Ma il problema è anche culturale. Spesso chi programma plc ha poco avuto a che fare nella carriera con problemi di sicurezza it
Ma il problema è anche culturale. Spesso chi programma plc ha poco avuto a che fare nella carriera con problemi di sicurezza it
Originally Posted by Amiag
Ok, la tua risposta è assolutamente esauriente.
Next question.. aldilà di eventuali fini mitomani.. perchè crakkare un sistema del genere? che genere di ritorno ci può essere? è possibile quantificarlo?
gratz.
Il sistema può essre il clone di un altro. Puoi ricattare l'azienda gestore. ci sono vari modi e scopi basta un po di fantasia
Su questo concordo pienamente, spesso nel nome del "diamoci alla tecnologia che problema c'ehhh!" ci si affida a personale che programma PLC (e non il discorso e' anche piu ampio) che non ha nessuna o una minima competenza della sicurezza IT.
"not even death can save you from me..."
un amico di lavoro di mio pà fa lo sviluppatore di programmi di controllo di apparecchi di analisi medica (macchinoni costosi di laboratorio). Usava RISCOS come sistema operativo su macchine embedded. La macchina si accendeva in pochi secondi, tutto il SO e il programma mi pare non arrivasse ai 30 mega, l'interfaccia era semplice - insomma, super cost effective e stabile come una roccia.
È dovuto passare a windows perchè i tecnici/medici vogliono mandare le mail/usare office sui pc che controllano i macchinari. 100 sacchi di licenza, necessità di macchina più potente, più spazio richiesto, problemi di sicurezza/virus e quant'altro. Però se vuoi vendere devi ascoltare il cliente.
hdr.
bnet profile
in questo caso, credo proprio nessuno. Piu o meno lo stesso ritorno di chi spacca i vetri alle stazioni del treno.
Quelli che fan soldi crackando sistemi penso si contino sulle dita delle mani, per lo piu è gente che lo fa per il gusto di farlo.
Last Exile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unknowns
Nuida FollettoInLutto Bard Tiarna . . . . . . . . . . . . . . . . Deo The Undaunted Rune Priest
Amiag Blademaster Silver Hand. . . . . . . . . . . . . . Viol The Sacrificed Shadow Warrior
Viola Vampiir Grove Protector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nero Incubus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DarkBane
Naida Cabalist Phoenix Knight. . . . . . . . . . . . . . . . . . . . . . . . . . . . Viole No-Stealth Scout
Beata ignoranza.
http://www.zdnet.com/blog/btl/cyberc...gs-trade/57503
Il problema e' un altro, se il software del PLC e' fatto bene non basta accendere o spegnere il PLC o accendere/spegnere la pompa via SCADA.
Ci sono gli interblocchi, le sequenze di start-up della pompa gli e stand-by automatici dopo tot tempo di funzionamento che ti salvano il culo (tanto per fare un piccolo elenco ma ci sono mille mila altri controlli).
E l'hacker per aggirare questi paletti deve riprogrammare il codice PLC e non semplice da fare da remoto ed oltretutto e' facilmente sgamabile.
Se pero' il """""programma""""" (mi vien difficile definirlo tale..) e' fatto alla cazzo ed e' qualcosa come <Start da HMI> ----> <Avvio pompa> + autoritenuta e <Stop da HMI> che taglia l'autoritenuta allora vabbe' son da mettere in galera i programmatori oltre al pirata informatico.
In primis deve essere il programma PLC ad avere dei controlli interni per prevenire danni al sistema, la sicurezza informatica in questi casi viene al secondo posto.
Comunque sia a me la programmazione di PLC m'ha sempre fatto troppo cagare. Nessuna offesa a nessuno, giusto una questione personale con quella merda di isagraf.
beata stupidita'
la sai la differenza tra un danno e un guadagno ? anche chi spacca un vetro fa 100 euro di danno ma non per questo ci guadagna qualcosa
tra l'altro qui parla soprattuto di scam e phishing, e direi che non centra una mazza con quanto stavamo dicendo qui :
most commonly social network hacking and credit card fraud.
