» »

Pisci Stuxneta bodisi površni bodisi nevešči

Pisci Stuxneta bodisi površni bodisi nevešči

Razširjenost Stuxneta po svetu

Slo-Tech - Slavni črv za sabotažo iranskih centrifug za bogatenje urana Stuxnet, o katerem smo obširno poročali in ki naj bi bil ameriško-izraelske provenience, je bil v medijih predstavljen kot izjemno dovršen kode, ki se je dolgo časa uspešno skrival pred odkritjem in premeteno uporabljal funkcionalnosti sistemov SCADA. Vsi niso tega mnenja. Na Root Labs lahko preberemo zanimiv blog, v katerem avtor utemeljuje, zakaj je Stuxnet pravzaprav prej v sramoto kakor v ponos svojim stvariteljem, in ki ponuja zanimiv vpogled v delovanje.

Kot pojasnjuje, Stuxnet uporablja zgolj osnovne trike za prikritje obstoja (obfuscation), ki jih poseduje vsak v zadnjem času napisan kos malwara, in nič naprednega. Prav tako avtorji očitno niso poznali naprednih načinov prikrivanja prave tarče črva, saj vse skupaj izvedli le z uporabo nekaj pogojnih stavkov.

V črvu je še nekaj začetniških napak, tako da se ponujajo tri možnosti. Bodisi je bilo avtorjem vseeno, ali njihov program in njegovo nakano odkrijejo, bodisi so bili strašno površni ali neizobraženi. Tretja možnost je, da se jim je enostavno samo strašno mudilo. Kakorkoli že, Stuxnet Američanom ne bi smel biti v ponos.

37 komentarjev

Good Guy ::

jah če je pa zadeva tko enostavna, mislim da bi bilo tuki lahko sram tiste ki skrbijo za varnost v elektrarnah...

PaX_MaN ::

KISS

gendale ::

glede na to, da je zadeva dosegla svoj cilj, ni mogla bit tako slaba

gruntfürmich ::

morda pa je ta namerno slabo zaščiten. ker hoče preusmeriti pozornost od zlobnejšega in bolj potuhnjenega brata:))

in zadeva je zagotovo namensko spisana. ni je kr en programer spisal, ki je imel 5 min časa...
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

smash ::

je bil v medijih predstavljen kot izjemno dovršen kode


tukaj je problem

Pyr0Beast ::

Ah kero nakladanje in ego-trip. Si upam odkrito povedati da avtor tistega ranta (ki dejansko ne pove nič pametnega) nebi znal napisati takega kosa sw opreme.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

dronyx ::

Glede na to, kaj je povzročil v Iranu, očitno ni bil tako zanič in meni se postavlja vprašanje, kaj bodo storile ZDA in Izrael, ko bo nekdo napisal virus, ki bo povzročil par sto novih Černobilov? Očitno se to da, samo insajderske informacije moraš imeti o delovanju in opremi nukleark, kot so jih imeli v tem primeru. Potem bodo pa spet "teroristi" vsega krivi. Ne me basat!

Zgodovina sprememb…

  • spremenil: dronyx ()

gulfstream ::

Saj to ni lepotno tekmovanje v pisanju kode.

Virus je zgleda dosegel svoje, in nekdo je vesel. Ali pa obstaja še druga verzija, pa je ta samo za krinko.

Daleč od tega da bi bil slab. Slab bi bil, če bi ga odkrili preden je bilo prepozno.

Iatromantis ::

Ne gre za lepotno tekmovanje, tukaj gre za politiko.

Tako kot lahko zdaj Rusi/Kitajci vzklikajo, kaj nam pridigate o svobodi, pometite pred svojim wikileaks pragom, tako bodo očitno tudi kibervojne postale bolj 'opravičljive' - Clintova ne bo mogla kar tako skakati v luft zaradi napadov kitajcev - saj tudi vi to počnete...

Either the authors did not care if their payload was discovered by the general public, they weren't aware of these techniques, or they had other limitations, such as time. The longer they remained undetected, the more systems that could be attacked and the longer Stuxnet could continue evolving as a deployment platform for follow-on worms. So disregard for detection seems unlikely.

