Pirati informatici ad un passo dal disattivare rivelatore di particelle dell'LHC

[eraser]

Quote:

Hackers deface LHC site, came close to turning off particle detector

Is it now cyberwar over atom-smashing? A team of Greek hackers calling themselvses Greek Security Team has penetrated the Large Hadron Collider and defaced a public website. No real damage done, but the hackers got perilously close. The hackers attacked the Compact Muon Solenoid Experiment, or CMS. The Guardian reports:

Scientists working at Cern, the organisation that runs the vast smasher, were worried about what the hackers could do because they were “one step away” from the computer control system of one of the huge detectors of the machine, a vast magnet that weighs 12,500 tons, measuring around 21 metres in length and 15 metres wide/high.

If they had hacked into a second computer network, they could have turned off parts of the vast detector and, said the insider, “it is hard enough to make these things work if no one is messing with it.”

Fortunately, only one file was damaged but one of the scientists firing off emails as the CMS team fought off the hackers said it was a “scary experience”.

The hackers breached the CMSMON system, which monitors the CMS software system. CMS takes vast amounts of data during collisions. About CERN’s security apparatus:

Cern relies on a ‘defence-in-depth’ strategy, separating control networks and using firewalls and complex passwords, to protect its control systems from malicious software, such as denial-of-service attacks, botnets and zombie machines, which can strike with a synchronised attack from hundreds of machines around the world.

However, there have been growing concerns about security as remote or wireless access, notebooks and USB sticks offer new possibilities for a virus or worms to enter the network, not to mention hackers and terrorists who might be interested in targeting computers to shutdown the system.

Update: Received the following comments from Andrew Storms, director of security ops at nCircle Network Security:

It’s always difficult for outsiders to understand what may have really happened without the first-hand technical recount of the events. However, two things we can always count on — 1) the higher value targets will receive more attention from hackers 2) the more sophisticated hackers won’t be knocking on the front door.

If its true that the access vector was a Fermilab worker had their access information compromised, then this points to the higher level of sophistication of the hackers. They knew that the front door would be locked, so they probably targeted a trusted individual who would have access to the LHC networks.

Its important to note that the compromise probably began with a human. We are more than often the fault for most system compromises. Hackers know this and have actively been targeting people for years now, with the understanding that they may unknowingly give the attackers access to what they seek.

Even those with PHDs and deep understanding of higher level mathematics and physics are prone and susceptible to computer and information security intrusions.

http://government.zdnet.com/?p=3996



Siore e siori, il mondo è in mano a questi signori

[sekkia]

I computer che controllano il tutto sono collegati a Internet? Pazzi.

[Chevelle]

Questi pirati informatici li sbatterei a Guantanamo.
Polli i ricercatori...

[lowenz]

Quote:

Originariamente inviato da sekkia

I computer che controllano il tutto sono collegati a Internet? Pazzi.

Non per dire ma il WWW è una specie di teratoma della vecchia rete del CERN

[eraser]

Beh, guardate il lato positivo: si è saputa la notizia.

Se si è saputa, significa che più o meno hanno tutto sotto controllo

Se non si fosse saputa, allora era un brutto segno - non avrebbero mai detto 1) che c'era qualcosa che non funzionasse 2) che era colpa di pirati informatici e che si erano lasciati infinocchiare così

[lowenz]

Essendo nato lì il web è evidente che la sicurezza è tenuta a livelli alti perchè sanno con cosa hanno a che fare, ma se il trusted individual ti frega (anche non volontariamente, ma perchè è babbo) non c'è modo per evitare il buco.

[eraser]

Certo mi sono probabilmente già fatto qualche idea su come sia potuto succedere il tutto

[lowenz]

Quote:

Originariamente inviato da eraser

Certo mi sono probabilmente già fatto qualche idea su come sia potuto succedere il tutto

Qualcuno che ha parlato troppo con gli amici tutto eccitato per l'attenzione dei giorni passati? O la classica pass lasciata post-itatta? "Ciao, io sono la password, mi vedi bene o non ancora abbastanza?"

[eraser]

Quote:

Originariamente inviato da lowenz

Qualcuno che ha parlato troppo con gli amici tutto eccitato per l'attenzione dei giorni passati? O la classica pass lasciata post-itatta? "Ciao, io sono la password, mi vedi bene o non ancora abbastanza?"

Sicuramente il sistema CMSMON non è raggiungibile dall'esterno, ma da rete interna per il controllo da remoto. E probabilmente il CMSMON sarà a sua volta connesso con questo secondo rivelatore di particelle.

Sia il CMSMON che il rivelatore di particelle non sono ovviamente (almeno lo spero) raggiungibili dall'esterno, mentre il PC di chi effettua il controllo da remoto potrebbe esserlo. Nel momento in cui sferri un attacco devi partire dal nodo debole, che in questo caso potrebbe essere stato questo.

Uno dei PC che hanno accesso al CMSMON potrebbe essere connesso ad Internet, perché normale terminale di [x] ricercatore. Entrare qui non è una bazzeccola, ma è comunque possibile.

C'è bisogno di studiare innanzitutto il PC della vittima, e per fare questo potrebbe essere stato necessario prima di tutto un attacco di ingegneria sociale, invitando l'utente con una e-mail o qualsiasi altro mezzo a visitare qualche sito web e da lì analizzarne l'UA (una delle varie possibilità).

