Januar 2011 - Einträge

StuxNet… Der neue Wurm

Ich komme soeben von einem Vortrag zu dem Wurm StuxNet, auf dem einige interessante Details genannt wurden. Wer das Thema aufmerksam in den Medien verfolgt hat, wird hier wahrscheinlich nichts neues lesen können, aber ich wollt sowieso endlich mal wieder ein wenig bloggen. Also ist das das ideale Thema.

Stuxnet ist ein Computerwurm, der vor ca. einem Jahr bekannt wurde. Es handelt sich hierbei nicht um einen normalen Wurm, sondern um einen, der ausschließlich Siemens Steueranlagen (z.B. für Atomkraftwerke) infiziert. Und auch nicht alle, nein. nur ganz bestimmte. Nämlich eine im Iran. Aber nun zu den Details.

Hier eine kurze Zusammenfassung. Für mehr Interesse unten eine erweiterte Zusammenfassung.

Kurzzusammenfassung:

Stuxnet ist ein Computerwurm, der mit sehr sehr viel Aufwand entwickelt wurde und interessanter Weise nicht normale Computer angreift, sondern exakt nur eine ganz bestimmte Anlagensteuerung von Siemens. Die Siemens Simatik 7. Aber auch nicht alle, sondern nur die eine, wo ganz bestimmte Seriennummern vorlagen. Diese Anlage steht zufällig im Iran.

Eckdaten (Teilweise Vermutungen)

  • Entwicklungsbeginn 2002 in Israel
  • Entwicklungsende ca. 2007
  • Schadcode greift nur S7 von Siemens an
  • 7 unterschiedliche Verbreitungsmöglichkeiten, um sicherzustellen, dass auch wirklich mindestens eine greift
  • Die Fernsteuerung von Stuxnet wurde deaktiviert
  • Der Entwicklungsaufwand wird auf viele Millionen $ geschätzt
  • Allein eine solche Testumgebung aufzubauen und zu betreiben liegt zwischen 0,5 und 1 Million $
  • Verteilte Management-Infrastrukturen in Dänemark und in Malaysia (Dort standen wohl einige Verbreitungs- und Update-Server)
  • Infektionsrate im Iran, ca. 60%, in USA 0,3 %, in Deutschland noch weniger
  • Großes Gefahrenpotential für die Zukunft, schätzten Diskussionsbeteiligte

Erweiterte Zusammenfassung

Neuartigkeit an diesem Computerwurm:

  • Der Schadcode infiziert ausschließlich eine Siemens Simatik 7 Prozessanlagensteuerung
  • Anhand von technischen Vorgehensweisen und auch einigen öffentlichen Aussagen lässt sich vermuten, dass Stuxnet 2002 in Israel begonnen wurde.
  • Nicht generell alle diese Prozessanlagen werden infiziert.
  • Stuxnet prüft Seriennummern der beteiligten Komponenten
  • 7 Verbreitungsmechanismen
    • USB (Stick einstecken, schon war der Rechner infiziert) (Zero Day Exploit MS10-046)
    • Fileserver (Dateien von einem Fileserver im Explorer anzeigen, schon war der Rechner infiziert)
    • Printserver (Auf einem Printserver drucken, schon war der Rechner infiziert) (Zero Day Exploit MS10-061)
    • Windows RPC
    • Siemens Projektdateien
    • WinCC-Datenbank für S7-Steuerung (Datenbank, in der Simatik 7 Daten speichert. Auf Daten zugreifen und schon war der Rechner infiziert, sofern DB-Server infiziert war)
    • Eigenes Peer-to-Peer-Netzwerk. (Der Virus hat untereinander mit einem eigenen Protokoll kommuniziert, wie weit Infizierung vorangeschritten ist und wo noch Rechner sein könnten und welche Rechte er bisher erreichen konnte)
  • Stuxnet verfügt über Fernsteuerung. Diese wurde abgeschaltet. Entweder vor der Verbreitung, weil man wusste, dass Atomanlagen eh nicht online erreichbar sind, oder im Zuge der Entdeckung von Stuxnet
  • Nach der Infizierung des Kraftwerkes macht Stuxnet erstmal gar nichts und lernt mehrere Wochen lang die Abläufe im Kraftwerk kennen. Nach einer bestimmten Zeit fängt der Wurm an, langsam die Kontrolle zu übernehmen und dem Benutzer das erwartete Verhalten vorzugaukeln, so wie es sich stuxnet Wochen vorher angelernt hat