Last Exile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unknowns
Nuida FollettoInLutto Bard Tiarna . . . . . . . . . . . . . . . . Deo The Undaunted Rune Priest
Amiag Blademaster Silver Hand. . . . . . . . . . . . . . Viol The Sacrificed Shadow Warrior
Viola Vampiir Grove Protector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nero Incubus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DarkBane
Naida Cabalist Phoenix Knight. . . . . . . . . . . . . . . . . . . . . . . . . . . . Viole No-Stealth Scout
...........
Il mercato mondiale del CyberCrime ha un fatturato superiore a quello della Cocaina. E va da attacchi di questo genere alle truffe. Giusto per intenderci StuxNet che ha sfasciato le centrifrughe Iraniane credi sia costato due dollari?
Ma poi cosa credi, che per fare un attacco del genere ti colleghi a internet et voilà il gioco è fatto?
Nessuno fa una cosa del genere, soprattutto verso una struttura sensibile, se l'han fatto avran i loro motivi, ritenere che sia un passatempo da 15 enni fa capire per quale motivo l'80% delle aziende colpite da attacchi chiude.
E' ovvio che la maggior parte degli attacchi siano indirizzati a SocialNetwork o a furti di carte di credito, non ci vuole un nobel per capirlo.
ripeto la sai la differenza tra un COSTO per un danno subito ed un GUADAGNO ?
ma per restare in topic spiegami come accedere, usando una vulnerabilita CONOSCIUTA, alla pompa di un acquedotto e farla fondere possa in qualche modo avere fatto guadagnare qualcuno.
tie, link random
http://www.businesspundit.com/10-mos...ks-in-history/
nella top five degli attacchi piu "costosi" solo uno coinvolgeva un guadagno diretto (quello alla sony), e pure li se non ricordo male i soldi rubati dalle carte di credito so stati un danno trascurabile rispetto al resto. Anche negli altri nota la differenza tra danni subiti e "soldi rubati"
e qui stiamo parlando del top degli attacchi, gente coi controcazzi, non di qualche lamer che si scarica il programmino e lo usa per "hackerare" il server del fruttivendolo, che sono lo stragrande maggioranza.
edit ma poi guarda pure nell'ultimo anno i vari grossi attacchi che son arrivati sui giornali, quelli anonymous lulzsec & co, quanti di questi erano a fini di lucro ? o parliamo degli infiniti gruppi/individui che crackano giochi e software vari, quanti di questi ci guadagnano qualcosa ?
Last edited by Amiag; 25th November 2011 at 01:27.
Last Exile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unknowns
Nuida FollettoInLutto Bard Tiarna . . . . . . . . . . . . . . . . Deo The Undaunted Rune Priest
Amiag Blademaster Silver Hand. . . . . . . . . . . . . . Viol The Sacrificed Shadow Warrior
Viola Vampiir Grove Protector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nero Incubus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DarkBane
Naida Cabalist Phoenix Knight. . . . . . . . . . . . . . . . . . . . . . . . . . . . Viole No-Stealth Scout
Spero tu stia trollando, ma se stai parlando seriamente, spero che tu non sia un sistemista.
Detto questo. Gli attacchi non sono diretti, non è vado in banca e rubo un pacco con dei soldi, affrontare la sicurezza così è da irresponsabili.
Btw ti ho scritto che il FATTURATO supera quello della cocaina, non il danno.
I gruppi quali anonymous o lulzec sono una cosa molto modaiola, io starei parlando di cose serie, non certo delle notizie che vanno su TomHW o sul corriere.it.
Poichè capisco che sia un argomento un po strano per chi non è addetto ti porterò un esempio:
Il gruppo Cremonini, (nello specifico INALCA) (ndr: Il piu grande gruppo di vendita e macellazioni carni di Italia), ha subito nei mesi scorsi un attacco Hacker alla posta interna. Ora seguendo il tuo filo logico, leggere la posta del CEO mi rende ricco? No.
Ma poichè gli hacker non sono degli idioti perdi tempo, il lavoro era fatto su commisione, da un azineda brasiliana in trattative proprio con Inalca, in poche parle questi signori sapevano prima di sedersi al tavolo quanto il CDA aveva deciso di poter scendere sul prezzo di un appalto.
