Rafinamentul Stuxnet
alte articole
Cu doi ani în urmă, după cum susţin personalităţi militare iraniene, un vierme a pătruns în sistemul de control al unui sit de îmbogăţire a uraniului din Netanaz, Iran. Viermele era un software extrem de sofisticat şi distructiv, "Stuxnet", care a sabotat centrifugele nucleare ale fabricii.
Rapoartele de expertiză suspectează că viermele a fost dezvoltat de "o entitate capabilă", cum ar fi Mossadul (serviciul secret israelian), unitatea de informaţii 8200 sau o agenţie de informaţii din SUA. Nici o organizaţie nu şi-a asumat încă responsabilitatea.
"Voi începe prin a spune că nu ştiu cine l-a creat şi că nu am nimic de-a face cu asta", susţine Shaharabani, un expert de securitate a datelor de la IBM, "cu toate acestea, pot să spun câteva lucruri interesante despre Stuxnet."
"Mai întâi de toate, pentru a se răspândi ca orice vierme are nevoie de două componente: una este componenta de reproducere, iar cealaltă este componenta responsabilă pentru acţiunea efectivă a viermelui."
Shaharabani explică faptul că pentru a se reproduce, acesta trebuie să utilizeze o vulnerabilitate cunoscută a unui anumit sistem. Pot exista vulnerabilităţi cunoscute şi necunoscute. "Dacă un hacker a găsit o vulnerabilitate în Windows, de exemplu, el se poate folosi de ea pentru a răspândi un vierme sau poate vinde cunoştinţele despre acea vulnerabilitate unor organizaţii. Atât vulnerabilităţile cunoscute cât şi cele necunoscute sunt frecvent utilizate. Cele necunoscute sunt relativ greu de folosit."
Cu toate acestea, se dovedeşte că "Stuxnet" s-a bazat pe patru vulnerabilităţi necunoscute simultan, ceea ce a fost fără precedent.
"Patru vulnerabilităţi necunoscute nu sunt deloc ceva evident. Aparent, viermele nu era interesat de utilizarea tuturor celor patru. El s-a folosit doar de una, iar când organizaţia responsabilă de sisteme o repară, un alt vierme va fi trimis pentru a se folosi de alta. Un vierme care utilizează toate aceste vulnerabilităţi este unul care vrea să îşi continue activitatea, chiar dacă una dintre ele este reparată", susţine el.
Cu toate acestea, după cum ni s-a spus, pentru ca un vierme să se răspândească în mod eficient sau să realizeze ceea ce a fost desemnat să facă, proiectantul trebuie să fi furat o "semnătură" sau o "cheie privată", care este un element de securitate strict secret. Cheile private permit unei firme să "semneze" componentele de software pe care le dezvoltă astfel încât computerul să ştie că software-ul este sigur pentru a fi utilizat. Acesta lucru asigură faptul că computerul nu va activa sistemul de avertizare sau de alarmă, cum ar fi lumini de culoare roşie sau cereri de confirmare.
"Există doar două companii mondiale renumite care produc componente hardware, împreună cu software şi drivere: Realtek şi JMicron. Când instalaţi driverul în calculatorul dumneavoastră, acesta funcţionează corespunzător, deoarece recunoaşte că acel software are semnătura JMicron sau Realtek," susţine el.
Cine a dezvoltat viermele Stuxnet a folosit semnăturile acestor două societăţi ca să infiltreze vierme fără a activa vreo alarmă. Singura problemă este că, de obicei, nu există nici un cablu prin care cheile private sunt conectate la Internet. Ele sunt păstrate pe un stick în interiorul unui seif.
"Pot să vă spun că birourile acestor două societăţi, Jmicron şi Realtek, ale căror semnături au fost furate, se află în acelaşi parc industrial din Taiwan şi sunt relativ aproape una de alta. Aceasta înseamnă că oricine a dezvoltat Stuxnet este o organizaţie ce are puterea de a angaja oameni să pătrundă în aceste birouri şi să fure aceste semnături."
Una dintre provocările cu care s-a confruntat viermele a fost intrarea în instalaţiile nucleare. Oricine cunoaşte câte ceva despre serviciile secrete, ştie că computerele din organizaţiile secrete sunt, de obicei, "rigide". Ele nu sunt conectate la Internet prin cablu şi este foarte dificil ca vreun dispozitiv extern să poată fi conectat la ele, cum ar fi stick-urile.
"În organizaţiile în care calculatoarele sunt foarte "rigide" şi nimic nu poate fi instalat, o persoană trebuie să utilizeze "procedura de instalare" pe care o foloseşte organizaţia pentru a instala lucrurile necesare pe computere", cum ar fi actualizarea sistemul de operare, outlook, un nou software pentru centrifuge, susţine el.
Shaharabani explică faptul că în timp ce această actualizare are loc, cineva poate profita de moment pentru a planta viermele în calculatoarele organizaţiei. O altă posibilitate este ca o persoană din interiorul organizaţiei să fi utilizat, în mod eronat sau în mod deliberat, un card de memorie în computerele organizaţiei.
Odată ce viermele s-a infiltrat în instalaţiile nucleare, a făcut ceva foarte similar cu ceea ce vedem în filmele de acţiune. Shaharabani spune că "în primul rând, componenta software a înregistrat, în mod regulat, toate activităţile centrifugei. După înregistrarea activităţilor corespunzătoare din sistemele de control, a făcut două lucruri: a trimis centrifugelor ordinul de a se roti cât de repede pot, fără a lua în considerare controlul pentru supraîncălzire. Prin urmare, acestea s-au ars. În acelaşi timp, a trimis activitatea înregistrată sistemelor de control."
"Este ca în filme, imaginile camerei de securitate sunt înregistrate şi redate, în timp ce gardianul le vede şi crede că totul este OK. A fost foarte, foarte impresionant", susţine Saharabani.