Journal Après Stuxnet, le virus Viper force l'Iran à arrêter les installations pétrolières de l’île de Kharg

Posté par (page perso) . Licence CC by-sa
Tags :
12
25
avr.
2012

Ave

Vous vous souvenez de Stuxnet, ce virus qui avait bloqué les installations nucléaires de l'Iran ?

Récemment les installations pétrolières iraniennes de l'île de Kharg ont été arrêtées à cause de Viper, un nouveau virus.
Un lien
http://english.sina.com/world/2012/0423/460971.html

Je cite
"a virus, which has been used to attack, has firstly damaged the motherboards and then deleted the data."

Reste à savoir qui a écrit et diffusé ce virus…

Attendons l'analyse de ce virus.

  • # Hein ?

    Posté par . Évalué à 4.

    "damaged the motherboards"

    Hein ? C'est possible pour un virus logiciel de péter des composants matériels ? Ou alors y'a un truc qui m’échappe.

    • [^] # Re: Hein ?

      Posté par (page perso) . Évalué à 4. Dernière modification le 25/04/12 à 12:29.

      Ben ça dépend de l'OS… Sous DOS on s'amusait à faire tourner le lecteur de disquette à des vitesses pas possibles. Ça faisait un de ces bruits en salle info !
      Je complète en disant qu'il faut s'adresser au contrôleur du périphérique.

      • [^] # Re: Hein ?

        Posté par (page perso) . Évalué à 3.

        Ça rappelle sur mon premier PC (i386), en faisant joujou avec la carte VGA, j'avais sans faire exprès, bloquer le canon à électron de l'écran CRT sur un point quasi fixe. Le temps que je réagisse (bruit aigüe et point lumineux intense), l'écran avait été marqué.

        Sur les derniers écrans CRT que j'ai eu, un message s'affichait lorsque la carte vidéo demandait des trucs aberrants.

        Plus tard, un ventilateur d'un CPU Cyrix été resté bloqué tout un WE (PC allumé). Le lundi matin après changement du ventilateur, il fonctionnait sans problème…

        Comme quoi, ça doit dépendre des protections intégrées, du moins l'informatique grand public…

        • [^] # Re: Hein ?

          Posté par . Évalué à 4.

          Plus tard, un ventilateur d'un CPU Cyrix été resté bloqué tout un WE (PC allumé). Le lundi matin après changement du ventilateur, il fonctionnait sans problème…

          Oh pinaise j'avais oublié le Cyrix. J'en ai eu un (p150+). Qu'est ce que ca chauffait cette saloperie ! Je veux bien croire qu'il ait résisté a un coup de chauffe, parce que de base déja il chauffait un max ^

          • [^] # Re: Hein ?

            Posté par . Évalué à 1.

            Pas tous! Le 686L 2.8v ne chauffait pas beaucoup, j'ai un P166+ overclocké en P200+ qui tourne depuis 15 ans et a survécu à une panne de ventilateur de l'alim.

    • [^] # Re: Hein ?

      Posté par . Évalué à 4.

      Tu peux peut arrêter les ventilateurs et mettre un composant en surchauffe.

      • [^] # Re: Hein ?

        Posté par (page perso) . Évalué à 4.

        Y a pas des contrôleurs matériels pour ce genre de choses ?

        • [^] # Re: Hein ?

          Posté par . Évalué à 6.

          D'après la doc de thinkfan (contrôle de ventilo pour thinkpad sous linux) : « please do check out the updated README and example configs, and modify your config to save your harddisk from premature death. :-/ » Y'a déjà moyen de faire des dégâts rien qu'en se gourrant dans la config d'un logiciel légitime…

    • [^] # Re: Hein ?

      Posté par . Évalué à 1.

      Hein ? C'est possible pour un virus logiciel de péter des composants matériels ? Ou alors y'a un truc qui m’échappe.

