Az oroszok a Stuxnet-ben rejlő nukleáris veszélyre hívták fel a NATO figyelmét

Microsoft, Windows

A Stuxnet egy, a Windows sebezhetőségeit kihasználó, egyes feltételezések szerint az iráni atomprogram szabotálására létrehozott worm/botnet. Korábban volt már szó róla nálunk is. Az oroszok szerint a Stuxnet akár következő Csernobilt is okozhat.

A Reuters cikke szerint Dmitrij Rogozin, Oroszország NATO-nagykövete szerdán arról beszélt, hogy a NATO-nak ki kellene vizsgálnia azokat a számítógépes támadásokat, amelyeket tavaly folytattak a részben orosz építésű iráni nukleáris reaktor ellen. A diplomata szerint egy ilyen incidens akár Csernobil nagyságrendű nukleáris katasztrófát is okozhat.

Iráni hivatalnokok korábban megerősítették, hogy a Stuxnet felbukkant a Bushehr-i reaktornál dolgozó személyzet számítógépein, de azt állították, hogy nem okozott komolyabb problémákat a rendszerben.

A részletek itt.

( log69 | 2011. 01. 28., p – 10:43 )

nem akarok okoskodni, de elképzelhetetlennek tartom (vagy inkább kicsi valószínűséget adok neki), hogy egy ilyen fontosságú helyen egy jól megtervezett rendszerbe bejusson féreg az irányító gépekre emberi hibán kívül.

ha ilyen helyen nincs pénz a megfelelő védelem kialakítására, akkor menjenek a levesbe.

Épp elég, ha van az adott titkosszolgálatnak egy beépített embere az adott létesítményben, aki felteszi mondjuk egy gépre.
-------------------------------------------------------------------------------
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

Slackware Linux 13.1 | 2.6.34.1-janos

Elviekben meg kellene nézni, hogy a kritikus területen dolgozók mit visznek be, vagy hoznak ki. Tehát ha valaki besétál a kritikus helyre egy pendrive-val, akkor az az ellenőrzést végző személyek hibája is. Ha nincs rendesen megszervezve az ellenőrzés, akkor a biztonság megtervezéséért és megszervezéséért felelős személyek is hibásak.

-----
"Én vagyok a hülye, hogy leállok magával vitatkozni."

Mekkora egy microSD és egy hozzá való usb-s olvasó? Mekkora munka kell ahhoz, hogy ezt 11x15x4mm-esre csökkentsék úgy, hogy az usb csatlakozója kihajtható legyen? (kb 4-5 óra bárkinek, aki szeret barkácsolni, és ez csak egy házi megoldás.)
Egy ekkora dolgot mibe is lehetne belerejteni? Karóra, nyaklánc medálja, de ekkora méretnél még az anális rejtekhely sem vállalhatatlan/rémisztő annyira, szóval milyen biztonság, milyen tervezés, amikor egy fogtömés is lehet nagyobb annál a valaminél, amit be kell juttatni!? Hmmmm?

