BEZPEČNOST: 7 bodů, které byste Vy a vaše IT měli znát o červu Stuxnet

Karel Wolf , 01. říjen 2010 07:14 5 komentářů
Rubriky: Security, Hardware
BEZPEČNOST: 7 bodů, které byste Vy a vaše IT měli znát o červu Stuxnet

V červenci oznámila jistá bezpečnostní společnost existenci nového červa.Trvalo však ještě skoro dva měsíce, než médiím i bezpečnostním expertům došlo, že se ve víceméně stojatých vodách síťové bezpečnosti děje něco mimořádného.

Stuxnet - zásah
Šíření Stuxnetu v síti.

Virus, nebo chcete li přesněji červ, zaujal nejprve tím, že by navržen tak, aby si na poměry škodlivého kódu svého druhu velmi přesně vybíral své cíle. To pro červy není vůbec typické, od dob prvního škodlivého červa, jehož autorem je Robert T. Morris je zvykem naopak útočit na co možná největší množství počítačů najednou.

Na Stuxnetu je toho ale zajímavého mnohem více. V médiích bývá nejčastěji vypichována složitost jeho kódu a schopnost útočit na konkrétní fyzická IT zařízení. Mnohem zajímavější je ale již fakt, že "virus" nevyužívá nahlášených bezpečnostních mezer, jak je tomu zvykem u červů, jejichž výrobou se baví někteří bezpečnostní experti po nahlášení zranitelnosti na bezpečnostních fórech, ale hned čtyř tzv. zero-day zranitelností.

To je malá senzace, objevit bezpečnostní chybu, na kterou nikdo nepřišel je snem snad každého bezpečnostního experta na této planetě. Použít ve svém programu čtyř takovýchto zranitelností svědčí o naprosté genialitě autora, nebo, což je mnohem pravděpodobnější - o spolupráci velmi dobře informovaného bezpečnostního týmu.

Informací druhého řádu, která z tohoto poznatku vyplývá, je prostý fakt, že někomu muselo opravdu záležet na tom, aby "virus" během svého poslání neselhal (čtyři pojistky). Senzací je zde ale více, útočník proti všem zvyklostem nevyužil k šíření "viru" Internet. Dokonce je do světa vysílán ve velmi malých dávkách, obojí zřejmě z důvodu dodržování pravidel konspirace - riziko rychlejšího odhalení a oproti všem zvyklostem nevyužívá červa k budování botnetu, nýbrž se z nějakého důvodu orientuje na určité typy SCADA (supervisory control and data acquisition.) systémů, čímž pole svého působení omezuje na takříkajíc chirurgicky přesně vymezený prostor.

Poslední zajímavostí je samozřejmě samotný kód, který je stále ještě analyzován, ale přesto se kolem něj objevuje velké množství senzačních spekulací. Pro nás je nejzajímavější jeho unikátnost - většina červů, se nimiž se můžeme běžně setkat jsou modifikace několika desítek kdysi úspěšných virů, které si někdo modifikoval pro své vlastní účely. O tom z pochopitelných důvodů nemůže být v daném případě vůbec řeč.

Stuxnet - epicentra
Epicentra rozšíření

Nyní již ale k jednotlivým bodům

1. Jaké jsou či byly cíle útoku

Bezpečnostní výzkumníci vystopovali činnost Stuxnetu řadu měsíců nazpátek ode dne jeho osudového odhalení. Virus si mohl nerušeně pracovat prakticky celý rok, konkrétně od července 2009.

Jeho cílem byly převážně složité kontrolní systémy (SCADA) v průmyslových elektrárnách. Jako 100% potvrzený případ možného úspěšného napadaní se nejčastěji uvádí systém Siemens WINCC.

Historická data pěkně ukazují epicentra působnosti viru. Ze 120 napadených zemí je nejvíce postižen Írán (59 %), Indonésie (18,22 %), Indie (8,31).

2. Digitální certifikáty jako vstupenka

Zajímavá je taktika, kterou Stuxnet využívá ke svému maskování v systému.
Pracuje totiž s ukradeným certifikátem čipů Realtek a JMicron, ty mu pomáhají tvářit se jako legitimní součást systému.

