LINK (http://www.repubblica.it/tecnologia/2011/11/22/news/acquedotto_dell_illinois_sabotato_dagli_hacker_e_p olemica_sui_sistemi_di_sicurezza-25417615/?rss)

tl;dr
Alcuni "hacker" hanno violato il sistema SCADA di un acquedotto per poi bruciarne una pompa.

Quoto dall'articolo:


Dopo la notizia del presunto attacco di Springfield gli esperti sono tutti concordi nel definire una "follia" la presenza di una connessione a Internet tra sistemi di sicurezza di infrastrutture essenziali come impianti di distribuzione di acqua, gas ed elettricità. A complicare la situazione si aggiunge il fatto che in questi sistemi le password sono "hard-coded", ovvero non possono essere cambiate con facilità. E il produttore dell'impianto di sicurezza sceglie spesso di imporre la stessa chiave d'accesso a diversi clienti. Un solo codice d'entrata potrebbe quindi permettere ai criminali della rete di penetrare in più impianti.

davvero :rotfl: :rotfl: :rotfl: :rotfl:

La prossima sarà una centrale nucleare :sneer:

LINK (http://www.repubblica.it/tecnologia/2011/11/22/news/acquedotto_dell_illinois_sabotato_dagli_hacker_e_p olemica_sui_sistemi_di_sicurezza-25417615/?rss)
tl;dr
Alcuni "hacker" hanno violato il sistema SCADA di un acquedotto per poi bruciarne una pompa.
Quoto dall'articolo:
davvero :rotfl: :rotfl: :rotfl: :rotfl:
La prossima sarà una centrale nucleare :sneer:


la centrale nucleare di springfield ovviamente e il codice lo chiedono a homer....

sicuramente anche le password questa volta le hanno chieste a homer :sneer:

la necessità di internet è solo per permettere all'operatore di turno di vedere facebook

anche servisse un controllo remoto lo si può fare in maniera più intelligente

no fermi il discorso facebook o connessione internet conta e non conta....

il discorso è che nei pc dove ci sono i sistemi di controllo delle macchine non ci deve essere internet.

se all'operatore serve facebook gli si mette a fianco un pc solo per navigare siti porno e facebook

Si va beh il mondo dei balocchi... molti scada servono solo per il controllo da remoto, il problema è che storicamente chi produce tali strumenti non considera problemi di sicurezza. Basti pensare che con nmap io ho trovato la centrale termica dell uni la quale permette la gestione remota...

LINK (http://www.repubblica.it/tecnologia/2011/11/22/news/acquedotto_dell_illinois_sabotato_dagli_hacker_e_p olemica_sui_sistemi_di_sicurezza-25417615/?rss)
tl;dr
Alcuni "hacker" hanno violato il sistema SCADA di un acquedotto per poi bruciarne una pompa.
Quoto dall'articolo:
davvero :rotfl: :rotfl: :rotfl: :rotfl:
La prossima sarà una centrale nucleare :sneer:

E' un pelo piu' difficile.

I sistemi di controllo dei grandi impianti (impianti siderurgici o anche centrali nucleari) hanno i sistemi di automazione su network diversi che non sono in alcun modo connessi a internet e neanche a reti che potrebbero essere connesse in qualche modo a internet.

Ho una discreta esperienza nel campo, dal 2007 lavoro sui sistemi SCADA, ho incominciato facendo automazione per impianti siderurgici e gia' li i pulpiti di controllo non hanno internet e sono su reti separate rispetto alla rete aziendale..


Adesso da 4 mesi a sta parte ho incominciato a lavorare come SCADA specialist per una azienda inglese ce fa sistemi di controllo per impianti energetici.
Fin ora ho lavorato su un sistema di rilevamento del plutonio per una centrale inglese e so di cosa parlo :)


P.S. anche l'attacco del virus Stunex sui PLC siemens delle centrali iraniane dubito provenisse da internet ma molto probabilmente e' stato un sabotatore che aveva accesso diretto all'impianto.

Si va beh il mondo dei balocchi... molti scada servono solo per il controllo da remoto, il problema è che storicamente chi produce tali strumenti non considera problemi di sicurezza. Basti pensare che con nmap io ho trovato la centrale termica dell uni la quale permette la gestione remota...


Molti SCADA hanno l'interfaccia remota, vero, ma devi attivarla e modificare il software ad hoc per usarla e per alcuni serve anche una licenza dedicata per l'interfaccia remota...


mmmm ora che ci penso molti acquedotti italiani hanno interfaccia remota :P

e anche praticamente tutte le discariche hanno i controlli di automazione con interfaccia remota...

Dopo la notizia del presunto attacco di Springfield gli esperti sono tutti concordi nel definire una "follia" la presenza di una connessione a Internet tra sistemi di sicurezza di infrastrutture essenziali come impianti di distribuzione di acqua, gas ed elettricità. A complicare la situazione si aggiunge il fatto che in questi sistemi le password sono "hard-coded", ovvero non possono essere cambiate con facilità. E il produttore dell'impianto di sicurezza sceglie spesso di imporre la stessa chiave d'accesso a diversi clienti. Un solo codice d'entrata potrebbe quindi permettere ai criminali della rete di penetrare in più impianti.



....

no

i famosi criminali della rete che ti accendono e spengono il microonde da remoto.

Mi ricorda la puntata di the Big Bang Theory con i cinesi che accendono e spengono le luci in salotto di Sheldon e Leonard :D

Mi ricorda la puntata di the Big Bang Theory con i cinesi che accendono e spengono le luci in salotto di Sheldon e Leonard :D

lol non me la ricordo :(

@drugnon: lo so che le centrali nucleari bla bla bla, la mia era solo una provocazione per dare spunto ad una discussione. Il fatto è che alcune persone hanno spento e acceso una pompa da remoto fino a farla bruciare. Mi sembra già una cosa divertente.

lol non me la ricordo :(

@drugnon: lo so che le centrali nucleari bla bla bla, la mia era solo una provocazione per dare spunto ad una discussione. Il fatto è che alcune persone hanno spento e acceso una pompa da remoto fino a farla bruciare. Mi sembra già una cosa divertente.

Pensa te, a me sembra una cosa da coglioni falliti

Beh l'attacco StuxNet avvenne tramite chiavette USB infette, infatti non c'è mai stato un controllo remoto della centrale, il virus sapeva cosa fare e come farlo. Ma li è indiscutibile che sia stato un progetto molto costoso che solo qualche governo è in grado di mettere su. Basti pensare che tutto parti modificando i chip di una azienda taiwanese...

pensa te, a me sembra una cosa da coglioni falliti

*

up.

morale della favola i controlli delle nostre infrastrutture strategiche (acqua ed energia) sono un colabrodo che può essere spento o manomesso o esploso dal primo "coglione fallito" capace di smanettare con un pc?

Pensa te, a me sembra una cosa da coglioni falliti
Già........Talmente falliti che operazioni di questo genere sono pagate talmente tanto che il cybercrime ha superato nel 2010 il fatturato del mercato mondiale della Cocaina.
Effettivamente è da falliti trovare uno scada vulnerabile, inserivici, scalare i privilegi, e utilizzarlo da remoto.
Fortunatamente non operi nel settore sicurezza, sottovalutare l' avversario è il primo passo verso il fallimento piu totale.

Per Necker, questi non sono dei coglioni. E' un errore comune ritenere gli Hacker dei ragazzini 15 enni, non è piu così. E' gente capace, spesso piu brava e intelligente di molti re del forum.

Per Necker, questi non sono dei coglioni. E' un errore comune ritenere gli Hacker dei ragazzini 15 enni, non è piu così. E' gente capace, spesso piu brava e intelligente di molti re del forum.

mi trovi d'accordo, infatti avevo omesso le virgolette nel definirli coglioni... ma ho provveduto :p

Penso che abbiano, al di là dei danni materiali provocati alle macchine, permesso di comprendere le vulnerabilità del sistema e le falle... io a questi gli farei un contratto per direttissima, se hanno avuto successo nell'attacco potrebbero essere pagati per prevenirlo, un domani, da gentaglia meno interessata all'informatica e più ad altri fattori.

cazzo axet e alkabar vincono il premio per il commento che ha apportato più contenuti alla discussione.
Necker ha centrato invece il nocciolo della questione.

@alkabar e axet (ve lo spiego a parte che capisco non sioa facile capire certe cose)
Il post non era per elogiare i violatori del sistema, ma era per offrire uno spunto di ragionamento sulla questione della sicurezza di questi sistemi che bene o male possono essere definiti critici. La frase "mi sembra già divertente" era per sottolineare ironicamente il fatto che fosse un'azione piuttosto grave. Certo voi ce l'avete sicuramente più lungo, soprattutto axet che è il programmatore (e anche hacker) più bravo del mondo, lui queste cose le faceva pisciando (cit.).

Già........Talmente falliti che operazioni di questo genere sono pagate talmente tanto che il cybercrime ha superato nel 2010 il fatturato del mercato mondiale della Cocaina.
Effettivamente è da falliti trovare uno scada vulnerabile, inserivici, scalare i privilegi, e utilizzarlo da remoto.
Fortunatamente non operi nel settore sicurezza, sottovalutare l' avversario è il primo passo verso il fallimento piu totale.

