Anul trecut producători de antiviruși ca Symantec si Kaspersky anunțau identificarea StuxNet, un virus “atât de sofisticat încât ar putea fi creat mai degraba de un guvern”
Ținta de predilecție fiind Iran-ul (aproape 60% din calculatoarele infectate, conform Symantec) era ușor de presupus guvernul implicat. Se pare că printre dezvăluirile lui Snowden există și o confirmare că Stuxnet a fost cu adevărat rezultatul unei colaborări americano-israeliene.
Ceea ce este cu adevărat interesant la Stuxnet este faptul că, deși un virus de Windows ( un vierme, in terminologia specifică, deoarece se răspandește de la un sistem la altul), obiectivul său era cel puțin neobișnuit: acela de a infecta anumite echipamente industriale de control ( fabricate de Siemens).
Mai precis, echipamentele care controlau centrifugele iraniene, folosite la imbogațirea uraniului.
Aceste echipamente in general nu prea sunt conectate la Internet, deși pentru a comunica între ele au nevoie de un canal de comunicație; Din cauza asta, până relativ de curând , nici preocuparea pentru securitatea datelor nu a fost o prioritate. Ele sunt născute din cu totul alta filozofie decât sistemele de operare pentru computere: obiectivele principale ale programatorilor sunt in primul rând legate de funcționarea corectă in orice condiții ( dacă un “blocaj de Windows” se rezolvă cu un restart, fără să ne batem prea mult capul cu cauzele, e ceva mai neplăcut să dai un restart la echipamentul care controlează, să zicem, reactorul de la Cernavodă)
În schimb, echipamentele de care vorbim au nevoie uneori să fie programate. Pentru asta, un tehnician se va conecta probabil cu laptopul și va deschide un program, de obicei al producătorului, in cazul de față Siemens, cu ajutorul căruia va face modificarile necesare.
De aici, descrierea Stuxnet începe sa semene usor cu un James Bond de generatie nouă.
Virusul instalează un driver nou, semnat digital ( se știe că Microsoft cere semnătură la drivere) cu certificate furate de la producatori din Taiwan, după care uploadează pe echipamentul in cauză un cod care variază brusc turația centrifugelor, pentru a le distruge. Practic, o dată codul instalat, devirusarea computerului nu ajută la mare lucru.
O descriere pe larg, pe Wikipedia
Acum, o mică divagație. De la primul vierme de Internet (primul vierme de Internet) virușii au fost scriși în primul rând din teribilism. O nouă generație a transformat însă deja această ocupație in una lucrativă. Acum se scriu viruși pentru a trimite “spam” , pentru a fura parole și date iar “zero-day vulnerability exploit-uri” ( adică programe care speculează vulnerabilități incă nerezolvate) se vînd pe piața neagră, ba există chiar firme care se ocupă cu asta. Nu mai departe de săptamâna trecută am avut un incident cu un virus care criptează fișierele și cere răscumpărare pentru cheia de criptare. Noroc că aveam backup. Probabil că era timpul ca și agențiile de spionaj să se alinieze la tendințele vremii.
“Scriitorul de viruși” , chiar și in varianta bine platită a celui care fură parole și conturi bancare , incă mai are o aură vitejească, de haiduc al vremurilor moderne. Toți îi sunt împotrivă: producătorii de sisteme de operare, care produc patch-uri din ce in ce mai dese si au planuri de imbunatațire a securitații codului, producătorii de antiviruși, care produc update-uri de câteva ori pe zi, băncile, poliția…
Cum să catalogăm insă implicarea agențiilor guvernamentale în astfel de acțiuni?
Mijloacele pe care le au acestea la dispoziție sunt de-a dreptul copleșitoare.
Să vedem.
Standardele. Comunicațiile criptate la ora actuală se fac folosind algoritmi recomandați de NIST ( un fel de “institutul național de standarde”). Insă NIST nu are prea mulți matematicieni, cel putin nu așa de mulți ca NSA, care e cel mai mare angajator de matematicieni din lume. Evident, ei au recomandat algoritmii. Probabil daca erau ușor de spart, până acum s-ar fi găsit un amator de glorie care să ne spună cum, dar dubiile rămân. Pe de altă parte, deși protocolul ar permite, îti trebuie ceva specialiști ca să dezvolți algoritmi alternativi.
