» »

Črv Stuxnet napadal iranski jedrski program?

Črv Stuxnet napadal iranski jedrski program?

ComputerWorld - V zadnjih tednih je na spletu moč več prebrati o računalniškem črvu Stuxnet, ki je bil prvič odkrit junija letos na iranskem sistemu. Črv se širi po okolju Windows, a je zanimiv, ker napada Simensove sisteme WinCC/PCS 7 SCADA, ki se uporabljajo za nadzor in krmiljenje industrijskih procesov. Črv ima tudi sposobnost reprogramiranja PLC-jev in maskiranja sprememb, s čimer lahko povzroči resno škodo. Črv se je razširil predvsem po Iranu, Indiji in Indoneziji, je pa njegova koda izjemno dovršena, saj meri pol megabajta in je napisana v več programskih jezikih, kar je za črve sila neobičajno.

Prav zaradi tega so že od samega začetka špekulirali, da je bil lansiran s posebnim namenom. Izvedenec za varnost industrijskih sistemov Ralph Langner meni, da je pravi namen črva sabotirati iranski jedrski program. Sprva so sicer mislili, da je njegova glavna funkcija kraja industrijskih skrivnosti, a so odkrili, da išče posebej določen tip PLC in se šele nato ugnezdi v sistem. Langner več ni želel razkriti, bo pa ta teden v Marylandu potekala konferenca, kjer bodo prisotni tako Langner kot tudi Siemensovi inženirji.

Tudi drugi analitiki so podobnega mnenja, da je bil črv napisan z zelo specifično tarčo v mislih. To naj bi bil jedrski reaktor Bushehr, ki uporablja Siemensovo opremo in je v zadnjih tednih imel mnogo težav z zamudami v gradnji. Tja naj bi ga zaneslo rusko podjetje JSC AtomStroyExport, ki sodeluje pri gradnji in ima še vedno nekaj spletnih strani blokiranih, ker je na njih omenjeni črv. Kakorkoli že, Stuxnet je zgodovina, dodaja Langner.

Problem bodo naslednji črvi, ki bodo napadali industrijo. Vrag je tu šalo že odnesel, saj se škoda že na začetku meri v milijonih evrov. Ena izmed rešitev je vsekakor zamenjava gesel, saj je Stuxnet izkoriščal tovarniško privzeto geslo. Zamenjava gesel v industrijskem procesu ni nekaj trivialnega, saj je Siemens celo po odkritju črva odsvetoval sprememb privzetih gesel. Ker se je širil prek USB-vrat, je smiselno omejiti tudi rabo USB-ključev in nasploh zavarovati fizični dostop do kritičnih sistemov.

26 komentarjev

denial ::

Stuxnet je izkoriščal *štiri* 0-day ranljivosti. Dve lokalni privilege escalation vrzeli sta še vedno nezakrpani, ostali dve sta MS10-046 ter MS10-061. Zelo napredna koda.

Hej, kakšen sistem uporabljajo v NEK? :))
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

JebatGa ::

Sprva so sicer mislili, da je njegova glavna funkcija kraja industrijskih skrivnosti, a so odkrili, da išče posebej določen tip PLC in se šele nato ugnezdi v sistem.


Torej če ta črv išče določen tip PLC-jev(karkoli je že to) in če jih proizvaja Siemens, kot je omenjeno v članku, lahko predvidevam da se je razširil tudi po ostalih elektrarnah, ki jih oskrbuje Siemens? Torej nekdo je hotel uničiti elektrarno v Iranu in zaradi tega smo v nevarnosti čisto vsi?

Anteus ::

A mogoče Američani hočejo pokazat, da tudi oni znajo udarit elektronsko?
Sicer samo sklepam, ampak glede na to, da so najprej mislili, da krade industrijske skrivnosti bi rekel, da črv predvsem pošilja podatke naokoli, ne da bi kakšne parametre nastavljal po svoje.

Glede pripete slike pa dvomim, da predstavlja Bushehr. Mogoče kakšen nemški reaktor enake zasnove - to JE so začela graditi nemška podjetja 1975.

Aggressor ::

Na sliki mislim da je NE Neckarwestheim.