3. Spolupráce zero-day zranitelností

Stuxnet využívá tří úplných a jedné částečné zero-day zranitelnosti (již dříve zveřejněná chyba, kterou Microsoft neopravil), přičemž síla zranitelností je v inteligentním kombinování mezi nimi. Dvě z nich pracují se zranitelnosti přidělování uživatelských práv. Později se objevila dokonce modifikovaná verze viru, která využívá služeb staršího červa Conficker.

Stuxnet - zásah
Nejvíce napadené oblasti v číslech

4. zranitelnost .LNK

Možnost do Windows úspěšně zavést soubory přes .LNK byla vůbec první zero-day zranitelnost ve Stuxnetu.

5. Stuxnet ze vnitř

Asi největší zajímavostí na Stuxnetu je jeho struktura. Virus tvoří balíčky kódu, který je schopný pracovat jako samostatná jednotka, jenž vykonává přesně stanoven úkoly, ale celkově se program chová jako dobře secvičený vojenský tým. Jeden modul tak komunikuje s příkazovým a kontrolním serverem, jiný zpřístupňuje soubory v systému vytvořené v předchozím kroku, další instaluje kernel-level rootkit atd. Další "subčervy" kontrolují běh antivirového programu a zametají stopy.

6. Není tak docela pravda, že by se virus nešířil po Internetu

Ač se jako jedna z hlavních senzací uvádí rozšíření červu přes USB klíčeny, není to tak docela pravda. Zde byl pouze prvotní moment vstupu viru do světa. Později se začal stejně tak úspěšně šířit po privátních sítích lámáním slabých hesel a přes Internet dále. Co se využívání Internetu týče, je virus schopen dokonce provádět své pravidelné aktualizace pomocí peer-to-peer komunikace.

7. Obrana

Microsoft k dnešnímu dni uvolnil patche několika zranitelností, které jsou s červem spojovány. Siemens zareagoval na výskyt červa ve svých systémech volnou distribucí "jednorázové" odčervovací aplikace, kterou vyvinula společnost Trend Micro. Boj však ještě není dobojován ani zdaleka, na druhé straně, pokud zrovna nevlastníte jadernou elektrárnu na Blízkém východě, můžete zůstat relativně bez obav.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 02. říjen 2010 12:11

Děkuji, velice přínosný článek, jen tak dál.

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 03. říjen 2010 14:41

mozna by nebylo od veci aspon zminit, ze zatim vsechny indicie vedou k izraeli jako strujci viru.

Náhodný kolemjdoucí #3
Náhodný kolemjdoucí 01. říjen 2010 18:39

Tak im treba. Windows monokultura takymto epidemiam iba napomaha.

Náhodný kolemjdoucí #4
Náhodný kolemjdoucí 10. leden 2011 10:16

By mne zajímalo co máte proti Windows? Jste snad tvůrcem lepšího systému? Nebo snad na Vás nevyšly akcie Microsoftu a tudíž nevyděláváte jako my ostatní? Než začnete specifikovat nějaké monokultury, tak si uvědomte, že tato "monokultura" umožnila svobodnou distribuci dokumentů (jeden formát, jeden systém).
Dokud měl každý svůj textový editor (jeden ami pro, druhý t602, třetí cokoliv) výměna dokumentů byla jen snem. MS toto vyřešil. Dále vzdálená podpora a "it vzdělanost širších vrstev populace" ... Zeptejte se lidí, jak se instaluje v SUSE Linux Google Chrome na generickém pc. Neuspějete u více než 2% lidí vybraných z náhodného vzorku. Zkuste totéž u uživatelů Windows a zjistíte, že tuto znalost bude mít 30% a více lidí. Tedy "monokultura" umožňuje zvýšit užívání výpočetní techniky mezi lidmi, umožňuje více lidem používat výpočetní techniku lépe a co je nejlepší, více lidí je možno s vícero lidmi komunikovat. HOWGH.
(kdyby byl Linux taková skvělá náhrada, tak by jej asi používalo více lidí, ne c'est pas?

Mi.Chal. #5
Mi.Chal. 02. duben 2011 23:38

Bych ten Microsoft zas tak moc nevyzdihoval - jeho vicemene monopol prinesl jak pozitiva, tak i negativa.

A pise se "n'est-ce pas"


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů