Современная цивилизация все сильнее напоминает стаю обезьян, которые залезли к человеку в жилье и, довольные друг другом, сидят там в кресле, примеряя очки и дергая за всякие веревочки. Атомная энергия мыслилась когда-то как средство для освоения космоса, питания звездолетов и колоний. Думали ли первые участники атомного прорыва, что их достижения будут использоваться для игры в безумное казино, запущенное западной финансовой системой напрочь слетевшей с катушек и утратившей даже зачаточные признаки рационального целеполагания?
Из новостей. Банда криптобесов из сотрудников станции поймана на Южно-Украинской АЭС. Они понаставили там кучу оборудования, чтобы "майнить" нахаляву какой-то из сортов криптомусора (то есть тут еще и факт хищения в особо крупных размерах, если перевести электроэнергию в деньги). Так как для процесса требуется интернет, им пришлось взломать защиту АЭС от несанкционированного доступа.
Комментарии
Я выделил уже (зелененьким), но предложение дельное, давайте добавлю к записи, так как он ее дополняет по существу.
Тут скорее вопрос в другом - что интернет делает на АЭС?
а как же переписка, отчетность, получение указивок от руководства?
голуби? ))
если инет локализован у управленцев и отделен даже пространственно от железа станции, почему бы нет?
Не знаю как на Украине, у нас интернет обязателен для генерирующих станций участвующих на рынке электроэнергии (а АЭС все участвуют). Системный оператор отсылает с помощью специального ПО на станции ежечасно информацию для установки режимов генерирующего оборудования и требует подтверждения приема. Ежели более 40 часов в месяц это ПО будет не на связи - предприятию выписывают крупный штраф. Поэтому интернет на таких предприятиях не просто есть, а еще от 2-3 операторов одновременно, на случай сбоев у оператора
Это вопрос зонирования сети организации. DMZ, закрытая локалка, экраны и т.д.
Защищенные процессы и оборудование от доступа из инета совершенно закрыты, но может быть создана отдельная зона с доступом.
В данном случае, благодаря алчности шайки ублюдков, вся система безопасности была скомпрометирована.
А это означает: черви, атаки изнутри, проникновение на другие узлы системы, например, щит управления АЭС и блоки управления реакторами - к которым доступа из инета быть не должно в принципе.
По личным наблюдениям скажу, что DMZ не панацея, а соблазн для некоторых профессионалов положить болт на адекватную настройку ОС (как в DMZ, так и во внутреннем сегменте, пытялся я как-то спросить за… особенности функционирования «добровольно» впариваемого вредоносного ПО… ☹).
О прочих иллюстрациях тенденции (удобство vs безопасность, но в данном случае скорее соотношение элементарной работоспособности с квалификацией обслуживающего персонала).
АСУТП и SCADA висят на отдельном, физически изолированном сегменте сети, информация с неё собирается сначала в архив исторических данных, в режиме "только чтение" на прописанный в ACL адрес, с любого другого адреса, даже физически подсоединённого к сети, до неё даже пинг не дойдёт. С архива избранные потоки данных отдаются в системы коммерческого учёта.
Это базовые вещи.
Урок ИЯП помните?
Если про stuxnet, то что именно я из неё должен помнить?
Что несмотря не все правила, машины с виндой из закрытой сети торчали наружу? Что на промплощадках было разрешено использование перемещаемых носителей? Физическая изоляция - необходимое условие, но недостаточное.
Зловреды не распространяются по воздуху, только по среде передачи: через присоединённые сети, через незаткнутые дыры в ПО или по старинке - ручками на носителе.
Если производственный коммутатор, хоть один, доступен в тех же VLAN что и остальная сеть, не закрыт списком контроля доступа, и имеет открытые LLDP и SNMP (а они открыты по умолчанию), то с помощью тривиальных средств, можно установить тип оборудования, версии ПО и, соответственно подготовить атаку при наличии известных дыр, чтобы пройти дальше - до коммуникационных процессоров, а потом если повезёт или известны дыры в проекте, то и на полевую шину.
FYI, вендоры производственных систем управления просто забивают на старые версии. Стандартная отговорка: "Покупайте новую, там эти проблемы устранены". Кстати, есть ряд российских компаний, которые делают оч. неплохие фаерволы для промышленности, с сертификацией ФАПСИ и проч. у которых есть софт-патчи для старых систем, которые позволяют заткнуть уязвимости, не исправленные оригинальными вендорами.
На самом деле, там всё ещё хуже. У полевых протоколов нет никакой защиты, там основной упор делался на помехоустойчивость. Siemens и прочие начали прикручивать шифрацию передаваемых данных по полевым шинам, но работает огромное количество оборудования без неё.
К системам управления оборудованием станции доступа не было, это СМИ с подачи СБУ и суда раздувают из мухи слона.
Тоже никогда не понимал, зачем самодостаточную систему подключать к сети с доступом в интернет?
Так АЭС не в вакууме в космосе, она в системе.
так вот оно - решение зелёной пилы! все незадействованные электро мощности - на майнинг!
У зелени себестоимость ЭЭ такова, что ты разоришься, покупая панельки и пытаясь на них майнить этот мусор. Если честно покупать, конечно.
Если присосешься к чужой генерации то есть будешь воровать, тогда да, выхлоп какой-то получишь.
не, речь идёт не о полезной ЭЭ, а о пиковой которую ветрокомпании не знают куда сбрасывать, продают с приплатой.
Ну, если ты готов вкладываться в дорогостоящее оборудование, чтобы оно простаивало в ожидании этих пиков - вперед.
Только посчитать все тщательно не забудь, там уже целая саранча подобных умников до тебя прошлась.