Companiile. După cum comentam într-un articol precedent, marile companii se arată mereu cooperante cu “agențiile”. Între noi fie vorba, statul este de obicei și cel mai mare client.
Ce ar fi dacă într-o zi Microsoft ar oferi un update special, doar pentru adresa mea de IP, un pic diferit de cel pentru restul lumii? Unul care sa conțină un mic progrămel care să se activeze nu acum, ca să nu pară suspect, ci peste câteva zile, și să transfere doua-trei fișiere pe un server oarecare? Puțin probabil, dar perfect fezabil tehnic.
Sau poate că antivirusul meu ar putea scana, ca de obicei, dar ar putea trimite o alertă undeva daca gasește un document care conține cuvintele “bomb” “nuclear” sau mai știu eu care, intr-un oarecare context.
Interesant ar fi că raportarea unui astfel de incident m-ar plasa definitiv in rândul paranoicilor. Și pe buna dreptate, pentru ca s-ar întâmpla doar pe computerul meu, nimeni n-ar avea cum sa verifice.
Domeniile radacină. A existat și această discuție: deoarece Internetul a fost inventat in America, serverele “rădăcină” pentru domeniile initiale ( .com, .net, .gov , .edu , .org) sunt pe teritoriul acestei țări. Asta înseamnă că e perfect posibil că, pentru un anumit IP, un anumit site să pară că se găsește la cu totul altă adresă, mai clar, site-ul pe care intru sa fie unul fals.
Toate astea sunt perfect posibile, fara însă a afirma ca se și întâmplă. Și noi aici discutăm despre SUA, unde măcar mai apare câte un Snowden sau Assange. Dar să ne gândim și la faptul că, de exemplu, in România aproape toate routerele Romtelecom sunt Huawei, o companie chineză despre care mulți presupun că plantează backdoor-uri pe routere. Iar în China cei doi ar fi fost împuscați înainte de a apărea ceva in presă.
Cazurile de implicare a statului ridică si o problemă legală. La vremea respectivă, Iranul a declarat că acest caz este “un act de război”. Din fericire, Iranul fiind oricum în război cu toată lumea care nu crede in Coran, declarația a putut fi ignorată fără prea mare grijă. Însă în cazul altor țări, lucrurile pot evolua total diferit.
Poate că nu e cazul să legăm acest scenariu de cazul de spionare a propriilor cetățeni, doar pentru că, în cazul lor probabil agențiile pot găsi metode mai simple și mai ieftine. Celebrul microfon din scrumieră al securiștilor pare încă să îsi facă treaba. Însa nu putem nici să excludem complet ipoteza. Până la urmă, Rubiconul a fost deja trecut.
Aikido cu mintea si corpul coordonate. Invatati cum sa va relaxati si cum sa va pastrati calmul in conditii de stress. 
Povestea celor doi purcelusi: unu-si facuse casa din windows si celalalt din linux. La primul a venit lupul cel rau si i-a sters sistemul de fisiere, celuilalt i-a sters tastatura de praf.
Iarasi Linux aici! cei care au facut viermele stiau ca programul Siemens ruleaza pe Windows, deci l-au scris pentru Windows. Probabil respectivul program nici nu are varianta pentru Linux. Daca exista si aia era folosita, atunci viermele ar fi fost scris pentru Linux. Mediteaza la asta.
„cloud computing”. „warms”….
domnule, politrucii si marketerii pot eventual folosi facebook ul si tweeter ul (pentru ca mecanismele complexe ale transmiterii de date nu le pot intelege nici web designerii de la companiile respective (facebook, tweeter)).
despre ce standarde de incriptare vorbiti ? daca sint standarde mai pot fi secrete ?
poate ca in romania, generatia de spalati pe creier (pantaloni in vine, creasta de cocos si sirma n nas) nu intelege.dar nu jigniti inteligenta medie (macar), cu articole alarmiste si feisbuchiste !