Valore dell'operazione ? qualche milione di $ pagato Cash.
Altro esempio:
Una cosa che spesso viene praticata ultimamente, è buttare giu il sito di un azienda X, (cerca slowloris per maggiori info), in quanto spesso gli Apache montati sono quelli di default.Da soldi fare un dos su un web server? no.
Ricattare l'azienda chiedendo un riscatto per avere il sito di nuovo up da soldi? Si.
Cocaina fattura X
CyberCrime fattura Y
La regola non è un Mega Colpo stile PSN, ma è tanti piccoli colpi.
Un piccolo software di dos su un server, con un banalissimo computer e uno scriptino C butta giu centinaia di server, nessuno assalta piu la banca, tutti assaltano le diligenze.
Edit: Nello specifico far bruciare una pompa non ha un riscontro economico immediato. Tuttavia ci possono essere varie motivazioni dietro.
Training? Un gruppo in addestramento che testa le capacità su un bersaglio "sensibile" degli USA
Messaggio per qualcuno? Stile lasciare una bomba dentro una banca ma senza detonatore?
Testing di un sistema vulnerabile per poi applicarlo su larga scala verso altri N sistemi?
I motivi sono molteplici, il cybercrime mescola: Hacker Vandali, Gruppi militari, Terrorismo ecc. E' un mondo complesso che non ragiona e non opera con le logiche standard.
Last edited by Hardcore; 25th November 2011 at 01:46.
il fatturato non lo sai te ne nessun giornalista
titolo dell'articolo che hai linkatoCybercrime costs $338bn to global economy
per il resto non devi certo spiegarmi che si POSSANO far soldi in questo modo, lo so benissimo che e' possibile, come so che e' molto difficile perche, oltre all'atto in se devi avere un organizzazione dietro in grado di trasformare in soldi quello che "rubi"
percio ripeto a farci soldi sono una percentuale piccolissima, che e' quello che sto dicendo dall'inizio.
la capisci la differenza con la cocaina che e' un mercato di compravendita diretta di un prodotto e non sono manco paragonabili ?
Last Exile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unknowns
Nuida FollettoInLutto Bard Tiarna . . . . . . . . . . . . . . . . Deo The Undaunted Rune Priest
Amiag Blademaster Silver Hand. . . . . . . . . . . . . . Viol The Sacrificed Shadow Warrior
Viola Vampiir Grove Protector. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nero Incubus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DarkBane
Naida Cabalist Phoenix Knight. . . . . . . . . . . . . . . . . . . . . . . . . . . . Viole No-Stealth Scout
Sei piu testardo di un mulo eh..
http://www.linkiesta.it/blogs/accadd...l-social-media
Il mercato del crimine informatico, secondo il Norton Cybercrime Report 2011, ha prodotto un fatturato che si aggira attorno ai 114 miliardi $ solo nel 2010. Una cifra che lievita ulteriormente se, per lo stesso anno, si calcola il costo totale a livello mondiale includendo oltre alle perdite dirette, anche costi e tempo dedicati a rimediare agli attacchi, che ammonta circa a 388 miliardi $. Quindi significa che il crimine informatico supera il mercato nero mondiale di marijuana, cocaina ed eroina messe insieme (295 mld $) e si avvicina sempre più al valore complessivo del traffico di droga (411 mld $). Cifre da capogiro.
Leggi il resto: http://www.linkiesta.it/blogs/accadd...#ixzz1efbKDoPS
E' molto difficile in base a cosa? Esperienza personale?
Non ci vuole molto a trovare specifici siti all'interno della rete TOR.
Ma poi cosa cambia da vendere al dettaglio dei pezzi di coca, a vendere 10 Carte di Credito su un warez qualsiasi? Io non trovo tutta sta gran differenza. Vuoi la coca sai dove trovarla, vuoi le carte sai dove trovarle.
Last edited by Hardcore; 25th November 2011 at 01:56.
Posting Permissions
Reply With Quote
