שורות קוד שהקוד הזדוני יכול להימצא בכל מקום כמעט.
אני בתור מנהל מערכת הייתי משבית מיד הכל בסביבה שנפגעה או חשודה בזיהום, ומנסה לקבל את הסורסים של היצרן ולעבוד איתו צמוד.
וגם זה לא בטוח...אם עשו שינויי גרסה, העלאות גרסה וכו' - ההשוואה הזאת תהיה מסובכת מאד.
בקיצור- הרבה מאד שערות לבנות למנהלי מערכות שם, אם מה שפורסם זה נכון. והלוואי שזה נכון.
צריך להיות מיטומטם גמור בשביל להעלות כור גרעיני ל- production, כמו שהם מתכננים לעשות, כשאתה יודע ברמה גבוהה של ודאות שאולי הקוד של מערכות הבקרה שם מזוהם.

לא צריך ניסוי, כל מי שאיי פעם היתה לו תקלה במחשב ברכב, מבין את המשמעות המאוד פיזית שיכולה להיות לתקלה באותו מחשב.

...כי אין כל נזק למערכות שלהם והם פשוט שיגרו עוד בלון בכדי להרדים את העולם:

http://en.alalam-news.com/node/262765

"בניתי לי בית ונטעתי לי גן במקום זה שביקש האויב לגרשנו ממנו בניתי את ביתי, כנגד מקום המקדש בניתיו. כדי להעלות על ליבי תמיד את בית מחמדנו החרב...."
(ש"י עגנון - חתן פרס נובל)

אשרי אדם שיכול לתת מבלי לזכור זאת כל הזמן, ולקבל מבלי לשכוח אף פעם

לסלוח לרוצחים - זה תפקידו של האלוהים.
תפקידנו - זה לארגן להם פגישה

אנו לא בוכים, דואגים שאמהות שלהם יבכו

ציטוט:

במקור נכתב על ידי האזרח ...כי אין כל נזק למערכות שלהם והם פשוט שיגרו עוד בלון בכדי להרדים את העולם: http://en.alalam-news.com/node/262765

ייקח חודשים ואולי שנים לתקן את הנזק. זה מחייב התקנת הקוד המקורי מחדש, בדיקות וכו'. וזה לוקח הרבה זמן במערכות זמן אמת. האיראנים גם לא ממש מצויידים לעשות את זה כי אין ביד קוד המקור, וסימנס לא תתלהב לנדב אותו.

אם יש ספק קל שקוד בקרה של מערכת זמן אמת זוהם למשל - צריך להיות מטומטם גמור בשביל להפעיל אותה. ואולי זאת המטרה האמיתית של מפתחי התולעת- לזרוע ספקות וחוסר בטחון.

ציטוט:

במקור נכתב על ידי שטורס אם יש ספק קל שקוד בקרה של מערכת זמן אמת זוהם למשל - צריך להיות מטומטם גמור בשביל להפעיל אותה. ואולי זאת המטרה האמיתית של מפתחי התולעת- לזרוע ספקות וחוסר בטחון.

אם אני הייתי במקום הפרסים, הייתי מוכיח לכל העולם שאין כל תולעת ומפעיל את הכור על אפם וחמתם של הציונים...

"בניתי לי בית ונטעתי לי גן במקום זה שביקש האויב לגרשנו ממנו בניתי את ביתי, כנגד מקום המקדש בניתיו. כדי להעלות על ליבי תמיד את בית מחמדנו החרב...."
(ש"י עגנון - חתן פרס נובל)

אשרי אדם שיכול לתת מבלי לזכור זאת כל הזמן, ולקבל מבלי לשכוח אף פעם

לסלוח לרוצחים - זה תפקידו של האלוהים.
תפקידנו - זה לארגן להם פגישה

אנו לא בוכים, דואגים שאמהות שלהם יבכו

עוד לא מוכיחים, אבל טוענים שאין נזק משמעותי.

http://www.ynet.co.il/articles/0,7340,L-3959912,00.html

לדעתי, המערכת שלהם סגורה (לא כמו אצלנו) אי אפשר לגלוש לאינטרנט, אי אפשר להוריד לדיסק או DISKONKEY, לכן הם מוגנים הרבה יותר ורק הציונים מפיצים שטויות כאלה...

"בניתי לי בית ונטעתי לי גן במקום זה שביקש האויב לגרשנו ממנו בניתי את ביתי, כנגד מקום המקדש בניתיו. כדי להעלות על ליבי תמיד את בית מחמדנו החרב...."
(ש"י עגנון - חתן פרס נובל)

אשרי אדם שיכול לתת מבלי לזכור זאת כל הזמן, ולקבל מבלי לשכוח אף פעם

לסלוח לרוצחים - זה תפקידו של האלוהים.
תפקידנו - זה לארגן להם פגישה

אנו לא בוכים, דואגים שאמהות שלהם יבכו

ציטוט:

במקור נכתב על ידי האזרח לדעתי, המערכת שלהם סגורה (לא כמו אצלנו) אי אפשר לגלוש לאינטרנט, אי אפשר להוריד לדיסק או DISKONKEY, לכן הם מוגנים הרבה יותר ורק הציונים מפיצים שטויות כאלה...

לפי מה אתה אומר לא כמו אצלנו?

www.xnir.com

http://www.facebook.com/photo.xnir

לפי העובדות בשטח כנראה..
או שאצלך ביחידה זה אחרת?

שיגיד איפה ונדאג לטפל בזה בחומרה!

www.xnir.com

http://www.facebook.com/photo.xnir

לצערי אני לא יכול לפרט לך מעל דפי הפורום.
אבל תסכים איתי על ההנחה שמה שיוצא בקלות (ענת קם זו דוגמא מפורסמת אבל יש עוד רבים) גם נכנס בקלות?
ואם לא בקלות אז בקצת תחכום..אבל ממש קצת

ברור שלא פה
אבל חייב טיפול!

www.xnir.com

http://www.facebook.com/photo.xnir

לצערי לא מדובר על בעיה נקודתית.
מבחינת צה"ל לדעתי אפילו לא מדובר בבעיה.
ככה מתנהלת הרשת.
ולכן, המילה טיפול לא מתאימה פה..לדעתי משהו קרוב יותר למילה - התפכחות..

למרות שאתה מתרשם שזה משהו ידוע ומוסכם בדיעבד, בשל חשיבות הנושא, אם יש לך הצעות לשיפור ומקרים נקודתיים חריגים, כן כדאי להעביר למישהו מוסמך.
אולי דרך יוסיפון, שמן הסתם מכיר את הגורמים האחראים על העניין.

גלה אזרחות טובה! :-)

תגובה יפה!
אני אגלה אזרחות טובה כשאהיה באזרחות.
בנתיים אני קצין קשר ומחשבים צנוע בצה"ל.

ציטוט:

במקור נכתב על ידי pisauron תגובה יפה! אני אגלה אזרחות טובה כשאהיה באזרחות. בנתיים אני קצין קשר ומחשבים צנוע בצה"ל.

אז גלה חיילות טובה ודאג שיועבר לגורמים הנכונים.

www.xnir.com

http://www.facebook.com/photo.xnir

לצערי אני לא הראשון ולא האחרון שמזהיר בצה"ל מפני הדברים האלה.


וסתם שאלה בשביל הקוריוז:
אחרי שאמרתי: "חברה, הכל פרוץ! צריך לבנות הכל מהתחלה"
איזה פרצוף אתה מדמיין שתקעו בי??

מתי השתחררת?

ציטוט:

במקור נכתב על ידי pisauron לצערי אני לא יכול לפרט לך מעל דפי הפורום. אבל תסכים איתי על ההנחה שמה שיוצא בקלות (ענת קם זו דוגמא מפורסמת אבל יש עוד רבים) גם נכנס בקלות? ואם לא בקלות אז בקצת תחכום..אבל ממש קצת

הניסיון עם דליפות מידע בצה"ל ובמערכת הבטחון הראה למרבה הצער שהכל התחיל בחור קטן. מישהו טעה והחליק אותה. ככה גם נכנס וענונו לכור והכניס לשם מצלמה.

ל-siemens בעיות גדולות בתחום התמיכה למוצריה, בגלל ארגון מיושן ומסורבל וחוסר תקשורת בין אגפים שונים.
הגיוני שהממשקים שאצל האיראנים, נקנו ממדינות צד שלישי כמו הונגריה או רוסיה.
אבל עכשיו כדי לתקן את התקלה, עליהם להגיע בחזרה לגרמנים שכמובן לא ימהרו לעזור. גם בגלל הסנקציות, וגם בגלל הנזק הכלכלי הגדול לחברה שכרוך בזה.

כאב ראש גדול מאוד לפרסים.

להערכת כותב שורות אלו, הפיתוח שלו עלה כמה מיליוני דולרים ודרש עשרות שנות (גוזמה התלהבותית, אומדנים על חצי שנה +- דאגלאס) אדם במחקר ופיתוח, שיתוף פעולה של צוות מומחים, הן בפיתוח והשמשת חולשות אבטחה, ואף יותר מכך, בהבנה מעמיקה של מערכות שליטה ובקרה תעשייתיות של חברת סימנס. - כדי לפתח וירוס כזה, מישהו היה צריך לבנות מערכות דומות לאלו שהותקפו כדי לבצע עליהן ניסויים. כל זאת לפני שלוקחים בחשבון את הצורך במודיעין איכותי כדי לבנות סוס טרויאני שיתקוף מטרה נקודתית בהצלחה
http://www.ynet.co.il/articles/0,7340,L-3959802,00.html

ציטוט:

במקור נכתב על ידי שטורס ייקח הרבה מאד זמן עד שיסיימו הבדיקות שלה. יצטרכו לעשות הרבה מאד בדיקות, והוכחת הבטיחות של הקוד תהיה קשה מאד, אם יוכח שהוא זוהם. זו משימה בלתי אפשרית כמעט כשמדובר במיליוני שורות קוד שהקוד הזדוני יכול להימצא בכל מקום כמעט.

אם הפרסים עובדים לפי הספר, ויש ברשותם ניהול גרסאות של עותקי צל (IMAGES) בקליק אחד המערכת תחודש לזמן שטרום הפצת הוירוס.

ציטוט:

במקור נכתב על ידי שטורס האיראנים גם לא ממש מצויידים לעשות את זה כי אין ביד קוד המקור, וסימנס לא תתלהב לנדב אותו.

נקודה חשובה שטרם צויינה בשום מקום, סימנס ניתקה את הקשרים בלחץ ארה"ב,
http://www.haaretz.co.il/hasite/spages/1145442.html

הניתוק הינו על חוזים עתידיים, ולא על הקיימים, השאלה היכן תיק זה נופל בחוזים העיתידיים או שלא
כמו כן באם יש להם עותקי צל כדלעיל יתכן ואינם צריכים לסימנס יותר

ציטוט:

להערכת כותב שורות אלו, הפיתוח שלו עלה כמה מיליוני דולרים ודרש עשרות שנות (גוזמה התלהבותית, אומדנים על חצי שנה +- דאגלאס) אדם במחקר ופיתוח, שיתוף פעולה של צוות מומחים, הן בפיתוח והשמשת חולשות אבטחה, ואף יותר מכך, בהבנה מעמיקה של מערכות שליטה ובקרה תעשייתיות של חברת סימנס. - כדי לפתח וירוס כזה, מישהו היה צריך לבנות מערכות דומות לאלו שהותקפו כדי לבצע עליהן ניסויים.

מעניין- כמה סיוע של סימנס עצמה נדרש? אם אירן קצת מתוכחמת מהצפוי ותביא ראיות לאופן פיתוח והחדרת הווירוס, זה עשוי להעמיד את המוניטין של החברה בסכנה, כמי שסייעה ביודעין או בהעלמת עין לפגיעה בלקוח שלה. זה, בתורו, עלול להביא לתגובה מצד סימנס- החל בסיוע לאירן לשקם את הנזק, וכלה בסיוע לאיתור יוצר הווירוס.

הסאגה נמשכת: http://www.ynet.co.il/articles/0,7340,L-3959802,00.html

ציטוט:

האם ישראל תקפה באיראן באמצעות וירוס מחשב? עיתוני סוף השבוע ברחבי העולם רומזים שישראל עומדת מאחורי התקפת וירוס מחשב ייחודית ברמת התחכום שלה, שפגעה ככל הנראה בכור בבושהר. האם יש יסוד להאשמות האלו? גדי עברון מבהיר

‎

ראה את אותה סאגה בתגובה #21

נשמע רק קוריוז, ושמא לא? הקוד המוצפן בוירוס הוא "DEADF007" גיקים זריזים המירו אותו במספר גלגולים שנתנו כתובת IP סינית
http://www.dslreports.com/forum/r24...oy-Irans-Busheh
חזל"ש...