Aufwand

  • Es wurden insgesamt 2 Softwarezertifikate von Realtek gestohlen (so kann sich der Wurm unbemerkt als Treiber installieren, weil Windows denkt, das is ne gültige Netzwerkkarte)
  • Es musste eine Simatik 7 Testanlage aufgebaut werden, um den Wurm zu testen.
  • Die Parameter der Zielkonfiguration mussten ermittelt werden (Seriennummern der Bauteile im Iran, Arbeitsfrequenzen und Arbeitsweisen) (Hoher Spionageaufwand)
  • Abschluss der Entwicklungen vermutlich 2007
  • Verteilte Management Infrastrukturen in Dänemark und Malaysia (Server)
  • Es wurden insgesamt 4 Zero DayExploits (z.B. MS10-046 und MS10-061) benutzt. Jeder dieser Sicherheitslücken kostet auf dem Schwarzmarkt ca. 250.000 $
  • Infizierungen gab es weltweit. Das Virus wollte so viele PCs wie möglich infizieren (aber ohne Auswirkungen auf PCs), um so möglichst viele Wege in das Zielkraftwerk zu haben. Höchste Infizierungsrate im Iran (mit 60% aller Rechner)

Gefahren

  • Im Code waren wohl 984 Programmierbare Speichereinheiten hinterlegt, die ausfallen sollten, und zufällig sind im Iran 984 Programmierbare Speichereinheiten in einem Kraftwerk ausgefallen
  • Stuxnet greift an, wenn bestimmte Frequenzumrichter mindestens 800 Hz hatten (Ermittlung der Zielkonfiguration im Iran)
  • Eine Gefahr geht wohl von „Social Engineering“ aus. Das bedeutet, durch symphatisches, selbstbewusstes auftreten mit einigen sowieso öffentlich zugänglichen Vorinformationen, von anderen Mitarbeitern in sensible Bereiche eingelassen werden und dort selbstständig handeln zu können.
  • Einige Diskussionsteilnehmer sagten, einfach eines dieser Kraftwerke ausschalten, hätten die Entwickler auch sehr viel günstiger haben können, in dem sie ein paar Bomben auf das Kraftwerk geworfen hätten. Der Hohe Aufwand wurde aber betrieben, um eigentlich keine Aufmerksamkeit zu erregen.
  • Erstes Auftreten von Stuxnet im Jahre 2008 (Virenscannerhersteller bemerkten unerlaubte Zugriffe auf bestimmte Windows-Sicherheitslücken)
  • Erste klare Strukturen vom Ausmaß von Stuxnet wurden 2009 erkannt. In den Medien tauchte Stuxnet 2010 auf.

Ergebnisse der Diskussion nach dem Vortrag (Wie schützt man sich davor)

