主题:“震网”的秘密——“震网”病毒是如何破坏伊朗核计划的? -- silencsrv
事发5年前,与伊朗核设施计算机2009年和2010年遭类似蠕虫病毒攻击的时间不相上下。路透社29日援引美国多名情报部门人士的话报道,“震网”的研发人员研制出一种相关病毒,在受感染的机器上遇到以朝鲜语设置时便会被激活。
这一网络攻击行动由美国国安局主导。不过,一名消息人士说,美方人员没能接近运行朝鲜核武项目的核心机器,原因是受到朝鲜极其保密的阻碍,再加上朝鲜通信系统极端封闭。
另一名消息人士说,他听说过这次失败的网络攻击,但不了解细节。
就用电脑病毒攻击朝鲜一说,美国国家安全局一名女发言人拒绝作回应。正如伊朗当年遭蠕虫病毒攻击时,多家媒体报道称是美国和以色列所为,但美国国安局没有作出回应。
前国际原子能机构副总干事、美国哈佛大学贝尔弗科学和国际事务中心资深成员奥利·海诺宁说,如果美方人员真能进入朝鲜电脑系统植入病毒,朝方电脑肯定会“中招”。只是,路透社评述,朝鲜有着某些全球最封闭的通信网络。
http://nk.news.sohu.com/20150531/n414143314.shtml
而且定向投放很难发现。
针对性的全新程序+针对性的投放方式+极小投放量的东西很难预先防御
后来扩散开好像是(开发者的)失误造成的,否则发现样板还要更晚
应该是Symantec那几个人,他们还专门买了对应的硬件去研究,前后花了得有半年吧
具体细节应该是他们的报告最详细
当时出了这事之后研究人员一调查发现很多SCADA系统的安全性非常成问题
很多都是在使用win95,有的手册里直接写着管理员用户名密码必须使用默认值,等于不设防
如果都是是封闭的网络不连Internet的话感染起来稍微麻烦一些,实际上那会有人在google上一搜发现直接连网的SCADA系统大把。
不知道现在这方面的安全措施怎么样了
所以只能用usb这种办法。
电网什么的不能避免联网,而且电网自动化的未来也无法不联网。但是如果有人要对电网搞破坏,根本不用通过网络,那些街头巷尾的变电站很容易就被弄坏,倒几个电线杆子弄不好就黑了电网一大片,前两天支付宝大面积下线不就是哪里电缆被挖了。
印象中看到报导就是两三个月前的新闻。
早两年经常爆料的Symantec不是主角反而是俄国那个可巴斯基什么的研究,就是做同名的杀毒软件的那个公司。不过美国这方面很警惕,内部说法是那个公司老板以前有克格勃的背景,他们的杀毒软件不能用。
Wire上面经常有网安方面的重量级报道,除了Stuxnet,另一个比较详细的就是Dell的网安花了两年的时间挖掘蓝翔的那次,后来一直找到具体的人与工作地址,NBC什么的还跑去现场报道被武警赶跑那次,后来起诉中国几个军方收场。
Wire上网安的故事读起来精彩程度不下于史妹妹那个人工智能科幻,可惜爆料的还是太少了,很多细节不可能公开。
现在因为这个病毒的原理延伸出来的电力系统攻击模式到现在为止,还没有找到一个相对而言可以广泛适用的实用方法。
倒是The Register看的比较多
经常发现要看更细节的东西话最后还是要到源头的安全公司或者安全研究者的报告和blog
从卡巴时不时的被邀请协助调查中东等地被黑公司从而最早得到样本来看他们大概是和俄国官方有合作
前一阵子老发报告说中国政府背景的黑客攻击美国的美国公司Mandiant好像就有国防方面的背景 像他们拿着个上海的IP就说是解放军某某部队干的那次本人就很怀疑结论的可靠性...
全世界95%的ATM机用windows xp, 而微软已经停止支持这个操作系统,也就是说有安全漏洞也不会修补了。
当时就想翻译这篇文章,找参考的时候买了那本杂志
写的很引人入胜
最近看到一本《全球断电 Black out》 作者: (德) 艾斯伯格 (Elsberg,M.)
的确惊心动魄啊
0-day不是什么特定的技术,它指的就是尚未公开、只有少数人知道其存在的漏洞。USB上的病毒传播不是什么神秘的玩意儿,就是Windows自带的Autorun功能,是可以关闭的。当然Autorun的程序只是在用户权限下,要安装驱动程序的话需要权限升级,这就是为什么stuxnet用了几个不同的0-day,其中一个就是为了这个目的。
这就是为什么stuxnet用了几个不同的0-day,其中一个就是为了这个目的。
----------------------
什么意思?