Jump to content
M6

Descoberto vírus informático semelhante ao que afectou centrais nucleares irania

Recommended Posts

M6

Foram descobertos em computadores na Europa ficheiros informáticos de software malicioso com código semelhante ao do Stuxnet, o vírus que no ano passado tinha infectado centrais nucleares iranianas.

[Continua...]

In Público, 19 de Outubro de 2011


10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Share this post


Link to post
Share on other sites
pedrotuga

Interessante. Vou esperar mais uns dias até haver informação em condições. De momento as notícias pouco dizem e fazem pouco mais para alem de falar do stuxnet em demasia.

Mas não percebo bem isto, o stuxnet propagava-se pelo uso de memórias USB e instalava-se no windows. Será que os iranianos não resolvem bem o problema mantendo os computadores utilizados no controo de hardware desligados de qualquer outra máquina?

Qualquer organização com o mínimo de segurança bloqueia o uso de USB nas suas instações, por que motivo é que se mantêm computadores críticos ligados a outros sistemas em centrais nucleares?

Share this post


Link to post
Share on other sites
apocsantos

    Boa noite,

    Li à pouco várias noticias relacionadas com o assunto. A informação que existe é dispersa e pouco concreta, alguma até contraditória. Tanto quando consegui ler trata-se de um trojan, e supostamente terá sido feito em C++.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
pedrotuga

    Boa noite,

    Li à pouco várias noticias relacionadas com o assunto. A informação que existe é dispersa e pouco concreta, alguma até contraditória. Tanto quando consegui ler trata-se de um trojan, e supostamente terá sido feito em C++.

Cordiais cumprimentos,

Apocsantos

Um trojan, duvido muito, um vírus, isso sim. Quem tem inteligência para se dar ao luxo de utilizar quatro zero day exploits para o windows, não me parece que utilize tecnicas mais curriqueiras.

Share this post


Link to post
Share on other sites
bubulindo

Mas não percebo bem isto, o stuxnet propagava-se pelo uso de memórias USB e instalava-se no windows. Será que os iranianos não resolvem bem o problema mantendo os computadores utilizados no controo de hardware desligados de qualquer outra máquina?

Qualquer organização com o mínimo de segurança bloqueia o uso de USB nas suas instações, por que motivo é que se mantêm computadores críticos ligados a outros sistemas em centrais nucleares?

A primeira infecção dos PLCs surgiu através dos computadores dos técnicos do fabricante da central. Esses certamente que andam só com um computador às costas, logo inevitavelmente usam-no para tudo, programar o PLC, preencher relatórios, ver o hotmail, skype com a namorada, ver filmes, etc...

Este será talvez o ponto fraco mais óbvio.

Quando os técnicos na central começaram a notar problemas, provavelmente chamaram o fabricante, ele chegou e não percebeu o que se estava a passar. Hoje saberia que devia pegar num computador limpo, fazer upload do código do PLC e analisar entre o computador limpo e o pessoal. Na altura ninguém imaginou isso, logo o que provavelmente se passou foi o técnico passar o software para uma pen drive, meter aquilo nos computadores de manutenção da central para ver se ali veria algo diferente... infectando esse computador também.

Pelo que li o stuxnet atacava só os PLCs e muito provavelmente os computadores a correr as aplicações de monitorização e controlo não acedem directamente ao PLC. Mas são esses que normalmente têm as portas USB bloqueadas (hello, Francês da Total que apanhei a roubar a base de dados dum dos nossos sistemas). Os computadores de manutenção, normalmente passam ao lado dessas regras e foi daí que surgiu a infecção.


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
apocsantos

    Boa noite,

    De facto o StuxNet estaria muito bem feito, ainda assim, nunca foi ligado a nenhuma instituição em concreto. Quanto a esta nova variante, provavelmente dos mesmos autores, ou de alguém que teve acesso ao código fonte do stuxnet, parece-me que elaborou bem as coisas, implementou boas tecnicas, mas no fundo aquilo apenas permitia transferir ficheiros para um host remoto. Pelo menos é o que está na informação publica até ao momento.

    O facto de usar várias exploits, só prova o grau de conhecimento técnico do seu criador. Para já a informação ainda é muito contraditória e dispersa. Talvez daqui a algum tempo venha a publico informação mais concreta.

