Дисклэймер: там дальше много букв, без картинок и оформления, техническая нудятина и тп. Но Те, кто прочитают — будут приятно удивлены, я надеюсь.
Нынче на лекции по «методам защиты информации» рассказывали про один крайне интересный случай, произошедший около полугода назад.
А расскажу я Вам, ребятки, о вирусе StuxNet. Приводить голимую техническую информацию о том, как этот вирус действует, мне лениво. Честно говоря, я сильно сомневаюсь, что много кто поймет фразу в духе:
Вирус StuxNet использует сразу 4 0-day эксплойта, имеет искусственное ограничение на размножение, а так же использует две настоящих ЭЦП (электронно-цифровая подпись)
Если все же поняли — мои Вам искренние поздравления. А теперь я попробую сказать тоже самое, но только человеческим языком, который будет понятен рядовому пользователю.
Все мы прекрасно знаем, что такое вирусы и какими вредными они бывают. Года два или два с половиной назад по Сети распространился во многих модификациях вирус, главной фишкой которого стала использованная им уязвимость, связанная с автозапуском USB-накопителей на Windows-системах. Выглядело это примерно так: вставляешь зараженный флэш-диск, а вместо автоопределения его содержимого в систему загружался вредоносный код. Или же это происходило при попытке открыть устройство в Проводнике, без предварительно отключенного автозапуска.
Вирус StuxNet действует еще хитрее. Он использует… а, хотя нет. Сначала пару слов скажу, чтобы никто не делал больших глаз.
Что такое эксплойт? Эксплойт — это обнаруженная и описанная уязвимость, ошибка, глюк, баг. То, что можно эксплуатировать, иначе говоря. 0-day эксплойт — это эксплойт, который еще не обнаружен официальными источниками. Иначе говоря — эксплойт на черном рынке. И стоят они там — недешево.
Так вот, StuxNet проникает в Ваши уютненькие ПК и ноутбуки совсем незаметно. Для внедрения он использует эксплойт ярлыков *.lnk, когда те начинают подгружать иконки. Для этого достаточно открыть флэшку в Проводнике или любой другом файловом менеджере, поддерживающем иконки (Total Commander и тп)
А дальше начинается самое интересное. Внедрившись в систему, червь проверяет, какие у него права и (если прав недостаточно) используя очередную «дырку» в Windows он себе этих прав «наколдовывает». Причем, что интересно, так это то, что червь в системе идентифицируется, как драйвер и совершенно безнаказанно использует 2 НАСТОЯЩИХ ЭЦП, которые угнать оооой как трудно. Собственно, благодаря тому, что ЭЦП, выданная Realtek истекла 12 июля 2010 года, вирус впервые и обнаружили.
И вот здесь-то мы и приближаемся к самому интересному. Даже если Ваш компьютер/ноутбук заражен StuxNet — Вы ничего не посочувствуете. У Вас ведь нету промышленных линий, подключенных к компьютеру? А АЭС? Вот и я о том же. Дело в том, что этот червь, внедряясь в систему начинает искать определенные сигналы для оборудования, вписывает себя туда и таким образом перемещается на непосредственные управляющие узлы. Его цель — изменять частоту вращения определенных центрифуг, управляемых определенной системой по определенному алгоритму.
Что же это за центрифуги, спросите Вы? Самые обыкновенные. Те, которые использует Иран для обогащения Урана. А в результате действия червя качество обогащенного урана падает просто-таки на порядки, не говоря уже о том, что центрифуги выходят из строя и найти причину этого практически невозможно, ведь по телеметрии (которую червь подделывает) с центрифугами все в порядке.
Я не стану говорить о политических или еще каких-то мотивах этого явления, меня интересует другой момент. Впервые в истории был нанесен удар из виртуального мира по реальному. Причем не посредственно, а непосредственно. Т.е. это не какие-то там «деньги в банке» или «счета и пароли». Воздействие вируса StuxNet основано на ПРЯМОМ воздействии на реальность вне «0» и «1».
