BEZPEČNOST: 7 bodů, které byste Vy a vaše IT měli znát o červu Stuxnet

Karel Wolf , 01. říjen 2010 07:14 5 komentářů
Rubriky: Security, Hardware
BEZPEČNOST: 7 bodů, které byste Vy a vaše IT měli znát o červu Stuxnet

V červenci oznámila jistá bezpečnostní společnost existenci nového červa.Trvalo však ještě skoro dva měsíce, než médiím i bezpečnostním expertům došlo, že se ve víceméně stojatých vodách síťové bezpečnosti děje něco mimořádného.

Stuxnet - zásah
Šíření Stuxnetu v síti.

Virus, nebo chcete li přesněji červ, zaujal nejprve tím, že by navržen tak, aby si na poměry škodlivého kódu svého druhu velmi přesně vybíral své cíle. To pro červy není vůbec typické, od dob prvního škodlivého červa, jehož autorem je Robert T. Morris je zvykem naopak útočit na co možná největší množství počítačů najednou.

Na Stuxnetu je toho ale zajímavého mnohem více. V médiích bývá nejčastěji vypichována složitost jeho kódu a schopnost útočit na konkrétní fyzická IT zařízení. Mnohem zajímavější je ale již fakt, že "virus" nevyužívá nahlášených bezpečnostních mezer, jak je tomu zvykem u červů, jejichž výrobou se baví někteří bezpečnostní experti po nahlášení zranitelnosti na bezpečnostních fórech, ale hned čtyř tzv. zero-day zranitelností.

To je malá senzace, objevit bezpečnostní chybu, na kterou nikdo nepřišel je snem snad každého bezpečnostního experta na této planetě. Použít ve svém programu čtyř takovýchto zranitelností svědčí o naprosté genialitě autora, nebo, což je mnohem pravděpodobnější - o spolupráci velmi dobře informovaného bezpečnostního týmu.

Informací druhého řádu, která z tohoto poznatku vyplývá, je prostý fakt, že někomu muselo opravdu záležet na tom, aby "virus" během svého poslání neselhal (čtyři pojistky). Senzací je zde ale více, útočník proti všem zvyklostem nevyužil k šíření "viru" Internet. Dokonce je do světa vysílán ve velmi malých dávkách, obojí zřejmě z důvodu dodržování pravidel konspirace - riziko rychlejšího odhalení a oproti všem zvyklostem nevyužívá červa k budování botnetu, nýbrž se z nějakého důvodu orientuje na určité typy SCADA (supervisory control and data acquisition.) systémů, čímž pole svého působení omezuje na takříkajíc chirurgicky přesně vymezený prostor.

Poslední zajímavostí je samozřejmě samotný kód, který je stále ještě analyzován, ale přesto se kolem něj objevuje velké množství senzačních spekulací. Pro nás je nejzajímavější jeho unikátnost - většina červů, se nimiž se můžeme běžně setkat jsou modifikace několika desítek kdysi úspěšných virů, které si někdo modifikoval pro své vlastní účely. O tom z pochopitelných důvodů nemůže být v daném případě vůbec řeč.

Stuxnet - epicentra
Epicentra rozšíření

Nyní již ale k jednotlivým bodům

1. Jaké jsou či byly cíle útoku

Bezpečnostní výzkumníci vystopovali činnost Stuxnetu řadu měsíců nazpátek ode dne jeho osudového odhalení. Virus si mohl nerušeně pracovat prakticky celý rok, konkrétně od července 2009.

Jeho cílem byly převážně složité kontrolní systémy (SCADA) v průmyslových elektrárnách. Jako 100% potvrzený případ možného úspěšného napadaní se nejčastěji uvádí systém Siemens WINCC.

Historická data pěkně ukazují epicentra působnosti viru. Ze 120 napadených zemí je nejvíce postižen Írán (59 %), Indonésie (18,22 %), Indie (8,31).

2. Digitální certifikáty jako vstupenka

Zajímavá je taktika, kterou Stuxnet využívá ke svému maskování v systému.
Pracuje totiž s ukradeným certifikátem čipů Realtek a JMicron, ty mu pomáhají tvářit se jako legitimní součást systému.

3. Spolupráce zero-day zranitelností

Stuxnet využívá tří úplných a jedné částečné zero-day zranitelnosti (již dříve zveřejněná chyba, kterou Microsoft neopravil), přičemž síla zranitelností je v inteligentním kombinování mezi nimi. Dvě z nich pracují se zranitelnosti přidělování uživatelských práv. Později se objevila dokonce modifikovaná verze viru, která využívá služeb staršího červa Conficker.