Esetleg itt jön be a képbe, hogy olyan ellenőrző rendszeren küldik át az emberkéket, ami némi túlzással még a vér vastartalmát is kimutatja. Ha eleve megtiltják, hogy bármit bevigyenek, majd egy teljes átvilágításon küldik át az emberkéket, ahol a legkisebb eltérés miatt is belemásznak ha kell az ember szájába/seggébe is, akkor nincs rá esély. Azért itt nem játékokról van szó, hanem sokmillió ember életéről. Nem sci-fi-ben élünk, attól, hogy a filmekben a behatolón kívül senki nem ért semmihez, a valóságban nem feltétlen kell hülyének lenni minden létező biztonsági szervnek. Más kérdés, hogy gyakran hülyék és nem alkalmazzák a rendelkezésre álló technológiát, mert spórolni mindig ott kell, ahol létszükséglet lenne a megfelelő anyagi támogatás.
Egyébként: ilyen helyre se órát, se ékszert, se telefont, se semmit ne engedjenek bevinni, ruhát se, anális esetre kivédhető, ha a WC előtt is átvizsgálják az embereket kifelé jövet, hogy nincs-e nála olyasmi, amit esetleg nem kéne kényes helyekre vinni. WC-n kívül biztosan nem fog nekiállni semmit se elővarázsolni a seggéből. Mindenhol máshol meg komplex megfigyelőrendszer működjön, és ha bárki gyanúsan viselkedik (például turkál a fogában vagy a seggében), azt egyből viszik is egy elkülönített és lezárt szobába átvizsgálásra. Sokkal kisebb gyárakban meg tudják oldani, hogy az ember a cég által biztosított ruhán kívül semmi mást ne tudjon kivinni/bevinni, ilyen helyen is meg lehet oldani, csak akarni kell.
Attól meg még bőven messze vagyunk, hogy izomszövetben rejtsenek el bármit is, ráadásul úgy, hogy azt onnan észlelhető külső nyom nélkül is elő lehessen venni.
Magyarul van megoldás és kivédhető az ilyen eset, csak akarni kell. Igazából kötelezni kéne az akarásra a nemzeteket nemzetközi szinten, ha ilyesmivel akarnak játszani. Kicsit drasztikusan hangzik hogy még a WC-re se mehet az ember anélkül, hogy fel ne jegyeznék, hogy meddig volt ott és át ne vizsgálnák kifelé jövet, de ahol ekkora a tét, ott ez kéne, hogy legyen a minimum.

Nem rég vettem egy rakás ilyen pendrive-ot, ami lényegében egy USB-s Micro SDHC olvasó. Bedugva a gépbe, csak a kis müanyag vége látszódik (az is csak azért, hogy meglessen fogni valamit, kiszedéskor).

De biztonság szempontjából nem az a helyes hozzáállás, hogy majd testüreg motozást csinálunk mindenkin, hogy nincs-e nála ilyen vagy ehhez hasonló eszköz, hanem egész egyszerűen a másik oldaláról fogjuk meg a problémát és mindenhol tiltjuk az optikai meghajtókat és az USB portokat a számítógépeken, vagy kontrolláljuk, hogy rajta keresztül milyen eszközök csatolhatók fel. Nem scifi ez... Mi is tiltjuk a mass-storage drivert a gépeken, így USB-s nyomtatót rálehet dugni a gépekre (akár azt is lehet szabályozni, hogy milyeneket), de pendrive-ot hiába dug rá bármelyik dolgozó, nem fogja felcsatolni a rendszer háttértárként.

Amelyik dolgozónak pedig feltétlenül szüksége van adathordozó használatára, annak egy olyan szoftvert kell telepíteni a gépére, amelyik naplózza, hogy milyen adatok lettek mozgatva, így folyamatosan ellenőrízhető és adott esetben felelősségre vonható.

Ismeretlen programok futtatását pedig szintén tiltani lehet, így ha mégis felkerül valahogy egy kártékony bináris, akkor annak elindítását megakadályozza a rendszer (pl. mert nincs digitálisan aláírva megbízható fél által).