מעניין!

‎

DEADDEAD בבסיס 16 הוא מספר שנכתב לא פעם על ידי מהנדסים למקומות ריקים או שלא נמצאים בשימוש בזכרון כדי לסמן אותם ככאלה, ההפיכה לכתובת IP סינית התחילה בתור בדיחה.

ממה שיצא לי לקרוא על הוירוס הזה עד עכשיו, זה מרתק, ומתקפה מאוד יפה...
מעניין אותי לדעת כמה מחקר, ועבודה של מהנדסים הושקעה בזה...

ציטוט:

במקור נכתב על ידי hellfrost ממה שיצא לי לקרוא על הוירוס הזה עד עכשיו, זה מרתק, ומתקפה מאוד יפה... מעניין אותי לדעת כמה מחקר, ועבודה של מהנדסים הושקעה בזה...

האמת, שגם אני ניסיתי לקרוא ולא ממש הבנתי מה כל כך מיוחד ברוגלה הזו (מלבד עניין ההשתלטות מרחוק), הרי רוב הרוגלות מבצעות את אותו הדבר.

כיוון שאינני מתחום התוכנה תוכל לפרט בבקשה?
תודה וחג שמח.

זו לא רוגלה, זו דופקה. מינוח שנתקלתי בו לראשונה בפרשה הזו ומאוד מצא חן בעיני.

@הייחודיות בו הוא
1] מורכבות מאוסף אובייקטים נדירים, אבל זה לא מספיק להיותו נושא חם ופריצתו לחדשות-המונים שאינם בנושא הייטק מגזרי
2] וירוס מתביית על מטרה ממוקדת מתוך עשרות אלפים שהינו מדביק (ולא פוגע בהם), מה שמצריך הבנה ומשאבים בתחום ליצור זאת
3]הנקודה העיקרית : הראשון בלוחמת הסייבר, הז'אנר כלל עד היום רק ציתות ופריצה לצורך שאיבת מידע, כעת הגענו לשלב התקיפה, הכולל 2 נקודות א] וירוס הפוגע ומשמיד חומרה דרך שליטה אבסולוטית בחומרה (וירוסים שולטי חומרה היו בתחילת עידן הוירוסים בראשית ימי הHDD האישיים שהיו חלשים, הוירוס היה מריץ רצף קריאות מתקיל עד שהHDD היה נשרף), ב] ברמה הבין מדינית, נ,צ, חדשה בהיסטוריית הלוחמה

@המינוח דופקה מתייחס לוירוס מפתה באמצעות משפט CLICK ME אם לצורך צפיה מעניינת או חפץ חינמי, ואז נגרם הנזק למחשב ברמת התוכנה, כאן מדובר ברמת החומרה, ובכלל אירוע ההדבקה אינו ידוע לחוקרים, כך שא"T להכתיר אותו בתואר דופקה.

@כל המשאבים האדירים המדוברים והנטענים, שעל פיהם "הוכרע" שמדובר בישראל או ארה"ב, בכפוף לברור שהפוגעים פיתחו זאת בעצמם, משום מה אני מניח שלהגיע להכרת וניצול התוכנה הנפגעת של סימנס ברמה כזו, רומז (אך לא מחייב) שיתוף פעולה מצד סימנס ישירות או מצד עובדי סימנס על דעת עצמם, (גם על רקע אתי הומני) ולישראל יש כאלה בשפע כמדומני,

עד כמה שידוע לי, Halt and catch fire היה אגדה ותו לא. תמיד שומעים על מישהו שחבר שלו או שחבר של חבר של חבר שלו שרף את המחשב עם Halt and catch fire, אבל איכשהו אף פעם לא מוצאים בנאדם שבאמת עשה את זה. זה לגבי ההיסטוריה של הHDD האישיים הראשונים (ואפילו קודם לכך)

מר רוג - כי החיים קצרים מדי לשמות מלאים

ציטוט:

במקור נכתב על ידי דאגלאס @כל המשאבים האדירים המדוברים והנטענים, שעל פיהם "הוכרע" שמדובר בישראל או ארה"ב, בכפוף לברור שהפוגעים פיתחו זאת בעצמם, משום מה אני מניח שלהגיע להכרת וניצול התוכנה הנפגעת של סימנס ברמה כזו, רומז (אך לא מחייב) שיתוף פעולה מצד סימנס ישירות או מצד עובדי סימנס על דעת עצמם, (גם על רקע אתי הומני) ולישראל יש כאלה בשפע כמדומני,

מי שכתב את הקוד לא חייב שת"פ של סימנס ישיר או עקיף, מערכות השו"ב שלהן מאד נפוצות בעולם התעשיה כולל אצלנו....זה לא סוד שמרבית תשתית היצור והשו"ב בחח"י מבוססת סימנס אותו כנ"ל באירופה וארה"ב.
לכן מי שכתב את הקוד יכל לשבת על מערכות כאלו או דומות "אצלו בבית" ללמוד אותן לעומק ואולי אפילו לעשות ניסויי "מעבדה"

www.xnir.com

http://www.facebook.com/photo.xnir

ציטוט:

במקור נכתב על ידי xnir לכן מי שכתב את הקוד יכל לשבת על מערכות כאלו או דומות "אצלו בבית" ללמוד אותן לעומק ואולי אפילו לעשות ניסויי "מעבדה"

קודם כל זה 100% דרש הרבה מאוד ניסויים, דבר שני לעשות את זה בלי תמיכה של סימנס, או מישהו שמכיר ומבין את המערכת של סימנס לעומק היה דורש המון המון מחקר, להבין לרמה כזאת קוד מקומפל זה ממש לא פשוט...

ברור שזה לא פשוט
ולכן לא סתם מתפאלים בעולם מסוג ואופי הביצוע.
מכיר את המשפט:
reverse engineering in a beach
...
קשה לי להאמין שסימנס תלווה כזה תהליך באופן רשמי, אף אחד מהצדדים לא היה רוצה כזה דבר
לא סימנס ולא מי שעשה מה שעשה שמן הסתם רצה לשמור על חשאיות.
אני מאמין שזה כלל למידה מעמיקה של המערכות ולכל היותר שת"פ לא רשמי של לקוח סימנס כזה או אחר שמחזיק במערכות זהות/דומות למערכות סימנס שיש לפרסים.

www.xnir.com

http://www.facebook.com/photo.xnir

ציטוט:

במקור נכתב על ידי xnir קשה לי להאמין שסימנס תלווה כזה תהליך באופן רשמי, אף אחד מהצדדים לא היה רוצה כזה דבר לא סימנס ולא מי שעשה מה שעשה שמן הסתם רצה לשמור על חשאיות. אני מאמין שזה כלל למידה מעמיקה של המערכות ולכל היותר שת"פ לא רשמי של לקוח סימנס כזה או אחר שמחזיק במערכות זהות/דומות למערכות סימנס שיש לפרסים.