Stuxnet - zásah
Nejvíce napadené oblasti v číslech

4. zranitelnost .LNK

Možnost do Windows úspěšně zavést soubory přes .LNK byla vůbec první zero-day zranitelnost ve Stuxnetu.

5. Stuxnet ze vnitř

Asi největší zajímavostí na Stuxnetu je jeho struktura. Virus tvoří balíčky kódu, který je schopný pracovat jako samostatná jednotka, jenž vykonává přesně stanoven úkoly, ale celkově se program chová jako dobře secvičený vojenský tým. Jeden modul tak komunikuje s příkazovým a kontrolním serverem, jiný zpřístupňuje soubory v systému vytvořené v předchozím kroku, další instaluje kernel-level rootkit atd. Další "subčervy" kontrolují běh antivirového programu a zametají stopy.

6. Není tak docela pravda, že by se virus nešířil po Internetu

Ač se jako jedna z hlavních senzací uvádí rozšíření červu přes USB klíčeny, není to tak docela pravda. Zde byl pouze prvotní moment vstupu viru do světa. Později se začal stejně tak úspěšně šířit po privátních sítích lámáním slabých hesel a přes Internet dále. Co se využívání Internetu týče, je virus schopen dokonce provádět své pravidelné aktualizace pomocí peer-to-peer komunikace.

7. Obrana

Microsoft k dnešnímu dni uvolnil patche několika zranitelností, které jsou s červem spojovány. Siemens zareagoval na výskyt červa ve svých systémech volnou distribucí "jednorázové" odčervovací aplikace, kterou vyvinula společnost Trend Micro. Boj však ještě není dobojován ani zdaleka, na druhé straně, pokud zrovna nevlastníte jadernou elektrárnu na Blízkém východě, můžete zůstat relativně bez obav.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 02. říjen 2010 12:11

Děkuji, velice přínosný článek, jen tak dál.

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 03. říjen 2010 14:41

mozna by nebylo od veci aspon zminit, ze zatim vsechny indicie vedou k izraeli jako strujci viru.

Náhodný kolemjdoucí #3
Náhodný kolemjdoucí 01. říjen 2010 18:39

Tak im treba. Windows monokultura takymto epidemiam iba napomaha.

Náhodný kolemjdoucí #4
Náhodný kolemjdoucí 10. leden 2011 10:16

By mne zajímalo co máte proti Windows? Jste snad tvůrcem lepšího systému? Nebo snad na Vás nevyšly akcie Microsoftu a tudíž nevyděláváte jako my ostatní? Než začnete specifikovat nějaké monokultury, tak si uvědomte, že tato "monokultura" umožnila svobodnou distribuci dokumentů (jeden formát, jeden systém).
Dokud měl každý svůj textový editor (jeden ami pro, druhý t602, třetí cokoliv) výměna dokumentů byla jen snem. MS toto vyřešil. Dále vzdálená podpora a "it vzdělanost širších vrstev populace" ... Zeptejte se lidí, jak se instaluje v SUSE Linux Google Chrome na generickém pc. Neuspějete u více než 2% lidí vybraných z náhodného vzorku. Zkuste totéž u uživatelů Windows a zjistíte, že tuto znalost bude mít 30% a více lidí. Tedy "monokultura" umožňuje zvýšit užívání výpočetní techniky mezi lidmi, umožňuje více lidem používat výpočetní techniku lépe a co je nejlepší, více lidí je možno s vícero lidmi komunikovat. HOWGH.
(kdyby byl Linux taková skvělá náhrada, tak by jej asi používalo více lidí, ne c'est pas?

Mi.Chal. #5
Mi.Chal. 02. duben 2011 23:38

Bych ten Microsoft zas tak moc nevyzdihoval - jeho vicemene monopol prinesl jak pozitiva, tak i negativa.

A pise se "n'est-ce pas"


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Policie odložila prověřování IT na ministerstvu zemědělství

ČTK , 24. leden 2017 17:00

Policisté přestali zkoumat okolnosti, za jakých ministerstvo zemědělství nakupovalo v letech 2005 až...

Více 0 komentářů

Výrobce obrazovek LG Display vykázal ve čtvrtletí rekordní zisk

ČTK , 24. leden 2017 13:00

Jihokorejskému výrobci obrazovek LG Display vzrostl ve čtvrtém čtvrtletí provozní zisk na rekordních...

Více 0 komentářů

Čtvrtletní zisk Samsungu se díky čipům více než zdvojnásobil

ČTK , 24. leden 2017 11:00

Zisk jihokorejského výrobce elektroniky Samsung Electronics se ve čtvrtém čtvrtletí více než zdvojná...

Více 0 komentářů

Starší zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů