BEZPEČNOST: 7 bodů, které byste Vy a vaše IT měli znát o červu Stuxnet

Karel Wolf , 01. říjen 2010 07:14 5 komentářů
Rubriky: Security, Hardware
BEZPEČNOST: 7 bodů, které byste Vy a vaše IT měli znát o červu Stuxnet

V červenci oznámila jistá bezpečnostní společnost existenci nového červa.Trvalo však ještě skoro dva měsíce, než médiím i bezpečnostním expertům došlo, že se ve víceméně stojatých vodách síťové bezpečnosti děje něco mimořádného.

Stuxnet - zásah
Šíření Stuxnetu v síti.

Virus, nebo chcete li přesněji červ, zaujal nejprve tím, že by navržen tak, aby si na poměry škodlivého kódu svého druhu velmi přesně vybíral své cíle. To pro červy není vůbec typické, od dob prvního škodlivého červa, jehož autorem je Robert T. Morris je zvykem naopak útočit na co možná největší množství počítačů najednou.

Na Stuxnetu je toho ale zajímavého mnohem více. V médiích bývá nejčastěji vypichována složitost jeho kódu a schopnost útočit na konkrétní fyzická IT zařízení. Mnohem zajímavější je ale již fakt, že "virus" nevyužívá nahlášených bezpečnostních mezer, jak je tomu zvykem u červů, jejichž výrobou se baví někteří bezpečnostní experti po nahlášení zranitelnosti na bezpečnostních fórech, ale hned čtyř tzv. zero-day zranitelností.

To je malá senzace, objevit bezpečnostní chybu, na kterou nikdo nepřišel je snem snad každého bezpečnostního experta na této planetě. Použít ve svém programu čtyř takovýchto zranitelností svědčí o naprosté genialitě autora, nebo, což je mnohem pravděpodobnější - o spolupráci velmi dobře informovaného bezpečnostního týmu.

Informací druhého řádu, která z tohoto poznatku vyplývá, je prostý fakt, že někomu muselo opravdu záležet na tom, aby "virus" během svého poslání neselhal (čtyři pojistky). Senzací je zde ale více, útočník proti všem zvyklostem nevyužil k šíření "viru" Internet. Dokonce je do světa vysílán ve velmi malých dávkách, obojí zřejmě z důvodu dodržování pravidel konspirace - riziko rychlejšího odhalení a oproti všem zvyklostem nevyužívá červa k budování botnetu, nýbrž se z nějakého důvodu orientuje na určité typy SCADA (supervisory control and data acquisition.) systémů, čímž pole svého působení omezuje na takříkajíc chirurgicky přesně vymezený prostor.

Poslední zajímavostí je samozřejmě samotný kód, který je stále ještě analyzován, ale přesto se kolem něj objevuje velké množství senzačních spekulací. Pro nás je nejzajímavější jeho unikátnost - většina červů, se nimiž se můžeme běžně setkat jsou modifikace několika desítek kdysi úspěšných virů, které si někdo modifikoval pro své vlastní účely. O tom z pochopitelných důvodů nemůže být v daném případě vůbec řeč.

Stuxnet - epicentra
Epicentra rozšíření

Nyní již ale k jednotlivým bodům

1. Jaké jsou či byly cíle útoku

Bezpečnostní výzkumníci vystopovali činnost Stuxnetu řadu měsíců nazpátek ode dne jeho osudového odhalení. Virus si mohl nerušeně pracovat prakticky celý rok, konkrétně od července 2009.

Jeho cílem byly převážně složité kontrolní systémy (SCADA) v průmyslových elektrárnách. Jako 100% potvrzený případ možného úspěšného napadaní se nejčastěji uvádí systém Siemens WINCC.

Historická data pěkně ukazují epicentra působnosti viru. Ze 120 napadených zemí je nejvíce postižen Írán (59 %), Indonésie (18,22 %), Indie (8,31).

2. Digitální certifikáty jako vstupenka

Zajímavá je taktika, kterou Stuxnet využívá ke svému maskování v systému.
Pracuje totiž s ukradeným certifikátem čipů Realtek a JMicron, ty mu pomáhají tvářit se jako legitimní součást systému.

3. Spolupráce zero-day zranitelností

Stuxnet využívá tří úplných a jedné částečné zero-day zranitelnosti (již dříve zveřejněná chyba, kterou Microsoft neopravil), přičemž síla zranitelností je v inteligentním kombinování mezi nimi. Dvě z nich pracují se zranitelnosti přidělování uživatelských práv. Později se objevila dokonce modifikovaná verze viru, která využívá služeb staršího červa Conficker.

Stuxnet - zásah
Nejvíce napadené oblasti v číslech

4. zranitelnost .LNK

Možnost do Windows úspěšně zavést soubory přes .LNK byla vůbec první zero-day zranitelnost ve Stuxnetu.

5. Stuxnet ze vnitř

Asi největší zajímavostí na Stuxnetu je jeho struktura. Virus tvoří balíčky kódu, který je schopný pracovat jako samostatná jednotka, jenž vykonává přesně stanoven úkoly, ale celkově se program chová jako dobře secvičený vojenský tým. Jeden modul tak komunikuje s příkazovým a kontrolním serverem, jiný zpřístupňuje soubory v systému vytvořené v předchozím kroku, další instaluje kernel-level rootkit atd. Další "subčervy" kontrolují běh antivirového programu a zametají stopy.

6. Není tak docela pravda, že by se virus nešířil po Internetu

Ač se jako jedna z hlavních senzací uvádí rozšíření červu přes USB klíčeny, není to tak docela pravda. Zde byl pouze prvotní moment vstupu viru do světa. Později se začal stejně tak úspěšně šířit po privátních sítích lámáním slabých hesel a přes Internet dále. Co se využívání Internetu týče, je virus schopen dokonce provádět své pravidelné aktualizace pomocí peer-to-peer komunikace.

7. Obrana

Microsoft k dnešnímu dni uvolnil patche několika zranitelností, které jsou s červem spojovány. Siemens zareagoval na výskyt červa ve svých systémech volnou distribucí "jednorázové" odčervovací aplikace, kterou vyvinula společnost Trend Micro. Boj však ještě není dobojován ani zdaleka, na druhé straně, pokud zrovna nevlastníte jadernou elektrárnu na Blízkém východě, můžete zůstat relativně bez obav.


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 02. říjen 2010 12:11

Děkuji, velice přínosný článek, jen tak dál.

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 03. říjen 2010 14:41

mozna by nebylo od veci aspon zminit, ze zatim vsechny indicie vedou k izraeli jako strujci viru.

Náhodný kolemjdoucí #3
Náhodný kolemjdoucí 01. říjen 2010 18:39

Tak im treba. Windows monokultura takymto epidemiam iba napomaha.

Náhodný kolemjdoucí #4
Náhodný kolemjdoucí 10. leden 2011 10:16

By mne zajímalo co máte proti Windows? Jste snad tvůrcem lepšího systému? Nebo snad na Vás nevyšly akcie Microsoftu a tudíž nevyděláváte jako my ostatní? Než začnete specifikovat nějaké monokultury, tak si uvědomte, že tato "monokultura" umožnila svobodnou distribuci dokumentů (jeden formát, jeden systém).
Dokud měl každý svůj textový editor (jeden ami pro, druhý t602, třetí cokoliv) výměna dokumentů byla jen snem. MS toto vyřešil. Dále vzdálená podpora a "it vzdělanost širších vrstev populace" ... Zeptejte se lidí, jak se instaluje v SUSE Linux Google Chrome na generickém pc. Neuspějete u více než 2% lidí vybraných z náhodného vzorku. Zkuste totéž u uživatelů Windows a zjistíte, že tuto znalost bude mít 30% a více lidí. Tedy "monokultura" umožňuje zvýšit užívání výpočetní techniky mezi lidmi, umožňuje více lidem používat výpočetní techniku lépe a co je nejlepší, více lidí je možno s vícero lidmi komunikovat. HOWGH.
(kdyby byl Linux taková skvělá náhrada, tak by jej asi používalo více lidí, ne c'est pas?

Mi.Chal. #5
Mi.Chal. 02. duben 2011 23:38

Bych ten Microsoft zas tak moc nevyzdihoval - jeho vicemene monopol prinesl jak pozitiva, tak i negativa.

A pise se "n'est-ce pas"

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Spíše než nové zákony k Airbnb je třeba zlepšit výběr daní

ČTK , 21. září 2017 13:00

Airbnb se svými službami v Praze už vyrovnala objemu obchodu klasických ubytovacích zařízení....

Více 0 komentářů

Potvrzeno: Google opravdu kupuje HTC

ČTK , 21. září 2017 11:25

Dnes je HTC v žebříčku světových prodejů smartphonů na necelém procentu. Někteří analytici proto pří...

Více 0 komentářů

Oracle představil novou cenovou politiku pro cloud

Pavel Houser , 21. září 2017 09:52

Až dosud se při přechodu na cloud PaaS nedaly využít dosavadní investice do licencí softwaru v režim...

Více 0 komentářů

Starší zprávičky

Toshiba chce prodat čipovou divizi fondu Bain

ČTK , 21. září 2017 09:00

Ještě v úterý se zdálo, že favoritem je konsorcium vedené společností Western Digital....

Více 0 komentářů

Amazon chystá chytré brýle, první vlastní nositelnou elektroniku

ČTK , 21. září 2017 08:00

Společnost chystá i rozšíření svého systému SmartHome......

Více 0 komentářů

Google prý chce koupit HTC

ČTK , 20. září 2017 19:18

Společnost dnes tchajwanské burze cenných papírů oznámila, že pozastavuje obchody svými akciemi....

Více 0 komentářů

Američtí operátoři T-Mobile US a Sprint jednají o fúzi

ČTK , 20. září 2017 11:00

Tržní hodnota T-Mobile US se pohybuje kolem 51 miliard dolarů hodnota Sprintu dosahuje zhruba 30 mil...

Více 0 komentářů