מבחינתי הסיבה לפירצה באופן מתוחכם למוצר סימנס היא סיבה מספיקה, הסיבה היותר משכנעת היא השיגור של נוזקה שמסוגלת ליירט גם ללא הוראות (לא ברור יש כמה טענות אם היתה אמורה לקבל הוראות או שמנגנון הזיהוי הוא מובנה ואוטומטי) ע"י מנגנון זיהוי אוטומטי, מנגנון שכזה גם אם יחושבן לדוגמה לפי מספר 2000 צנטרפוגות ובהנחה שכל אחת הינה תחנת קצה, כך שמערכת SCADA בעלת 2000 תחנות קצה תושמד, אינה הגיונית, ואולי מטעמי חסכון ובאם התוכנה מסוגלת לתמוך ולייעד תחנת קצה אחת לכל 2 צנטרפוגות, אם כך יש רק 1000 תחנות קצה, וכן הלאה, ובקיצור גם מי שמכיר את מערכות סימנס לעומק אינו יודע בדיוק איך המערכת מקונפגת בכור הספציפי המיועד ליירוט, פרט לאנשי סימנס או החברה שמכרה התקינה ותמכה בהטמעת וקינפוג המערכת, וכמובן שלא מדעני הגרעין האירניים או כל שכירי מדע אחרים,
לכן לדעתי כורח המציאות הינה שיתוף פעולה בין מתקיני התוכנה לבין יוצרי הוירוס,

זה לא נכון... הוירוס תוקף כמה גרסאות שונות של תוכנה שיכולות לרוץ על הבקר, והוא יודע לזהות אותן לפי חתימות בקוד שלהן, לא קשור לקונפיגורציה, צריך רק לדעת מה פחות או יותר הותקן במטרה, בלי יותר מידיי פרטים מעבר...

ציטוט:

במקור נכתב על ידי דאגלאס מבחינתי הסיבה לפירצה באופן מתוחכם למוצר סימנס היא סיבה מספיקה, הסיבה היותר משכנעת היא השיגור של נוזקה שמסוגלת ליירט גם ללא הוראות (לא ברור יש כמה טענות אם היתה אמורה לקבל הוראות או שמנגנון הזיהוי הוא מובנה ואוטומטי) ע"י מנגנון זיהוי אוטומטי, מנגנון שכזה גם אם יחושבן לדוגמה לפי מספר 2000 צנטרפוגות ובהנחה שכל אחת הינה תחנת קצה, כך שמערכת SCADA בעלת 2000 תחנות קצה תושמד, אינה הגיונית, ואולי מטעמי חסכון ובאם התוכנה מסוגלת לתמוך ולייעד תחנת קצה אחת לכל 2 צנטרפוגות, אם כך יש רק 1000 תחנות קצה, וכן הלאה, ובקיצור גם מי שמכיר את מערכות סימנס לעומק אינו יודע בדיוק איך המערכת מקונפגת בכור הספציפי המיועד ליירוט, פרט לאנשי סימנס או החברה שמכרה התקינה ותמכה בהטמעת וקינפוג המערכת, וכמובן שלא מדעני הגרעין האירניים או כל שכירי מדע אחרים, לכן לדעתי כורח המציאות הינה שיתוף פעולה בין מתקיני התוכנה לבין יוצרי הוירוס,

ממש לא מחייב, חלק ממהות כניסת קוד זדוני שכזה הוא שאיבת מידע וזה אומר שהיו מספר שלבים
איסוף מידע אודות המערכות והתאמת המשך הקוד בהתאם לפלט, בין אם נעשה בשלב אחד של החדרה או יותר. (בנוסף למודיעין מקדים שנאסף תרם החדירה)
הרי אלו מערכות שו"ב כשאתה בצד הנכון הן יתנו לך בדיוק את כל הנתונים הרצויים על כמות התקנות, גרסאות, פריסה רמת הרשאות לכל משתמש/תחנה וכ"ד.

www.xnir.com

http://www.facebook.com/photo.xnir

כן, זה מרתק כי זה כנראה היה יותר מורכב מחיסול מבחוח נניח, וכנראה יותר יקר. ובגלל כמות הידע המודעין והמקצוענות שזה דרש.

* מה שאני כותב זה ממה שהבנתי מקריאה באינטרנט, וגם לא יותר מידיי קריאה, אני לא מומחה בכלום, בכלל.

קודם כל מישהו גנב שני מפתחות הצפנה משתי חברות חומרה טייוואניות, וזה משהו שאמור להיות ממש ממש קשה (לכאורה משתי חברות, למרות שמה שנמצא באירן נחתם עם מפתח של רק אחת). אז או שמישהו פיזית הגיע למחשב שבו הם מאוחסנים וגנב אותם, או שיחד מישהו שיעביר אליו את המפתחות, וכנראה בסכום מאוד יפה.

אחרי זה מישהו השתמש ב4 מתקפות לא ידועות על חלונות (ועוד אחת על האפליקציה אחכ"), בישביל להתקין את התוכנה המשעשעת הזאת בתוך חלונות ולהסתיר אותה. חוץ מזה האפליקציה יכולה להיות מעודכנת מרחוק וכאלה שזה סתם משעשע....

בסופו של דבר התוכנה מיועדת לחבל במערכת שו"ב תעשייתית, אני לא מתכוון לחפור על איך היא עושה את זה, וגם לא ממש יצא לי לקרוא על זה מעבר לרמה השיטחית, אבל מי שעשה את זה התכוון לתקוף כמה מערכות מאוד ספציפיות, וידע והבין ממש ממש טוב איך הן עובדות ובנויות אם סימנס שיתפה איתו פעולה, או אם הוא השקיע המון במחקר, ובהשגת מודעין (מה נמצא ביעד שהוא מתקיף) בכל מקרה זה מאמץ מאוד מכובד. בסופו של דבר המערכת מזריקה ומשנה קוד למערכת השליטה התעשייתית, ואחרי זה מסתירה את מה שהיא עשתה מהמשתמש.