Ha valaki nagyon akarja, könnyen kijátszható ez is, még házi készítésű eszközökkel is. Egy kis mikrovezérlő SMD kivitelben 4-5 hozzáadott SMD alkatrésszel simán tud az USB 1.1-en HID eszközként működni. A belő flash memória elegendő egy kisebb vírus kódjának tárolására (ha nem, akkor adunk hozzá egy külső soros elérésű memóriát). A "kezelő" csak indít gondoskodik róla, hogy ne fusson semmi zavaró a gépen és bedugja a kicsike berendezést, ami elrejthető egy nagyobb függőben, vagy bármiben. Az billentyűzetként azonosítja magát a gépnek, küldi a debug.exe indításához szükséges scan kódokat és oda villámgyorsan "begépeli" a kártékony kódot és aktiválja. Az egész művelet nem tart tovább pár másodpercnél és szinte kivédhetetlen.
Ha kétirányú kommunikációra van szükség, akkor az első kódrészlet aktiválása után ez is lehetséges a billentyűzet LEDjein keresztül. Persze nagyon lassú, de egyszerű és valószínűleg nem veri ki a biztosítékot a védelmi szoftvernél. Csak le kell takarni a valódi billentyűzet megfelelő részét valami kéznél lévő dologgal.
Persze lehet tiltani a debug.exe indítását a windozer kliensen és ugyanúgy tiltható sok minden egy linux/unix alapú kliensen is, de sose lesz teljesen biztonságos.
Ilyen eszközzel egy kevésbé képzett ember is csodákra lehet képes egy gyorstalpaló után, ha valaki elkészíti neki a kódot.
Erre képes USB firmware pl. Atmel vezérlőkhöz már a gyári példaprogramok közt is van...

Ha sikerül kiiktatni az USB portokat teljesen, a megoldás szinte ugyanolyan jól működik majd PS/2 porton is, sőt, annak még érdekes előnyei is vannak. (jelszóval védett funkcionalitás, keylogger funkció, rejtettebb, stb..) - firmware részletek erre is elérhetőek ingyen. De ha ez valamiért nem elég, akkor gyártanak mát RJ45 aljzatba beépített gépeket is, azok jól elszórakozhatnak a hálózattal.
És még nem említettem, azokat az aranyos SIM kártyákat, amikbe zigbee adóvevőt integráltak. Kis távolságokra jól használható volna adatátvitelre és kevésbé feltűnő, mint a wifi vagy bluetooth.
Btw, hogy van ez az USB mass storage tiltás? Ha USB hálózati kártyát dugok a gépre, az menni fog, ugye?

Sajnos az USB eszközök tiltása a rendszerben kb.ugyanannyira hatásos, mint azok bevitelének megakadályozása. Ha ezeket a támadásokat egy ügyes középiskolás kivitelezheti, mit tud egy titkosszolgálat vagy egy terrorista, akinek pénze is van erre a mókára? Legyártatják az egészet egy ruhagombba vagy hajlékony anyagokból? Komolyabb rendszerszintű védelem kéne ide, nem foltozás.

Jó ötlet ez a debug.exe + scan kódok küldése USB billentyűzetként, de szerintem van sebezhetőség még bőven az USB stackben egyébként is, úgyhogy érdemesebb azt exploitálni inkább és máris kernel szintű kódvégrehajtást ér el az ember, minthogy korlátozott felhasználó általi parancsvégrehajtással vacakoljon, ami vagy engedélyezett, vagy nem. Pl. írtam a program futtatás korlátozását/tiltását, ott már meg is bukna a mutatvány, hacsak nincs kifejezetten a debug.exe engedélyezve. Nincs is alapból egyébként már debug.exe Windows 7 rendszereken, de még régebbi rendszerek (XP/Vista) 64 bites verzióin se. Tavis Ormandy által felfedezett NTVDM sebezhetőség óta pedig a 16 bites alkalmazások futtatása is jópár helyen alapból tiltásra került, ahol számít a biztonság és nem volt feltétlen szükség 16 bites applikációk futtatására.

Egyébként nyilván ezerféle módszerrel meglehet még kerülni az USB mass-storage tiltást. Ahol nálunk használatban van, ott nem szuperkémek ellen lett bevezetve, hanem irodai dolgozók behurcolt pendrivejai ellen. Feltételezem komolyabb helyeken még szigorúbb korlátozásokat vezetnek be. Ezért is írtam az USB teljes tiltását, de még jobb, ha a számítógépek is biztonságosan, fizikailag el vannak szeparálva és csak a billentyűzethez/egérhez férhetnek hozzá a dolgozók.