StuxNet — это практически идеальный вирус. Он использует 4 0-day эксплойта, 1 эксплойт, который уже описан, две НАСТОЯЩИХ ЭЦП, в том числе одну от компании Realtek, он искусственно ограничивает себя в размножении, он нацелен на длительное саботирование определенного оборудования и распространяется преимущественно в локальных сетях и при переноске на съемных носителях. StuxNet — один из лучших на данный момент вирусов-диверсантов.
А теперь представьте себе недалекое будущее и очень удобную технологию «умный дом». Перенесите весь мой рассказ на эту картинку и Вы поймете, о чем я говорю и чего опасаюсь. И не надо заводить разговоры о том, что нам это не грозит, потому что Россия — страна тормозов и все у нас появляется черти когда. Я говорю о самом факте.
Вот в таком вот мире мы с Вами живем, дорогие мои.
Лучшие комментарии
Сколько ни изучал ОСи, ПО, дыры в ОС и вирусы, не видел, чтобы эти зверушки юзали цифровые подписи и были настолько продуманы. Удивляет и направленность деструктивных действий. Я восхищён. :)
Кстати, существует мнение, что если будет новая мировая война, то она будет именно информационной.
*голос робота*
У-Б-И-Т-Ь В-С-Е-Х Ч-Е-Л-О-В-Е-К-О-В!!!
Сразу вспоминается фраза «Война… война никогда не меняется...» из фоллаута.
Ну вот, можно смело оспаривать, война давно изменилась, теперь она ведется совсем на других «полях» Вот вам пожалуйста: имеем вирус нацеленный на промышленный объект огромных масштабов, работающий в стране которая совсем недавно была имела конфликт с дядей сэмом и вдруг начала обогащать уран и намекать на ядерный кулак который покажет этому дяде… при том как уже было сказано выше для создания такого вируса требуются огромные ресурсы и куча специалистов… делаем выводы.
Но соль в том что этот вирус спалился совершенно случайно, в общем то из за не соответствия дат, а что если подобные «сюрпризы» уже внедрены в другие, не меньшие по значимости объекты по всему миру и их пока просто никто не обнаружил… делаем выводы.
Не помню кому принадлежит высказывание о том, что даже если выключить компьютер, засунуть его в сейф и закопать на сколько-то метров в землю, то его всё равно можно будет взломать.
А если на компьютере только линукс, то задача сложна. Большинство вирусов для Linux существует только как доказательство того факта, что такой вирус можно написать в принципе. К тому же основная масса пользователей linux не работает с правами супер-юзера. И в отличие от Windows, *nix-подобные ОСи имеют больший список железа, на котором они работают (линукс ставили даже на iPod и PS3), а это означает, что автору вируса нужно придумать что-то, чтобы его вирус поддерживал то железо, которое поддерживает Linux, что в свою очередь означает, что вирус, как и основная масса софта для Linux, будет распространяться в исходниках и пользователю самому придется заниматься его сборкой и установкой — то есть пользователь САМ должен установить вирус командой ./configure && make && sudo make install, а то и тремя составляющими этой команды отдельно. Это неразумно. :)
Нормально у них там все с безопасностью, не тупи.
Тыкать-тыкать носом меня в ошибки, чтобы знал, как писать безграмотно >_<
Силы нечистые! Это или фейк или
пришельцы о_Овирус созданный госструктурой т.к. должны быть люди на АЭС которые должны передать код создателям вируса и люди крадущие коды ЭЦП.Если у «зверья» есть ограничение для размножения, то оно нужно для определенных целей, а не «просто побомбить компьютеры»
P.S. Как он будет распространяться? Ведь на АЭС интернета по идее нет, а на компьютерах стоит спец ОС(WinCC(может написал неправильно т.к. уже не помню как оно пишется)) и никто не будет использовать компьютеры на АЭС для «бытовых целей»
P.S.S. Во всяком случае я удивлен и шокирован…