במילים אחרות, זאת חבלה שמיועדת לפגוע במטרה מאוד ספציפית, ומישהו השקיע הרבה מאוד מאמץ בישביל לישם אותה.

מעבר לזה יש את עיניין ההדבקה, מישהו הגיע פיזית למטרה של כל זה עם דיסק און קי והדביק אותה ידנית, התוכנה מסוגלת גם להפיץ את עצמה, אבל ההדבקות הראשוניות כנראה נעשו ידנית.

זה נשמע ש2 החברות הטייואיניות ספקי שרות או מפעלי הכור, החברות הם יצרניות חומרה המוניות
Realtek וכן JMicron , מה שאומר דרייברים פשוטים של דיסקים קשיחים וכרטיסי קול לוח אם ועוד

לא ממש הבנתי מה כתבת...

בכל מקרה אני מאמין ששתי החברות האלה שומרות על המפתחות שהן חותמות איתן על חומרה, במחשב שמנותק מכל רשת אחרת, ובמקום שהגישה עליו מאוד מוגבלת. ואם זה לא המצב אז מישהו שם ממש ממש ממש התרשל.

שיהיה ברור, אם אני הייתי CTO באחת החברות האלה, הייתי שומר על מפתחות כאלה, במחשב, במרתף של הבניין בתוך כספת, בתוך כלוב גדול שנמצא בו דרקון, בתוך חדר ממוגן, עם דפנות בטון שנמצאים בו שלושה שומרים, ומחוץ לחדר תעלה מלאה בלבה רותחת...

חצי נכון. אני מניח שה ca של שני החברות שמור מכל משמר, אבל כיוון שמדובר במפתחות דרייברים מהגדולות בשוק, כאלו שכל בורד צורך את המוצרים שלהם, הן גם משחררות חלקים גדולים אם לא את כל הקוד שלהן לצרכי פיתוח.

מה הקשר?

זה אומר קוד תואם לחומרה לא חיב להגיע מיצרן החומרה . יכול להיות שזה לא שייך בכלל לנושא אבלזו נקודה מעניינת

על מה אתה מדבר? קוד תואם לאיזו חומרה?

נניח שאני ארגון גדול שמחזיק פלטפורמות מסויימות ורוצה להלביש עליהן דרייבר מסויים עם פאץ' אד הוק.

עכשיו לא רק שאני לא מבין על מה אתה מדבר, אלא שאני אפילו לא מבין מה אתה אומר...
אתה יכול לנסח מחדש בצורה ברורה?

שכנעת אותי.

יש לי איזה חינוקס מסכן, נניח ג'נטו על r50e מסכן. אני רוצה לשכרטיס הרשת שלו יעבוד ושגם יוכל לבצע אינג'קשנים רחמנא ליצלן. לצורך הענין יש לי דרייבר אבל אני מעוניין להוסיף פאץ' לדרייבר לצורך נושא האינג'קשנים. יש לי את הקוד המקורי ששיחרר היצרן לטובת הקהילה. עכשיו רק נותר לכתוב את הפאץ, לקמפל את שניהם ולהתקין.









ההודעה הזו נכתבה מאותו r50e מסכן. כנראה שזה עובד.

מה הקשר ל-CA-ים?

ציטוט:

במקור נכתב על ידי lior432 חצי נכון. אני מניח שה ca של שני החברות שמור מכל משמר, אבל כיוון שמדובר במפתחות דרייברים מהגדולות בשוק, כאלו שכל בורד צורך את המוצרים שלהם, הן גם משחררות חלקים גדולים אם לא את כל הקוד שלהן לצרכי פיתוח.

איך כל סיפור הדרייברים והפאצ'ים שלך קשור לארועים שעליהם מדבר האשכול?

אתה טועה.
מדובר בדרייבר שמגיע חתום בחתימה דיגיטלית מהיצרן, לא קשור לקוד תואם. המפתחות שחותמים איתם על תוכנה לא צריכים לעזוב לעולם את יצרן התוכנה.

ואני מדבר על משהו אחר

תודה רבה על ההסבר. מההסבר שלך, כל הסיפור הזה נשמע לי דמיוני לגמרי.

קראתי בהסבר שלך שהזכרת את מפתח ההצפנה. קראתי קצת בויקי, אך לא הבנתי איך הוא מתקשר למקרה לעיל.

למה בעצם יש את מפתח ההצפנה? למה הוא נועד? האם מדובר בסיראל (כמו באופיס), נניח?

אולי קצת הגזמתי בתיאטרליות של התיאור

מדובר בחתימה דיגיטלית זה משתנה בין הגרסאות של חלונות, אבל בגדול בישביל להתקין דרייבר (או לפחות בשביל להתקין אותו בלי ויכוחים עם חלונות) צריך שהוא יהיה חתום דיגיטלית. אז פה מישהו גנב שני מפתחות מפתחות כאלה וחתם על "דרייבר"(וירוס) משלו...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

ממש אין לך מושג על מה אתה מדבר, אה?

החתימות שנגנבו היו של חברות לא קשורות למערכות של סימנס (REALTEK - יצרנית שבבים שמוכרת בעיקר מתחום כרטיסי הרשת היא אחת מהן). לא מדובר על דרייברים של סימנס, לא מדובר על אימות מול המערכות של סימנס, אלא על חתימות לבינאריים של ווינדוס שרצים על המחשבים הנגועים.

ואגב, אפילו אם היה מדובר על אימות מול הציוד של סימנס, אין שום טעם בתרחיש המשעשע שהמצאת בו קודם כל שולחים סרטיפיקט מנותק מהעולם ואז אינספור פקודות. זה לא מספק שום הגנה. או שחותמים על כל פקודה, או שמייצרים סשן מוצפן ומזדהים כשיוצרים אותו, ואז שולחים פקודות בתוכו.

אתה זריז
מחקתי את התגובה כי לאחר ששלחתי אותה שמתי לב שמה שכתבתי לא קשור למה ש-hellfrost כתב...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

ציטוט:

במקור נכתב על ידי hellfrost למה לכתוב על משהו שאתה במובהק לא ממש מבין בו?

ואפילו מודה בזה בהקדמה...

אם יש לך מה להוסיף או לתקן אתה מוזמן...
חוץ מזה דרייברים, והקרנל של ווינדוס זה לא ההתמחות שלי, אבל בגדול תוכנה כן, ויצא לי לאסוף קצת פזמ על אסמבלר...