    Em ambos os "ataques" a mesma coisa parece ter falhado: A politica de segurança.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
bubulindo

    Em ambos os "ataques" a mesma coisa parece ter falhado: A politica de segurança.

O que falhou foi mesmo a inexistência de políticas de seguranca.

Nunca ninguém se dedicou a pensar e tentar criar um vírus com vista a desactivar ambientes industriais. Regra geral, as motivacões por detrás dos vírus são económicas (mesmo que não se utilize o vírus para phishing ou algo semelhante, existe sempre a possibilidade de arranjar um emprego bom), logo nunca houve uma preocupacão muito grande com a seguranca no que toca a sistemas de PLCs.

Hoje em dia, com uma interligacão cada vez maior entre a automacão e redes, isso comeca a ser um problema e já houve quem demonstrasse a inseguranca de alguns desses equipamentos em público (http://www.computerworld.com/s/article/9216847/Siemens_SCADA_hacking_talk_pulled_over_security_concerns).

No entanto, o nível de conhecimento que o vírus demonstrava, como procurar certos nós na rede profibus, ou tentar alterar saídas digitais específicas, indica que alguém com conhecimento muito específico acerca dum certo sistema trabalhou no vírus.

Quanto a quem estará por trás disto, basta olhar para quem serão os interessados em estragar o plano nuclear iraniano e temos uns suspeitos muito prováveis. :cheesygrin:

Resta agora saber que partes do vírus é que são semelhantes ao stuxnet.


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
falco
Nunca ninguém se dedicou a pensar e tentar criar um vírus com vista a desactivar ambientes industriais.

Isso é uma suposição, aqui não podemos ter a certeza que um governo estrangeiro não o possa ter feito. Claro que o virus não tem nenhuma rotina chamada desliga_central_nuclear, mas é possível que o(s) primeiro(s) computador(es) relacionado(s) com este problema tenha sido infectado por interferência de um sabotador. Não te esqueças que estamos a falar do Irão e que há muitos estados que querem negar a capacidade nuclear ao Irão.

Share this post


Link to post
Share on other sites
bubulindo

Isso é uma suposição, aqui não podemos ter a certeza que um governo estrangeiro não o possa ter feito. Claro que o virus não tem nenhuma rotina chamada desliga_central_nuclear, mas é possível que o(s) primeiro(s) computador(es) relacionado(s) com este problema tenha sido infectado por interferência de um sabotador. Não te esqueças que estamos a falar do Irão e que há muitos estados que querem negar a capacidade nuclear ao Irão.

Expliquei-me mal, devia ter usado o pretérito perfeito.

Quanto a quem estará por trás disto, basta olhar para quem serão os interessados em estragar o plano nuclear iraniano e temos uns suspeitos muito prováveis. :cheesygrin:

Na realidade eu também concordo que o interesse neste caso é dum ou vários países.

E certamente que existe quem não se importe de introduzir o vírus nos sistemas desde que o preco seja correcto.


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
falco

E este tipo de sabotagem, não seria inédita... Já durante a primeira guerra do Golfo Pérsico, houveram sistemas iraquianos afectados por malware produzido pelos EUA.

Neste caso há muitos estados que desejam que o Irão, não adquira capacidades nucleares. E enquanto for governado por aqueles fanáticos, eu concordo com isso. Já é demasiado perigoso haverem tantos países instáveis com armas nucleares sendo que aponto como mais assustador o Paquistão.

Share this post


Link to post
Share on other sites
bubulindo

Não adquirir é uma coisa... promover um desastre é outra.

Eu sinto-me tão ameaçado com o Irão, como com o Paquistão como com Israel... no entanto, nunca ninguém fala deles.


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
falco

Eu não sinto as ameaças dessa forma... Não há qualquer razão (conhecida) para pensar que Israel vá utilizar armas nucleares se não for atacado dentro das suas fronteiras de forma extremamente grave. É também um estado estável do ponto de vista interno e com bastante segurança no que toca ao seu armamento nuclear.

O Paquistão tem um estado fraco, que está com graves problemas de soberania, graves convulsões internas promovidas por extremistas que vêm tudo o que não é islâmico como algo a destruir.

O Irão é governado por extremistas religiosos que têm promovido terrorismo há muitas décadas e que vê tudo o que não é islâmico com algo ameaçador e que deve ser destruído.