Zgodovina sprememb…

gulfstream ::

Kaj hočeš povedat, da so Američani iste barabe kot Rusi, Kitajci in ostali? Saj to ni nekaj novega:)

petrusko ::

No če bi bil bolje napisan - se pravi če bi se znal bolje skrivat, potem bi ga kasneje našli... Kar bi pomenilo, da bi naredil še več škode... Kar pomeni ... nekaj že ... Izgleda, da se je mudilo in da so spisali kodo v najkrajšem možnem času...

srus ::

V našem poslu lahko postaneš "viden in prepoznaven" na dva načina.

I. da ustvariš nekaj originalnega in izjemnega
II. da potlačiš in razvrednotiš delo drugih

Avtorji bloga so pač izbrali drugi način, ki je bistveno lažji, sicer pa na daljši rok nima nobene dodane vrednosti in dolgoročno ni vzdržen.

gulfstream ::

No če bi bil bolje napisan - se pravi če bi se znal bolje skrivat, potem bi ga kasneje našli... Kar bi pomenilo, da bi naredil še več škode... Kar pomeni ... nekaj že ... Izgleda, da se je mudilo in da so spisali kodo v najkrajšem možnem času...


Ali se je mudilo kot si napisal, ali pa obstaja še en in je ta samo za 'krinko'. Američani/Izraelci imajo veliko $$$ in si zagotovo lahko kupijo najboljše hekerje.

petrus ::

Priporočam še "Adventures in analyzing Stuxnet" (youtube link, traja slabo uro)
Sodelavec Microsofta razlaga pot do popravka:

We will discuss various techniques used in analyzing Stuxnet. First, we will share several tricks that were used to quickly identify the vulnerabilities. Second, we describe the thought processes that went into debugging and triaging the vulnerabilities themselves.
stati inu obstati

pegasus ::

Ta video je genialen, ker je microsoftovc čist šokiran, ker ima pred seboj 100% reliable malware :D

Pyr0Beast ::

Tisto je bila dobra. Ko se je začel sam širiti preko mrežnega printer protokola :))

To je res jaw-dropping.

In potem tipsoni pišejo, da so pisatelji nevešči ?
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Gregor P ::

Lahko pa je virus napisal tudi kakšen dobronamerni Iranec, da je svojim pokazal, kako ranljivi so v bistvu (torej je bila poanta virusa ravno v tem, da se ga odkrije) in bodo sedaj malo več časa in denarja posvetili tudi v takšno varnost. Če bi jim samo povedal, mu itak ne bi verjeli:D ... ali pa kakšno podjetje, ki prodaja varnostno tehnologijo8-)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

garamond ::

Pyr0Beast je izjavil:

Ah kero nakladanje in ego-trip. Si upam odkrito povedati da avtor tistega ranta (ki dejansko ne pove nič pametnega) nebi znal napisati takega kosa sw opreme.

Seveda ga ne bi! Stuxnet je imel 4 (!) zero-day exploite, in le-ti ne ležijo kar tako naokrog.

NSA Agent ::

Bo treba Open SCADO narest :) po možnosti v JAVI napisano :) pred pol leta sem jo začel pisat sam sem zgubil veselje :(

SCADA je zelo stara zadeva s veliko napakami, in ker neobstaja nobena bolša stvar jo vsi uporabljajo. No je scada trenutno na 3.0 verziji al neki tajga ampak še vedno deluje isto kot 1.0 verzija samo funkcionalnosti dodajajo. V enem podjetju deluje račinalnik s SCADO, pa je treba računalnik vsake 2 tedna reseterat ker zablokira. Pol pa spet 2 tedna dela brez problema.

Jst ::

Preberite si članek iz The New York Times.

Zanimiv odstavek:

The worm itself now appears to have included two major components. One was designed to send Iran's nuclear centrifuges spinning wildly out of control. Another seems right out of the movies: The computer program also secretly recorded what normal operations at the nuclear plant looked like, then played those readings back to plant operators, like a pre-recorded security tape in a bank heist, so that it would appear that everything was operating normally while the centrifuges were actually tearing themselves apart.


vir: nytimes.com

Splača se prebrati celoten članek.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

morbo ::

^ lol, če je to res, potem gre za največji pwnage evah.

