Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Napi konteó: A Stuxnet Csernobilt csinálna Iránból?

2010.09.23. 17:12 | buherator | 23 komment

Ez is egy jó hatásvadász cím lett, íme a gumicsont:

Korábban már én is írtam róla, hogy a Stuxnet bizonyos támadó moduljait ipari vezérlőrendszerekbe történő bejutásra tervezték. Ehhez hozzávéve, hogy a botnet a Realtek Semiconductortól és a JMicron Technology-tól lopott privát kulcsokat használja p2p hálózata kommunikációjának titkosítására, valamint hogy terjedéséhez legalább 4 darab 0-day exploitot használt, egyértelművé teszik, hogy ezt a jószágot nem Haxor Pistike ((c) ???) dobta össze a Malware Lego 2010-zel. 

A Langner Communications GmbH. ipari IT-biztonsággal foglalkozó kutatói a malware részletes elemzése után egy igen merész elmélettel álltak elő: Véleményük szerint jó esély van arra, hogy a Stuxnetet Irán busehri atomerőművének szabotázsa céljából készítették, a támadás pedig a közeli jövőre lett időzítve. 

Ezt persze maguk a kutatók is egyszerű spekulációnak minősítik, azért nézzük végig az érveiket:

  • A fertőzés Iránra és környékére koncentrálódik
  • A Stuxnet készítői professzionális, SCADA rendszerekben jártas, és azokhoz valószínűleg hozzáférő emberek (vagy nem emberek, de ez egy másik összeesküvéselmélet :) - ez a professzionális szabotázst támasztja alá
  • A Stuxnek egy jól meghatározott "gyors lefolyású" folyamatot állít meg, amely egy olyan valós idejű folyamatot jelent, amelynek (ebben az esetben) 100 milliszekundumon belül le kell futnia. - Tehát valószínűleg nem arról van szó, hogy odaég-e a rendszergazda kávéja
  • A célpont nagy értéket képvisel a támadó szemében - Minden bizonnyal, egyébként nem foglalkozott volna vele ennyit
  • Az analízis ki fogja deríteni, hogy pontosan milyen folyamatot támad a féreg. Ez meg fogja mutatni a pontos célpontot és ezzel együtt a támadót is. Erre a Stuxnet készítői is fel voltak készülve, és valószínűleg nem tartanak attól, hogy börtönbe kéne fáradniuk.

Ezen kívül van egy majdnem-tárgyi "bizonyíték" is, ami a legérdekesebb mind közül, egyúttal pontosan ez az, ami szvsz. az egész elméletet megborítja.

Ez a kép állítólag Busehrben készült és azt mutatja, hogy a WinCC éppen licensz problémákra panaszkodik. Ami az elmélet szempontjából pro: ugyanezt a SCADA megoldást támadja a Stuxnet (lásd a korábbi posztot).

Kontra 1.: Ha Iránban licensz nélküli vezérlőszoftvert használnak egy épülő atomerőműben, akkor fölösleges a kibertámadás.

Kontra 2.: Ha az ember le akar tölteni pl. egy sima asztali kripto szoftvert, háromszor meg kell esküdnie az összes jelenlegi és jövőbeni leszármazottja életére, hogy nem fogja bevinni Iránba (ill. Észak-Koreába, meg néhány hasonló helyre). Egy urándúsításhoz használható célszoftvert, a speciális PLC-ket és a hozzájuk való Windows hálózatot szemrebbenés nélkül szállítják és licenszelik a kollegáknak, akiknek még a Red Alert készítői is a Terroristát adták speciális egységként?

Érdekes elgondolás... Nektek mi a véleményetek?

Címkék: politika irán összeesküvéselmélet scada stuxnet

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

_2501 2010.09.23. 18:48:15

érdekes megközelítés.
nem tartom elképzelhetetlennek, mindenesetre elegyelőre maradnék szkeptikus, már csak azért is mert elég meredek a sztori és nagyon hirtelen felkapták mindenhol.
várjuk ki a végét...

Zorg a Rettenetes · http://musicanta.blog.hu 2010.09.23. 19:54:39

Miért fölösleges a kibertámadás, ha licensz nélküli szoftvert használnak?

worriror. 2010.09.23. 21:06:27

www.bbc.co.uk/news/technology-11388018

"according to global security standards, Microsoft software "may not be used to operate critical processes in plants"."

miert? :o

: D

_2501 2010.09.23. 22:54:30

overhype. /:T
mindenhol ugyanazt írják, felkapták mert tök jó összeesküvés elmélet szaga van. jövőre tutira jön a film is belőle... :"

másrészről amiket eddig olvastam analízisok alapján egyre jobban tetszik... :)
de attól még ez is csak egy nyavalyás program.

blog.mandiant.com/archives/1236
illetve
www.symantec.com/
-on rákeresel stuxnetre. a japán/kínai cikkeket még nem olvastam :D

buherator · http://buhera.blog.hu 2010.09.23. 23:08:52

@Zorg a Rettenetes: Mert várhatóan úgyis atomsivataggá változik az erőmű környéke?

Zorg a Rettenetes · http://musicanta.blog.hu 2010.09.23. 23:51:34

@buherator: Még mindig nem értem... Lehetetlen, hogy licensz nélkül biztonságos üzemelésre bírni egy ilyen rendszert még mindig egyszerűbb, mint nulláról fejleszteni egy sajátot?

Zorg a Rettenetes · http://musicanta.blog.hu 2010.09.24. 16:07:18

@buherator: Ezzel még nem győztél meg.