„daca sint standarde mai pot fi secrete ?”
Desigur!
Este ca si cand am conveni sa ne pastram reciproc valorile intr-un seif antiefractie Rottner Diamant Premium 60: ambii cunoastem rezistenta seifului cu pricina, stim cat este de sigur si avem certitudinea ceea ce dam spre pastrare va beneficia de un anumit grad de protectie.
Aceste informatii sunt publice (si standardizate – de exemplu, seiful cu pricina se incadreaza in categoria de securitate VSÖ, clasa EN 3 conform standardului de securitate EN 1143-1)… Doar ca nici unul dintre noi nu cunoaste cifrul folosit de catre celelalt.
Din pacate, „sirma” din nas nu-mi permite sa intru in detalii privind codurile asimetrice cu cheie publica. ;)
:) Pisoi – uite ca am decriptat mesajul tinind cont de explicatia autorului (chiar daca nu am folosit cheia recomandata C+X). daca esti o banca, cu sute de mii de de clienti, nu poti personaliza pentru fiecare. o institutie strategica insa are alte „standarde” de securitate, chiar si numai trecind in revista transferul de algoritm (nu de cheie) mentionat mai jos de autorul articolului :)
Problema transferului de algoritm e si ea complicata: cum il transferi? Ar trebui probabil si el criptat, si așa ajungi la o problema ou-gaina. Ar merge sa zicem pentru comunicații in grupuri bine determinate, de genul legaturilor intre guvern si ambasade, unde cheile sau chiar algoritmii se transporta cu valiza diplomatica, dar uneori avem nevoie sa comunicam criptat cu instituții cu care nu avem contact fizic.
In general algoritmii clasici sunt considerați înca suficienți de puternici, dubiile în legatura cu ei sunt mai degraba de principiu decât bazate pe date concrete. E drept, nici nu stim cate calcule pe secunda poate face NSA, dar pană acum atacurile cunoscute au speculat mai degraba alte probleme, de exemplu calitatea generatoarelor de numere aleatoare, nu probleme in algoritmi.
Am inteles: o institutie strategica foloseste cate un algoritm diferit pentru fiecare utilizator :)
Norocul meu ca nu recenzati articolele din IEEE, altminteri sigur al meu era respins :(
Eu nu am zis ca asa se intampla, ci incercam sa explic ca in principiu ar fi posibil doar in anumite conditii. Vedeti mai jos unde am explicat ca algoritmii clasici ( 3DES, AES, la ei ma refer ) sunt considerati inca siguri.
Pe de alta parte, ca sa faci un algoritm nou trebuie sa ai matematicieni buni, si e si un tip de problema ciudata. De obicei matematicienii se pricep sa gaseasca rezolvarea unei probleme, aici se pune problema sa demonstrezi ca nu se poate gasi o rezolvare, ceea ce e mai dificil.
In ceea ce ma priveste, nu sunt chiar asa de bun la matematica incat sa scriu algoritmi de criptare. Sau mai degraba, probabil as putea scrie, dar ar fi usor de decriptat. :)
Pana acum cativa ani, de cate ori implementam un 3DES pe un router Allied-Telesyn trebuia sa obtin o licență de la producator, care mai intai verifica daca Romania e pe lista țarilor care favorizeaza terorismul. ( era considerata tehnologie restrictionata la export) Deci in principiu, ar trebui sa fie OK :)
Eu personal urmaresc discutiile despre criptare din perspectiva administratorului de sistem, ma intereseaza incidentele, suspiciunile pentru a fi pregatit in caz de probleme, dar departe de mine gandul de a aprofunda aparatul matematic, mi-ar mai trebui inca vreo cateva vieti. Daca aveti articole publicate pe aceasta tema, m-as bucura sa le impartasiti.