      Il y a pleins de sécurités qui ont été ajoutés, mais dans un monde ou les processeurs et divers composants chargent leur firmware et/ou microcodes depuis des zones modifiables, il y a encore (ou plutôt de nouveau) moyen de faire des trucs sympas.

    • [^] # Re: Hein ?

      Posté par . Évalué à 2.

      Pas besoin d'altération matérielle, suffit d'endommager le bios: la carte ne fonctionnera plus au prochain démarrage.

      • [^] # Re: Hein ?

        Posté par . Évalué à 0.

        Ça c'est le mythe pour la personne qui n'a que son PC à disposition. Reprogrammer une eeprom depuis le monde extérieur n'a jamais été un problème sinon.

        • [^] # Re: Hein ?

          Posté par . Évalué à 4.

          Reprogrammer une eeprom depuis le monde extérieur n'a jamais été un problème sinon.

          C'est un problème dans le cas en question, quand il y a une centaine de postes à reprogrammer dans une usine, et que chaque minute de production arrêtée te coute des dizaines de fois le prix d'un ordinateur neuf.

        • [^] # Re: Hein ?

          Posté par . Évalué à 2.

          Il faut que cela soit prévu sur la carte mère (genre extraction de la puce). Dans le cas contraire, il y a moyen de griller d'autre composant.

          J'imagine aussi que de forcer l'alimentation à des tension très hautes + une coupure du refroidissement peut faire des dégâts (pas forcément sur le cpu, mais sur le reste aussi).

          "La première sécurité est la liberté"

          • [^] # Re: Hein ?

            Posté par (page perso) . Évalué à 2.

            Les interfaces jtag, spi et compagnie dont normalement prévues pour être utilisables in-situ.
            Et heureusement parcequ'en SMD tout est soudé généralement.

    • [^] # Re: Hein ?

      Posté par (page perso) . Évalué à 3.

      je me demande surtout comment on peut détruire des données une fois que la carte mère est grillée.

      • [^] # Re: Hein ?

        Posté par (page perso) . Évalué à 3.

        hypothèse
        1 : détruire le bios pour empêcher le redémarrage (rapide)
        2 : écraser chaque secteur disque (beaucoup plus long)

        Envoyé depuis mon Archlinux

    • [^] # Re: Hein ?

      Posté par (page perso) . Évalué à 7.

      En plus de ce qui a déjà été dis, il y a le cas du composant matériel buggé (ça marche si le virus est ciblé). Dans mes souvenirs, il y a eu le cas d'une mandrake qui grillait le lecteur CD à l'installation et une RC de Linux qui détruisait la carte réseau.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Hein ?

        Posté par . Évalué à 5.

        La mandrake ne grillait pas le CD.

        C'est le lecteur CD qui possédait un moyen de reflasher son firmware. Ce mode était gardé secret et s'activait selon une succession particulière de commande. Pas de bol, et sans la savoir la mandrake balançait ces commandes dans l'ordre. Donc le firmware du CD se mettait en mode "vazy balances moi le firmware que je le claque direct dans l'EEPROM sans rien vérifier parceque j'y crois". Et comme les octets suivants n'étaient pas du tout un firmware CD, le CD était briqué.

        De mémoire, il y avait quand même moyen de reflasher le firmware.

        Mais bon, celui a blâmer dans l'histoire c'était quand même le vendeur de CD qui met un mode de flashage non documenté et sans vérification (même un checksum aurait suffit à éviter le flashage malheureux).

        • [^] # Re: Hein ?

          Posté par (page perso) . Évalué à 5.

          Je dis bien que c'est la faute du matériel dans mon poste:

          il y a le cas du composant matériel buggé (ça marche si le virus est ciblé)

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Hein ?

            Posté par . Évalué à 3.

            this is not a bug, it is feature, a very cool feature, you wanna to dock with me to know about it ?

        • [^] # Re: Hein ?

          Posté par (page perso) . Évalué à 3.

          Ce mode était gardé secret et s'activait selon une succession particulière de commande. Pas de bol, et sans la savoir la mandrake balançait ces commandes dans l'ordre.