Zgodovina sprememb…

  • spremenil: morbo ()

P3Hi ::

Zakon video :=)

Jah za .LNK exploit so vedli tudi slovenci!

Zgodovina sprememb…

  • spremenil: P3Hi ()

fiction ::

V črvu je še nekaj začetniških napak
Kje točno to piše na tistem blogu?

Ja, kot malware Stuxnet ni nič posebnega, dejansko niso povedali nič novega. Razen tega, da ne gre le za objektivno mnenje, ampak so medijski Stuxnet hype malo izkoristili tudi za samopromocijo.

Zanimivo pri črvu je to, da je izkoriščal za širitev 5 napak (med njimi 4 0-day). Vse napake se da 100 % zanesljivo izkoristiti. Moje mnenje je, da je bil glavni cilj čim hitrejša uporaba in čim večja zanesljivost. Oboje bi z dodatnim skrivanjem ogrozili.

Sej kaj pa bi pridobili z raznimi anti-debugging triki, malo več časa za ugotovitev za kaj gre pri ranljivostih.
Pa še to ne nujno, ker za analizo ni bilo treba reverse engineerati vsega, ampak je bilo dovolj gledati efekte na operacijskem sistemu. 0-day ranljivosti so v vsakem primeru za napadalce "izgubljene". Po preplahu bi bilo neglede na to, da vsi detajli mogoče še ne bi bili znani, širjenje precej počasnejše, učinek presenečenja bi izginil.

Kar je alarmantno je to, da napadalci poznajo najbrž še kar nekaj 0-day ranljivosti, če so pripravljeni tako na hitro "uporabiti" 4.

U, na blogu predlagajo knjigo, ki jo imam doma. Žal še nisem prebral vsega.

fiction ::

P3Hi je izjavil:

Jah za .LNK so vedli tudi slovenci!
Za .LNK je vedel kdorkoli je kdaj uporabil "Create shortcut" :) Ni pa nujno, da je le-ta poznal tudi točno to ranljivost.

V bistvu gre za neke vrste binary planting ranljivost, Explorer rece LoadLibrary() nad datoteko navedeno v .LNK datoteki. Ampak po temle sodeč preko FTP vse skupaj ne gre, edino preko WebDAV (čez HTTP) bi šlo.

P3Hi ::

omg. saj nisem mislil na to da so vedeli. vedeli so za ranljivost in so jo zlorabljali...

urosh ::

en komentar:

Zgodovina sprememb…

  • spremenilo: urosh ()

McAjvar ::

NSA Agent je izjavil:

Bo treba Open SCADO narest :) po možnosti v JAVI napisano :) pred pol leta sem jo začel pisat sam sem zgubil veselje :(

SCADA je zelo stara zadeva s veliko napakami, in ker neobstaja nobena bolša stvar jo vsi uporabljajo. No je scada trenutno na 3.0 verziji al neki tajga ampak še vedno deluje isto kot 1.0 verzija samo funkcionalnosti dodajajo. V enem podjetju deluje račinalnik s SCADO, pa je treba računalnik vsake 2 tedna reseterat ker zablokira. Pol pa spet 2 tedna dela brez problema.


SCADA sistemov je vec, ni samo eden. Glede OpenSCADA ideje pa ... ali je OpenSCADA v redu?
"[...] the advance of civilization is nothing
but an exercise in the limiting of privacy."
- Isaac Asimov

Pyr0Beast ::

Jst je izjavil:

Preberite si članek iz The New York Times.

Zanimiv odstavek:

The worm itself now appears to have included two major components. One was designed to send Iran's nuclear centrifuges spinning wildly out of control. Another seems right out of the movies: The computer program also secretly recorded what normal operations at the nuclear plant looked like, then played those readings back to plant operators, like a pre-recorded security tape in a bank heist, so that it would appear that everything was operating normally while the centrifuges were actually tearing themselves apart.


vir: nytimes.com

Splača se prebrati celoten članek.