Ah, fanno soldi buttando giu' il sistema scada di altra gente che porta acqua e gas a delle case. :nod: :nod:

Coglioni falliti per cui gente intelligente deve perdere del tempo a cercare delle protezioni che se al mondo ci fosse un po' piu' di civiltà, non servirebbe.

E si, promesso, ce l'ho di certo piu' lungo, quello che metto su io ha sempre la finalità ad aiutare la gente, non a rompere il cazzo a gratis.

cazzo axet e alkabar vincono il premio per il commento che ha apportato più contenuti alla discussione.
Necker ha centrato invece il nocciolo della questione.

@alkabar e axet (ve lo spiego a parte che capisco non sioa facile capire certe cose)
Il post non era per elogiare i violatori del sistema, ma era per offrire uno spunto di ragionamento sulla questione della sicurezza di questi sistemi che bene o male possono essere definiti critici. La frase "mi sembra già divertente" era per sottolineare ironicamente il fatto che fosse un'azione piuttosto grave. Certo voi ce l'avete sicuramente più lungo, soprattutto axet che è il programmatore (e anche hacker) più bravo del mondo, lui queste cose le faceva pisciando (cit.).

:nod: :nod:

Non è interessante sta roba, abbi pazienza: un povero cristo cerca di mettere su un sistema che fa un lavoro utile e un coglione fallito si fa pagare per buttarlo giu'.

Nei miei sistemi la sicurezza è necessaria perchè lavoro con ospedali, ma non posso fare a meno, ad ogni ripresa in cui metto su dei cazzo di canali cifrati in chiave simmetrica, che Spy Vs Spy è davvero un giochino da mentecatti.

Ah, fanno soldi buttando giu' il sistema scada di altra gente che porta acqua e gas a delle case. :nod: :nod:

Coglioni falliti per cui gente intelligente deve perdere del tempo a cercare delle protezioni che se al mondo ci fosse un po' piu' di civiltà, non servirebbe.

E si, promesso, ce l'ho di certo piu' lungo, quello che metto su io ha sempre la finalità ad aiutare la gente, non a rompere il cazzo a gratis.

..............
Che io sappia esistono aziende come la LockedMartin e Boeing che fanno Bombe, anche loro lo fanno per aiutare la gente.
Si chiama CyberCRIME, forse ti è sfuggito questo particolare. Inoltre mettere su dei sistemi cruciali senza sicurezze, nemmeno le piu basilari, denota demenza, e non perchè il mondo è cattivo, ma perchè fare una cosa del genere è da idioti.
Un po come lasciare una ferrari aperta con le chiavi innestate al centro di Scampia.
Sinceramente della qeustione civilità o meno, mi frega na sega, il mondo è cosi e c'è questo problema, chi lo sottovaluta o ritiene gli avversari dei coglioni, è peggio di loro e gli incentiva solo ulteriormente.

Quindi è cosa buona e giusta fare merdate del genere e chi le fa è chi ha grandi aspirazioni nella vita. Right.
Non mi aspettavo di più da chi elogia l'operato di anonymous e coglioname vario.


mi trovi d'accordo, infatti avevo omesso le virgolette nel definirli coglioni... ma ho provveduto :p

Penso che abbiano, al di là dei danni materiali provocati alle macchine, permesso di comprendere le vulnerabilità del sistema e le falle... io a questi gli farei un contratto per direttissima, se hanno avuto successo nell'attacco potrebbero essere pagati per prevenirlo, un domani, da gentaglia meno interessata all'informatica e più ad altri fattori.

E intanto arreca cmq danni.. bel modo, no? Se fossero semplicemente interessati a bucare il sistema solo a fin di bene e per dimostrare la propria abilità potrebbero farlo in 800 modi diversi senza andare a recare danni a cose e/o persone.

Il che non vuol dire che sia facile, ma è una cosa da coglioni e per di più falliti perchè non hanno un cazzo di meglio da fare. E' come dire che uno ti entra in casa, ti spacca tutto il mobilio, e tu gli dici pure "bravo, grazie, ora so che devo cambiare allarme!!!".

:nod: :nod:

Non è interessante sta roba, abbi pazienza: un povero cristo cerca di mettere su un sistema che fa un lavoro utile e un coglione fallito si fa pagare per buttarlo giu'.

Nei miei sistemi la sicurezza è necessaria perchè lavoro con ospedali, ma non posso fare a meno, ad ogni ripresa in cui metto su dei cazzo di canali cifrati in chiave simmetrica, che Spy Vs Spy è davvero un giochino da mentecatti.

Mettiamola così: un coglione pirla si fa pagare una paccata di soldi per un software che è un colabrodo, ma che serve per applicazioni critiche.

Quindi è cosa buona e giusta fare merdate del genere e chi le fa è chi ha grandi aspirazioni nella vita. Right.
Non mi aspettavo di più da chi elogia l'operato di anonymous e coglioname vario.
.

Axet non capisco davvero se lo fai apposta o se davvero non ci arrivi. Ma dove ho elogiato il loro operato??? Semmai il mio obiettivo era criticare scada, cazzo sei davverop lento a capire. La laurea la prendi con i punti delle patatine?

Axet non capisco davvero se lo fai apposta o se davvero non ci arrivi. Ma dove ho elogiato il loro operato??? Semmai il mio obiettivo era criticare scada, cazzo sei davverop lento a capire. La laurea la prendi con i punti delle patatine?

No la laurea la prendo con la media più alta di tutto il corso, kkty.
Non hai mai elogiato e/o appoggiato l'operato di anonymous? Vabbè, tanti saluti :rotfl:

Ancora una volta Axet mostra i suoi notevoli limiti di comprensione della lingua Italiana.
Nessuno ha scritto che sia cosa BUONA E GIUSTA, ma ognungo poi ha la cultura che si merita...

Ancora una volta Axet mostra i suoi notevoli limiti di comprensione della lingua Italiana.
Nessuno ha scritto che sia cosa BUONA E GIUSTA, ma ognungo poi ha la cultura che si merita...

Limiti di comprensione della lingua italiana?
http://www.wayne2k1.com/showthread.php?t=104479

Dai, così è troppo facile :rotfl:

Attendiamo con ansia, credo che sarebbe utile inoltrare il reply di axet a XForce e a PacketStorm, la soluzione che ci darà in merito all' infiltrarsi in un sistema senza causare danni, perchè fin ora tutti gli attacchi che ho visto, a meno che la password ROOT non sia ROOT, cè sempre stato un qualche danno causato da Trojan,Malware ecc...

Limiti di comprensione della lingua italiana?
http://www.wayne2k1.com/showthread.php?t=104479

Dai, così è troppo facile :rotfl:
Vedo che sei limitato. Dove io o eltarion abbiamo scritto che è cosa BUONA e GIUSTA? Dai è una domanda facile facile e con la tua media cosi alta potrai forse rispondere

Attendiamo con ansia, credo che sarebbe utile inoltrare il reply di axet a XForce e a PacketStorm, la soluzione che ci darà in merito all' infiltrarsi in un sistema senza causare danni, perchè fin ora tutti gli attacchi che ho visto, a meno che la password ROOT non sia ROOT, cè sempre stato un qualche danno causato da Trojan,Malware ecc...

Che so, ad esempio, indicare la vulnerabilità al produttore del sistema senza bruciare la pompa?
Dimostri la tua abilità avendo trovato il modo per entrare, non distruggi niente. Difficile da capire, eh? :rotfl:

Chiaro che poi nessuno lo fa, ma appunto io li vedo come coglioni falliti. Magari pure molto bravi, ma sempre coglioni falliti.

Vedo che sei limitato. Dove io o eltarion abbiamo scritto che è cosa BUONA e GIUSTA? Dai è una domanda facile facile e con la tua media cosi alta potrai forse rispondere

Io farei bene attenzione alle parole che usi. Non puoi dare del limitato a qualcuno dopo una cosa del genere (riposto ancora http://www.wayne2k1.com/showthread.php?t=104479 :rotfl:).
Per quanto riguarda il resto, se non li reputate dei coglioni vuol dire che li giustificate. Se li giustificate vuol dire che non pensate che quello che hanno fatto sia grave. Ce la fai?
Vuoi un disegno? Un dizionario (sai com'è, visti i precedenti... :rotfl:)?

Che so, ad esempio, indicare la vulnerabilità al produttore del sistema senza bruciare la pompa?
Dimostri la tua abilità avendo trovato il modo per entrare, non distruggi niente. Difficile da capire, eh? :rotfl:

Chiaro che poi nessuno lo fa, ma appunto io li vedo come coglioni falliti. Magari pure molto bravi, ma sempre coglioni falliti.

