Hackers deface LHC site, came close to turning off particle detector

Is it now cyberwar over atom-smashing? A team of Greek hackers calling themselvses Greek Security Team has penetrated the Large Hadron Collider and defaced a public website. No real damage done, but the hackers got perilously close. The hackers attacked the Compact Muon Solenoid Experiment, or CMS. The Guardian reports:

Scientists working at Cern, the organisation that runs the vast smasher, were worried about what the hackers could do because they were “one step away” from the computer control system of one of the huge detectors of the machine, a vast magnet that weighs 12,500 tons, measuring around 21 metres in length and 15 metres wide/high.

If they had hacked into a second computer network, they could have turned off parts of the vast detector and, said the insider, “it is hard enough to make these things work if no one is messing with it.”

Fortunately, only one file was damaged but one of the scientists firing off emails as the CMS team fought off the hackers said it was a “scary experience”.

The hackers breached the CMSMON system, which monitors the CMS software system. CMS takes vast amounts of data during collisions. About CERN’s security apparatus:

Cern relies on a ‘defence-in-depth’ strategy, separating control networks and using firewalls and complex passwords, to protect its control systems from malicious software, such as denial-of-service attacks, botnets and zombie machines, which can strike with a synchronised attack from hundreds of machines around the world.

However, there have been growing concerns about security as remote or wireless access, notebooks and USB sticks offer new possibilities for a virus or worms to enter the network, not to mention hackers and terrorists who might be interested in targeting computers to shutdown the system.

Update: Received the following comments from Andrew Storms, director of security ops at nCircle Network Security:

It’s always difficult for outsiders to understand what may have really happened without the first-hand technical recount of the events. However, two things we can always count on — 1) the higher value targets will receive more attention from hackers 2) the more sophisticated hackers won’t be knocking on the front door.

If its true that the access vector was a Fermilab worker had their access information compromised, then this points to the higher level of sophistication of the hackers. They knew that the front door would be locked, so they probably targeted a trusted individual who would have access to the LHC networks.

Its important to note that the compromise probably began with a human. We are more than often the fault for most system compromises. Hackers know this and have actively been targeting people for years now, with the understanding that they may unknowingly give the attackers access to what they seek.

Even those with PHDs and deep understanding of higher level mathematics and physics are prone and susceptible to computer and information security intrusions.


http://government.zdnet.com/?p=3996

:asd: :asd:

Siore e siori, il mondo è in mano a questi signori :D

:eek:
I computer che controllano il tutto sono collegati a Internet? Pazzi. :eek:

Questi pirati informatici li sbatterei a Guantanamo.
Polli i ricercatori...

:eek:
I computer che controllano il tutto sono collegati a Internet? Pazzi. :eek:
Non per dire ma il WWW è una specie di teratoma della vecchia rete del CERN :D

Beh, guardate il lato positivo: si è saputa la notizia.

Se si è saputa, significa che più o meno hanno tutto sotto controllo :D

Se non si fosse saputa, allora era un brutto segno - non avrebbero mai detto 1) che c'era qualcosa che non funzionasse 2) che era colpa di pirati informatici e che si erano lasciati infinocchiare così :D

Essendo nato lì il web è evidente che la sicurezza è tenuta a livelli alti perchè sanno con cosa hanno a che fare, ma se il trusted individual ti frega (anche non volontariamente, ma perchè è babbo) non c'è modo per evitare il buco.

Certo ;) mi sono probabilmente già fatto qualche idea su come sia potuto succedere il tutto

Certo ;) mi sono probabilmente già fatto qualche idea su come sia potuto succedere il tutto
Qualcuno che ha parlato troppo con gli amici tutto eccitato per l'attenzione dei giorni passati? O la classica pass lasciata post-itatta? "Ciao, io sono la password, mi vedi bene o non ancora abbastanza?" :D

Qualcuno che ha parlato troppo con gli amici tutto eccitato per l'attenzione dei giorni passati? O la classica pass lasciata post-itatta? "Ciao, io sono la password, mi vedi bene o non ancora abbastanza?" :D

:D :D :D

Sicuramente il sistema CMSMON non è raggiungibile dall'esterno, ma da rete interna per il controllo da remoto. E probabilmente il CMSMON sarà a sua volta connesso con questo secondo rivelatore di particelle.