וכמה פז"מ רברסינג יש לך?

• לא ראיתי את הסרטיפיקטים הספציפיים שזייפו, אבל אלא אם כן יש לך משהו לחדש לנו, ההנחה שלך שאו גנבו פיזית מהכספת של המפתחות או שיחדו כדי לקבל אותם אינה מבוססת. ישנה כמובן האפשרות הטריביאלית ("קשה" ככל שתהיה).
• (אגב, לפחות אחת החולשות הייתה ידועה מאפריל 2009)
• ההנחה שההדבקה הראשונית הייתה פיזית באמצעות מישהו שהעביר DOK נגוע גם היא בלתי-מבוססת לחלוטין.

אני חושב שאנחנו צריכים להפריד בין 2 ענייינים:
1- מוד ההדבקה הראשוני
2- ההתפשטות של אותו סוסון.

ניסיון ברברסינג, 0. ובכלל אני שונא מחשבים

1. תראה יכול להיות שלא שמרו עליהם כמו שצריך, והסרטיפיקטים נגנבו עם טרויאני, או שמישהו שלח אותם במייל לא מוצפן או 30 תרחישים אחרים. אבל לצורך הדרמטיות הנחתי ששמרו אליהם כמו שצריך, ושהם מעולם לא ראו אינטרנט...

2. לינק? ממה שהבנתי ראו כמה גרסאות לוירוס ב"טבע"....

3. קשה לי להאמין שהאירנים (או מי שלא תהיה המטרה) חיברו את הרשת הרגישה שלהם לאינטרנט... זה ספקולציה, אבל זה ספקולציה שחוזרים עליה הרבה מאוד, ולפי ההיגיון שלי היא כנראה נכונה...

1. אתה ממשיך באותו כיוון - אולי גנבו אותם עם טרוייאני, אולי שלחו אותם במייל, אולי מישהו בטעות צעק את המפתח הפרטי בהקסה עם מגפון. ואולי היו סרטיפיקטים גרועים שהתבססו על המפתחות האלה, ומשם השיגו את המפתח. אני אחזור על הדוגמה שאני תמיד אוהב לתת: http://www.win.tue.nl/hashclash/rogue-ca/

2. לא קשור לגרסאות ישנות של STUXNET (שאגב, השתמשו ב-AUTORUN.INF - אולי לפני שהתגלתה החולשה של ה-LNK). ראה לדוגמה האזכור הזה בבלוג של סימנטק - http://www.symantec.com/connect/blo...ot-zero-day-all, אתה מוזמן לחפש בגוגל עוד. חולשת ה-PRINT SPOOLER פורסמה (עם קוד לדוגמה) בגיליון אפריל 2009 של מגזין פולני בשם HAKIN9. גוגל איט. (http://hakin9.org/magazine/885-my-erp-got-hacked)

3. התגלו הדבקות של STUXNET באינדונזיה, הודו ופקיסטן (ואחרות). התרכזו באיראן כי זה "מגניב", אפשר לקשר את זה לתוכנית הגרעין ולחפור על זה הרבה, וכי סביר להניח שזו אכן הייתה המטרה. אבל בהתחשב בהדבקה הרחבה, אפשר לטעון בקלות, ובאופן סביר לחלוטין שהם כולם חבורת מטומטמים שכן מחוברים לאינטרנט. או שאתה טוען שחדרו פיזית עם DOK מודבק לאינספור מקומות שאינם המטרה של מי שעשה את זה? יחסית להשקעה שלו בפיתוח, הוא די מטומטם, אם כך...
(זה מזכיר לי סיפור אחר, שאותו אני פחות מכיר, אבל ראה איך לפי ויקיפדיה הדביקו את האמריקאים: http://en.wikipedia.org/wiki/2008_c...n_United_States - לא צריך להיות יותר מדי מתוחכמים)

1. המתקפה על MD5 ממה שאני יודע, לא מאפשרת לשנות מסמך אחד כך שיחזיר האש של אחר, אלא רק ליצר שני מסמכים עם חתימה זהה. אולי הNSA מצא מתקפות חדשות אבל מי יודע . אם אני זוכר נכון הסרטיפיקט של רילטק לפחות הוא מ2009 כלומר הוא כנראה משתמש בSHA1 צפונה. בכל מקרה אולי יש לי אמון מופרז ב Public key infrastructure ששומר על הבטחון הדיגיטלי של אזרחי העולם היום, אבל קשה לי להאמין שמישהו פרץ סרטיפיקט של CA כמו verisign .... מצד שני אולי זאת נאיביות מצידי....

2. או קיי. סימנטק ממש מתלהבים מכל זה, יפה להם....

3. לא, עובדה שהוירוס מפיץ את עצמו ברשת. אבל שוב אולי זאת נאיביות מצידי, פשוט קשה לי להאמין שמישהו טיפש מספיק לחבר רשת קריטית לאינטרנט. נראה לי שהכוונה היתה לעשות גם וגם, אבל גם זה ספקולציה...

1.
א. עכשיו אתה גם מניח שרק ההתקפות שכבר כל העולם מכיר הן אלה שקיימות (אפילו שכל מתקפה בהתחלה ידועה רק לאדם אחד).
ב. וגם מניח שאם קרטיפיקט הוא מ-2009 אין מצב שהוא משתמש ב-MD5. (אגב, מי אמר שהמקור מ-2009?)
ג. "המתקפה על MD5 ממה שאני יודע, לא מאפשרת לשנות מסמך אחד כך שיחזיר האש של אחר, אלא רק ליצר שני מסמכים עם חתימה זהה" אז מה? גם אם נניח שמה שאמרת נכון (וזה לא מדויק), באמצעות המתקפה הצליחו לזייף סרטיפיקט, שזה בדיוק מה שיכול להיות שקרה פה (כחלופה לזה שפרצו למשרדים בטייוואן וגנבו משם משהו).

2. לא קשור לסימנטק.

3. איך מזה "שהוירוס מפיץ את עצמו ברשת" ניתן להגיע לעמדה שקשה "להאמין שהאירנים (או מי שלא תהיה המטרה) חיברו את הרשת הרגישה שלהם לאינטרנט"?