Uhm, mi sa che ti sfugge cosa sia uno SCADA...
Ma forse ti manca anche il concetto di Sistema...
Fammi capire io dall' esterno accedo alla Pompa?
O forse accedo allo scada, il quale mostra delle vulnerabilità? E secondo te la vulnerabilità cos'è? Una porta TELNET aperta???? :rotfl



Io farei bene attenzione alle parole che usi. Non puoi dare del limitato a qualcuno dopo una cosa del genere (riposto ancora http://www.wayne2k1.com/showthread.php?t=104479 :rotfl:).
Per quanto riguarda il resto, se non li reputate dei coglioni vuol dire che li giustificate. Se li giustificate vuol dire che non pensate che quello che hanno fatto sia grave. Ce la fai?
Vuoi un disegno? Un dizionario (sai com'è, visti i precedenti... :rotfl:)?

Mi spiace non trovare quel post in cui usavi il detto Brianzolo che solo te conosci. Anche qui questo ragionamento su quale fondamento logico si basa.
Ma poichè oramai è palese che l'italiano non lo conosci,non piangere, Wikipedia ti aiuta.

http://it.wikipedia.org/wiki/Coglione

Citando:

Il termine è anche un insulto entrato da tempo nel linguaggio corrente con il significato di persona poco avveduta che non prevede le conseguenze dei propri atti per insufficiente intelligenza

Mi pare che sia io che eltarion che necker abbiamo sottolineanto come queste persone non siano dei coglioni, (ovviamente tu non essendolo saresti in grado di replicare l'attacco vero???), bensi dei criminali molto intelligenti e sicuramente capaci.

Vedi questo è il problema di un campo, che probabilmente non ti interessa (giustamente, l'informatica è bella perchè varia, ci mancherebbe), in cui si considerano i criminali dei bambocci che non hanno un cazzo da fare.
Peccato che l' attacco potrebbe rientrare in qualcosa di piu grande, come aver trovato che lo stesso scada è utilizzato in una qualche diga Iraniana, e fare 2+2 non è difficile.


Attendo ancora il passaggio in cui Io o Eltarion abbiamo scritto che questo attacco è cosa BUONA e GIUSTA, se no as usual scrivi cazzate.

Provo a spiegartelo di nuovo perchè nonostante tutto, tutti si meritano un'altra occasione.

Tu hai scritto ciò:


Quindi è cosa buona e giusta fare merdate del genere e chi le fa è chi ha grandi aspirazioni nella vita. Right.
Non mi aspettavo di più da chi elogia l'operato di anonymous e coglioname vario.


In merito alla tua frase (quella in bold), io ho risposto ciò:


Axet non capisco davvero se lo fai apposta o se davvero non ci arrivi. Ma dove ho elogiato il loro operato??? Semmai il mio obiettivo era criticare scada, cazzo sei davverop lento a capire. La laurea la prendi con i punti delle patatine?

La mi afrase evidenziata era in risposta alla tua frase evidenziata. Faccio uno schemino per rendere più semplice la comprensione:
A)Axet: "Quindi è cosa buona e giusta fare merdate del genere e chi le fa è chi ha grandi aspirazioni nella vita"
B)Eltarion: "Ma dove ho elogiato il loro operato??"

La tua afferrmazione (vedi A) presuppone che io abbia in qualche modo fatto trapelare che l'operato delle persone che hanno compiuto questo gesto fosse "buono e giusto". Da parte mia, in risposta (vedi B), ti ho risposto che da nessuna parte ho scritto una tale affermazione.

MA andiamo avanti:

No la laurea la prendo con la media più alta di tutto il corso, kkty.
Non hai mai elogiato e/o appoggiato l'operato di anonymous? Vabbè, tanti saluti :rotfl:

L'affermazione in bold non ha nessun significato in quanto io nella risposta precedente (vedi B) non mi stavo riferendo mica ad anonymous.

Se hai tempo e skype, per 15 euro l'ora provo ad aiutarti con l'italiano.

io dei tecnicismi che usate non ne capisco una fava, ma bado ai risultati (causa --> effetto) che questo episodio ha messo in luce: vulnerabilità del sistema, rischio attentati, miglioramento della sicurezza e già che ci siamo dell'efficienza dei macchinari.

Senza entrare in discorsi pindarici sulla filosofia dell'hacker e altre rogne affini, quei signori hanno si causato un danno materiale, ma hanno permesso di capire come è strutturato il sistema, come funziona e soprattutto quali limiti ha.

Se potevano svolgere lo stesso compito senza bruciare nemmeno un contatto non lo so e francamente poco importa, una cosa è chiara: se si vuol far capire qualcosa a qualcuno, non basta un log e 4 paginette stampate, serve di più. Se non ti scotti la pellaccia le cose non le capisci. Questi hanno raggiunto perfettamente l'obiettivo, hanno superato il sistema e hanno attirato l'attenzione, come? creando un danno materiale. Hanno sensibilizzato l'opinione di chi esperto non è con quello che hanno fatto, io qui ci vedo del positivo.

Potevano giocare a tetris invece di fare quel che hanno fatto, si sarebbe risparmiato del denaro sicuramente ma la volta dopo magari oltre al denaro sarebbe morto pure qualcuno. Come ci sono arrivati loro per me può arrivarci chiunque abbia voglia e competenze sufficienti, mosso magari però da ideologie e cause di tutt'altra pasta che l'essere per 10 minuti una notorietà fra i nerd della rete.

Come si suol dire non tutto il male vien per nuocere.

In ogni caso non avete risposto alla mia domanda: se è vero che questi sistemi di controllo sono praticamente ovunque vi sia una pompa o una turbina, siamo di fatto totalmente scoperti a tal punto che con una adeguata preparazione un mister nessuno può mettere in ginocchio intere regioni densamente popolate?

Si. E' un problema assai antico, gli Scada recenti generalmente vengono installati con alcuni concetti di sicurezza. Il problema è che un impianto non si cambia ogni 3 anni, quindi la roba vecchia mantiene i suoi problemi. Se è stato colpito il progetto iraniano nucleare cn Stuxnet, puoi immaginare cosa si possa fare su delle semplici dighe..
Btw chi fa queste cose non è una singola persona, sono gruppi ben addestrati. I paesi "CIVILI" che nn considerano gli hacker dei coglioni, vedi CINA,USA,GB,ISRAELE e sicuramente molti altri, hanno gruppi, facenti parte di reparti dell'esercito, che simulano attacchi.
L'idea base è quella del Red Team (attacco) vs Blue Team(difesa). Secondo te per quale motivo si addestrano degli uomini all' attacco?

Provo a spiegartelo di nuovo perchè nonostante tutto, tutti si meritano un'altra occasione.

Tu hai scritto ciò:



In merito alla tua frase (quella in bold), io ho risposto ciò:



La mi afrase evidenziata era in risposta alla tua frase evidenziata. Faccio uno schemino per rendere più semplice la comprensione:
A)Axet: "Quindi è cosa buona e giusta fare merdate del genere e chi le fa è chi ha grandi aspirazioni nella vita"
B)Eltarion: "Ma dove ho elogiato il loro operato??"

La tua afferrmazione (vedi A) presuppone che io abbia in qualche modo fatto trapelare che l'operato delle persone che hanno compiuto questo gesto fosse "buono e giusto". Da parte mia, in risposta (vedi B), ti ho risposto che da nessuna parte ho scritto una tale affermazione.

MA andiamo avanti:

L'affermazione in bold non ha nessun significato in quanto io nella risposta precedente (vedi B) non mi stavo riferendo mica ad anonymous.

Se hai tempo e skype, per 15 euro l'ora provo ad aiutarti con l'italiano.

Ma che bravo, hai pure perso tempo per fare un bel multiquote. Peccato che te ne sei persi un paio. Cominciamo con il post iniziale da cui una persona normale sottintende un certo apprezzamento:


lol non me la ricordo :(

@drugnon: lo so che le centrali nucleari bla bla bla, la mia era solo una provocazione per dare spunto ad una discussione. Il fatto è che alcune persone hanno spento e acceso una pompa da remoto fino a farla bruciare. Mi sembra già una cosa divertente.

Non mi sembra un reply di critica, hai cagato fuori dal vaso ma ti sei corretto poco dopo e vabbè.

La cosa più fun è che nel tuo multiquote delirante e anche negli altri reply parli di elogio verso chi? Verso chi ha operato l'attacco in questione? Strano, non hai capito una sega e manco sei capace di mettere in relazione tra loro più pezzi di un discorso facendo dei salti logici pazzeschi.
Io scrivo

Non mi aspettavo di più da chi elogia l'operato di anonymous e coglioname vario.

E tu rispondi


Axet non capisco davvero se lo fai apposta o se davvero non ci arrivi. Ma dove ho elogiato il loro operato??? Semmai il mio obiettivo era criticare scada, cazzo sei davverop lento a capire. La laurea la prendi con i punti delle patatine?