Sicer malce preveč nakladanja od ny times.

Centrifuge so vrteli samo na takih obratih da je bil produkt onesnažen in neuporaben :)

Kar je pa druga zanimiva zadeva: Kako zavraga so dobili centrifuge, motorje in krmilnike od siemensa !?!?
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Zgodovina sprememb…

borisk ::

Pyr0Beast je izjavil:



Kar je pa druga zanimiva zadeva: Kako zavraga so dobili centrifuge, motorje in krmilnike od siemensa !?!?


centrifuge so verjento sami delali, elekromotorji in krmilniki pa niso dlih raketna znanost. Če niso iranci pod kakšnim trgovinskim embargom ponavadi ni problem kupit, le €€ ali $$ je treba pokazat

Pyr0Beast ::

borisk je izjavil:

Pyr0Beast je izjavil:



Kar je pa druga zanimiva zadeva: Kako zavraga so dobili centrifuge, motorje in krmilnike od siemensa !?!?


centrifuge so verjento sami delali, elekromotorji in krmilniki pa niso dlih raketna znanost. Če niso iranci pod kakšnim trgovinskim embargom ponavadi ni problem kupit, le €€ ali $$ je treba pokazat


Zelo dvomim. To je tak high-tech da glava peče.


Krmilnike pa ja, niso delali sami. Če bi jih stuxnet nebi lavfal.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

morbo ::

Pyr0Beast je izjavil:

Kar je pa druga zanimiva zadeva: Kako zavraga so dobili centrifuge !?!?

A. Q. Khan

Pyr0Beast ::

Ah. Khan. Luštno
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Jst ::

Pyro: Preberi cel članek. Kar sem jaz quotal je izven konteksta. Da je Stuxnet tako uspešen, je zato, ker so ga testirali na neki lokaciji v Izraelu, kjer imajo enako konfiguracijo za bogatenje urana, kot v Iranu.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Pyr0Beast ::

Mjah. Saj. Malce pretiravajo v članku.


Vseeno. Siemens je moral te kontrolerje in izdelat in prodat . Nekako podobna finta kakor IBM in sodelovanje s nacisti imo.
In hkrati posredovati celotno kodo za interakcijo, ali pa je te kontrolerje nekdo reverse-engineeral.

Meni tukaj nekaj zelo smrdi.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Iatromantis ::

What the Times doesn't say is that German researcher Ralph Langner discovered the PowerPoint presentation on Siemens' website last year. And after blogging about it in December, Siemens removed it from the Web, but not before Langner downloaded it.

http://www.langner.com/en/2010/12/08/im...

Zgodovina sprememb…

RejZoR ::

zgolj osnovne trike za prikritje obstoja (obfuscation)


Keep it simple, keep it low profile. Če gor namečeš preveč crypterjev in anti-emualtion hackov je velika verjetnost, da te bojo zaznali generično s packer/crypter detekcijo. Sploh če gre za packer oz crypter, ki se uporablja izključno za malware...
Angry Sheep Blog @ www.rejzor.com

Jst ::

Ker je toliko različnih prijemov in jezikov, špekulirajo, da je Bush ob koncu mandata outsourcal delo črva, ki bi se namestil v nuklearkah. Potem, ko je ta team, ki je osnovno delo opravil, so pa izraelci skupaj z američani dokončali "celoten paket." In presenetljivo dobro, If May I Add, saj je malware "zadel tarčo" in opravil zadani posel.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Madi napada bližnjevzhodne tarče

Oddelek: Novice / Varnost
84036 (3389) Bistri007
»

Pisci Stuxneta bodisi površni bodisi nevešči

Oddelek: Novice / Omrežja / internet
3711248 (8020) Jst
»

V Iranu vedno več težav s Stuxnetom

Oddelek: Novice / Varnost
286318 (4650) ABX
»

Miti in dejstva o črvu Stuxnet

Oddelek: Novice / Varnost
94353 (3652) AtaStrudl

Več podobnih tem