Expertos en seguridad informática a menudo se sorprenden en la que las historias son recogidas por los medios de comunicación. A veces no tiene sentido. ¿Por qué esta violación de los datos en particular, la vulnerabilidad, o un gusano y no otros? A veces es obvio. En el caso de Stuxnet, hay una gran historia.
Según la historia, el gusano Stuxnet fue diseñado y puesto en producción por el gobierno de los EE.UU. e Israel, son los sospechosos más comunes – específicamente para atacar la planta de energía nuclear de Bushehr en Irán. ¿Cómo no podría alguien informar de esto? Combina ataques informáticos, la energía nuclear, las agencias de espionaje y un país que es un paria a gran parte del mundo. El único problema con esta historia es que es casi en su totalidad especulación.
Esto es lo que sí sabemos: Stuxnet es un gusano de Internet que infecta a computadoras con Windows. Se propaga a través de las memorias USB, lo que le permite entrar en los ordenadores y redes que normalmente no están conectado a Internet. Una vez dentro de una red, se utiliza una variedad de mecanismos para propagarse a otras máquinas dentro de ese privilegio de la red y obtener una vez que ha infectado a esas máquinas. Estos mecanismos incluyen tanto las vulnerabilidades conocidas y parches , y cuatro «exploits de día cero» 0dayz : las vulnerabilidades que eran desconocidos y sin parches cuando el gusano fue lanzado. (Todas las vulnerabilidades de la infección han sido parcheados.)
Stuxnet no hace nada en las personas infectadas en ordenadores con Windows, ya que no es el verdadero objetivo. ¿Stuxnet busca es un modelo particular de Controlador Lógico Programable (PLC) de Siemens (la prensa a menudo se refiere a éstos como sistemas SCADA, que es técnicamente incorrecto). Se trata de pequeños sistemas integrados de control industrial que se ejecutan todo tipo de procesos automatizados: en las fábricas, en las plantas químicas, refinerías de petróleo, en tuberías – y, sí, en las centrales nucleares. Estos autómatas son a menudo controlados por computadoras, y Stuxnet busca Siemens SIMATIC WinCC / Paso 7 del software del controlador.
Si no encuentra uno, no hace nada. Si lo hace, se infecta con otra vulnerabilidad desconocida y sin parches, esta vez en el software del controlador. A continuación, lee y cambios bits de datos en particular en el PLC controlado. Es imposible predecir los efectos de esto sin saber lo que el PLC está haciendo y cómo está programado, y que la programación puede ser único basado en la aplicación. Pero los cambios son muy específicos, lo que lleva a muchos a creer que Stuxnet está orientada a un específico del PLC, o un grupo específico de PLC, realiza una función específica en una ubicación específica – y que los autores Stuxnet sabían exactamente lo que estaban dirigidos.
Es que ya infectó a más de 50.000 ordenadores de Windows, y Siemens ha informado de 14 sistemas de control de infección, muchos en Alemania. (Estos números fueron sin duda de la fecha tan pronto como se hayan escrito.) No sabemos de ningún daño físico Stuxnet ha causado, aunque hay rumores de que era responsable de la avería del satélite INSAT-4B de la India en julio. Creemos que lo hizo infectar a la planta de Bushehr.
Todos los programas antivirus detectan y eliminan Stuxnet de los sistemas Windows.
Stuxnet fue descubierto por primera vez a finales de junio, aunque se especula que fue lanzado un año antes. Como gusano, es muy complejo y es más complejo con el tiempo. Además de las múltiples vulnerabilidades que explota, instala su propio controlador en Windows. Estos tienen que ser firmado, por supuesto, pero Stuxnet utiliza un certificado legítimo robado. Curiosamente, el certificado robado fue revocado el 16 de julio, y una variante Stuxnet con un certificado robado diferentes fue descubierto el 17 de julio.
Con el tiempo los atacantes cambiaron módulos que no funcionaron y los reemplazó por otras nuevas – tal vez como Stuxnet hizo su camino hacia su objetivo. Los certificados aparecieron por primera vez en enero. propagación de USB, en marzo.