Al che segue l'ultimo reply


No la laurea la prendo con la media più alta di tutto il corso, kkty.
Non hai mai elogiato e/o appoggiato l'operato di anonymous? Vabbè, tanti saluti

Ora fammi capire, perchè qua siamo già ben oltre il ridicolo visto come hai preso di petto la situazione giusto per fare un gran bel tonfo nella merda, io ti critico perchè fraintendo il tuo "mi sembra divertente" anche sulla base di tutto quello che hai scritto su anonymous & co in passato. Te lo faccio notare, e nota bene dove sta il verbo ELOGIARE in quella frase, e tu mi rispondi "ma quando mai avrei ELOGIATO quelli che hanno fatto sto attacco?". Da qui, stupido io che pensavo tu fossi in grado di leggere una semplice frase in italiano, ti rispondo riguardo ad anonymous. Se tu non sei in grado di collegare due frasi non è colpa mia caro, se tu non ti stavi riferendo ad anonymous è colpa tua che non sei in grado di comprendere un discorso molto semplice (torno a dire, rileggiti la frase e guarda a chi è riferito il verbo elogiare nel mio reply).

In pratica tutto sto gran casino perchè tu hai sbagliato (o non ce la fai, chi lo sa) a capire il discorso. Beh, gg. Se vuoi i 15 euro te li regalo così ti puoi far dare ripetizioni di italiano che mi sa che non sei messo tanto bene :rotfl:


@hardcore:
dopo aver citato da wiki la definizione di coglione siamo arrivati all'apice :rotfl:
Rileggiti i miei reply, forse capisci. Ok no, non capirai mai ( http://www.wayne2k1.com/showthread.php?t=104479 docet)

Da uno che scrive
se non li reputate dei coglioni vuol dire che li giustificate., posso aspettarmi ogni cosa. Leggiti un libro e impara l'italiano, potrebbe tornarti utile.
Ah ovviamente, ma la vulnerabilità che permette di non danneggiare il sistema poi l'hai trovata??

Da uno che scrive , posso aspettarmi ogni cosa. Leggiti un libro e impara l'italiano, potrebbe tornarti utile.
Ah ovviamente, ma la vulnerabilità che permette di non danneggiare il sistema poi l'hai trovata??

Coglione è un epiteto ingiurioso. Se vuoi puoi sostituirlo con stronzo, infame, figlio di troia: il mio discorso non cambia di una virgola.
Riguardo alla vulnerabilità, ti ho già risposto. Bruciare la pompa era l'unico modo di renderla nota? Risponditi da solo, anche uno come te ce la può fare.. sono sicuro che l'insegnante di sostegno alle elementari te l'ha sempre detto ;)

Ma che bravo, hai pure perso tempo per fare un bel multiquote. Peccato che te ne sei persi un paio. Cominciamo con il post iniziale da cui una persona normale sottintende un certo apprezzamento:



Non mi sembra un reply di critica, hai cagato fuori dal vaso ma ti sei corretto poco dopo e vabbè.

La cosa più fun è che nel tuo multiquote delirante e anche negli altri reply parli di elogio verso chi? Verso chi ha operato l'attacco in questione? Strano, non hai capito una sega e manco sei capace di mettere in relazione tra loro più pezzi di un discorso facendo dei salti logici pazzeschi.
Io scrivo


E tu rispondi



Al che segue l'ultimo reply



Ora fammi capire, perchè qua siamo già ben oltre il ridicolo visto come hai preso di petto la situazione giusto per fare un gran bel tonfo nella merda, io ti critico perchè fraintendo il tuo "mi sembra divertente" anche sulla base di tutto quello che hai scritto su anonymous & co in passato. Te lo faccio notare, e nota bene dove sta il verbo ELOGIARE in quella frase, e tu mi rispondi "ma quando mai avrei ELOGIATO quelli che hanno fatto sto attacco?". Da qui, stupido io che pensavo tu fossi in grado di leggere una semplice frase in italiano, ti rispondo riguardo ad anonymous. Se tu non sei in grado di collegare due frasi non è colpa mia caro, se tu non ti stavi riferendo ad anonymous è colpa tua che non sei in grado di comprendere un discorso molto semplice (torno a dire, rileggiti la frase e guarda a chi è riferito il verbo elogiare nel mio reply).

In pratica tutto sto gran casino perchè tu hai sbagliato (o non ce la fai, chi lo sa) a capire il discorso. Beh, gg. Se vuoi i 15 euro te li regalo così ti puoi far dare ripetizioni di italiano che mi sa che non sei messo tanto bene :rotfl:


@hardcore:
dopo aver citato da wiki la definizione di coglione siamo arrivati all'apice :rotfl:
Rileggiti i miei reply, forse capisci. Ok no, non capirai mai ( http://www.wayne2k1.com/showthread.php?t=104479 docet)

ah giusto hai ragione, le domande / risposte si collegano tra loro per il verbo usato. eh si. guarda se non hai capito il post precedente non perdo altro tempo nel risponderti. sei davvero ottuso.

Aggiungo inoltre che dire che questi sono dei coglioni falliti cosa apporta alla discussione? Non mi pare si stesse discutendo se queste persone siano brave o cattive, si stava discutendo delle vulnerabilità di scada e di cosa comportasse. Come mai necker ha capito la discussione e tu proprio no?
Ora possiamo continuare a farci la punta al cazzo per quanto vuoi, ma non sarebbe meglio discutere su qualcosa di più produttivo? (come ha fatto necker)

@Necker: ti ha risposto hardcore e io aggiungerei solo che le variabili in gioco sono molte. Bisognerebbe capire quale vulnerabilità hanno sfruttato. Dall'articolo si evince che erano già dentro il sistema da tempo, magari nel periodo che erano dentro hanno sfruttato falle di diversi componenti prima di arrivare a poter bucare scada.

Coglione è un epiteto ingiurioso. Se vuoi puoi sostituirlo con stronzo, infame, figlio di troia: il mio discorso non cambia di una virgola.
Riguardo alla vulnerabilità, ti ho già risposto. Bruciare la pompa era l'unico modo di renderla nota? Risponditi da solo, anche uno come te ce la può fare.. sono sicuro che l'insegnante di sostegno alle elementari te l'ha sempre detto ;)

Mi salvo il quote a dimostrazione che tu l'italiano proprio non lo conosci.

Coglione=Stronzo?

Quindi se do a uno dello stronzo, sto dicendo che è dotato di scarsa intelligenza? Ah vero tu ci parli dalla dimensione parallela, dimentico sempre questo :sneer:

In ogni modo si dimsotra chiaro, che ti laurei a pieni voti ma di sicurezza informatica ne capisci na ramazza.

Hai scritto che potevano infiltrarsi nel sistema senza causare danni, (spero che quello che scrivi te lo ricordi).

Ti ripeto come ci si infiltra in un sistema senza causare danni? Aggiungere una backdoor è un danno? Floodare un servizio rpc con un pacchetto mal formato è un danno?

avete rotto le SCADole









devo andare :|

ah giusto hai ragione, le domande / risposte si collegano tra loro per il verbo usato. eh si. guarda se non hai capito il post precedente non perdo altro tempo nel risponderti. sei davvero ottuso.

Aggiungo inoltre che dire che questi sono dei coglioni falliti cosa apporta alla discussione? Non mi pare si stesse discutendo se queste persone siano brave o cattive, si stava discutendo delle vulnerabilità di scada e di cosa comportasse. Come mai necker ha capito la discussione e tu proprio no?
Ora possiamo continuare a farci la punta al cazzo per quanto vuoi, ma non sarebbe meglio discutere su qualcosa di più produttivo? (come ha fatto necker)

@Necker: ti ha risposto hardcore e io aggiungerei solo che le variabili in gioco sono molte. Bisognerebbe capire quale vulnerabilità hanno sfruttato. Dall'articolo si evince che erano già dentro il sistema da tempo, magari nel periodo che erano dentro hanno sfruttato falle di diversi componenti prima di arrivare a poter bucare scada.

Elta hai capito benissimo il mio reply, io ho fatto un'affermazione riferita ad una entità ben precisa (anonymous), tu hai risposto una cosa che non c'entrava una ceppa. Evidentemente non ci siam capiti, per altro come già scritto pure io ho frainteso il senso di quel "divertente".
Cmq magari non ha apportato molto alla discussione, anzi probabilmente come dici tu non ha apportato niente, resta semplicemente il mio pensiero (per altro condiviso da almeno almeno una persona, cioè alka) e mi sento in diritto di esprimerlo. O non posso? :D


Mi salvo il quote a dimostrazione che tu l'italiano proprio non lo conosci.

Coglione=Stronzo?

Quindi se do a uno dello stronzo, sto dicendo che è dotato di scarsa intelligenza? Ah vero tu ci parli dalla dimensione parallela, dimentico sempre questo :sneer:


Vabbè, l'ennesima dimostrazione che hai un ritardo. Te l'ho già detto una volta: se è veramente così dillo che non mi ci metto manco più perchè infierire su chi ha delle difficoltà non fa per me. Complimenti per la comprensione dell'italiano, questo tuo excursus mi ricorda molto quello di un altro 3d.. :rotfl:


In ogni modo si dimsotra chiaro, che ti laurei a pieni voti ma di sicurezza informatica ne capisci na ramazza.

Hai scritto che potevano infiltrarsi nel sistema senza causare danni, (spero che quello che scrivi te lo ricordi).

Ti ripeto come ci si infiltra in un sistema senza causare danni? Aggiungere una backdoor è un danno? Floodare un servizio rpc con un pacchetto mal formato è un danno?

