Size: a a a

RUSCADASEC community: Кибербезопасность АСУ ТП

2021 January 12

AV

Anton Volkov in RUSCADASEC community: Кибербезопасность АСУ ТП
Коммерческий продукт. Пишут идиоты. В асутп на них иммунитет?
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
Anton Volkov
Коммерческий продукт. Пишут идиоты. В асутп на них иммунитет?
Т.е. все ваши рассуждения по аналогии? Чем SFC от С++ отличается, можете сказать?
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
Или драйвер от биллинга?
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
что пишет ldd3 насчет goto?
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
Alex Ivanov
Конфиги где попало лежат по всей системе, службы не из репозитория и не менеджером пакетов установленные, а из исходников скомпилированные и руками везде прописанные
Продукты ИБ, кстати, под это описания очень подходят, согласитесь? :))) Вообще, смысл того, что я хотел сказать - не весь плохо выглядящий код есть говнокод. И безопасную разработку разумно (и нужно) внедрять в новых проектах. Насчет старых проектов логичнее будет этим заниматься не безопаснику, а самим разрабам после соответсвующего обучения. Поэтому в своем первом посте я и оговорился, что "может".
источник

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Alexey Cheshire
Объясняю - всё дело не в коде, а в бабках. Компания существует не для того, чтобы писать код, а чтобы заработать много денег. Вводя контроль кода над дурным количесвтом легаси кода вы рискуете (именно рискуете) получить гемор для всех разрабов, что аукнется и на испрравлении ошибок, и на текущих проектах. Более того, как показывают последнии события, испытательные лаборатории сейчас рпзобраны почти под ноль, поэтому такие переделки так просто не проверить
Вначале тяжело, согласен. Вообще конца-края не видно )))
источник

AI

Alex Ivanov in RUSCADASEC community: Кибербезопасность АСУ ТП
Alexey Cheshire
Продукты ИБ, кстати, под это описания очень подходят, согласитесь? :))) Вообще, смысл того, что я хотел сказать - не весь плохо выглядящий код есть говнокод. И безопасную разработку разумно (и нужно) внедрять в новых проектах. Насчет старых проектов логичнее будет этим заниматься не безопаснику, а самим разрабам после соответсвующего обучения. Поэтому в своем первом посте я и оговорился, что "может".
Вообще логично самим разрабам, DEvSecOps и т.д. А ИБ - только экспертиза на этапах определения архитектуры, ТЗ и т.д.
источник

AV

Anton Volkov in RUSCADASEC community: Кибербезопасность АСУ ТП
Alexey Cheshire
что пишет ldd3 насчет goto?
Ну, уели. Погуглил. Язык SFC предназначен для описания системы управления на самом верхнем уровне абстракции, например, в терминах "Старт", "Наполнение автоклава", "Выполнение этапа №1", "Выполнение этапа №2", "Выгрузка из автоклава". Язык SFC может быть использован также для программирования отдельных функциональных блоков, если алгоритм их работы естественным образом описывается с помощью понятий состояний и переходов
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
Anton Volkov
Ну, уели. Погуглил. Язык SFC предназначен для описания системы управления на самом верхнем уровне абстракции, например, в терминах "Старт", "Наполнение автоклава", "Выполнение этапа №1", "Выполнение этапа №2", "Выгрузка из автоклава". Язык SFC может быть использован также для программирования отдельных функциональных блоков, если алгоритм их работы естественным образом описывается с помощью понятий состояний и переходов
Наполнение автоклава - это техпроцесс, а не функция языка SFC.
источник

AV

Anton Volkov in RUSCADASEC community: Кибербезопасность АСУ ТП
И что? Это действительно сильно верхнеуровневая вещь, если я правильно понял.
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
То, что вы и в разработке для АСУ ТП, и вообще в  АСУ ТП плаваете. Не более.
источник

AV

Anton Volkov in RUSCADASEC community: Кибербезопасность АСУ ТП
Но возьмите разработку скады или чего-то подобного и мое замечание уже не будет смешным. И потом. Кто сказал, что код на вашем sfc будет обязательно выглядеть говнокодом? Это вообще другая тема.
источник

AV

Anton Volkov in RUSCADASEC community: Кибербезопасность АСУ ТП
Высокоуровневый инструмент именно что не для программиста.
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
Anton Volkov
Но возьмите разработку скады или чего-то подобного и мое замечание уже не будет смешным. И потом. Кто сказал, что код на вашем sfc будет обязательно выглядеть говнокодом? Это вообще другая тема.
Я видел и скады, и контроллеры, и конфигураторы, и дрова,  и OPС и ещё много чего, но такого букета как описали вы - не видел. Это ерунда, о чём я и написал. Так продажниик рассуждают, когда хотят напугать заказчика - подают всё в куче из разных областей
источник

AV

Anton Volkov in RUSCADASEC community: Кибербезопасность АСУ ТП
Alexey Cheshire
Я видел и скады, и контроллеры, и конфигураторы, и дрова,  и OPС и ещё много чего, но такого букета как описали вы - не видел. Это ерунда, о чём я и написал. Так продажниик рассуждают, когда хотят напугать заказчика - подают всё в куче из разных областей
Давайте уточним. Код скады? Код дров? Ну ок, если так.
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
Могу вам рассказать, что такое ошибка в контроллере - это когда составляется акт одним предриятием, потом вторым, потом третьим, а после этого поднимается вопрос о запрете эксплуатации данного оборудования в области и намекают, что волчий билет могут выписать и компании.
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
Anton Volkov
Давайте уточним. Код скады? Код дров? Ну ок, если так.
Не хочу уточнять, без обид. Я своё мнение высказал, вы привели странный пример и теперь собираетесь разбираться о чём шла речь :)
источник

AV

Anton Volkov in RUSCADASEC community: Кибербезопасность АСУ ТП
Так видели код или нет?
источник

AC

Alexey Cheshire in RUSCADASEC community: Кибербезопасность АСУ ТП
Anton Volkov
Так видели код или нет?
Писал на С для контроллеров, на шарпе для скады.
источник

DD

Dmitry Darensky in RUSCADASEC community: Кибербезопасность АСУ ТП
Alexey Cheshire
Могу вам рассказать, что такое ошибка в контроллере - это когда составляется акт одним предриятием, потом вторым, потом третьим, а после этого поднимается вопрос о запрете эксплуатации данного оборудования в области и намекают, что волчий билет могут выписать и компании.
Интересно. А комуто из крупных вендоров такой билет выписывали в вашей практике? Или у них код "красивый" и " надёжный" у всех поголовно?)
источник