Abban egyetértek, hogy komolyabb rendszerszintű védelem kellene, de egyelőre én nem tudok olyan ITSec megoldásokról, amelyek hatásos védelmet tudnának nyújtani erre felkészített titkosszolgálatok kémei ellen...

( bitvadasz | 2011. 01. 28., p – 11:13 )

- Valamit kiírt az előbb a gép.
- Mit írt ki?
- Azt nem néztem, csak megnyomtam az OK gombot.

Te sem hallottad még ezt a beszélgetést sehol igaz :). Amikor áltsuliban voltam rebdszergazda nem győztem a vírusokat baktériumokat..... írtani, mert a xxxéhes tizenévesek mindenre rányomtak amiben benne volt a varázsszó. hiába volt ott vírusírtó, csökkentett jogkör, jól konfigolt tűzfal, ha van egy windows/programhiba, tehetsz te ot bármit.

------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.

( Charybdis | 2011. 01. 28., p – 11:16 )

"A Stuxnet egy, a Windows sebezhetőségeit kihasználó, egyes feltételezések szerint az iráni atomprogram szabotálására létrehozott worm/botnet."

Tehát a Windows a szar, mért nem használnak egy biztonságosabb rendszert, pl. valamelyik Linuxot?

Ezzel azert nem ertek egyet, mert ha van valaki aki erti a dolgat es tud normalisan vedekezni (OS-tol fuggetlenul) [es eleg paranoid is], akkor tamadhatjak, ha nem kispisztollyal vagy bombaval esetleg emberrablassal kenyszeritik nem biztos a cel bevetele a tamadoktol (barmily kepzett is az ember)... ha meg mar emberrablasrol van szo akkor mar olyanmindegy milyen OS-t futtatsz vagy hogy be van-e kapcsolva vagy sem =P
--
< huf > sose ertettem h miert kell specialis szo a bunozore, ha szamitogeppel csinalja...
< huf > nemkell se hacker, se cracker se semmi ilyen szo
< huf > fejszes gyilkost se hivjuk favagonak

-manyeyeball (a google nyakan van a kolomp)
-RMS approved
-ubuntuban alapertelmezetten jon apparmor
-nincsenek pirate software-ek
-Linus extra figyelmet fordit a biztonsagra
tobbit lsd.: http://www.whylinuxisbetter.net/ es hasonlo oldalakon.

(egyebkent van olyan program, aminek csak megadom a wines gep ip cimet, ranyomok a NUKE gombra, es szethekkei a windows-t, de a Linuxos gepekkelmar nem bir el.)

Hello,

We recently experienced a directed attack on SourceForge infrastructure
(http://sourceforge.net/blog/sourceforge-net-attack/) and so we are
resetting all passwords in the sf.net database -- just in case. We're
e-mailing all sf.net registered account holders to let you know about this
change to your account.

Our investigation uncovered evidence of password sniffing attempts. We have
no evidence to suggest that your password has been compromised. But, what
we definitely don't want is to find out in 2 months that passwords were
compromised and we didn't take action.

;D

--
NetBSD - Simplicity is prerequisite for reliability

Ez most pont olyan, hogy mondasz valami orbitális faszságot (most nem konkrétan rólad beszélek), és mikor sokan ezt az arcodba mondják, akkor beraksz egy trollfacet. Ha megnézed, láthatóan nem viccből írta, sajnos. Annak szar lett volna, de ha komolyan mondja az még szomorúbb.
----
Hülye pelikán

Ha már linkelted:
Secunia Advisory Statistics (2010)
Statistics based on Secunia advisories released in 2010

Windows XP Prof

Solution Status
Criticality
Where
Impact

Windows Vista

Solution Status
Criticality
Where
Impact

Windows 7

Solution Status
Criticality
Where
Impact

Windows Server 2003 (nem csak Datacenter)

Solution Status
Criticality
Where
Impact

Windows Server 2008

Solution Status
Criticality
Where
Impact

Bármilyen statisztikát lehet gyártani: "Akinek kalapács van a kezében, az mindenhol szöget lát." :)

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

( rpsoft v | 2011. 01. 28., p – 11:48 )

Hm, csak nem a ruszkik adtak el reaktorokat az Iránnak? Akkor nem aggódtak?