Ancora, lol.
Riporto per l'ennesima volta lo stesso concetto, mi autoquoto così faccio pure meno fatica:


Riguardo alla vulnerabilità, ti ho già risposto. Bruciare la pompa era l'unico modo di renderla nota? Risponditi da solo, anche uno come te ce la può fare.. sono sicuro che l'insegnante di sostegno alle elementari te l'ha sempre detto

Tutto ciò mi sa molto di "indenta!" "devi indentare!" "sveglia devi intendare il codice" ----> "aahh okkk ho capitoo!!!!!! non si può fareehhwree ç__**"

Ritorno a quanto detto sopra: se hai dei problemi diccelo, così ci regoliamo di conseguenza.

Vabbè, l'ennesima dimostrazione che hai un ritardo. Te l'ho già detto una volta: se è veramente così dillo che non mi ci metto manco più perchè infierire su chi ha delle difficoltà non fa per me. Complimenti per la comprensione dell'italiano, questo tuo excursus mi ricorda molto quello di un altro 3d.. :rotfl:
Quindi dimostri che Coglione = Stronzo. Ok contento te.




Riporto per l'ennesima volta lo stesso concetto, mi autoquoto così faccio pure meno fatica:


Tutto ciò mi sa molto di "indenta!" "devi indentare!" "sveglia devi intendare il codice" ----> "aahh okkk ho capitoo!!!!!! non si può fareehhwree ç__**"

Ritorno a quanto detto sopra: se hai dei problemi diccelo, così ci regoliamo di conseguenza.
Evidentemente non sai neache di cosa stiamo parlando, lasciamo perdere, tanto la figura dell'ignorante l'hai gia fatta.
Ah p.s Voci parlando di una vulnerabilità rpc con scalata di privilegi sullo scada, ma hey lo scada per axet è la pompa

Ripeto essere arrivati alla Pompa vuol dire che il sistema SCADA non è stato danneggiato? Eppure tu sostieni che si potesse arrivare al controllo della pompa senza DANNEGGIARLO.

Tue parole no?


Se fossero semplicemente interessati a bucare il sistema solo a fin di bene e per dimostrare la propria abilità potrebbero farlo in 800 modi diversi senza andare a recare danni a cose e/o persone.

Ma ovviamente il tuo reply sarà una faccina, o indentare indentare, ognuno arriva dove può.

:rotfl:

è qui che si parla di pompe?

Non capisco l'argomentazione onestamente. C'è un problema di sicurezza? Bene, allora aiuta a metterlo a posto invece che rovinare l'infrastruttura, no? Boh, non capisco il pro dell'essere arroganti e buttare giu' tutto facendo dei danni.
Cos'è una cosa tipo "siccome hai fatto degli errori, allora ho il diritto di farti dei danni?" "Sei un coglione, te la sei cercata quindi ti inculo, pero' è per il tuo bene???". A me sembra abbastanza criminale fare dei danni, fine.

Poi possono anche essere i re di sto cazzo fondamentalmente io stavo tutti i giorni con gente del dipartimento di informatica e sicurezza della R.H.U.L, riconosciuti come massimi esperti di informatica al mondo,. e loro studiano della gran matematica per migliorare la sicurezza informatica, non vanno a fare i fenomeni al fine di foraggiar il proprio ego.

Non capisco l'argomentazione onestamente. C'è un problema di sicurezza? Bene, allora aiuta a metterlo a posto invece che rovinare l'infrastruttura, no? Boh, non capisco il pro dell'essere arroganti e buttare giu' tutto facendo dei danni.
Cos'è una cosa tipo "siccome hai fatto degli errori, allora ho il diritto di farti dei danni?" "Sei un coglione, te la sei cercata quindi ti inculo, pero' è per il tuo bene???". A me sembra abbastanza criminale fare dei danni, fine.

Poi possono anche essere i re di sto cazzo fondamentalmente io stavo tutti i giorni con gente del dipartimento di informatica e sicurezza della R.H.U.L, riconosciuti come massimi esperti di informatica al mondo,. e loro studiano della gran matematica per migliorare la sicurezza informatica, non vanno a fare i fenomeni al fine di foraggiar il proprio ego.

Boom. Headshot.
Secondo me Shamir buttava giu siti random in passato :confused:

Uhm, mi sa che ti sfugge cosa sia uno SCADA...
Ma forse ti manca anche il concetto di Sistema...
Fammi capire io dall' esterno accedo alla Pompa?
O forse accedo allo scada, il quale mostra delle vulnerabilità? E secondo te la vulnerabilità cos'è? Una porta TELNET aperta???? :rotfl



Il problema e' la leggerezza con cui e' stato progettato quell'impianto.


Controllare una qualsiasi cosa senza mettere interblocchi all'accensione, controlli di spegnimento, controlli sul circuit breaker, controlli sulla temperaturar, sul livello del lubrificante e' una cosa da incompetenti. Ho visto cinesi fare di meglio...

Questi controlli di cui parlo NON li puoi modificare con lo SCADA, sono decodificati nel PLC.
E per modificarli a PLC devi avere il software di partenza, modificarlo e farne un download sul PLC e facendo quest'ultima operazione fermi tutto l'impianto e gia li la tua azione viene rilevata.


Certo se poi la gente mette su un sistema di controllo di una pompa senza interblocchi e nello SCADA mette un comando di start, uno di stop e uno di ciclo automatico e poi connette tutto a internet grazie al cazzo che il primo malintenzionato che conosce il sistema leva la pompa dal ciclo automatico, la mette in start e la lascia lavorare finche' non si fotte...


E ci tengo a dire che normalmente un sistema di automazione normale NON ha falle simili.


Edit:
Esempio di sistema sicuro (anche troppo..)
Il cliente per cui sto lavorando adesso mi ha fatto fare il lockdown del PC a livello SSLF (Specialized Security-Limited Functionality), vuole mettere 4 firewall (uno per edificio), vuole installare un antivirus su ogni SCADA workstation (che mi rileva lo SCADA come virus.... -_________-), la rete in cui lavorera' il sistema non e' accessibile dall'esterno e mi ha fatto disabilitare tutte le porte USB dei PC.


E mi sta rompendo il cazzo perche' non e' possibile eliminare la shortcut ease of access quando fai ctrl+alt+canc con windows 7 -____-

Da nerd economista mi viene naturale chiedere una cosa.

Che ci vuole per tenere un sistema del genere ABBASTANZA protetto? quanto costa sviluppare la sicurezza informatica? e quanta gente serve per tenerla up in modo efficiente?

LINK (http://www.repubblica.it/tecnologia/2011/11/22/news/acquedotto_dell_illinois_sabotato_dagli_hacker_e_p olemica_sui_sistemi_di_sicurezza-25417615/?rss)

tl;dr
Alcuni "hacker" hanno violato il sistema SCADA di un acquedotto per poi bruciarne una pompa.

Quoto dall'articolo:


davvero :rotfl: :rotfl: :rotfl: :rotfl:

La prossima sarà una centrale nucleare :sneer:

Salto a pie pari il flame e la discussione che ne e' nata che non mi interessa giusto per rispondere a te elta che hai aperto il topic.

Prima di tutto, ormai l'informazione in generale (e soprattutto Italiana) scrive un sacco di puttanate. Quindi bho, permettimi francamente di mettere in dubbio quest'articolo che mi sembra scritto piu con uno stile per fare la solita cassa di risonanza del "OMG GLI HACKERRR" poi vorrei tanto leggere l'articolo ufficiale americano, giusto per comprendere quanto in realta' vi e' stato ricamato sopra dall'autore italiano in questa vicenda (nella solita e spesso beata ignoranza dell'argomento). Gia solo il fatto che si paragoni una presunta (si parlo di presunta, perche' di quell'articolo sinceramente mi fido zero) intrusione in un sistema SCADA con (a fine articolo) il paragone del "problema attuale" di un furto in una banca dati norvegese di un'azienda petrolifera fa capire come....non si sia capito un cazzo.

Oltre il fatto, per inciso che cosa si crede che rubare un account SCADA basti un Keylogger od un Trojan? Al 60/70% l'informazione e' uscita fisicamente, non virtualmente. Ed allora non si tratta di "pirati informatici bravizzimi che commettono un reato" ma di criminali veri e proprio che han dato delle informazioni al di fuori, per poter creare un danno ad una comunita'.

Riguardo la centrale nucleare ovviamente era una battuta, quindi evito di farti la ramanzina :nod:

Concludo cmq per dire che in sintesi come gia ti dissi al tempo, questi non sono Hacker, ma "semplicemente" criminali, basterebbe chiamarli con il loro nome e non usare un termine inappropriato. Un po come al tempo quando si discuteva dei Lulzsec & co, quelli che a detta tua (e di molti) pareva che stavano la a rivoluzionare la Rete e che sarebbero durati nei secoli dei secoli.

Invece, come ti dissi per cosa si sono rivelati? Una bolla di sapone fatta di bimbiminchia volata via talmente rapida che la rete gia non li ricorda piu'.

