Форум казахстанского налогоплательщика

Stuxnet1 - это очень интересный вирус (ниже я написал, как этот вирус повлиял на создание ядерного оружия). Он использует несколько технологий распространения.
Одна из них - это новая дыра, которую вирус использовал самым первым. Именно в ходе анализа вируса выявили, что за дыра и как вирус ее использует.

В двух словах на флешке создается обычно 2 ярлыка, которые похожи на случайные. Но как только эти ярлыки начинают просто показываться на экране, то вирус сам запускается. Т.е. Вы просто открыли папку с вирусом, а он сам запускается.

Более того не важно открыли Вы папку в Explorer или в Totalcmd - вирус использует дыру в операционной системе и сам запускается.

Теперь о вирусе: это детективная история. Самая настоящая. Опишу, что знаю я о ней.
И так вирус написан очень грамотно. Вирус технически один из самых сложных, если не самый сложный. Он использовал минимум 2 разные, ранее неизвестные уязвимости в Windows.

Может распространяться через флешки, даже без автозапуска (как в Вашем случае), так и по локальной сети, причем не через сетевые диски, а используя службы принтеров. Т.е. если в Вашей компании используются принтеры по сети - есть шанс, что вирус может распространиться.

Есть минимум 4 варианта вируса. Чаще всего при заражении флешки создается файл "Copy of Shortcut to.lnk" - если видите такое название на Вашей флешке, значит скорее всего Вы уже заражены.

Но и это не всё. Попав на компьютер, вирус начинает проверять нет ли на этом компьютере или в локальной сети компьютеров, на которых программируют микроконтроллеры производства Siemens.

Тут и начинается самое интересное. Я сделаю отступление и скажу, что я несколько лет занимался работой с системами автоматизации на базе микроконтроллеров из серии Siemens step 7. Это достаточно производительные и эффективные средства позволяют автоматизировать очень-очень сложные производства.

Я их обслуживал и немного программировал (сами контролеры в т.ч.). Там очень интересные средства разработки. Начиная от аналога ассемблера, до не похожих на другие средства разработки, использующие разные подходы. За это время я официально обучился 3 самым простым языкам (STL, LAD, FBD - аналог ассемблера, аналог схем и еще один блочный язык) и в работе использовал еще несколько сложных языков (включая Graph, но не только), которым просто компания не могла позволить обучить в Казахстане (в СНГ нет специалистов, которые обучали этому), а в Европу на обучение я сам не захотел ехать (но это другая история).

Но суть в другом. Эти контролеры используются только на сложных промышленных производствах. Причем на дорогих и сложных, так как для более простых производств есть более дешевые варианты того же производителя.

Так вот вирус анализирует свое окружение и если видит, что один из компьютеров имеет средства для разработки программ под Step 7, то заражает средство разработки и если есть связь с контроллером, то программа подключается к контролеру и меняет в нем очень интересно программу управления. И берет оттуда часть информации.

Кто дочитал до сюда - молодцы. А теперь дальше. Зачем вирусу что-то менять в каких-то производственных микроконтроллерах? А всё не так просто. Когда первые антивирусные лаборатории столкнулись - они были ошарашены сложностью программ. Они до сих пор разбираются, а уже скоро будет год как впервые нашли вирус.

К чему в данный момент пришли аналитики. Во-первых, решили, что это не просто вирус, а средство для технической диверсии и возможно шпионажа. Во-вторых, у него очень странный ареал распространения - больше всего зараженных компьютеров первые месяцы были в Иране (а также еще несколько стран региона вошли в число стран первыми ощутившими шквал этого вируса). Еще в десятку стран, где распространился вирус входили страны находящиеся поблизости и даже Казахстан (одно время в Казахстане этот вирус распространился больше чем во всей Западной Европе). В третьих, вирус настолько сложен, что его вряд ли писал один человек или даже группа любителей, это продукт сложный, скорее всего выпущенный не простыми людьми, а какой-то страной. Да-да, считается, что это продукт написанный скажем группой программистов, работающих на одну из развитых стран мира.

Соответственно, сейчас основное предположение, что вирус был произведен в Израиле и должен был проникнуть на компьютеры, на которых следят за работой ядерных объектов в Иране. Напомню, что Иран имеет несколько производств, которые могут производить как топливо для ядерной станции, так и для ядерной бомбы.

Предполагается, что вирус намеренно распространили в Иране, чтобы он попал в итоге на ноутбук одного из программистов, который подключившись к микроконтролерам заразил бы их. Далее вирус не сразу что-то удалял в контролере, а незначительно менял его работу.

Но так как на производстве эти контролеры стоят в большом количестве (я например более десятка обслуживал и многие были не связаны между собой), то вирусу должен был даться шанс проникнуть на все и путем незначительных изменений в работе вызвать каскадный эффект и вызвать крупную аварию.

Я лично поддерживаю эту теорию, хотя и не уверен, в какой стране разработан этот вирус.
Действительно сложные производства управляются не компьютерами, а микроконтролерами. А они уже программируются с компьютеров под управлением Windows. И если у тебя нет возможности заслать диверсанта на производство, то ты можешь распространить вирус, который это сделает.