Stuxnet tiene dos formas de actualizarse a sí mismo. Comprueba de nuevo a dos servidores de control, uno en Malasia y otro en Dinamarca, pero también utiliza un sistema de actualización peer-to-peer: Cuando dos infecciones Stuxnet encuentro uno del otro, comparan las versiones y aseguran de que ambos tienen el más reciente . También tiene una fecha de muerte del 24 de junio de 2012. En esa fecha, el gusano dejará su difusión y se eliminara en sí.
No sé quién escribió Stuxnet. No sabemos por qué. No sabemos el objetivo. Pero usted puede ver por qué se especula tanto que fue creado por un gobierno.
Stuxnet no actúa como un gusano penal. No se propaga de manera indiscriminada. No roba información de tarjetas de crédito o credenciales de cuenta de inicio de sesión. No tiene un rebaño de ordenadores infectados en una botnet. Utiliza múltiples vulnerabilidades de día cero. Un grupo delictivo sería más inteligente para crear diferentes variantes del gusano y el uso de uno en cada uno. Stuxnet realiza sabotaje. No ponga en peligro el sabotaje, como un intento de organización delictiva de la extorsión en este caso.
Stuxnet fue caro para su creación. Las estimaciones son que tomó 8 a 10 personas y seis meses para escribirlo. También está la configuración de laboratorio – sin duda alguna organización que va a todo este problema pondría a prueba la cosa antes de soltarlo – y la recogida de inteligencia para saber exactamente cómo su destino. Además, los ataques de día cero son valiosos. Son difíciles de encontrar, y sólo puede utilizarse una vez. Quien escribió Stuxnet estaba dispuesto a gastar mucho dinero para asegurarse de que cualquier trabajo que se tenía intención de hacerlo así se haria.
Nada de esto apunta a la central nuclear de Bushehr en Irán, sin embargo. Mejor que puedo decir, este rumor fue iniciado por Ralph Langner, un investigador de seguridad de Alemania. Calificó su teoría de «altamente especulativa», y se basa principalmente en el hecho de que Irán había un número inusualmente alto de infecciones (el rumor de que tenía la mayoría de las infecciones de cualquier país parece no ser cierto), que la planta nuclear de Bushehr es un blanco jugoso, y que algunos de los otros países con altas tasas de infección – la India, Indonesia y Pakistán – son los países donde es también el mismo contratista de Rusia participan en Bushehr e involucrados. Este rumor se trasladó a la prensa de la informatica y luego en la gran prensa, donde se convirtió en la historia aceptada, sin ninguna de las advertencias original.
Una vez que una teoría se apodera, sin embargo, es fácil de encontrar más pruebas. La palabra «Myrtus» aparece en el gusano: un artefacto que el compilador de izquierda, posiblemente por accidente. Esa es la planta de mirto. Por supuesto, eso no quiere decir que los druidas escribió Stuxnet. Según la historia, se refiere a la reina Ester, también conocido como Hadassah, que salvó los Judios persa del genocidio en el siglo 4 a. C. «Hadassah» significa «mirto» en hebreo.
Stuxnet también establece un valor de registro de «19790509» para alertar a nuevas copias de Stuxnet que el ordenador ha sido infectado. Es más, obviamente, una fecha, pero en lugar de mirar las cosas gazillion – grandes y pequeñas – que sucedió en esa fecha, la historia insiste en que hace referencia a la fecha Pérsico Judio Habib Elghanain fue ejecutado en Teherán para espiar para Israel.
Claro, estos marcadores podría señalar a Israel como el autor. Por otro lado, los autores Stuxnet fueron extraordinariamente profundo por no dejar pistas en su código, los marcadores podrían haber sido plantadas deliberadamente por alguien que quería marco de Israel. O podrían haber sido plantado deliberadamente por Israel, que quería a pensar que fueron plantados por alguien que quería marco de Israel. Una vez que comience a caminar por este camino, es imposible saber cuándo parar.
Otro número que se encuentran en Stuxnet es 0xDEADF007. Tal vez lo que significa «Dead Fool» o «muertos de pie», un término que hace referencia a un fallo de motor del avión. Tal vez esto significa Stuxnet está tratando de hacer que el sistema dirigido al fracaso. O tal vez no. Sin embargo, un gusano blanco diseñado para causar un sabotaje específico parece ser la explicación más probable.