Gia solo qua, dove vi e' un articolo un attimino piu dettagliato e SERIO di quella spazzatura postata:

http://www.zdnet.com/blog/security/scada-systems-at-the-water-utilities-in-illinois-houston-hacked/9821

https://threatpost.com/en_us/blogs/was-three-character-password-used-hack-south-houstons-water-treatment-plant-siemens-default-11?utm_source=Recent+Articles&utm_medium=Left+Sidebar+Topics&utm_campaign=Government+Security

si parla di come abbiano sfruttato una FALLA esistente del sistema. Quindi non han creato un qualcosa per bucare il sistema nel qual caso che l'informazione sia uscita o sia stata rubata virtualmente e non fisicamente, una falla che gia era conosciuta e non era "nascosta" come informazione, tanto che e' stata catalogata dall'FBI come atto di terrorismo vero e proprio. Quindi dove starebbe l'abilita' mostruosa nell'informarsi sul fatto che un sistema abbia una falla e sfruttarla a dovere per creare un crimine?

Non c'e abilita' c'e da essere dei criminali, prendere e via in carcere magari ti passano le voglie da fanatico.

Per inciso, sicuramente IDIOTA chi ha progettato questo sistema, sa che ce la falla e non la fixa. (23 MARZO 2011, pubblicate TRENTAQUATTRO FALLE dello scada..)

Essere Hacker, e' altro.

E' un po come il discorso dei Luzsec & co "idolatrati" come dicevo prima come MASTERUBBAHACKER del mondo, che altro che non facevano che sfruttare l'ignoranza e le falle di determinati sistemi per "allegramente rubare dati e pubblicarli facendo casino" gli stessi MASTERUBBAHaCKER che dovevano rivoluzionare la retehh.

Gentaglia, non Hacker.

Che ci vuole per tenere un sistema del genere ABBASTANZA protetto? quanto costa sviluppare la sicurezza informatica? e quanta gente serve per tenerla up in modo efficiente?


Basterebbe poco, nessun collegamento con internet e installare solo software da cd originali :nod:




Oltre il fatto, per inciso che cosa si crede che rubare un account SCADA basti un Keylogger od un Trojan? Al 99% l'informazione e' uscita fisicamente, non virtualmente.



Gli scada sono attivi 24 ore su 24 (devono, fanno monitoraggio di dati/allarmi/eventi), quindi uno si connette da remoto al pc con lo scada e fa danni visto che non deve avviare niente :)

Da nerd economista mi viene naturale chiedere una cosa.

Che ci vuole per tenere un sistema del genere ABBASTANZA protetto? quanto costa sviluppare la sicurezza informatica? e quanta gente serve per tenerla up in modo efficiente?

dalla mia esperienza, costa un sacco

ed i motivi principali sono due :

1) e' considerata un "di piu" dalla maggior parte delle alte sfere, a meno che tra i rischi del progetto non ci siano danni alle persone (ad esempio nei sistemi di automazione & co per ospedali, mezzi di trasporto etc) in tal caso balza al primo posto (e onestamente io in un acquedotto la considero piuttosto importante in tal senso). L'essere considerata un' aggiunta la porta ad essere inserita a forza nel design, solitamente quando si e' gia ben avanti con lo sviluppo, con conseguenze che potete immaginare.


2) le risorse competenti in sicurezza sono scarse e costose


per quanto riguarda tenerla up invece non credo ci siano costi particolari ... fondamentalmente una volta che e' su se ne occupano le stesse persone che curano il resto.

ovviamente questo per fare un discorso molto generale, poi dipende completamente dal progetto.

Basterebbe poco, nessun collegamento con internet e installare solo software da cd originali :nod:






Gli scada sono attivi 24 ore su 24 (devono, fanno monitoraggio di dati/allarmi/eventi), quindi uno si connette da remoto al pc con lo scada e fa danni visto che non deve avviare niente :)

No Drugnon, non fraintedere, non ho scritto che non sono connessi a internet o meglio ad un altro PC, ma che non e' come rubare le info del tuo account hotmail. Come poi ho scritto editando dopo e' ovvio che un sistema con 34 falle prima o poi lo stronzo che le sfrutta per fare il danno di turno lo trovi.

Ma non c'e nulla di eccezionale in questo.

http://www.zdnet.com/blog/security/scada-systems-at-the-water-utilities-in-illinois-houston-hacked/9821
https://threatpost.com/en_us/blogs/was-three-character-password-used-hack-south-houstons-water-treatment-plant-siemens-default-11?utm_source=Recent+Articles&utm_medium=Left+Sidebar+Topics&utm_campaign=Government+Security


:rotfl::rotfl::rotfl::rotfl:

son da mettere in galera l'haker E gli sviluppatori del software...

mettere in avviamento un sistema senza cambiare la password di default e' CRIMINALE... :gha:




Lo SCADA in questione potrebbe essere un sw coros, ma vedendo solo il printscreen e' impossibile esserne certi

Dal primo link di Naz:

There was damage – the SCADA system was powered on and off, burning out a water pump.


mi pare incorretto, er definizione lo scada e' un sistema di monitoraggio con alcuni controlli e' il solo avviare il sistema non basta a riavviare la pompa in questione, piu' probabile che l'Hacker o chi per lui abbia trovato l'indirizzo IP del plc che controlla la pompa e abbia riavviato il plc piu' e piu' volte.

Infatti e' errata, tanto che dovrebbe riprendere una notizia collegata ad un altro sito che parlava della notizia che e' ovviamente not found in quanto sara' stata una cagata, prontamente cancellata :sneer:

scusate voglio solo chiarire una cosa:
non ho mai detto che questi siano pro o che abbiano fatto bene. Questo in parte proprio per la discussione che avevo fatto con Naz (a cui mi tocca dare ragione, sono giovine).

Il topic come ho già scritto era per discutere sul fatto che esistono ancora molte applicazioni anche critiche che possono essere sforazzate. E chi vende sti software si fa pagare anche MOLTO bene. Ciò denota che, oltre che in Italia, anche nel resto del mondo spesso il problema della sicurezza viene preso sottogamba. Questo era più o meno il tema che volevo proporre. Ok ci ho mesos un po' di provocazione, ma sennò che palle no?

Invece la cosa si è trasformata in un "sono dei coglioni falliti" etc. Che secondo me centrava davvero poco.

Eltarion, ma la provocazione ci sta, fatta in maniera garbata come te hai fatto, infatti ti ho risposto mica mandato a cagare :nod:

Per il resto son daccordo eh, infatti con Drugnon si diceva per l'appunto che loro sono assolutamente dei criminali a sfruttare tali falle per bruciare una pompa dell'acqua, ma altrettanto i programmatori che lasciano certe falle dichiarate li tanto per, in attesa che passi lo stronzo di turno. Il concetto che volevo far arrivare e' che qua la "bravura hacker" c'entra ben poco.

scusate voglio solo chiarire una cosa:
non ho mai detto che questi siano pro o che abbiano fatto bene. Questo in parte proprio per la discussione che avevo fatto con Naz (a cui mi tocca dare ragione, sono giovine).

Il topic come ho già scritto era per discutere sul fatto che esistono ancora molte applicazioni anche critiche che possono essere sforazzate. E chi vende sti software si fa pagare anche MOLTO bene. Ciò denota che, oltre che in Italia, anche nel resto del mondo spesso il problema della sicurezza viene preso sottogamba. Questo era più o meno il tema che volevo proporre. Ok ci ho mesos un po' di provocazione, ma sennò che palle no?

Invece la cosa si è trasformata in un "sono dei coglioni falliti"...non possono essere definiti "hacker" (chi l'hai mai voluto insinuare?).. Insomma tutti argumenti che secondo me centravano davvero poco, non erano cose su cui discutere insomma. Però vabbhe questo è il bello di internet ;)

Ma il problema è anche culturale. Spesso chi programma plc ha poco avuto a che fare nella carriera con problemi di sicurezza it

dalla mia esperienza, costa un sacco

ed i motivi principali sono due :

1) e' considerata un "di piu" dalla maggior parte delle alte sfere, a meno che tra i rischi del progetto non ci siano danni alle persone (ad esempio nei sistemi di automazione & co per ospedali, mezzi di trasporto etc) in tal caso balza al primo posto (e onestamente io in un acquedotto la considero piuttosto importante in tal senso). L'essere considerata un' aggiunta la porta ad essere inserita a forza nel design, solitamente quando si e' gia ben avanti con lo sviluppo, con conseguenze che potete immaginare.


2) le risorse competenti in sicurezza sono scarse e costose


per quanto riguarda tenerla up invece non credo ci siano costi particolari ... fondamentalmente una volta che e' su se ne occupano le stesse persone che curano il resto.

ovviamente questo per fare un discorso molto generale, poi dipende completamente dal progetto.


Ok, la tua risposta è assolutamente esauriente.

Next question.. aldilà di eventuali fini mitomani.. perchè crakkare un sistema del genere? che genere di ritorno ci può essere? è possibile quantificarlo?