  • Dinge wie Datenschleusen einbaun
  • Integritätsprüfungen
  • Einige Teilnehmer haben keine Angst und glauben nicht, dass irgendwelche Hacker-Kiddies mal eben Stuxnet nachbaun
  • Andere Teilnehmer glauben, dass sich nun jeder Hobbyhacker auf Stuxnet stürzt, das studiert und dann jeder ein eigenes Stuxnet schreibt und bald kein einziges Kraftwerk mehr auf der Welt funktioniert
  • Mitarbeiter stark gegen social Engineering sensibilisieren
  • Am besten gar nicht erst ein Kraftwerk betreiben
  • Es wird vermutet, dass Firmen wie Microsoft und Siemens mitgeholfen haben, dies wurde aber versucht zu zerstreuen, da z.B. Informationen, wie man eine Programmierbare Speichereinheit der S7 ansteuert, größtenteils von Siemens online zur Verfügung gestellt wird
  • Weiterhin is der Iran sowieso bekloppt, weil er Hightech vom Klassenfeind kauft.
  • Die Anlage sollte auf Windows-Rechnern laufen. Früher waren das extra proprietäre Betriebssysteme, die extra für solche Anlagensteuerungen entwickelt wurden. Diese waren weniger angreifbar
  • Der Iran sagt, alles kein Problem. Angriffe vom verzweifelten Feind konnten leicht und ohne Probleme abgewehrt werden. Das Stuxnet selbst teilweise vorgaukelt, „besiegt“ bzw. entfernt zu sein, interessierte die Iraner aber nich.

Ein sehr spannender Vortrag mit noch spannender Diskussionsrunde.

Fazit:

Ja, natürlich sollte ein Fazit nicht fehlen. Ich persönlich denke, dass hiermit erstmals eine Grenze überschritten wurde. Eine neue Art der Kriegsführung. Stuxnet hat nun dafür gesorgt, dass einige Zentrifugen ausgefallen sind oder andere Systeme nicht mehr oder nicht richtig funktionierten. Allerdings hätten die Entwickler stuxnet auch so entwickeln können, dass das Atomkraftwerk in die Luft fliegt und wir hätten ein zweites Tschernobyl mit unbeschreiblichen weltweiten Folgen. Bei der Diskussion wurde auch ein Beispiel aus der Fertigung angebracht. Wir können heutzutage im µ-Meterbereich fertigen. Wenn wir da auch nur unbemerkt winzige Abweichungen aufgrund eines Computerwurms hätten, so hätten wir am Anfang der Prozesskette große Qualitätsverluste, die sich später auf alle Bereiche wie Automobile, Küchengeräte oder Computerindustrie auswirken könnten. Die Fehlerfindung, ob wir einen Computerwurm haben, der sich gut verstecken kann, oder ob ein Mitarbeiter einfach zur falschen Zeit das Fenster aufgemacht hat und der Luftstoß die Abweichungen verursacht hat, könnten wieder viele Millionen $ bzw. € kosten, die man auch viel lieber in sinnvollere Bereiche investieren könnte. 

Aktuell bezweifle ich, dass Länder wie Iran oder andere Staaten, die teilweise noch im Mittelalter leben, Viren oder Würmer solcher Art entwickeln können. Die arbeiten mit viel primitiveren Waffen. Aber es ist sicherlich auch nur eine Frage der Zeit, bis erste konkrete Anstrengungen unternommen werden, die uns hier in der westlichen Welt, abhängig von vielen Maschinen und Computern, zu schädigen versuchen. (Ich möchte an dieser Stelle aber nicht in eine politische Diskussion abdriften, sowas geschieht schneller als man denkt. :-))


Quellen:

Wie gewünscht einige Quellen des Vortrages.

Symantec W32.Stuxnet Dossier 

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf


OECD/IFP Project on "Future Global Shocks 

http://www.oecd.org/dataoecd/3/42/46894657.pdf


Israeli Test on Worm Called Crucial in Iran Nuclear Delay, New York Times

Nico Franze Herzlich Willkommen auf meinem Blog. Ich bin Nico, freier Softwareentwickler sowie Autor für Fachzeitschriften. Hab mit .NET Version 1.0 begonnen (damals noch VB.Net) und bin dann schlussendlich bei C# gelandet. Mehr Infos gibts unter www.nfranze.de


Suche

Los

Translator Widget

Dieser Blog

Syndikation


Locations of visitors to this page