Там оборудование слишком дорогое и при этом быстро устаревающие.
Вот примерная прикидка: мощная видео-карта предыдущего поколения NVidea GTX 1080 Ti стоит 50т.р., жрёт 250Вт. При цене 4р за КВт*ч в день сожрёт 24р. Нужно 2000 дней непрерывной работы, что нажрать ЭЭ на свою стоимость. За 2000 дней карта морально устареет почти в ноль. А если будет работать 10% времени, то станет вообще печально.
На счёт специального оборудования не скажу, но вряд ли там настолько лучше с соотношением цены/ээ-мощности, чтобы принципиально поменять ситуацию.
>> Так как для процесса требуется интернет, им пришлось взломать защиту АЭС от несанкционированного доступа.
Вот зачем? Не проще было купить модем с сим-картой и через него в интернет ходить?
То ли журналисты переврали немного, то ли там совсем дурдом.
Если комп во внутренней защищенной сети, то подключение через модем точно такой же взлом безопасности, как и волокно. Если там стоит хакерский троян, к примеру, вся станция становится злоумышленнику прозрачна.
Если брать существующий комп, подключенный к сети, то тогда да, согласен.
Но на обычных компах же майнить вроде особо не получается, если ничего не путаю.
А если притаскивать оборудование, то его незачем подключать к внутренней сети, если интернет есть. Или на АЭС мобильную связь глушат?
Тут ещё вопрос, кстати. Как они на АЭС оборудование для этого майнинга затаскивали? Охранять же должны от затаскивания диверсантами/террористами сюрпризов. Получается, что это не пара Остапов решила отъём денег устроить по-тихому, а куча народа знала и помогала?
> Или на АЭС мобильную связь глушат?
Не эксперт, но я бы глушил. Для терроризма это ВКУСНЕЙШИЙ объект.
Для майнинга критичны задержки и стабильность сети. Если сеть "лагает", то твой хеш найдет кто-то другой и пришлет раньше тебя. Не всегда, но статистически будешь ощутимо меньше зарабатывать. Разница "свистка" и оптики - в десяток процентов, и это на российском 4G. Поэтому майнеры стараются иметь хорошую сеть.
У нас на станции хороший 4G, и свою локалку для майнинга они к инету через мобильную связь подключали. Станционные сети задействованы не были.
Притащить оборудование через периметр безопасности - это само по себе ЧП. За телефон неразрешенный уже могут пропуск отобрать (читай - уволить). По крайней мере на наших станциях так.
Купить. Интернет. Хохлы. Рядом бесплатно лежит, а вы предлагаете купить?
Я с вас удивлен, право слово.
Ты еще предложи самому за электричество и трафик платить...
Мой дядя был одним из тех физиков-атомщиков, кто запускал эту АЭС, а потом работал на ней. Он с семьей переехал Украину из Обнинска по приказу руководства, чтобы там заработала эта АЭС. Как хорошо, что он давно умер и не видит во что превратилось его детище. И какое счастье, что после его смерти задолго до майдана его жена с дочерью переехали в Москву.
Это же на каком уровне допуска были эти сотрудники?
Если бы Украины не было, то её стоило бы придумать.
Подумалось тут. При обсчете крипты, по идее, должна нагружаться, в основном, трасса, а не логика (насколько я понимаю принцип работы архитектуры "блокчейн"). И тут же возник закономерный вопрос: а чем, на самом деле, занимается эта распределенная сетка, жрущая электроэнергии, по некоторым оценкам, уже больше Дании?
Прикинул на коленке, при средней производительности 5 гигафлопс на ватт (у санлайта - 6, у роадраннера - 8) и совокупной мощности криптоферм в 7 ГВт, получаем суммарную производительность в 35000 петафлопс. Как говорится, ни хрена себе...
Кстати да . Реальное огого 😲
В сети был сайт, который это считал. Биткойн жрет свет как Чехия.
И эта сетка на самом деле тупо ищет пары простых чисел.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Как-то много разговоров о мелочах.))) Такое дело могли замутить только при прямой поддержке сисадминов, происходило сие скорее всего в офисе, в сети, которая внутриофисная и отношения к управлению станцией не имеет. Оборудование - скорее всего закупили (за счет станции) комплектуху и собрали на месте. Вы не поверите - там и дизайнеры имеются в штате, и видеографы и дофига чего. На бумаге можно нормально это сформулировать, платежные документы подмахнули и вперёд. Кстати в сам офис (который из них - их дофигища) может быть доступ относительно нестрогий, и , возможно, непосредственно до участков генерации и всего, что с этим напрямую связано растояние меряется в километрах )))
Когда технарями рулит менеджер, втереть необходимость закупки любого железа не проблема.
Сисадмины не при делах, майнер мутил все сам, для чего создал свою локальную сеть с выходом в инет через мобильную связь. Станционные сети не использовались.
Напомнило...
Дебили блин - глупо попались. "Наши" - не попались кстати :)
На фотке на газончике у них там и Крым есть.
Заголовок из серии "шайка рублебесов взломала защиту банка".
Вспоминается видео про профессионала:
-Я специалист по красным линиям, при чем тут надувание шариков?
-А они - тоже красные!
Запись, растолкав других достойных претендентов, ворвалась в лидеры по читаемости. Сим повелеваю - внести запись в реестр самых читаемых за неделю.
и не удивительно что они (укрожопы) Чернобыльскую станцию грохнули!!!
с таким отношением к соблюдению регламентов...
ребят, делите такие истории сразу на 10, не поверю, чтоб интернет и автоматизированные системы АЭС были в одном контуре, даже у меня на работе 3 физических компа с 3 разными сетями(интернет лишь на одном), а у нас далеко не АЭС
Страницы