Il sistema può essre il clone di un altro. Puoi ricattare l'azienda gestore. ci sono vari modi e scopi basta un po di fantasia

Ma il problema è anche culturale. Spesso chi programma plc ha poco avuto a che fare nella carriera con problemi di sicurezza it

Su questo concordo pienamente, spesso nel nome del "diamoci alla tecnologia che problema c'ehhh!" ci si affida a personale che programma PLC (e non il discorso e' anche piu ampio) che non ha nessuna o una minima competenza della sicurezza IT.

un amico di lavoro di mio pà fa lo sviluppatore di programmi di controllo di apparecchi di analisi medica (macchinoni costosi di laboratorio). Usava RISCOS come sistema operativo su macchine embedded. La macchina si accendeva in pochi secondi, tutto il SO e il programma mi pare non arrivasse ai 30 mega, l'interfaccia era semplice - insomma, super cost effective e stabile come una roccia.

È dovuto passare a windows perchè i tecnici/medici vogliono mandare le mail/usare office sui pc che controllano i macchinari. 100 sacchi di licenza, necessità di macchina più potente, più spazio richiesto, problemi di sicurezza/virus e quant'altro. Però se vuoi vendere devi ascoltare il cliente.

Next question.. aldilà di eventuali fini mitomani.. perchè crakkare un sistema del genere? che genere di ritorno ci può essere? è possibile quantificarlo?

in questo caso, credo proprio nessuno. Piu o meno lo stesso ritorno di chi spacca i vetri alle stazioni del treno.

Quelli che fan soldi crackando sistemi penso si contino sulle dita delle mani, per lo piu è gente che lo fa per il gusto di farlo.

in questo caso, credo proprio nessuno. Piu o meno lo stesso ritorno di chi spacca i vetri alle stazioni del treno.

Quelli che fan soldi crackando sistemi penso si contino sulle dita delle mani, per lo piu è gente che lo fa per il gusto di farlo.

Beata ignoranza.

http://www.zdnet.com/blog/btl/cybercrime-costs-338bn-to-global-economy-more-lucrative-than-drugs-trade/57503

Ma il problema è anche culturale. Spesso chi programma plc ha poco avuto a che fare nella carriera con problemi di sicurezza it




Il problema e' un altro, se il software del PLC e' fatto bene non basta accendere o spegnere il PLC o accendere/spegnere la pompa via SCADA.

Ci sono gli interblocchi, le sequenze di start-up della pompa gli e stand-by automatici dopo tot tempo di funzionamento che ti salvano il culo (tanto per fare un piccolo elenco ma ci sono mille mila altri controlli).


E l'hacker per aggirare questi paletti deve riprogrammare il codice PLC e non semplice da fare da remoto ed oltretutto e' facilmente sgamabile.


Se pero' il """""programma""""" (mi vien difficile definirlo tale..) e' fatto alla cazzo ed e' qualcosa come <Start da HMI> ----> <Avvio pompa> + autoritenuta e <Stop da HMI> che taglia l'autoritenuta allora vabbe' son da mettere in galera i programmatori oltre al pirata informatico.


In primis deve essere il programma PLC ad avere dei controlli interni per prevenire danni al sistema, la sicurezza informatica in questi casi viene al secondo posto.

Comunque sia a me la programmazione di PLC m'ha sempre fatto troppo cagare. Nessuna offesa a nessuno, giusto una questione personale con quella merda di isagraf.

Beata ignoranza.

http://www.zdnet.com/blog/btl/cybercrime-costs-338bn-to-global-economy-more-lucrative-than-drugs-trade/57503
beata stupidita'

la sai la differenza tra un danno e un guadagno ? anche chi spacca un vetro fa 100 euro di danno ma non per questo ci guadagna qualcosa


tra l'altro qui parla soprattuto di scam e phishing, e direi che non centra una mazza con quanto stavamo dicendo qui :

most commonly social network hacking and credit card fraud.

beata stupidita'

la sai la differenza tra un danno e un guadagno ? anche chi spacca un vetro fa 100 euro di danno ma non per questo ci guadagna qualcosa


tra l'altro qui parla soprattuto di scam e phishing, e direi che non centra una mazza con quanto stavamo dicendo qui :

...........
Il mercato mondiale del CyberCrime ha un fatturato superiore a quello della Cocaina. E va da attacchi di questo genere alle truffe. Giusto per intenderci StuxNet che ha sfasciato le centrifrughe Iraniane credi sia costato due dollari?
Ma poi cosa credi, che per fare un attacco del genere ti colleghi a internet et voilà il gioco è fatto?
Nessuno fa una cosa del genere, soprattutto verso una struttura sensibile, se l'han fatto avran i loro motivi, ritenere che sia un passatempo da 15 enni fa capire per quale motivo l'80% delle aziende colpite da attacchi chiude.

E' ovvio che la maggior parte degli attacchi siano indirizzati a SocialNetwork o a furti di carte di credito, non ci vuole un nobel per capirlo.

ripeto la sai la differenza tra un COSTO per un danno subito ed un GUADAGNO ?

ma per restare in topic spiegami come accedere, usando una vulnerabilita CONOSCIUTA, alla pompa di un acquedotto e farla fondere possa in qualche modo avere fatto guadagnare qualcuno.

tie, link random
http://www.businesspundit.com/10-most-costly-cyber-attacks-in-history/
nella top five degli attacchi piu "costosi" solo uno coinvolgeva un guadagno diretto (quello alla sony), e pure li se non ricordo male i soldi rubati dalle carte di credito so stati un danno trascurabile rispetto al resto. Anche negli altri nota la differenza tra danni subiti e "soldi rubati"

e qui stiamo parlando del top degli attacchi, gente coi controcazzi, non di qualche lamer che si scarica il programmino e lo usa per "hackerare" il server del fruttivendolo, che sono lo stragrande maggioranza.

edit ma poi guarda pure nell'ultimo anno i vari grossi attacchi che son arrivati sui giornali, quelli anonymous lulzsec & co, quanti di questi erano a fini di lucro ? o parliamo degli infiniti gruppi/individui che crackano giochi e software vari, quanti di questi ci guadagnano qualcosa ?

ripeto la sai la differenza tra un COSTO per un danno subito ed un GUADAGNO ?

ma per restare in topic spiegami come accedere, usando una vulnerabilita CONOSCIUTA, alla pompa di un acquedotto e farla fondere possa in qualche modo avere fatto guadagnare qualcuno.

tie, link random
http://www.businesspundit.com/10-most-costly-cyber-attacks-in-history/
nella top five degli attacchi piu "costosi" solo uno coinvolgeva un guadagno diretto (quello alla sony), e pure li se non ricordo male i soldi rubati dalle carte di credito so stati un danno trascurabile rispetto al resto. Anche negli altri nota la differenza tra danni subiti e "soldi rubati"

e qui stiamo parlando del top degli attacchi, gente coi controcazzi, non di qualche lamer che si scarica il programmino e lo usa per "hackerare" il server del fruttivendolo, che sono lo stragrande maggioranza.

edit ma poi guarda pure nell'ultimo anno i vari grossi attacchi che son arrivati sui giornali, quelli anonymous lulzsec & co, quanti di questi erano a fini di lucro ? o parliamo degli infiniti gruppi/individui che crackano giochi e software vari, quanti di questi ci guadagnano qualcosa ?

Spero tu stia trollando, ma se stai parlando seriamente, spero che tu non sia un sistemista.
Detto questo. Gli attacchi non sono diretti, non è vado in banca e rubo un pacco con dei soldi, affrontare la sicurezza così è da irresponsabili.
Btw ti ho scritto che il FATTURATO supera quello della cocaina, non il danno.

I gruppi quali anonymous o lulzec sono una cosa molto modaiola, io starei parlando di cose serie, non certo delle notizie che vanno su TomHW o sul corriere.it.

Poichè capisco che sia un argomento un po strano per chi non è addetto ti porterò un esempio:

Il gruppo Cremonini, (nello specifico INALCA) (ndr: Il piu grande gruppo di vendita e macellazioni carni di Italia), ha subito nei mesi scorsi un attacco Hacker alla posta interna. Ora seguendo il tuo filo logico, leggere la posta del CEO mi rende ricco? No.
Ma poichè gli hacker non sono degli idioti perdi tempo, il lavoro era fatto su commisione, da un azineda brasiliana in trattative proprio con Inalca, in poche parle questi signori sapevano prima di sedersi al tavolo quanto il CDA aveva deciso di poter scendere sul prezzo di un appalto.
Valore dell'operazione ? qualche milione di $ pagato Cash.


Altro esempio:
Una cosa che spesso viene praticata ultimamente, è buttare giu il sito di un azienda X, (cerca slowloris per maggiori info), in quanto spesso gli Apache montati sono quelli di default.Da soldi fare un dos su un web server? no.
Ricattare l'azienda chiedendo un riscatto per avere il sito di nuovo up da soldi? Si.

Cocaina fattura X
CyberCrime fattura Y

La regola non è un Mega Colpo stile PSN, ma è tanti piccoli colpi.

Un piccolo software di dos su un server, con un banalissimo computer e uno scriptino C butta giu centinaia di server, nessuno assalta piu la banca, tutti assaltano le diligenze.