Itt jon be az az "aprosag", h mikepp kommunikalod le a dolgot. A Stunnex nem kozvetlenul a reaktorok ellen lett kifejlesztve, hanem az uran dusitashoz hasznalt centrifugak PLC-it tamadja az elemzesek szerint. Csak annak nincs hirerteke, h egy reaktor uzemagyag dusitot tamadtak meg, de annak mar igen, h JAJAJAJAJFELROBBANAREAKTOR. :)

---
pontscho / fresh!mindworkz

"According to the latest analysis, Stuxnet is aimed not at disrupting a single system, but at two different systems. According to control systems security firm Langner Communications, the worm is not just designed to interfere with specific, variable frequency, motor control systems – it also attempts to disrupt turbine control systems. According to Langner, this would mean that, in addition to Iran's uranium enrichment plant at Natanz, the country's Bushehr nuclear power plant may have been a further target of the Stuxnet attack."

Stuxnet has a double payload

"Stuxnet is currently believed to have had two digital payloads – one designed to destroy the uranium enrichment centrifuges in Natanz and one designed to destroy the turbine control systems at the Bushehr nuclear plant. Rogozin is well placed to understand the potential effects of damaging the turbines in the Iranian nuclear plant, as it was built by Russian nuclear plant specialist Atomstroyexport."

Russia claims Stuxnet could have triggered second Chernobyl

--
trey @ gépház

( oszfer | 2011. 01. 28., p – 13:49 )

Ezt elolvashatjátok:

http://www.biztonsagpolitika.hu/?id=16&aid=932&title=STUXNET:_a_virtu%C…

Az az érzésem, hogy az átlagembert komolyabbnak hiszi az ilyen létesítmények informatikai védelmét, mint amilyen az valójában.

1.) szeparálják a hálózatot az internettől, de valaki USB kulcson beviszi a vírust
2.) mivel az alkalmazások futtatása (nem tudják kitesztelni, lustaság) nem teszi lehetővé a windows update-et, olyan win. verziók futnak a belső gépeken, amiknek van ismert biztonsági rése
3.) az alkalmazások (itt a siemens vezérlőprogramjai), alapértelmezett jelszavakkal mentek

Én is láttam már olyan nagyvállalati belső hálózatot, ahol "überbiztonságos" "MS only" környezetet használtak, kötelező IE6 böngészővel :-)

Ez aranyos. Biztos valami jó nagyot akart mondani az elején, erre kb. azt hozta ki, hogy Bánki-Csonka páros bütykölt valamit az üzemanyagellátáson, emiatt a Ford Transit volt a legnépszerűbb jármű a bankrablók körében a '70-es években Nagy-Britanniában.

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

Az az érzésem, hogy az átlagembert komolyabbnak hiszi az ilyen létesítmények informatikai védelmét, mint amilyen az valójában.

Ez jó 'megérzés' Tapasztalataim is erősen alátámasztják ezt. Nem kell csoda, sem zseni ahhoz hogy egy az átlagember szemszögéből 'atombiztosnak' látszó rendszert kompromittáljanak...