Pa btw, Bushehr je po slovensko Bušer.
professional noob

pegasus ::

denial: Nazadnje kar sem slišal, QNX based zadeve.

zli vesoljc ::

Hehe, Iranci so naredili vse, da bi zaščitili reaktorje pred fizičnimi napadi (nakup ruskih letal in AA raket), na koncu pa jih bo uničil en računalniški črv. >:D

Zgodovina sprememb…

morbo ::

Pa dobro, je možno da tako kritični sistemi niso bolje zaščiteni in nekdo na ključku prinese zalego noter?

ingo ::

PLCji - po domače krmilniki (krmilijo razne industrijske procese), so povezani z računalniki, preko katerih se jih nadzira in upravlja. Ti računalniki pa so v veliki večini primerov navadni PCji z Windowsi, ki pa so seveda povezani v mrežo. Glede na vse to, bi rekel da je pravi čudež, da ni tega več!

Zero0ne ::

ingo je izjavil:

PLCji - po domače krmilniki (krmilijo razne industrijske procese), so povezani z računalniki, preko katerih se jih nadzira in upravlja. Ti računalniki pa so v veliki večini primerov navadni PCji z Windowsi, ki pa so seveda povezani v mrežo. Glede na vse to, bi rekel da je pravi čudež, da ni tega več!


V mrežo že, ampak zakaj potrebuje jedrska elektrarna direktno povezavo do interneta? Fizični odklop je najvarnejša in v tako kritičnih sistemih edina smiselna rešitev.
uname -o

ingo ::

Zero0ne je izjavil:


V mrežo že, ampak zakaj potrebuje jedrska elektrarna direktno povezavo do interneta? Fizični odklop je najvarnejša in v tako kritičnih sistemih edina smiselna rešitev.


Pa ja ne misliš resno!? :) V vsakem podjetju, kjer je vsaj ene par računalnikov, obstajajo serverji, mrežni diski, spletno bančništvo, spletna pošta, oddaljeni nadzor... Praktično so vsi PCji, varnostne kamere, alarmni sistemi, PLCji... iz takega ali pa drugačnega vzroka povezani med sabo in nato tudi z internetom! V bistvu je lahko povsem ločena samo kakšna strogo namenska postaja, ki pa kot taka ne more upravljati s kakim bolj kompleksnim sistemom, pa še ta je ranljiva recimo preko USB.
Slaba točka kritičnih sistemov je pa ravno v tem, ker je potrebno imeti do takih sistemov tudi oddaljeni dostop zaradi nadzora in varnosti.

tony1 ::

ingo je izjavil:

Zero0ne je izjavil:


V mrežo že, ampak zakaj potrebuje jedrska elektrarna direktno povezavo do interneta? Fizični odklop je najvarnejša in v tako kritičnih sistemih edina smiselna rešitev.


Pa ja ne misliš resno!? :).


Pa ja ti ne misliš resno?

vorantz ::

tony1 je izjavil:

ingo je izjavil:

Zero0ne je izjavil:


V mrežo že, ampak zakaj potrebuje jedrska elektrarna direktno povezavo do interneta? Fizični odklop je najvarnejša in v tako kritičnih sistemih edina smiselna rešitev.


Pa ja ne misliš resno!? :).


Pa ja ti ne misliš resno?


Recimo, da je jedrska elektrarna čist odklopljena od interneta.
Notri se zgodi pizdarija, kjer so veliki rdeči gumbi za shutdown se ne more pibližat živo bitje.
Shutdown je treba naredit v naslednji minuti.
What do?

Spock83 ::

No saj omrežja se lahko popolnoma loči. To je nekdo na USB-ju prinesel.

FastWIND ::

ingo je izjavil:

Zero0ne je izjavil:


V mrežo že, ampak zakaj potrebuje jedrska elektrarna direktno povezavo do interneta? Fizični odklop je najvarnejša in v tako kritičnih sistemih edina smiselna rešitev.


Pa ja ne misliš resno!? :) V vsakem podjetju, kjer je vsaj ene par računalnikov, obstajajo serverji, mrežni diski, spletno bančništvo, spletna pošta, oddaljeni nadzor... Praktično so vsi PCji, varnostne kamere, alarmni sistemi, PLCji... iz takega ali pa drugačnega vzroka povezani med sabo in nato tudi z internetom! V bistvu je lahko povsem ločena samo kakšna strogo namenska postaja, ki pa kot taka ne more upravljati s kakim bolj kompleksnim sistemom, pa še ta je ranljiva recimo preko USB.
Slaba točka kritičnih sistemov je pa ravno v tem, ker je potrebno imeti do takih sistemov tudi oddaljeni dostop zaradi nadzora in varnosti.