Так что, erbi_admin сожалею, но Вы возможно стали случайной жертвой борьбы крупных стран за обладание ядерным оружием. Могу сказать, что для Вас вирус неопасен. Но в Казахстане я знаю несколько производств, которые используют данный вид микроконтроллеров и у меня сердце кровью обливается, понимая, что их программируют и обслуживают люди, которые, скорее всего об этом вирусе ничего не знают и защититься от него не могут.

Я раньше (несколько лет назад) общался с местными специалистами из казахстанского ТОО Siemens, отвечающего за продажи систем автоматизации в РК - они грамотные парни, надеюсь своих клиентов предупредили. Сам я от программирования микроконтроллеров. Но опыт их программирования не сравним с созданием обычных программ - если у кого будет свободное время, почитайте в сети хотя бы как программировать на STL, LAD, FBD - и это будет только самая верхушка, самое простое. На деле всё еще интереснее. Это совершенно другой подход.

А для тех кто далек от программирования скажу, что это пример как компьютерный вирус может влиять на политику и безопасность в мире. Есть мнение экспертов по безопасности (не компьютерной, а ядерной и политической), что этот вирус вызвал всё-таки аварию в Иране и отодвинул ядерное производство в Иране на пару лет назад. Теперь им придется заново создавать несколько важных цепочек производств, которые пострадали в аварии.

Так что этот вирус войдет в историю как, возможно, первый вирус повлиявший на создание ядерного оружия. Конечно, важно подчеркнуть, что это просто одна из наиболее вероятных теорий о создании вируса в соседствующих странах Израиль/Иран. Точных доказательств возможно мы никогда не увидим. Ясно одно - это первый вирус, который выделился на промышленный уровень, вирус который вмешивается не в работу компьютера, а специальных автоматизированных систем управления производством.

А если Вы подозреваете, что в Вашей компании могут использоваться микроконтроллеры Siemens и Вы хотели дополнительно проконсультироваться по этому вопросу можно обсудить в этой теме или пишите на ящик support-bb@f2.kz - это правда очень опасный вирус для технологических производств. Недавно поступали данные, что вирус попал на несколько заводов, производств и систем управления техническими объектами (например, на электростанции, различные заводы и т.д.).

Два месяца назад компания Siemens подтвердила как минимум 15 случаев проникновения этого вируса на системы управления сложными производствами в разных частях мира.

Да, и еще для справки: по данным Лаборатории Касперского Казахстан и Россия сейчас входят в 10 самых зараженных этим вирусом стран.

По поводу этого вируса на деле есть много информации, но много из них слухов. Самая корректная информация на сайтах разработчиков антивирусов. Только у Касперского это на русском, у всех остальных на английском, немецком, японском, китайском.

Gosti писал(а):на таких предприятиях необходимо переходить на линукс

Вы не вполне понимаете: такие предприятия управляются не компьютерами, а микроконтроллерами. А вот. чтобы программировать микроконтроллеры нужно подключиться с компьютера через специальный провод.

Смотрите - положим Siemens сделает свои программы для разработки и программирования под Linux, так ее покупать не будут. Просто не будут. когда будет выбор, что купить, купят либо вариант под Windows от Siemens, либо купят микроконтроллеры других производителей (есть несколько очень неплохих производителей из Японии, Америки например, которые делают оборудования, которое конечно имеет средства разработки под Windows).

Нет смысла делать программу под Linux, если Вы точно знаете, что у Вас ни один заказчик его не купит. В принципе. Потому что Заказчик знает, как дорого стоит время программиста, наладчика, обслуживающего персонала - и если он закупит систему на Linux, то ему придется иметь дело не с одной операционной системой, для которой есть один разработчик, который следит за поддержкой, куда можно обратиться официально, который гарантировано будет существовать ближайшие годы, а с кучей непонятных, мелких по-сравнению с Microsoft фирм, срок существования которых неочевиден.

Ну и наконец: с чего все думают, что под Linux нет вирусов? Если бы это оборудование работало под Linux, то и тогда бы написали бы вирус, но под Linux. Под Linux уже куча вирусов. И сделать еще один для разработчиков этого вируса не проблема.

Более того им было бы лучше. Если бы всё дело касалось только Linux, то вирус был бы написан и он бы всё равно поразил цель (сделал диверсию), но в антивирусные компании не попал бы скорее всего до сих пор. Это особенность узконаправленных вирусов. Поэтому даже этот вирус не был обнаружен как минимум несколько месяцев, т.к. распространялся очень-очень ограниченной территории.

Во-первых, многие вредоносные прекрасно работают без компиляции, т.к. написаны например на PERL. Плюс во-вторых в Интернете сможете сами найти эксплоиты под те или иные дыры в безопасности. Выберите, какая дыра Вам больше нравится и под какую цель (имя и версия операционной системы, или версия ядра, или версия уязвимого апача, ftpd) и собирайте. Без проблем сможете это сделать.