Si ese es el caso, ¿por qué es tan descuidadamente el Objetivo de Stuxnet? ¿Por qué no Stuxnet se borra cuando se da cuenta de que no está en la red de orientación? Cuando se infecta una red a través de memoria USB, que se supone que sólo se extendió a tres equipos adicionales y se borra después de 21 días – pero no lo hace. Un error en la programación, o de una característica en el código no está habilitado? Tal vez no se supone que la ingeniería inversa del objetivo. Al permitir que Stuxnet para difundir a nivel mundial, sus autores comprometidos daños colaterales en todo el mundo. Desde la perspectiva de la política exterior, que parece tonto. Pero tal vez los autores Stuxnet no le importaba.
Mi conjetura es que los autores Stuxnet, y su objetivo, siempre seguirá siendo un misterio.
Este ensayo apareció originalmente en Forbes.com.
http://www.forbes.com/2010/10/06/iran-nuclear-computer-technology-security-stuxnet-worm.html o http://tinyurl.com/29bhajd
Mis explicaciones alternativas para Stuxnet fueron cortadas de la monografía. Aquí están:
1. Un proyecto de investigación que se salió de control. Los investigadores han accidentalmente antes de gusanos. Sin embargo, dada la prensa, y el hecho de que cualquier investigador que trabaja en algo como esto sería hablar con amigos, colegas, y su asesor, yo esperaría que a alguien que lo han descubierto por ahora, sobre todo si se ha hecho cargo de un equipo.
2. Un gusano penal diseñado para demostrar la capacidad. Claro, eso es posible. Stuxnet podría ser un preludio a la extorsión. Pero creo que una manifestación más barato sería igual de eficaz. Por otra parte, tal vez no.
3. Un mensaje. Es difícil especular más allá, porque no sé quién es el mensaje, o su contexto. Es de suponer que el destinatario lo sabría. Tal vez es un «mira lo que podemos hacer» mensaje. O un «si no nos escuchan, vamos a hacer peor la próxima vez» mensaje. Una vez más, es un mensaje muy caro, pero tal vez una de las piezas del mensaje es «no tenemos tantos recursos que podemos grabar cuatro o cinco años-hombre de esfuerzo y cuatro vulnerabilidades de día cero sólo para la diversión de ella.» Si el mensaje fuera por mí, me impresionó.
4. Un gusano liberado por los militares de EE.UU. para asustar al gobierno a dar más presupuesto y poder sobre la seguridad cibernética. No, ese tipo de conspiración es mucho más común en la ficción que en la vida real.
Tenga en cuenta que algunas de estas explicaciones alternativas se superponen.
http://www.csmonitor.com/USA/2010/0921/Stuxnet-malware-is-weapon-out-to-destroy-Iran-s-Bushehr-nuclear-plant o http://tinyurl.com/37aqurn
informó:
http://www.computerworld.com/s/article/9185419/Siemens_Stuxnet_worm_hit_industrial_systems o http://tinyurl.com/32lsl8b
http://blogs.forbes.com/firewall/2010/09/29/did-the-stuxnet-worm-kill-indias-insat-4b-satellite/ o http://tinyurl.com/26jkaw8
http://www.wired.com/threatlevel/2010/10/stuxnet-deconstructed/
http://www.nytimes.com/2010/09/27/technology/27virus.html
http://www.symantec.com/connect/blogs/stuxnet-print-spooler-zero-day-vulnerability-not-zero-day-all o http://tinyurl.com/2fh7hr9
http://news.cnet.com/8301-27080_3-20018530-245.html
http://sites.google.com/site/n3td3v/latest/whatweknowaboutstuxnet
http://antivirus.about.com/b/2010/10/02/debunking-the-bunk-of-stuxnet.htm o http://tinyurl.com/237yed9
http://frank.geekheim.de/?p=1189
Buena información técnica sobre Stuxnet:
http://www.f-secure.com/weblog/archives/00002040.html
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf o http://tinyurl.com/36y7jzb
Ralph Langner:
http://www.langner.com/en/