1. אני חושב שלפרוץ פיזית למשרד, זה הרבה יותר קל וזול, מלמצוא פיתוח חדשני בתחום הקריפטוגרפיה. לגבי MD5 המתקפה בלינק שהבאת, מאפשרת לך להציג סרטיפיקט מונפץ כאילו הוא חתום ע"י CA, אבל זה לא מאפשר לזייף חתימה דיגיטלית, עדיין לא יהיו בידך המפתחות הנכונים בישביל לחתום. והתולעת חתומה ע"י סרטפיקטים מקוריים. חוץ מזה שMD5 ידוע כפרוץ כבר כמה זמן, ורוב הCAים הפסיקו להשתמש בו. אז קשה לי להאמין שוריזיין עוד חילקו סרטפיקטים איתו ב2009. 2 מהסרטפיקטים שראיתי האחד מאמצע 2009 והשני מתחילת 2010, לצערי אני לא מוצא לינק עכשיו...

2. התכונתי בלי קשר, הם כותבו מלא על התולעת הזאת...

3. תראה הניחוש שלי הוא, שהרעיון היה להפיץ גם וגם, אולי גם לפגוע בכמה מטרות מי יודע. חוץ מזה וירוסים מבחוץ תמיד איכשהו מצליחים להגיע למערכות סגורות ולהתפשט שם, אז זה גם שיטת הפצה סבירה...

1. מסתבר שלא הבנת מה קורה בלינק שהבאתי. דווקא מדובר שום על זיוף סרטיפיקט (שחתום ב-MD5,
והזיוף אפשרי בגלל זה, בין השאר), שבמקרה מייצר יישות שדלוק אצלה ה-CA bit, כדי שאפשר יהיה
בקלות לייצר חתימות 'לגיטימיות' לכל דבר אחר. יכלו גם לזייף סרטיפיקט לאתר ספציפי, ולא ל-CA, אבל
אז היו צריכים לבצע את הזיוף מחדש לכל אתר, כשייצור CA פשוט הרבה יותר חסכוני ויעיל.

2. בהתחשב בזה שנראה שאינך מבין כיצד חברות שומרות על המפתחות הפרטיים שלהן (אחד הדברים
בו הן משקיעות כמויות בלתי-נתפסות כמעט של כסף ומשאבים), או עד כמה קשה לזייף סרטיפיקט
(מסתבר שמספיק CLUSTER קטן של PS3 בהינתן טעויות של החותם), ההערכה שלך של מה קשה
ממה אינה צריכה להיות מוערכת יתר על המידה...

3. בהתחשב בזה שאך חצי שנה לפני הפרשה הזאת טענת בפסקנות יתרה שאין דבר כזה לוחמת סייבר
וכו', ראוי להתייחס לדבריך בעניין בערבון מוגבל, וכדי להיות בצד הבטוח, כדי לקחת את מה שאתה טוען,
ולהמר על ההפך.

כמו לדון עם ילד בן 12...

http://www.kaspersky.com/news?id=207576183


Kaspersky Lab provides its insights on Stuxnet worm

Kaspersky Lab's experts believe that Stuxnet manifests the beginning of the new age of cyber-warfare.

The recent Stuxnet worm attack is sparking lots of discussion and speculation about the intent, purpose, origins and -- most importantly – the identity of the attacker and target.

Kaspersky Lab has not seen enough evidence to identify the attackers or the intended target but we can confirm that this is a one-of-a-kind, sophisticated malware attack backed by a well-funded, highly skilled attack team with intimate knowledge of SCADA technology.

We believe this type of attack could only be conducted with nation-state support and backing.

"I think that this is the turning point, this is the time when we got to a really new world, because in the past there were just cyber-criminals, now I am afraid it is the time of cyber-terrorism, cyber-weapons and cyber-wars," said Eugene Kaspersky, co-founder and chief executive officer of Kaspersky Lab.

Speaking at the Kaspersky Security Symposium with international journalists in Munich, Germany, Kaspersky described Stuxnet as the opening of "Pandora's Box."

"This malicious program was not designed to steal money, send spam, grab personal data, no, this piece of malware was designed to sabotage plants, to damage industrial systems," he said.

"I am afraid this is the beginning of a new world. 90-ies were a decade of cyber-vandals, 2000's were a decade of cybercriminals, I am afraid now it is a new era of cyber-wars and cyber-terrorism," Kaspersky added.

Researchers at Kaspersky Lab discovered two* of the four zero-day vulnerabilities the worm exploits, which they reported directly to Microsoft. The analysts then worked closely with Microsoft during the creation and release of the patches for these vulnerabilities.

In addition to exploiting four zero-day vulnerabilities, Stuxnet also used two valid certificates (from Realtek and JMicron) which helped to keep the malware under the radar for quite a long period of time.

The worm's ultimate aim was to access Simatic WinCC SCADA, used as industrial control systems that monitor and control industrial, infrastructure, or facility-based processes. Similar systems are widely used in oil pipelines, power plants, large communication systems, airports, ships, and even military installations globally.

The inside knowledge of SCADA technology, the sophistication of the multi-layered attack, the use of multiple zero-day vulnerabilities and legitimate certificates bring us to an understanding that Stuxnet was created by a team of extremely skilled professionals who possessed vast resources and financial support.

The target of the attack and the geography of its outbreak (primarily Iran) suggests that this was not a regular cyber-criminal group. Moreover, our security experts who analyzed the worm code insist that Stuxnet's primary goal was not to spy on infected systems, but to conduct sabotage. All the facts listed above indicate that Stuxnet development was likely to be backed by a nation state, which had strong intelligence data at its disposal.

Kaspersky Lab believes that Stuxnet is a working – and fearsome – prototype of a cyber-weapon, that will lead to the creation of a new arms race in the world. This time it will be a cyber-arms race.

*Correction: Kaspersky researchers reported two vulnerabilities to Microsoft, not four

24 Sep 2010

או"ם שמום.

או בעברית:
http://www.bubbletech.co.il/bt/NEWS.jhtml?value=9131
ולא השוותי...