Sia il CMSMON che il rivelatore di particelle non sono ovviamente (almeno lo spero) raggiungibili dall'esterno, mentre il PC di chi effettua il controllo da remoto potrebbe esserlo. Nel momento in cui sferri un attacco devi partire dal nodo debole, che in questo caso potrebbe essere stato questo.

Uno dei PC che hanno accesso al CMSMON potrebbe essere connesso ad Internet, perché normale terminale di [x] ricercatore. Entrare qui non è una bazzeccola, ma è comunque possibile.

C'è bisogno di studiare innanzitutto il PC della vittima, e per fare questo potrebbe essere stato necessario prima di tutto un attacco di ingegneria sociale, invitando l'utente con una e-mail o qualsiasi altro mezzo a visitare qualche sito web e da lì analizzarne l'UA (una delle varie possibilità).

Da lì poi, potrebbero essere state sfruttare delle falle i cui fix non erano stati scaricati o addirittura qualche falla 0-day (ce ne sono a bizzeffe in giro, anche se non sembra - chi è furbo se le tiene per sé).

Oppure potrebbero aver utilizzato direttamente ingegneria sociale per far installare in quel PC qualche malware.

Una volta ottenuto il controllo di quel PC, con molta probabilità cercando nell'hard disk la password sarà stata memorizzata in qualche e-mail oppure, se sono stati fortunati, era già memorizzata nel programma di controllo remoto (ad esempio RDP).

Una volta avuto accesso al CMSMON lì si sono fermati, come era ovvio che sarebbe successo.

Certo, se fossero stati veramente bravi, avrebbero potuto continuare probabilmente, ma ci sarebbero voluti molti giorni e quasi sicuramente hanno fatto troppo rumore per permettersi una permanenza più lunga.

Questa "potrebbe" essere una possibile ricostruzione dell'accaduto

Immaginate se avessero messo una pagina con un bottone con scritto accanto: "Click here to create a block hole" e l'avesse vista qualche giornalista. :asd:

:D :D :D

Sicuramente il sistema CMSMON non è raggiungibile dall'esterno, ma da rete interna per il controllo da remoto. E probabilmente il CMSMON sarà a sua volta connesso con questo secondo rivelatore di particelle.

Sia il CMSMON che il rivelatore di particelle non sono ovviamente (almeno lo spero) raggiungibili dall'esterno, mentre il PC di chi effettua il controllo da remoto potrebbe esserlo. Nel momento in cui sferri un attacco devi partire dal nodo debole, che in questo caso potrebbe essere stato questo.

Uno dei PC che hanno accesso al CMSMON potrebbe essere connesso ad Internet, perché normale terminale di [x] ricercatore. Entrare qui non è una bazzeccola, ma è comunque possibile.

C'è bisogno di studiare innanzitutto il PC della vittima, e per fare questo potrebbe essere stato necessario prima di tutto un attacco di ingegneria sociale, invitando l'utente con una e-mail o qualsiasi altro mezzo a visitare qualche sito web e da lì analizzarne l'UA (una delle varie possibilità).

Da lì poi, potrebbero essere state sfruttare delle falle i cui fix non erano stati scaricati o addirittura qualche falla 0-day (ce ne sono a bizzeffe in giro, anche se non sembra - chi è furbo se le tiene per sé).

Oppure potrebbero aver utilizzato direttamente ingegneria sociale per far installare in quel PC qualche malware.

Una volta ottenuto il controllo di quel PC, con molta probabilità cercando nell'hard disk la password sarà stata memorizzata in qualche e-mail oppure, se sono stati fortunati, era già memorizzata nel programma di controllo remoto (ad esempio RDP).