На базе того или иного эксплойта и созданы некоторые червяки и вирусы. Последние несколько лет в каждый момент времени в Интернете нормально работают сотни серверов под управлением Linux, но которые по сети были заражены через уязвимые процессы (например, через уязвимости сетевого уровня в ядре, в ftpd, mysql и т.д.) и которые рассылают спам, также по сети ищут другие такие же машины с такими же дырами в безопасности.

Наличие на сервере Linux не гарантирует безопасности. Даже если ядро защищено, программы обновлены, есть куча серверов, которые автоматически взломаны через дыры на веб-сайтах, которые написаны на PERL, PHP и т.д., которым просто не нужен root. Они добавляют такой же PERL, PHP, Python, Ruby, JSP и т.д. скрипт, который также подключается к случайным сайтам и там ищут дыры.

Таких сайтов даже не сотни, и тысячи, десятки тысяч.

И наконец, даже если нужен root, то и это не такая проблема. Если примерно известна какая версия ядра и операционной системы, то и в Линукс можно найти дыры через которые повышаются права. Для тех, кто написал этот вирус под Windows не составило бы труда найти дыры в Линукс. В Линукс тоже есть дыры. Отрицать это бессмысленно.

Можете открыть список изменений в ядре хотя бы за последний год и посмотреть сколько изменений связано с закрытием дыр безопасности.

Просто Линукс меньше распространен, поэтому вирусов меньше. Всё просто. Ну и еще хорошо, что его обновляют чаще. Если бы у всех пользователей был не 10-летней давности XP, а Windows 7. Если бы она была лицензионной и обновлялась, то вирусов под Windows было бы меньше. Так что во-многом это вина пользователей, которые пользуясь пиратской Windows не обновляются.

А сделать из эксплойта вирус - не проблема. Еще раз повторюсь: пока мы с Вами разговариваем в Интернете сотни серверов зараженные через сетевые дыры, и тысячи через дыры на сайтах.

Причем может я сильно уменьшил цифру. Может речь о намного больших цифрах.

Переходим к проблеме вирусы под Линукс?
Можно долго приводить доводы, что Линукс неуязвим для вирусов и вредных программ.

Факты остаются фактами:

1. вирусы на рабочих компьютерах под управлением Linux мало, не из-за ее невероятной защиты. Просто обычных компьютеров под Linux и нет смысла делать вирусы для обычных офисных компьютеров. Также как сейчас мало вирусов появляется под DOS. Это не значит, что DOS какой-то защищенный. Просто его в офисах и дома используют мало (но еще есть)
2. вирусы, черви на серверах под Линукс есть. И каждый день происходят кучи заражений. Самых разных. Я так понимаю, что Вы не верите, что в данный момент куча веб-серверов взломано удаленно другими зараженными серверами и они также удаленно пытаются взломать другие сервера под Линукс через Интернет? Очень зря. создайте веб-сайт, раскрутите его и посмотрите логи, каждый день Вы будете видеть тысячи попыток взлома с уже взломанных серверов.
3. для вируса, червя и т.д. необязательно иметь root доступ. Целый ряд операций можно делать и с правами обычного пользователя. Скажем, чтобы быть в автозапуске у пользователя, достаточно чтобы пользователь просто включал компьютер и входил например в KDE. У него в обычной пользовательской папке (насколько я помню) есть папка, скрипты из которой запускаются, при запуске KDE. И таких примеров можно найти десятки в разных программах. Не обязательно из под X
4. для червей распространяющихся через взломы такого же Апача достаточно прав nobody, чтобы начать удаленный взлом других серверов. Такая же ситуация с червями под другие сервисы (ftp и т.д.)
5. даже если нужны права root, то такие крутые разработчики именного этого вируса смогли найти уязвимость и с поднятием прав. Посмотрите, сколько каждый год находится дыр, связанных с поднятием прав доступа в Линукс
6. "работать это будет only user space" - еще раз: разным вирусом достаточно разных прав. Некоторым нужны права root, другие свое злое дело делают и с более низкими правами

Gosti писал(а):Я помню моё первое удивление отсутсвию API в лине

что Вы подразумеваете под API непонятно. Если API для графического интерфейса, то в каждой оболочке есть свое API (в гноме свое, в KDE свое и т.д.), а если про уровень взаимодействия между программами и операционной системой, то это вообще стандарт POSIX. Так что я не понял, что Вы не нашли.

А вообще рассказы, про то, что в линуксе нет вирусов, это просто как анекдот про "неуловимого Джо" - его никто не ловит, потому что он никому не нужен, а не потому что его нельзя поймать.

Делать вирусы в Линукс, чтобы распространялись через флешки можно, но смысла большого нет. Потратишь кучу сил, а заразишь пару сотен компьютеров.

С другой стороны сделать вирус под Windows за тоже время и получишь миллионы компьютеров. Вот и всё.

Ну а серверы в Интернете под линукс очень даже заражаемые. Есть куча интересных отчетов. например о том, в каких странах больше взломанных серверов, как долго они работают, какими способами взломаны. При желании всё это найдете.