Articolul era despre lumea in care traim, nu despre algoritmi de criptare. Sunt destul de convins ca in ceea ce priveste cetatenii proprii, exista solutii mai simple decat spartul codurilor, vedeti finalul articolului.
Domnule Badici,
Raspunsul meu ii era adresat celui care semneaza euripide.
Sincer sa fiu, apreciez initiativa dumneavoastra si sper sa recidivati – spun asta mai ales din perspectiva unui teoretician care a examinat latura practica exclusiv din ratiuni comerciale.
In rest, criptografia are – ca orice domeniu cu iz oarecum exoteric – pacatul ca atrage opiniile celor care au asimilat ceva cunostinte din spatiul public (suficiente pentru a-si da cu presupusul) dar sunt incapabili sa sustina o discutie aprofundata pe aceasta tema.
Iar profesionistii sunt putini, si de regula evita (din motive lesne de inteles) sa se pronunte in spatiul public.
Spor la treaba!
Observatii:
Ele sunt născute din cu totul alta filozofie decât sistemele de operare pentru computere: obiectivele principale ale programatorilor sunt in primul rând legate de funcționarea corectă in orice condiții ( dacă un “blocaj de Windows” se rezolvă cu un restart, fără să ne batem prea mult capul cu cauzele, e ceva mai neplăcut să dai un restart la echipamentul care controlează, să zicem, reactorul de la Cernavodă)
Centrifugele de imbogatire a uraniului se folosec fac parte din procesul de producere a combustibilului nuclear. Mai precis pastilele de uraniu care se incarca in tije de zirconium sau „rods”. Tijele formeaza bateria de combustibil care coboara in miezul reactorului nuclear unde are loc reactia nucleara. Uzina de producere a combustibilului nuclear nu este o centrala nuclear-electrica. Sunt doua unitati distincte. StuxNet a avut ca tinta exclusiva centrifugele si nu reactoarele nucleare.
A existat și această discuție: deoarece Internetul a fost inventat in America, serverele “rădăcină” pentru domeniile initiale ( .com, .net, .gov , .edu , .org) sunt pe teritoriul acestei țări.
Primul domeniu „radacina” al internetului a fost .mil (military). Deci retelele de comunicatie din cadrul armatei. De altminteri, cam tot ce trece drept tehnologie moderna in domeniu comercial isi are originile in cercetarea derulata in cadrul zonei militare americane.
Aduceti informatii foarte interesante. Calculatorul este o unealta. Foarte folosita si foarte utila. A schimbat lumea si va schimba societatea umana. Impactul este mai mare decit l-a avut cartea. Chiar daca nu sinteti transant, supozitiile dv sint corecte. In urma destainuirilor lui Snowden numai in UK si-au desfiintat conturile pe Facebook o suta de mii de utilizatori.
StuxNet este un vierme care infecteaza programul Simatic Step 7. Asta este un softulet de Windows pe care il folosesti ca sa programezi automatele programabile S7 de la Siemens.
In Europa automatele Siemens sunt cele mai populare in industrie. Practic orice fabrica moderna este controlata de o retea de astfel de automate.
Asta inseamna ca StuxNet poate deveni o arma de sabotaj industrial la indemana oricui si cu efecte catastrofale asupra unei afaceri.
Cateva raspunsuri pe scurt:
@Huitzilopochtli : eu sunt fan linux dar problemele se pun la fel, indiferent de sistem, cand e vorba de un atat țintit, fiindcă sunt prea mulți factori pe care trebuie să ii luăm ca atare, ok, am acces la codul sursă dar nu am cum să îl verific.
@euripide: de obicei algoritmii sunt standard, doar cheile sunt secrete. Cand erați in scoala primară poate ati trimis mesaje „criptate” la care fiecarei litere îi adunați un „x” . Algoritmul ar fi c+x, iar cheia secreta, valoarea lui x. In principiu, dacă nu îl stiu pe x nu pot decripta mesajul. Ce e drept, în acest caz e un algoritm usor de spart, dar asta va poate da o idee. Ca să poti comunica printr-un protocol criptat trebuie ca ambele părți să aiba protocolul implementat, daca nu ar fi standard, ar trebui sa îi trimitem si algoritmul corespondentului :)
@lupul monarhist. Observatiile sunt corecte… dar: si centrala de la Cernavoda si SEN ( sistemul energetic national) folosesc echibamente SCADA, ca si centrifugele iraniene. Din cate știu, ale noastre nu sunt Siemens, dar asta nu schimba prea mult datele problemei.