Una volta avuto accesso al CMSMON lì si sono fermati, come era ovvio che sarebbe successo.

Certo, se fossero stati veramente bravi, avrebbero potuto continuare probabilmente, ma ci sarebbero voluti molti giorni e quasi sicuramente hanno fatto troppo rumore per permettersi una permanenza più lunga.

Questa "potrebbe" essere una possibile ricostruzione dell'accaduto
E' tutto giusto. Voglio sperare però che un ricercatore del CERN non si sia fatto fregare da una banale mail di social engineering. :muro:

ma l'utilita di attaccare i pc in internet li dentro?
usarne 1 apposta no? ci devono attaccare x forza tutto ?
boh mai capito io , anche alla nasa ecc. che si fanno bucare
cioe i dati li mettono collegato a 1 pc in rete?
bei pirla

C'è bisogno di studiare innanzitutto il PC della vittima, e per fare questo potrebbe essere stato necessario prima di tutto un attacco di ingegneria sociale, invitando l'utente con una e-mail o qualsiasi altro mezzo a visitare qualche sito web e da lì analizzarne l'UA (una delle varie possibilità).


Cos'è l'UA ?

Cos'è l'UA ?
User Agent.

http://it.wikipedia.org/wiki/User_agent

Stavo per dirlo io user agent quando hai editato :D

Stavo per dirlo io user agent quando hai editato :D
Beh è imparentato con l'User Account e ne sfrutta i permessi :D
Alla fine trattasi sempre di "bucare" le policy dell'utente e arrivare a quelle di root :p

e ora ci ritroveremo i pc del cern nella sezione infetti :muro:

e ora ci ritroveremo i pc del cern nella sezione infetti :muro:

:D :asd:

e ora ci ritroveremo i pc del cern nella sezione infetti :muro:

:asd: :D

e ora ci ritroveremo i pc del cern nella sezione infetti :muro:

:D :asd: :asd: :D

che babbi però.. Se si sono lasciati fregare così, comincio a temere per la mia vita :ops: :sofico:

:D :D :D

Sicuramente il sistema CMSMON non è raggiungibile dall'esterno, ma da rete interna per il controllo da remoto. E probabilmente il CMSMON sarà a sua volta connesso con questo secondo rivelatore di particelle.

Sia il CMSMON che il rivelatore di particelle non sono ovviamente (almeno lo spero) raggiungibili dall'esterno, mentre il PC di chi effettua il controllo da remoto potrebbe esserlo. Nel momento in cui sferri un attacco devi partire dal nodo debole, che in questo caso potrebbe essere stato questo.

Uno dei PC che hanno accesso al CMSMON potrebbe essere connesso ad Internet, perché normale terminale di [x] ricercatore. Entrare qui non è una bazzeccola, ma è comunque possibile.

C'è bisogno di studiare innanzitutto il PC della vittima, e per fare questo potrebbe essere stato necessario prima di tutto un attacco di ingegneria sociale, invitando l'utente con una e-mail o qualsiasi altro mezzo a visitare qualche sito web e da lì analizzarne l'UA (una delle varie possibilità).

Da lì poi, potrebbero essere state sfruttare delle falle i cui fix non erano stati scaricati o addirittura qualche falla 0-day (ce ne sono a bizzeffe in giro, anche se non sembra - chi è furbo se le tiene per sé).

Oppure potrebbero aver utilizzato direttamente ingegneria sociale per far installare in quel PC qualche malware.

Una volta ottenuto il controllo di quel PC, con molta probabilità cercando nell'hard disk la password sarà stata memorizzata in qualche e-mail oppure, se sono stati fortunati, era già memorizzata nel programma di controllo remoto (ad esempio RDP).

Una volta avuto accesso al CMSMON lì si sono fermati, come era ovvio che sarebbe successo.

Certo, se fossero stati veramente bravi, avrebbero potuto continuare probabilmente, ma ci sarebbero voluti molti giorni e quasi sicuramente hanno fatto troppo rumore per permettersi una permanenza più lunga.