Pontosítom a kérdésem: Mi az, ami annyira nehézzé teszi a rendszer, microsoft, siemens és egyéb nyugati cégek megkerülésével (de esetlegesen például oroszország, és ipari kémek támogatásával) történő beüzemelését, hogy annál egyszerűbb például saját rendszert fejleszteni és használni? És ne felejtsük el, hogy nem feltétlenül atomerőműről van szó, sok más gyár is lehet a célpontja a féregnek.

buherator · http://buhera.blog.hu 2010.09.24. 16:11:12

@Zorg a Rettenetes: Semmi, de a screenen a WinCC látszott, és a Stuxnet is ezt a szoftvert támadja. Lehet hogy nem használnak WinCC-t Iránban, de akkor az egész elmélet alaptalan és a fotó is egy átverés.

keriati · http://blog.fsck.hu 2010.09.24. 23:27:42

nagyon izgi, kíváncsian várom a végét :) No és melyik állam rendelhette vajon akkor ezt a vírust??? hmm vajon melyik... nem is tudom... :D iii... ja ők biztos nem :D

_2501 2010.09.25. 07:32:50

aaargh...

nol.hu/tud-tech/eromuveket_es_gyarakat_tamadott_meg_egy_virus

mostmár tényleg akárki írhat cikket erre a sz@rra?
gratulálok... :""

synapse · http://www.synsecblog.com 2010.09.27. 10:07:24

Ez a spekulacio nevetseges, amig nem tudjak pontosan meghatarozni, hogy a malware mit is csinal addig google altal kidobott keresesek es felinformaciok alapjan nem kellene panikoltatni az embereket.

"Langner will disclose details, including forensic evidence, next week at Joe Weiss' conference in Rockville. "

Ja, hogy mediaWHORE. En kerek elnezest.

synapse

synapse · http://www.synsecblog.com 2010.09.27. 10:09:37

Ja, ezt el is felejtettem:

Nem kell ahhoz kormany altal finanszirozott expert csoportnak lenni hogy irj 3 zerodayt es hogy hozzaferj scada rendszerekhez. Addig nem mondhatjuk, hogy insider volt, amig nem tudjuk mit manipulal a malware, lehet hogy valami tok altalanos dolgot, bar nem ertek a scadahoz. Mindenesetre nem mindennapi emberek voltak akik csinaltak, de hogy kormany? Nem hiszem. Van emellett meg nem egyszeru modon osszerakott botnet par szaz...

synapse

Titan89 2010.10.02. 08:13:41

Az elméleti rész viszonylag jól össze van rakva, de a kép..

Azért a képet meg kellett volna jobban nézni. Akkor mit látsz az alján:
Lime Milk Preparation & Dosing

Mésztejet maximum a szén erőműben használnak kéntelenítésre. Úgyhogy lehet ez a Visontai erőmű prtsc-je? :D

Egy kontra meg is bukott;)

buherator · http://buhera.blog.hu 2010.10.02. 11:39:20

@Titan89: Ez nekem is elkerülte a figyelmemet, de abszolót jogos észrevétel! :) Viszont egyel kevesebb érv szól amellett is, hogy WinCC-t használnak, így lehet, hogy az erőmű alapjáraton immunis erre a kártevőre.

_2501 2010.10.02. 13:57:10

@Titan89: atom vagy szeneromuben dolgozol?

Titan89 2010.10.02. 16:39:09

@buherator: Amikor először olvastam a vírusról és mondták, hogy mennyire komplex és nem egy szoftver hibát használtak ki (mint ahogy egy átlag hacker) tudtam itt valaki nem kicsibe játszik úgyhogy a konteó alapjaiban erős:)
Személyes véleményem szerint USA-béli lehet a támadás kiindulópontja amivel feltérképezik az ellenséget.(USA-Irán nem kell részleteznem) Ugyanis az erőművek/közművek intranetes kapcsolatot használnak és nincs közvetlen kapcsolatuk az internettel (ahogy Te is írtad ha jól emlékszem) Így mindenféle anyagi kockázat nélkül és titokban tudják felderíteni a terepet egy esetleges támadáshoz vagy pedig az iráni atom kutatás állásáról szeretnének információt.

@_2501: Édesapám dolgozik Visontán és ügyfelem az egyik szakfelelős a kéntelenítésért. Ő mesélte el, hogyan permetezik be a mésztejet Visontán.( ez féléve volt, de mésztejet mondott emlékeim szerint)

buherator · http://buhera.blog.hu 2010.10.02. 16:45:56

Kis update: a Stuxnek Indiában és Pakisztánban erősebb mint Iránban, a népszerű elméletek szerint pedig Izrael, az USA, vagy akár Németország is az akció hátterében állhat. EGyre vissesebb olvasni a különböző, 0 információra alapozott elméleteket :)

Egyebke mellett itt érdemes mazsolázni:
http://twitter.com/#!/WeldPond

Titan89 2010.10.02. 18:13:49

NEW:

www.fn.hu//kulfold/20101002/kemeket_fogott_iran/

"a biztonsági szolgálatok figyelni tudják az internetet, és meg tudják akadályozni, hogy az iráni atomprogrammal kapcsolatban bármi kiszivárogjon"

Kérdezném itt az informatikában jártasakat, hogy ez hogyan lehetséges?
Mint a Mag című filmben? =)

synapse · http://www.synsecblog.com 2010.10.04. 09:28:36

Titan89: Sehogy, bullshit az egesz.

synapse