In ceea ce priveste domeniul .mil, e nerelevant pentru cazul de față, rețeaua lor e separată ( dar din punct de vedere tehnic aveți dreptate). încerc să păstrez doar amanuntele relevante, subiectele sunt vaste. Oricum, Internetul e unul din lucrurile pentru care putem sa îi mulțumim armatei americane :)
@ smaranda. Multumesc. Nu sunt tranșant și nici nu vreau să fiu. Realitatea e complexă, conform celebrei butade: are o parte reala și una imaginară :) În definitiv, noi chiar platim spioni care asta trebuie să facă, să spioneze. Sunt prinși in buget…
In ceea ce priveste domeniul .mil, e nerelevant pentru cazul de față, rețeaua lor e separată ( dar din punct de vedere tehnic aveți dreptate). încerc să păstrez doar amanuntele relevante, subiectele sunt vaste.
Initial domeniul .mil a fost protejat, in prezent este public. Iata un exemplu: http://www.army.mil/article/111305/CID_cyber_tips__Protecting_your_online_identity/
http://tinyurl.com/p85rnt3
dar: si centrala de la Cernavoda si SEN ( sistemul energetic national) folosesc echibamente SCADA, ca si centrifugele iraniene. Din cate știu, ale noastre nu sunt Siemens, dar asta nu schimba prea mult datele problemei.
Dl. Badici – eu consider ca le schimba pentru ca StuxNet a fost proiectat pentru a ataca controloare SCADA de tip Siemens, mai precis PCS-7 (Process Control System 7). Computerul cu sistem de operare MS Windows, echipat cu software-ul de control al unitatilor PCS-7 se afla intr-o zona sigura (protejata) si NU este conectat la Internet. Infectia cu viermele Stuxnet se produce in doua faze: (1) computerele aflate in reteaua locala (cu acces la Internet) de la unitatea nucleara sunt expuse viermelui, care de obicei este transferat de pe un banal flash-drive sau orice alta unitate de date portabila (e.g. disc extern). Apoi, viermele este capabil sa se ascunda, devine dormant cu nota ca se poate „trezi” si actualiza atat timp cat computerul gazda infectat are acces la Internet. Cand un alt flash-drive este utilizat la computerul infectat, Stuxnet este capabil sa se autotransfere pe unitatea de date portabila. Sansa de a infecta si alte calculatoare creste. (2) un flash-drive infectat este conectat in cele din urma la computerul ce controleaza PCS-7, din zona protejata. Aici incepe „spectacolul”, Stuxnet preluand comanda si accelerand motoarele de la centrifugele de imbogatire a uraniului in timp ce trimite sistemului de monitorizare semnale de functionare normale. Este exact ce s-a intamplat la Natanz, cel mai important centru de imbogatire a uraniului din Iran. Aproximativ 20% din motoare au fost scoase din uz, prin accelerare peste limita acceptabila. Conform estimarilor, programul nuclear iranian a fost afectat, atacul cyber provocand o intarziere de 2 ani.
@lupul Monarhist: descrierea este corecta – în mare parte e descrisa asemenator in articolul din Wikipedia citat de mine. Nu schimba datele problemei în sensul ca un atac bine țintit poate avea succes și in alta parte, desigur cu alt virus scris special pentru acele echipamente. Virusul poate fi introdus tot prin intermediul computerelor tehnicienilor de întreținere ( adevarați sau falși) .
Ideea nu e că ne poate afecta din nou același virus, ci că in principiu suntem cam lipsiți de apărare atunci cand nu putem avea incredere in institutii in care ar trebui sa avem încredere.
Undeva trebuie trasată o limită între ce pot face si ce nu.