Questa "potrebbe" essere una possibile ricostruzione dell'accaduto

oppure molto più semplicemente è possibile accedere in vpn alla rete interna. A quel punto dentro o fuori non cambia gran che...

oppure molto più semplicemente è possibile accedere in vpn alla rete interna. A quel punto dentro o fuori non cambia gran che...

Si, è una variante :) Anche se non cambia poi molto :D

Uhh, cosa sarebbe l'ingegneria sociale?

Uhh, cosa sarebbe l'ingegneria sociale?

http://it.wikipedia.org/wiki/Ingegneria_sociale

Che settimana allegra :D

L'altro ieri un intero server di un hoster è stato attaccato da un defacer che, avendo avuto accesso all'intera macchina, ha ovviamente deciso di defacciare tutti i siti lì hostati - tra cui c'era un semplice sito internet che alcune persone mi avevano chiesto di realizzare.

Contatto l'assistenza e gli chiedo se avessero tracciato da dove questo defacer potesse essere entrato.

La risposta? È impossibile da sapere, perché il pirata informatico ha cancellato tutti i file di log :rolleyes: :rolleyes:

http://it.wikipedia.org/wiki/Ingegneria_sociale

Scusate è che avevo scritto male su google e non mi trovava nulla...

Scusate è che avevo scritto male su google e non mi trovava nulla...

Tranqui :) Figurati :)

Va beh come se non ci mancassero le fobie da buco nero, ora sicuramente i giornali cominceranno a martellare sul rischio che l'LHC vada fuori controllo e che generi un buco nero che ci consumerà tutti.
Una delle regole fondamentali della sicurezza informatica è di NON mettere in Internet computer mission critical, sia direttamente che indirettamente. In questo caso è stato fatto indirettamente, il che non cambia poi molto riguardo la gravità dell'accaduto. Il tizio responsabile del pc infettato dovrebbe essere licenziato in tronco, insieme ai responsabili delle infrastrutture IT.

:eek:
I computer che controllano il tutto sono collegati a Internet? Pazzi. :eek:

Quoto.
Va beh che il web è nato li in quei laboratori, ma sti cazzi!

LuVi

ma l'utilita di attaccare i pc in internet li dentro?
usarne 1 apposta no? ci devono attaccare x forza tutto ?
boh mai capito io , anche alla nasa ecc. che si fanno bucare
cioe i dati li mettono collegato a 1 pc in rete?
bei pirla
Quoto !

ma non mancano altri esempi...
http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html

Insomma di sicurezza informatica si parla solo quando c'è da difendere il DRM,
e criptare x l'HDMI http://it.wikipedia.org/wiki/HDCP
(si dice che sono arrivati addirittura ad implemetare il fuzzy pixel..)
per il resto tutto è affidato a topo giggio.. :rolleyes:

ma che aspettano a creare delle reti con dei bridge supercontrollati,
e delle memorie flash con Jump hardware di protezione dalla scrittura ?

Oppure aspettano il giorno che un virus riesca a cancellare le flah di MB, HardDisk e Masterizzatore ? :muro:

Va beh come se non ci mancassero le fobie da buco nero, ora sicuramente i giornali cominceranno a martellare sul rischio che l'LHC vada fuori controllo e che generi un buco nero che ci consumerà tutti.
Una delle regole fondamentali della sicurezza informatica è di NON mettere in Internet computer mission critical, sia direttamente che indirettamente. In questo caso è stato fatto indirettamente, il che non cambia poi molto riguardo la gravità dell'accaduto. Il tizio responsabile del pc infettato dovrebbe essere licenziato in tronco, insieme ai responsabili delle infrastrutture IT.
Quoto pure questo...

Imho in computer altamente critici, scriverei a mano tutto il S.O. e lo farei caricare
solo da Lettore CD non riscrivibbile, con le flash rom bloccate in scrittura.. :rolleyes:

<;24103829']Quoto pure questo...