          Il me semble que c'est plus simple que ça… Les développeurs de LG ont confondu les appels "flush" (vide les buffers) et "flash" (met à jour le firmware).

          Quant au problème de carte réseau Intel, c'était avec le kernel 2.6.27:
          http://linuxfr.org/users/ribwund/journaux/corruption-hardware-fatal-sur-les-noyaux-2627-rc

          • [^] # Précisions

            Posté par . Évalué à 2.

            Il me semble que c'est plus simple que ça… Les développeurs de LG ont confondu les appels "flush" (vide les buffers) et "flash" (met à jour le firmware).

            Effectivement.
            En fait, flush n’est pas vraiment indispensable pour les périphériques en lecture seule (!), mais il y a une version du driver IDE du noyau qui en envoyait quand même aux lecteurs de CD (mise en commun du code tout ça)… et paf les LG !

            Mandrake a peut-être été la distribution la plus connue à sortir avec cette version du noyau avant que le problème ait été signalé et corrigé, mais pas la seule, à ce que je me rappelle, une version de SystemRescueCD l’a eu aussi…

            Théorie du pot-au-feu : « Tout milieu où existe une notion de hauteur (notamment les milieux économique, politique, professionnels) se comporte comme un pot-au-feu : les mauvaises graisses remontent. »

            • [^] # Re: Précisions

              Posté par (page perso) . Évalué à 10.

              ne version de SystemRescueCD l’a eu aussi…

              C'est sympa comme surprise, déjà que tu essaye de récupérer en catastrophe ton PC et paf le lecteur CD qui saute, ça a dû générer quelques crise de nerfs ce bug.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Hein ?

          Posté par . Évalué à 5.

          De mémoire, il y avait quand même moyen de reflasher le firmware.

          Oui. J'y ai eu droit.

          Y'avait deux solutions :
          1) soit flasher le firmware tant que le lecteur fonctionnait, avec la procédure habituelle : téléchargement d'un .img sur le site de LG, copie sur une disquette, boot sur la disquette,

          2) Si le lecteur était déjà bloqué, il fallait passer par une manipulation délirante. Mettre un cavalier entre deux connecteurs, à l'horizontale, sur le bloc de sélection "MA/SL/CS", et garder le bouton d'ouverture du tiroir appuyé tout en mettant la machine sous tension. Ça réinitialisait le lecteur qui était alors prêt à recevoir le bon firmware.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Hein ?

            Posté par . Évalué à 3.

            Lol, je me rappelle avoir grillé une dizaine de lecteur CD LG, il y a 2 ou 3 ans sans utiliser Mandrake.

            A l'époque, je pensais que LG s'est pourri. Leurs lecteurs claquent après un an d'utilisation :). Je n'aurai jamais pensé que c'était
            mes Linux qui le grillait.

            Par contre, je n'avais jamais fait la relation entre mes usages et le claquage du lecteur.

            Je serais prêt à parier que je grillais le lecteur quand je créais une iso, ou que je faisais un dd pour contrôler le md5sum du cd.

    • [^] # Re: Hein ?

      Posté par . Évalué à 10.

      Simple comme bonjour, le virus est en fait un appeau à vraies vipères. Dressés par la CIA, entrainées à bouffer des composants électroniques et à suivre les câbles réseaux, elles n'ont rien laissé derrière elles !

    • [^] # WIN95.CIH

      Posté par . Évalué à 4.

      Personne ne s'en souvient ? Son autre nom était Tchernobyl. :)

  • # ...

    Posté par (page perso) . Évalué à 5.

    Reste à savoir qui a écrit et diffusé ce virus …

    Perso j'hésite entre le Luxembourg et Vanuatu :-)

    • [^] # Re: ...

      Posté par (page perso) . Évalué à 10.

      Je pense que c'est les USA. Le drone était infecté.

  • # Le mystérieux virus V de l'Île de Kharg

    Posté par . Évalué à 3.

    Comme actu ça fait assez extension pour resident evil.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.