Edit: Nello specifico far bruciare una pompa non ha un riscontro economico immediato. Tuttavia ci possono essere varie motivazioni dietro.

Training? Un gruppo in addestramento che testa le capacità su un bersaglio "sensibile" degli USA
Messaggio per qualcuno? Stile lasciare una bomba dentro una banca ma senza detonatore?
Testing di un sistema vulnerabile per poi applicarlo su larga scala verso altri N sistemi?
I motivi sono molteplici, il cybercrime mescola: Hacker Vandali, Gruppi militari, Terrorismo ecc. E' un mondo complesso che non ragiona e non opera con le logiche standard.

il fatturato non lo sai te ne nessun giornalista


Cybercrime costs $338bn to global economy
titolo dell'articolo che hai linkato

per il resto non devi certo spiegarmi che si POSSANO far soldi in questo modo, lo so benissimo che e' possibile, come so che e' molto difficile perche, oltre all'atto in se devi avere un organizzazione dietro in grado di trasformare in soldi quello che "rubi"

percio ripeto a farci soldi sono una percentuale piccolissima, che e' quello che sto dicendo dall'inizio.

la capisci la differenza con la cocaina che e' un mercato di compravendita diretta di un prodotto e non sono manco paragonabili ?

Sei piu testardo di un mulo eh..

http://www.linkiesta.it/blogs/accadde-domani/cybercrime-114-miliardi-di-dollari-di-fatturato-luci-ed-ombre-del-social-media

Il mercato del crimine informatico, secondo il Norton Cybercrime Report 2011, ha prodotto un fatturato che si aggira attorno ai 114 miliardi $ solo nel 2010. Una cifra che lievita ulteriormente se, per lo stesso anno, si calcola il costo totale a livello mondiale includendo oltre alle perdite dirette, anche costi e tempo dedicati a rimediare agli attacchi, che ammonta circa a 388 miliardi $. Quindi significa che il crimine informatico supera il mercato nero mondiale di marijuana, cocaina ed eroina messe insieme (295 mld $) e si avvicina sempre più al valore complessivo del traffico di droga (411 mld $). Cifre da capogiro.

Leggi il resto: http://www.linkiesta.it/blogs/accadde-domani/cybercrime-114-miliardi-di-dollari-di-fatturato-luci-ed-ombre-del-social-media#ixzz1efbKDoPS

E' molto difficile in base a cosa? Esperienza personale?

Non ci vuole molto a trovare specifici siti all'interno della rete TOR.

Ma poi cosa cambia da vendere al dettaglio dei pezzi di coca, a vendere 10 Carte di Credito su un warez qualsiasi? Io non trovo tutta sta gran differenza. Vuoi la coca sai dove trovarla, vuoi le carte sai dove trovarle.

Sei te il testardo
innanzitutto quel rapporto riguarda
Malware, furti d’identità, phishing attivo e passivo e non centra assolutamente un cazzo coll'hacking di sistemi che e' quello di cui stavamo parlando.

secondo si parla comunque di COSTI per chi ha subito

I costi diretti del crimine informatico, ovvero il denaro sottratto dai criminali o speso per risolvere gli attacchi informatici, ammontano a 114 miliardi di dollari

il salto a fatturato e' cattivo giornalismo di propaganda e nient'altro. impara a non credere a tutto quello che leggi.
quanto ci guadagnano lo sanno solo gli interessati e nessun altro.

Va beh senti credi quello che vuoi, il cybercrime non esiste e gli hacker sono poveri in canna. I warez con le cc american express 1$ non esistono, e StuxNet è tutta un' invenzione.

Ti ripeto tu ti fermi alla forma: Rottura pompa = no guadagno, ma tu cosa ne sai del perchè è stato fatto.

Quando mettevano le bombe in piazza senza la spoletta lo facevano per divertimento?

Poi la chiudiamo qua perchè penso sia tempo perso:

http://news.thomasnet.com/IMT/archives/2011/11/the-high-costs-of-cyber-crime.html

Security experts recently identified a successor to Stuxnet. Known as Duqu, the new malware relies on much of Stuxnet's original source code, is designed to attack industrial networks and may pose an even greater threat to cyber security.

Giusto per spiegarti che hai un' idea distorta del concetto di MalWare, StuxNet è appunto un MalWare.


"Duqu is essentially the precursor to a future Stuxnet-like attack. The threat was written by the same authors (or those that have access to the Stuxnet source code) and appears to have been created since the last Stuxnet file was recovered," Symantec explains. "Duqu's purpose is to gather intelligence data and assets from entities, such as industrial control system manufacturers, in order to more easily conduct a future attack against another third party. The attackers are looking for information such as design documents that could help them mount a future attack on an industrial control facility."

ah boh, quelli con le superville ai caraibi so hacker o i boss del traffico di droga ?

Considerando che le mafie stanno utilizzando ed espandendosi fortemente sul crimine informatico, secondo me stai parlando della stessa persona.

scusa eh stai parlando di sta roba qua ?

Different variants of Stuxnet targeted five Iranian organizations,[9] with the probable target widely suspected to be uranium enrichment infrastructure in Iran;[10][11] Symantec noted in August 2010 that 60% of the infected computers worldwide were in Iran.[12] Siemens stated on 29 November that the worm has not caused any damage to its customers,[13] but the Iran nuclear program, which uses embargoed Siemens equipment procured clandestinely, has been damaged by Stuxnet.[14][15][16][17] Russian computer security firm Kaspersky Lab concluded that the sophisticated attack could only have been conducted "with nation-state support".[18] This was further backed up by the Finnish computer security company F-Secure's chief researcher Mikko Hyppönen who commented in a Stuxnet FAQ, "That's what it would look like, yes".[19] It has been speculated that Israel[20] and the United States may have been involved.[21]

In May 2011, the PBS program Need To Know cited a statement by Gary Samore, White House Coordinator for Arms Control and Weapons of Mass Destruction, in which he said, "we're glad they [the Iranians] are having trouble with their centrifuge machine and that we – the US and its allies – are doing everything we can to make sure that we complicate matters for them", offering "winking acknowledgement" of US involvement in Stuxnet.[22] According to the British Daily Telegraph, a showreel that was played at a retirement party for the head of the Israel Defence Forces (IDF), Gabi Ashkenazi, included references to Stuxnet as one of his operational successes as the IDF chief of staff.[20]

non mi pare proprio roba da gente che si vuole arricchire questa. Scegli un esempio migliore almeno.

.....hai ragione buttare giu il programma nucleare iraniano non vale niente. chi pagherebbe per una cosa del genere...

Ora dicono che non c'è stato nessun attacco: http://punto-informatico.it/3346536/PI/News/fbi-nessun-attacco-all-acquedotto.aspx

Punto informatico ha tralasciato un po di roba.

http://packetstormsecurity.org/news/view/20224/FBI-No-Evidence-Of-Water-System-Hack-Destroying-Pump.html

.....hai ragione buttare giu il programma nucleare iraniano non vale niente. chi pagherebbe per una cosa del genere...
quindi quella per te e' opera di privati ? gli usa o israele o chi per loro so andati di nascosto da qualcuno che si chiama wiz4rd101 con una grossa valigetta piena di soldi a chiedergli un worm per bucare il programma nucleare iraniano ? ste cose succedono solo nei film

chi ha fatto quella roba i soldi li prende si, ma in busta paga, e su quella siam d'accordo che e' bella abbondante.

Oh beh ma questo è altamente probabile, ma StuxNet è un' opera dd'arte che solo un governo o qualcuno ben fornito di $ può fare. Ma chi siano gli esecutori materiali non è dato saperlo, non si sa e mai si saprà se a programmarlo sian stati gruppi di hacker prezolati o ex hacker facenti parte di qualche reparto. Ma è solo una punta di diamante, ti ripeto che si possono fare soldi con attacchi a sistemi informatici industriali, per i motivi piu disparati.

The report, he went on to say, warned that the intruders hacked into the maker of the SCADA system used by the utility and stole passwords belonging to the manufacturer's customers.


Sempre detto che gli WinCC/PCS7 e simili HMI fan cacare -.-

Ma in realta' e' piu' probabile che durante il commissioning non abbiano cambiato la password di default e GG. Cazzo dai printscreen che girano per internet il sistema pare fatto da un bambino...


Comunque sia dopo questi attacchi le mie quotazioni di SCADA specialist sono salite :nod:

quindi quella per te e' opera di privati ? gli usa o israele o chi per loro so andati di nascosto da qualcuno che si chiama wiz4rd101 con una grossa valigetta piena di soldi a chiedergli un worm per bucare il programma nucleare iraniano ? ste cose succedono solo nei film

chi ha fatto quella roba i soldi li prende si, ma in busta paga, e su quella siam d'accordo che e' bella abbondante.

in realtà non è così una cazzata. ora per sta roba di SCADA non ho idea di quale interesse ci fosse dietrto (sempre se ce ne fossero), però come dice hardcore per stuxnet alcuni signori in giacca e cravatta hanno portato davvero una valigetta con dei soldi a Wiz4rd11 :)