( thuglife | 2011. 01. 28., p – 13:53 )

Az elso problema az hogy nem jogtiszta windows-t hasznalnak, hiszen a Microsoft nem kereskedhet Irannal ;)

( eCaffee | 2011. 01. 28., p – 14:15 )

Ha már egyszer főleg orosz berendezéseket használnak az irániak,
akkor a számítógépeikre is mehetett volna az orosz klasszikus
multitaszkos PTSDOS, és nem lenne ilyen problémájuk.
(ruszkiéknál a fénykorban ezen futott a teljes űrprogram
és a fél atomprogram it-háttere tokkal vonóval)
Azt nem igazán lehet belátható időn belül
távolból feltörni és befolyásolni.
-
"Attempting to crack SpeedLock can damage your sanity"

A PTS nem igazán alkalmas a mai intézményi és oktatási célokra,
nyugodt lélekkel eléggé elavultnak mondható.
Kutatási és vezérlési célokra viszont így is ragyogóan
alkalmazható.
(értsd: a KAMAZ teherautónál is van már modernebb,
takarékosabb és kényelmesebb...de vannak terepek,
ahol nem lehet nyugati műanyaggal hatékonyan és tartósan labdába rúgni)
-
"Attempting to crack SpeedLock can damage your sanity"

:D volt. :)
Kamaz>'87-ben kettő db., már akkor is min. 25 éves Csepel úgy rántott ki sárba ragadt böhömnagy katonai ZIL-t, hogy öröm volt nézni. ;) Pedig modernebb nem volt. Takarékosabb valószínűleg, mert esélyes, hogy a két Csepel együtt nem ivott annyit, mint a ZIL egyedül. Az előbbiek ráadásul Diesel-olajból, utóbbi meg benzinből.
OFF
A Little Susie hash-sel lett valami változás? :)
ON

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

( joco66 | 2011. 01. 28., p – 15:34 )

Az amerikai exportkorlátozás nem tiltja, hogy Iránban Windows-t használjanak?

( Zoltan1992 | 2011. 01. 28., p – 16:30 )

Hát én azt gondoltam, hogy az ilyen helyeken "picit" komolyabb védelem van mind szoftveres részről, mind hardveres részről is és "emberileg" is. Értem én ez alatt azt, hogy ellenőrizve van az, hogy mit visznek ki és be. Úgy látszik tévedtem..

"Iráni hivatalnokok korábban megerősítették, hogy a Stuxnet felbukkant a Bushehr-i reaktornál dolgozó személyzet számítógépein, de azt állították, hogy nem okozott komolyabb problémákat a rendszerben."

Még nem, de ha nem távolítják el (és nem vezetnek be valami komolyabb ellenőrzést), akkor még okozhat. Bár remélem, hogy már törölték. Csak ne kelljen itt is csalódni...

Én úgy gondoltam, hogy letörlik és utána vezetnek be komolyabb biztonsági intézkedéseket. Ez a "meggondoljuk, hogy letöröljük-e" szerintem sehol se működik és szerintem sehol sem alkalmazzák. Egy szóval sem írtam azt, hogy hagyják rajta. Pont az ellenkezőjét írtam, hogy le kéne törölni és komolyabb ellenőrzés kéne...

( uid_1526 | 2011. 01. 28., p – 22:39 )

Az oroszoknak ilyenből már van tapasztalatuk, a 82-es szibériai gázrobbanás is így történhetett. "Szereztek" egy jó kis szoftvert, csak épp benne volt a csapda. Az eredmény egy kb 3 kilotonnás robbanás a tajgában.

( apal v | 2011. 01. 29., szo – 01:29 )

"A windows uj hardvert talalt: egy darab atomeromu. Kerjuk helyezze be a d: meghajtoba az atomeromu telepitokeszletben talalhato lemezt, majd eredeti windows lemezt a szukseges meghajtoprogramok felmasolasahoz. A telepites utan a hardver ujrainditasa is szukseges lehet."

( rooivalk | 2011. 01. 29., szo – 05:59 )

Nem kellettek ehhez titkosügynökök, a Stuxnettel nagyon ügyesen megszórták az egész világot, utána meg csak idő kérdése volt, hogy egy iráni mérnök is beviszi az otthoni pendrive-ját a munkahelyére, mivel csak a célrendszerekben okoz kárt, korábban fel sem tűnik senkinek.