Ou seja temos ameaças diferentes... Israel é uma ameaça muito menor, do que o Paquistão, que na sua condição actual, por sua vez é uma ameaça menor que um Irão armado com armas nucleares. Claro que entre um Paquistão controlado por extremistas e um Irão com armas nucleares e a continuar a ser governado por extremistas a diferença é pouco significativa e muito circunstancial.

Ninguém fala de Israel como uma ameaça nuclear, porque é um estado que apesar cujos objectivos são sobreviver e não promover uma visão religiosa ao resto do mundo. Já do Paquistão fala-se bastante (embora não cá em Portugal).

Share this post


Link to post
Share on other sites
pedrotuga

Eu concordo em pleno com a análise política que o falco acabou de fazer. E se devo dizer a minha opinião sobre este tipo de ataque, até acho que é uma arma bem amistosa comparada com as alternativas existentes para o mesmo fim.

Mas deixando a discussão política e analisando a parte mais tecnica:

o que provavelmente se passou foi o técnico passar o software para uma pen drive, meter aquilo nos computadores de manutenção da central para ver se ali veria algo diferente... infectando esse computador também.

É precisamente a isto que me estava a referir no meu primeirio post. Isto é uma n00bice gigantesca. Qualquer chafarrica de empresa com o mínimo de preocupação de segurança deve proibir o uso de pen drives em computadores de produçao. Não é nenhuma ciência transcendente, é segurança da mais básica que existe.

A mim o que me fascina mais é a forma como o ataque é lançado, simplesmente libertando o vírus por aí. Ele foi-se propagando pelo windows, e quando encontrou o hardware alvo, atacou. Isto é muito avançado, requer conhecimento em várias áreas.

O facto de usar várias exploits, só prova o grau de conhecimento técnico do seu criador.

Quatro exploits de dia zero para várias versoes do microsoft windows. É um ataque de dimensões épicas. Palpites em relação aos recursos par se fazer isto? Quantos engenheiros, a trabalhar durante quanto tempo? Que fontes de informação? que métodos?

E o novo vírus? Alguem tem mais informação?

Share this post


Link to post
Share on other sites
bubulindo

Mas deixando a discussão política e analisando a parte mais tecnica:É precisamente a isto que me estava a referir no meu primeirio post. Isto é uma n00bice gigantesca. Qualquer chafarrica de empresa com o mínimo de preocupação de segurança deve proibir o uso de pen drives em computadores de produçao. Não é nenhuma ciência transcendente, é segurança da mais básica que existe.

Posso-te indicar alguns dos maiores fornecedores mundiais de equipamento para indústrias quase tão perigosas como a nuclear onde os computadores dos técnicos usam pen drives... Isso não quer dizer que seja boa política, mas é uma realidade. Como disse, os mundos da automacão pura e dura nunca esteve muito associado a viroses. Daí a complacência com estas situacões.

De notar, que os computadores da producão certamente não foram os que infectaram os PLCs, mas sim os computadores usados pelos técnicos. Quer de comissionamento, quer de manutencão dentro da instalacão.

Eu não sinto as ameaças dessa forma... Não há qualquer razão (conhecida) para pensar que Israel vá utilizar armas nucleares se não for atacado dentro das suas fronteiras de forma extremamente grave. É também um estado estável do ponto de vista interno e com bastante segurança no que toca ao seu armamento nuclear.

O Paquistão tem um estado fraco, que está com graves problemas de soberania, graves convulsões internas promovidas por extremistas que vêm tudo o que não é islâmico como algo a destruir.

O Irão é governado por extremistas religiosos que têm promovido terrorismo há muitas décadas e que vê tudo o que não é islâmico com algo ameaçador e que deve ser destruído.

Ou seja temos ameaças diferentes... Israel é uma ameaça muito menor, do que o Paquistão, que na sua condição actual, por sua vez é uma ameaça menor que um Irão armado com armas nucleares. Claro que entre um Paquistão controlado por extremistas e um Irão com armas nucleares e a continuar a ser governado por extremistas a diferença é pouco significativa e muito circunstancial.

Ninguém fala de Israel como uma ameaça nuclear, porque é um estado que apesar cujos objectivos são sobreviver e não promover uma visão religiosa ao resto do mundo. Já do Paquistão fala-se bastante (embora não cá em Portugal).

Se o Irão quisesse provocar o caos no Mundo não islâmico bastar-lhes-ia diminuir a producão de petróleo ou aumentar o preco...