Imho in computer altamente critici, scriverei a mano tutto il S.O. e lo farei caricare
solo da Lettore CD non riscrivibbile, con le flash rom bloccate in scrittura.. :rolleyes:

In pratica vuoi il programma (http://www.fastcompany.com/magazine/06/writestuff.html) di guida dello Shuttle :D

<;24103829']Quoto pure questo...

Imho in computer altamente critici, scriverei a mano tutto il S.O. e lo farei caricare
solo da Lettore CD non riscrivibbile, con le flash rom bloccate in scrittura.. :rolleyes:

Addirittura non riscriviBBBBBBile?

Addirittura non riscriviBBBBBBile?
E anche la RAM non riscriviBBBBBBile :D

Se è collegato a Internet un motivo ci sarà (non so quale).

Lo fanno aziende con segreti industriali e/o militari (vedi AerMacchi e immagino tutta l'Alenia), mi pare strano che non ci abbiano pensato lì.

:eek:
I computer che controllano il tutto sono collegati a Internet? Pazzi. :eek:

*

Addirittura non riscriviBBBBBBile?

E anche la RAM non riscriviBBBBBBile :D
Bravi, vedo che state imparando :O

...in una certa installazione "militare" nel Groom Lake non sono connessi alla rete "Internet".
Grazie.

Marco71.

Se è collegato a Internet un motivo ci sarà (non so quale).

Lo fanno aziende con segreti industriali e/o militari (vedi AerMacchi e immagino tutta l'Alenia), mi pare strano che non ci abbiano pensato lì.
Beh in attesa di scoprire qualcosa da premio Nobel il tizio magari si sfogava un po' visitando certi siti... :stordita:

Beh in attesa di scoprire qualcosa da premio Nobel il tizio magari si sfogava un po' visitando certi siti... :stordita:

:D Si ma quello non toglie il fatto che ci sarà un motivo se è collegato in rete tutto il sistema. Dubito che sia una sbadataggine o una dimenticanza.
Quale sia lo ignoro però. :p

Se è collegato a Internet un motivo ci sarà (non so quale).

Lo fanno aziende con segreti industriali e/o militari (vedi AerMacchi e immagino tutta l'Alenia), mi pare strano che non ci abbiano pensato lì.

Si ma non penso NON abbiano i dati sensibili in mega server ISOLATE E ULTRA FIREWALLATE:D ...
Diamine è la prima cosa che si insegna in ambito di ingegneria delle telecomunzicazioni e sicurezza:sofico: :eek:
Ma poi scusate, al Cern usano Windows?:stordita: :D :eek: :cry:

Ma poi scusate, al Cern usano Windows?:stordita: :D :eek: :cry:

Potrebbe essere possibile che usino anche Windows tra i sistemi operativi vari. Perché no?

Si ma non penso NON abbiano i dati sensibili in mega server ISOLATE E ULTRA FIREWALLATE:D ...

Eh, però non hanno neanche un sistema off line per quella parte dell'LHC. Anche perchè se no non sarebbe successo niente (se non nel caso, un ingegnere sociale riuscisse ad arrivare fino alla sala computer off-line). :stordita:

Potrebbe essere possibile che usino anche Windows tra i sistemi operativi vari. Perché no?

:D proponiti come consulente per la sicurezza informatica.

Potrebbe essere possibile che usino anche Windows tra i sistemi operativi vari. Perché no?

mah credevo che a quei livelli le interfacce fossero considerate futili:D

mah credevo che a quei livelli le interfacce fossero considerate futili:D

Ci sono versioni di Windows (HPC) appposite per gestire sistemi complessi che non hanno niente a che vedere con le versioni desktop.

:D proponiti come consulente per la sicurezza informatica.

Dubito abbiano bisogno di me :D

Dubito abbiano bisogno di me :D

:O Beh, un problemino l'hanno avuto...:stordita:


:D Sai che bello essere lì a fare il consulente nel caso?

Ma poi scusate, al Cern usano Windows?:stordita: :D :eek: :cry:
Immagino di sì: gli serve un sistema che funzioni. :O :D