Ja kaj pa mnogo, mnogo let nazaj ko so že obratovale jedrske elektrarne in še ni bilo interneta?

bborst81 ::

V vsaki resni firmi je poslovna in industrijska mreža ločena. Ne buče prodajat, da lahko iz industrijske mreže prideš na internet.

bzp ::

Ne preveč filmov gledat, da bo jedrska elektrarna prvezana na internet samo zato če slučajn zombiji pobijejo vso posadko in jo bo treba remote shutdownat ... Aham, to bo ja. Problem so usb ključi pa operaterji na nočni k jim je dolgčas.

ender ::

Zero0ne je izjavil:

V mrežo že, ampak zakaj potrebuje jedrska elektrarna direktno povezavo do interneta? Fizični odklop je najvarnejša in v tako kritičnih sistemih edina smiselna rešitev.
Kdo pa pravi, da je stvar povezana na internet? Cel kup virusov se širi preko USB ključkov.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

ingo ::

bborst81 je izjavil:

V vsaki resni firmi je poslovna in industrijska mreža ločena. Ne buče prodajat, da lahko iz industrijske mreže prideš na internet.


To sploh ni res! Ločena je z raznimi zaščitnimi sistemi, ki pa definitivno niso 100 procentni. Povsod kjer je industrijska mreža, je tudi neki nadzorni sistem, ki nadzira in beleži vse industrijske procese. Ta nadzorni sistem pa je dostopen iz ''pisarniške'' mreže, ta pa je povezana s serverjem in naprej z internetom!
Tvoja teorija je bila mogoče pravilna kakih 10 let nazaj, danes pa so praktično že običajni stroji priključeni na internet, zaradi asistence proizvajalca.

Brane2 ::

Jedrska elektrarna ni ravno "običajen stroj", čeprav najbrž so kje kaki norci, ki so vse obesili na simpl php-based strežnik.

Po možnosti kaj tipa Joomla-da bo bolj "developer friendly"... >:D
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

denial ::

@ingo ima povsem prav: KLIK
SELECT finger FROM hand WHERE id=3;

keber ::

Kaj ima gornja slika nemške jedrske elektrarne veze z jedrskim reaktorjem v Bushehru? To mesto je namreč v puščavi ob obali.

denial ::

Pretty good AV detection rate: KLIK
SELECT finger FROM hand WHERE id=3;

denial ::

Človek bi od države, ki je goreča nasprotnica infedelne zahodnjaške kulture in produktov, pričakoval, da svojo kritično infrastrukturo bazira na FOSS kodi. Mogoče celo razvije svoj sistem (Kitajska baje nekaj počne v tej smeri). Vendar ne, raje posežejo po kapitalističnem produktu. Presneto, kaj pa če imata MSFT in Siemens v svoji kodi implementiran notorični NSA/Unit 8200 backdoor?
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

mtosev ::

best news ever. zdaj pa so fucked. kaj bos zdaj Admed?:D
i like:) [Dell Inspiron 13 7000 - i7 6500U, 8gb ddr3l, 256gb samsung, ips fhd]
moj oče darko 1960-2016
moj labradorec max 2002-2013

Jst ::

Ahmed bo rekel, da če smo zahodnjaki takšni umazanci, da imamo črve po elektrarnah, jih pri njih nimajo. :)
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

WarpedOne ::

Človek bi od države, ki je goreča nasprotnica infedelne zahodnjaške kulture in produktov,

Sej to je lakmusov test kvalitete režima. Nobeno dretje iz prižnice ne izniči dejstva da Iranci bežije VEN iz irana, ne zahodnjaki notr. Vse ostalo je balast. Enako velja za bivšo Rusijo in YU. In tehnologijo enako.
How do you know what you don't know?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

V Iranu vedno več težav s Stuxnetom

Oddelek: Novice / Varnost
284306 (2638) ABX
»

Zaradi poročanja o črvu Stuxnet Iran blokiral Ars Technico

Oddelek: Novice / Varnost
244333 (3620) Iatromantis
»

Miti in dejstva o črvu Stuxnet

Oddelek: Novice / Varnost
93041 (2340) AtaStrudl
»

Črv Stuxnet napadal iranski jedrski program?

Oddelek: Novice / Varnost
266863 (4858) WarpedOne

Več podobnih tem