Apenas não concordo com a ideia que só alguns países poderem ter armas ou tecnologia nuclear porque são considerados seguros. Os Estados Unidos elegeram o Obama... com a crise económica que está a afectar os Estados Unidos, ser-lhe-á difícil manter o lugar. Agora imagina se vai lá parar uma Sarah Palin ou um John MacCain. Ainda continuas a achar que os Estados Unidos são seguros para ter essas armas?

O mesmo podes dizer de Israel e a bem dizer, de qualquer outra nacão. Hoje tudo pode estar bem... amanhã nunca se sabe. E se achas que os Iranianos ou Paquistaneses são extremistas, certamente nunca conheceste ninguém do interior dos Estados Unidos.


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
pedrotuga

Posso-te indicar alguns dos maiores fornecedores mundiais de equipamento para indústrias quase tão perigosas como a nuclear onde os computadores dos técnicos usam pen drives... Isso não quer dizer que seja boa política, mas é uma realidade. Como disse, os mundos da automacão pura e dura nunca esteve muito associado a viroses. Daí a complacência com estas situacões.

De notar, que os computadores da producão certamente não foram os que infectaram os PLCs, mas sim os computadores usados pelos técnicos. Quer de comissionamento, quer de manutencão dentro da instalacão.

Se são computadores usados directamente com um produto então são máquinas de produção. A definição é mesmo essa. Por exemplo, numa emprsa de software não é boa prática compilar o produto final nos portateizitos dos programadores. Os binários que vão para produção são compilados em ambientes criados para esse efeito.

Estou a chegar à conclusão que tudo depende do meio, aqui na Suécia até pequenos restaurantes têm políticas de segurança desse tipo nos computadorzecos que usam para facturação.

Share this post


Link to post
Share on other sites
bubulindo

Estou a chegar à conclusão que tudo depende do meio, aqui na Suécia até pequenos restaurantes têm políticas de segurança desse tipo nos computadorzecos que usam para facturação.

Meio e formacão também... de certa forma estás a comparar informáticos e electrotécnicos. E enquanto, imensos electrotécnicos são melhores em áreas mais relacionadas com a informática, outros não ligam puto a boas práticas de informática. Sim, eu sei, é uma falha porque não estamos propriamente a falar de duas disciplinas independentes uma da outra, mas acontece.

Outra coisa, no meio industrial para PLCs, a compilacão é mesmo feita nos computadorzinhos dos técnicos e enviada para o PLC logo de seguida. Por vezes porque o PLC pode estar a controlar algo que não esteja mesmo ao lado dum computador, ou porque o computador não tem o software instalado, etc, etc... Ou como ontem, por exemplo, estava a monitorizar e a alterar o software duma máquina que estava a ser controlada com uma unidade de entrada e saída remota e estar ao lado do PLC era um risco de seguranca (e não seria tão eficiente para trabalhar).

Como tu focaste, quem desenvolveu o vírus além de saber muito bem o que pretendia fazer (e certamente ter um alvo específico em mente, senão não ia procurar o nó X e saída digital Y), sabia que o ponto fraco para entrar na instalacão seria pelo PLC e não pela rede de SCADA com computadores normais (que normalmente está muito mais protegida) e que podem provocar tantos ou mais problemas de controlo.


include <ai se te avio>

Mãe () {

}

Share this post


Link to post
Share on other sites
falco
Quatro exploits de dia zero para várias versoes do microsoft windows. É um ataque de dimensões épicas. Palpites em relação aos recursos par se fazer isto? Quantos engenheiros, a trabalhar durante quanto tempo? Que fontes de informação? que métodos?

A política de publicação de patchs da m$ potência isto...

Se o Irão quisesse provocar o caos no Mundo não islâmico bastar-lhes-ia diminuir a producão de petróleo ou aumentar o preco...

Não... Se o Irão fizesse isso, também teria graves problemas económicos. O Irão também precisa do dinheiro do petróleo (porque basicamente não tem economia e o país é um deserto) e se fizesse isso iria fazer com que o Irão vendesse muito menos. O Irão prefere agir de formas mais subtis, financiando e armando grupos terroristas.

Apenas não concordo com a ideia que só alguns países poderem ter armas ou tecnologia nuclear porque são considerados seguros.

Ah por tanto dar armas nucleares e outras armas de destruição maciça a países instáveis é que é bom...