שי בליצבלאו 27.09.10 | 16:38
הספין התקשורתי של התולעת האיראנית

הפרסום לפיו יחידת מודיעין ישראלית מיוחדת פרצה למחשבי הכור הגרעיני האיראני בבושהר אינו יותר מדמיון מפותח שמשרת את מטרות ממציאיו

http://it.themarker.com/tmit/article/12434

ידיו אקדח עשן מי עשה ומי לא עשה? מאיפה הכותרת הבומבסטית http://www.themarker.com/tmc/articl...20100927_885456
שברי הטענות על אי מקצועיות הוירוס בסוף דבריו, מנוגדות להסבר הפשוט שלנגר סיפק, פגיעה חד פעמית ללא פחד,
ובקוקטייל הדמוניזציה על אודות פשטותו\רשלנותו של המפתח שהיא בסיס הוכחתו הניצחת שאין זה ישראל, הוא שכח פיסקה קודמת "והמסקנה היתה אחת. מסובך מאוד, כך קבעו המשתתפים, ומחייב התערבות במחשבי מערכות הספק שמייצר את שבבי המחשב (micro chips) לבקרים אלו. במילים אחרות, מעשית - לא מדובר בביצוע ריאלי", - פיסקה זו למען האמת נראית גם ממש לא תואמת לנידון, היות ומערכות משובצות רגילות הינם צרובות ולכן מחייבות עבודה במפעל הספק, לעומת מערכות SCADA שהינן רק מתפעלות מערכות משובצות, והמערכת עצמה נתנת לעדכונים ושינויים, מה שיכול להביא עליה וירוס ללא ביקור במפעל היצרן,

http://www.konservat.pl/?sp=art&art...ath=arty2010#nc

הפולנים כותבים על איזה פגז אשר התגלה ע"י מדענים בבילורוסיה ביוני האחרון...

"בניתי לי בית ונטעתי לי גן במקום זה שביקש האויב לגרשנו ממנו בניתי את ביתי, כנגד מקום המקדש בניתיו. כדי להעלות על ליבי תמיד את בית מחמדנו החרב...."
(ש"י עגנון - חתן פרס נובל)

אשרי אדם שיכול לתת מבלי לזכור זאת כל הזמן, ולקבל מבלי לשכוח אף פעם

לסלוח לרוצחים - זה תפקידו של האלוהים.
תפקידנו - זה לארגן להם פגישה

אנו לא בוכים, דואגים שאמהות שלהם יבכו

טוקבק מעניין שראיתי ומחזיר את הנושא קצת יותר למימד צבאי, כידוע נמצא שהוירוס משבית פעילות למשך עשירית שניה, אם כך טוען המטקבק הצנטרפוגות פועלות על ריק, בתחושה שהכל מסתרכז כמו שצריך , אך היות והסיבוב נקטע ואינו מגיע לרצף פעילות מקסימאלי, החומר לא יופרד ויועשר לרמה המיועדת!
באם ונמצא כאן אדם שסובב במו ידיו צנטרפוגה גרעינית הוא מוזמן לעלות לאוויר!

ציטוט:

highly skilled attack team with intimate knowledge of SCADA technology.

הבחירה במונח "אינטימי" ולא "היכרות עם" לא אמור לגרור דקדוקים פילולוגיים, אך אם קספרסקי טוען כך, בשל היותו אנדרדוג במקצת עם רקורד של ציטוטים מעניינים, יתכן והוא בא לרמוז על מה שטענתי שסימנס עצמה תמכה במפתחים.

ציטוט:

במקור נכתב על ידי xnir ממש לא מחייב, חלק ממהות כניסת קוד זדוני שכזה הוא שאיבת מידע וזה אומר שהיו מספר שלבים איסוף מידע אודות המערכות והתאמת המשך הקוד בהתאם לפלט, בין אם נעשה בשלב אחד של החדרה או יותר. (בנוסף למודיעין מקדים שנאסף תרם החדירה) הרי אלו מערכות שו"ב כשאתה בצד הנכון הן יתנו לך בדיוק את כל הנתונים הרצויים על כמות התקנות, גרסאות, פריסה רמת הרשאות לכל משתמש/תחנה וכ"ד.

אין מצב, כל עוד הוירוס הינו מיירט חכם בעל יכולת ניתוח, שלב מוקדם של למידת המערכת הספציפית מחוייב המציאות, אלא אם כן נניח שהייתה וריאציה יחידה של הוירוס ללא מנגנון זיהוי אלא תקיפה מיידית והיא הוכנסה ע"י עובד פנימי, או שהודבק מחשב אישי מהמעגל הקרוב (WSJ אתמול) שבוודאי ידביק את המטרה, פרט לזה שאר הוראיציות כלל אינן תוקפניות,

ציטוט:

באם ונמצא כאן אדם שסובב במו ידיו צנטרפוגה גרעינית הוא מוזמן לעלות לאוויר

ניסיתי, זאת עבודת פרך.

דברים זולים עולים פחות!

אני כותב מתוך ידע טכני וטכנולוגי למבינים,

תארו לעצמכם טורבינה שמקבלת פקודה לא הגיונית לעצור ולהסתובב אחורה.וסיבוב אחורה יגרום לפיצוץ.

תחשוב האם היא בכלל יכולה מכנית להסתובב אחורה, כמו שער גלגלת, יכולת סיבוב לכיוון אחד בלבד.
לא הכל בחיים הוא פקודת מחשב - צריך תמיכה פיסית מאחורי פעולות שו"ב ע"י מחשב.

למה שייצרו צנטריפוגה עם יכולת מכנית של סיבוב לאחור אם הדבר יכול לגרום לפיצוץ?!
א' ב' בבטיחות...

http://www.mako.co.il/news-world/in...&pId=1575680455

מבזקים באדיבות AFP
מיון מחשבים סינים נדבקו
http://www.google.com/hostednews/af...47b8abcee97.181
גרסאות חדשות הופיעו באיראן, ספירת פירצות ה 0DAY הגיע ל-5 !!
http://www.google.com/hostednews/af...A8JQUC_-E_o2IYw
הניו יורק טיימס התחרפן, מצא רמז ישראלי בקוד הוירוס, רומז על אסתר, חוקר ישראלי משוכנע שאין זה ישראל, ולדעתו מדובר בריגול\פיגוע עסקי נגד סימנס,
http://www.google.com/hostednews/af...b1d 07089a.ca1

• איזו חולשה? (2 מתוך ה-4 הראשונות לא פורסמו) בידיעה לא כתוב כלום חוץ מ"עכשיו זה 5". אולי אני אפרסם ידיעה ואכתוב "עכשיו זה 17".
• הקטע עם "אסתר" נשמע מגוחך, אבל איפה בכלל הקובץ הסודי המדובר? אני לא רואה כאן את אסתר...

לא מפרסמים 0DAY כל כך מהר, קודם מודיעים לחברת התוכנה שתתקן

גנן גידל דגן בגן. מה הקשר?

תרגיע את סגנון התגובות