Da lì poi, potrebbero essere state sfruttare delle falle i cui fix non erano stati scaricati o addirittura qualche falla 0-day (ce ne sono a bizzeffe in giro, anche se non sembra - chi è furbo se le tiene per sé).

Oppure potrebbero aver utilizzato direttamente ingegneria sociale per far installare in quel PC qualche malware.

Una volta ottenuto il controllo di quel PC, con molta probabilità cercando nell'hard disk la password sarà stata memorizzata in qualche e-mail oppure, se sono stati fortunati, era già memorizzata nel programma di controllo remoto (ad esempio RDP).

Una volta avuto accesso al CMSMON lì si sono fermati, come era ovvio che sarebbe successo.

Certo, se fossero stati veramente bravi, avrebbero potuto continuare probabilmente, ma ci sarebbero voluti molti giorni e quasi sicuramente hanno fatto troppo rumore per permettersi una permanenza più lunga.

Questa "potrebbe" essere una possibile ricostruzione dell'accaduto

[cdimauro]

Immaginate se avessero messo una pagina con un bottone con scritto accanto: "Click here to create a block hole" e l'avesse vista qualche giornalista.

[Maverick491]

Quote:

Originariamente inviato da eraser

Sicuramente il sistema CMSMON non è raggiungibile dall'esterno, ma da rete interna per il controllo da remoto. E probabilmente il CMSMON sarà a sua volta connesso con questo secondo rivelatore di particelle.

Sia il CMSMON che il rivelatore di particelle non sono ovviamente (almeno lo spero) raggiungibili dall'esterno, mentre il PC di chi effettua il controllo da remoto potrebbe esserlo. Nel momento in cui sferri un attacco devi partire dal nodo debole, che in questo caso potrebbe essere stato questo.

Uno dei PC che hanno accesso al CMSMON potrebbe essere connesso ad Internet, perché normale terminale di [x] ricercatore. Entrare qui non è una bazzeccola, ma è comunque possibile.

C'è bisogno di studiare innanzitutto il PC della vittima, e per fare questo potrebbe essere stato necessario prima di tutto un attacco di ingegneria sociale, invitando l'utente con una e-mail o qualsiasi altro mezzo a visitare qualche sito web e da lì analizzarne l'UA (una delle varie possibilità).

Da lì poi, potrebbero essere state sfruttare delle falle i cui fix non erano stati scaricati o addirittura qualche falla 0-day (ce ne sono a bizzeffe in giro, anche se non sembra - chi è furbo se le tiene per sé).

Oppure potrebbero aver utilizzato direttamente ingegneria sociale per far installare in quel PC qualche malware.

Una volta ottenuto il controllo di quel PC, con molta probabilità cercando nell'hard disk la password sarà stata memorizzata in qualche e-mail oppure, se sono stati fortunati, era già memorizzata nel programma di controllo remoto (ad esempio RDP).

Una volta avuto accesso al CMSMON lì si sono fermati, come era ovvio che sarebbe successo.

Certo, se fossero stati veramente bravi, avrebbero potuto continuare probabilmente, ma ci sarebbero voluti molti giorni e quasi sicuramente hanno fatto troppo rumore per permettersi una permanenza più lunga.

Questa "potrebbe" essere una possibile ricostruzione dell'accaduto

E' tutto giusto. Voglio sperare però che un ricercatore del CERN non si sia fatto fregare da una banale mail di social engineering.

[Charonte]

ma l'utilita di attaccare i pc in internet li dentro?
usarne 1 apposta no? ci devono attaccare x forza tutto ?
boh mai capito io , anche alla nasa ecc. che si fanno bucare
cioe i dati li mettono collegato a 1 pc in rete?
bei pirla

[das]

Quote:

Originariamente inviato da eraser

C'è bisogno di studiare innanzitutto il PC della vittima, e per fare questo potrebbe essere stato necessario prima di tutto un attacco di ingegneria sociale, invitando l'utente con una e-mail o qualsiasi altro mezzo a visitare qualche sito web e da lì analizzarne l'UA (una delle varie possibilità).

Cos'è l'UA ?

[lowenz]

Quote:

Originariamente inviato da das

Cos'è l'UA ?

User Agent.

http://it.wikipedia.org/wiki/User_agent

[Maverick491]

Stavo per dirlo io user agent quando hai editato

[lowenz]

Quote:

Originariamente inviato da Maverick491

Stavo per dirlo io user agent quando hai editato

Beh è imparentato con l'User Account e ne sfrutta i permessi
Alla fine trattasi sempre di "bucare" le policy dell'utente e arrivare a quelle di root

[xcdegasp]

e ora ci ritroveremo i pc del cern nella sezione infetti

[eraser]

Quote:

Originariamente inviato da xcdegasp

e ora ci ritroveremo i pc del cern nella sezione infetti

[c.m.g]

Quote:

Originariamente inviato da xcdegasp

e ora ci ritroveremo i pc del cern nella sezione infetti

[leolas]

Quote:

Originariamente inviato da xcdegasp

e ora ci ritroveremo i pc del cern nella sezione infetti

che babbi però.. Se si sono lasciati fregare così, comincio a temere per la mia vita