Os Estados Unidos elegeram o Obama... com a crise económica que está a afectar os Estados Unidos, ser-lhe-á difícil manter o lugar. Agora imagina se vai lá parar uma Sarah Palin ou um John MacCain. Ainda continuas a achar que os Estados Unidos são seguros para ter essas armas?

Acho!

Não é provável que nenhum deles use essas armas.

O mesmo podes dizer de Israel e a bem dizer, de qualquer outra nacão. Hoje tudo pode estar bem... amanhã nunca se sabe. E se achas que os Iranianos ou Paquistaneses são extremistas, certamente nunca conheceste ninguém do interior dos Estados Unidos.

Há extremistas nos EUA, mas não são uma ameaça nem de perto tão significativa quanto os Iranianos e muitos Paquistaneses.

Share this post


Link to post
Share on other sites
pedrotuga

Não é que o tema não seja interessante, mas estão completamente em off-topic. Abram outra thread para o efeito. Estão a matar a discussão sobre o vírus, que era o tema inicial.

Voltando lentamente ao tópico, falco, porque é que a política de publicação de patches da microsoft potencia o aparecimento de um virus com múltiplos exploits de dia zero?

Exploits de dia zero para o windows, ou em boa verdade para outros sistemas operativos e não só, podem valer milhões de euros. Para ter quatro em mão são precisos muitos recursos, não acho muito justo acusar a microsoft de más políticas de segurança, quando muito podemos dizer que o produto deles não dá os melhores sinais de qualidade em termos de segurança. Mas em que medida é que é a politica deles que propricia isto?

Mas alguem adianta algumas novidades sobre o novo ataque?

Share this post


Link to post
Share on other sites
falco

Voltando lentamente ao tópico, falco, porque é que a política de publicação de patches da microsoft potencia o aparecimento de um virus com múltiplos exploits de dia zero?

A política deles é que os patchs são publicados uma vez por mês. E só em circunstâncias extra-ordinárias (que até acontecem com frequência), é que publicam fora dessa data. Isto faz com que os sistemas estejam frequentemente vulneráveis para falhas de segurança muito conhecidas e activamente exploradas. Se fores ver as estatísticas do número de exploits de dia zero que existem desde que a m$ adoptou esta estratégia, vais ver que que eles aumentaram.

Os patchs devem ser publicados assim que estão prontos. E não numa data arbitrária. Se os administradores querem instalar apenas uma vez por mês, ou mais frequentemente, ou menos deve ser uma escolha estratégica deles.

Share this post


Link to post
Share on other sites
Rui Carlos

Tópico destrancado.

As mensagens apenas sobre armas nucleares foram movidas para aqui. Podem continuar lá a discussão sobre o assunto. Caso achem necessário fazer alguma correcção à separação que foi feita, avisem.

Share this post


Link to post
Share on other sites
Warrior

A política deles é que os patchs são publicados uma vez por mês. E só em circunstâncias extra-ordinárias (que até acontecem com frequência), é que publicam fora dessa data. Isto faz com que os sistemas estejam frequentemente vulneráveis para falhas de segurança muito conhecidas e activamente exploradas. Se fores ver as estatísticas do número de exploits de dia zero que existem desde que a m$ adoptou esta estratégia, vais ver que que eles aumentaram.

Os patchs devem ser publicados assim que estão prontos. E não numa data arbitrária. Se os administradores querem instalar apenas uma vez por mês, ou mais frequentemente, ou menos deve ser uma escolha estratégica deles.

Não vejo qualquer relação entre a data de lançamento dos patches e o número de day-0. Aliás, por definição de day-0 exploit, a data de lançamento do patch tem que ser irrelevante.

Share this post


Link to post
Share on other sites
falco

Não vejo qualquer relação entre a data de lançamento dos patches e o número de day-0. Aliás, por definição de day-0 exploit, a data de lançamento do patch tem que ser irrelevante.

Estás a esquecer-te que os problemas muitas vezes são conhecidos pelas empresas muito tempo antes de lançar patchs (só não do público), aliás a m$ é conhecida por saber dos problemas muito antes. O facto de se conhecerem problemas ter solução, mas não publicar patchs porque ainda não se está no "dia do mês certo",  aumenta a probabilidade de haverem exploits de dia 0 (e neste caso é o que acontece). O dia é 0 para o público, mas não sempre para as empresas que produzem software. Percebes?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.