Daca viermele era desenat pentru un anumit echipament, fie acesta echipament era numai in Iran fie in restul lumii s-au dat update-uri impotriva lui iar in Iran nu. Eu cred ca povestea e un pic mai complicata… Oricum, e de acum 3-4 ani. Cate altele or mai fi fost si noi le vom afla abia peste 100 de ani? De departe, cei mai mari „virusi” sunt Windows, Yahoo, Google, Facebook etc.. Culmea e ca penru Windows ma dam si bani :).
Dl. Badici – informarea mea isi are sursele in media americana care a acoperit generos subiectul. Nu in situl wikipedia. Ce este interesant este faptul ca Stuxnet este un spin-off al unui program de aparare perfectat de Idaho Laboratories in cooperare cu Siemens. Programul si-a propus sa scoata in evidenta vulnerabilitatile sistemelor PCS-7 folosite larg in SUA, inlcusiv in domeniul energetic, pentru a preveni atacuri cyber.
Riscul de infectie poate fi redus considerabil prin protectia echipamentelor care controleaza PCS-7 (acces limitat al tehnicienilor de intretinere in zona protejata, folosirea limitata a unitatilor de date portabile). Dezvoltarea unui astfel de vierme este complexa, necesita testare extinsa si nu poate fi executata de oricine. Spre exemplu, in cazul Stuxnet se pare testarile au avut loc in Israel, la unitati de imbogatire a uraniului (presupuse, pentru ca programul nuclear israelian remane un mister).
@iosiP
Scuze atunci pentru confuzie. Nu cred ca e cazul sa il ironizati pe euripide, lucrurile astea la prima vedere sunt oarecum impotriva bunului simt comun.
Multumesc pentru apreciere, intelegerea mea cu Contributors vizeaza o colaborare pe terman mai lung, deci articole vor mai fi, deocamdata intentionez sa abordez si alte teme din IT mai putin „securistice”, dar bineinteles vom vedea si ce surprize ne mai ofera lumea in care traim.
01001011 01100101 01100101 01110000 00100000 01110100 01101000 01100101 00100000 01100111 01101111 01101111 01100100 00100000 01110111 01101111 01110010 01101011 00100000 01100100 01101111 01101110 01100101 00100001
@Autor
:) cine a indraznit sa ma ironizeze !? nu putem lasa doar profesionistii sa se pronunte. lumea i diversa :)
@Pisoi
domnule hai sa ti raspund daca tot mi te ai adresat.
vizionarii sint putini (chiar daca au fost unii care nu si au terminat studiile) si nu si publica articolele pe o platforma civica de opinii cum bine ai punctat. newton spunea ca i a fost usor sa enunte legea atractiei universale pentru ca se sprijinise pe umerii altor 10 predecesori. tehnologia si securitatea informatiilor este un domeniu vast in continua miscare si nu se bazeaza dor pe criptologia al carei profesionist esti.exista aplicatii comerciale mai vizibile si alele stiintifice mai putin vizibile.la orice produs comercial contribuie si marketeri, persoane de vinzari etc. computerele din nori nu sint o noutate. principiile de comunicare au o baza comuna. daca infrastructura si aplicatiile sint lasate in grija altora, desigur si riscurile sint mai mari. intre timp oamenii zboara in avioane cu pilot automat, fac cumparaturi online si corespondeaza in mediul virtual.
Kaspersky Lab organizeaza pe 26 Septembrie un webinar pe teme de cybersecurity: Register for Your Data Under Siege: Avoiding the Security/Efficiency Trade-Off
Cine doreste sa urmareasca expunerea se poate inregistra online la:
https://kasperskylab.webex.com/mw0306ld/mywebex/default.do?siteurl=kasperskylab
Date:
Thursday, September 26, 2013 >>
Time: 2:00 PM (ET)
Joi, 26 Septembrie 2013 la ora 21:00 ora Romaniei
Speakers:
Gary Mullen and Tom Fitzpatrick, IT Security Solution Experts at Kaspersky Lab