nrk.no

Ein spennande orm: Stuxnet

Kategorier: Internett, Media & Software


Verdas mest avanserte virus har kosta enorme ressursar og er truleg utvikla av ei regjering. Men det skadar ikkje datamaskina di – det er mykje farlegare enn som så. Stuxnet inneheld referansar som kan tyde på at det vil angripe atomanlegg, drive masseøydelegging, og styrte fly.

Vi er klar over at dette ikkje er heilt nytt. Stuxnet-ormen har vore i det nerdete mediebiletet ganske lenge. Men vi prøver med denne saka å samle dei meir interessante og relevante tankane rundt dette spennande viruset.

Sabotage #6: Loading metal into the microwave
Sabotage #6: Loading metal into the microwave by Stéfan, on Flickr

Det fins eit enormt antal virus der ute. Mange hugser sikkert ILOVEYOU, som reproduserte seg til over 50 million maskiner på under ti dagar. Eit mindretal har kanskje óg opplevd Creeper. I nyare tid er Conficker blant dei største og mest avanserte.

Felles for dei fleste virus og ormer er at dei er ute etter å innhente informasjon eller å bruke maskina di til noko som er i virusutviklarens favør. Eksempel på det førstnemnde er å stjele brukarnamn og passord, kredittkortinformasjon og anna sensitiv data. Det sistnemnde kan vere å køyre maskina di inn i eit botnet, for å så leige vekk datakraft til lugubre foretak for utsending av spam o.l.

Den (relativt) nye ormen Stuxnet er veldig annleis. Den er på ingen måte interessert i verken brukarnamn, passord eller kredittkortinformasjon. Den bruker ikkje maskina di til å sende ut spam. Den driv derimot med spionasje og sabotasje.

Industrispionasje anno 2010

Industrispionasje har eksistert i mange hundre år, heilt sidan Francois Xavier d’Entrecolles i 1712 fortalde den kinesiske produksjonsmetoden for porselen til franskmennene. På den tida var det penn og papir som vart brukt til formidlinga, men Stuxnet viser no at det er mogleg å gjere heile prosessen rundt industrispionasje virtuell.

Kva gjer Stuxnet?

Stuxnet er ein spesialisert orm som angrip Windows-system. Den spreiar seg hovudsakleg via USB-pinne, og ikkje nettet (som er den meir tradisjonelle metoden). På den måten kan ormen komme seg inn på maskiner som elles ikkje er tilgjenge via internett. Den brukar fire ulike ukjende sikkerheitshol for å komme seg inn på maskina, og – når den er inne – krysser den nettverket for å installere seg på andre tilkopla maskiner. Eit ukjend sikkerheitshol tyder i bunn og grunn eit hól som ingen har oppdaga, og dermed er resistant mot alle antivirus-løysinger.

Å bruke fire ukjende hol er uhørt: Den økonomiske verdien til desse hola er ganske høg, og ein kan lure på kvifor utviklarane av ormen har «sløsa vekk» fire.

For folk flest gjer ormen ingen verdens ting. På Ola Nordmanns maskin formerer den seg berre vidare. Men for eit eksklusivt mindretal kan den ha fatale konsekvenser.

Stuxnet er berre interessert i éin ting: Om maskina har styringsprogramvare for Siemens sine PLS-system. Siemens SIMATIC WinCC/Step 7, for å vere eksakt. PLS-system er på sett og vis arvtageren til det gode gamle releet, og gjer det mogleg å automatisere avanserte prosedyrer. PLS-system er mykje brukt i industriarbeid, som for eksempel i oljeindustrien og på kjernekraftverk.

Ormen har teoretisk sett potensialet til å skape både økonomisk kaos og massiv fysisk øydelegging. Når den er inne på ei maskin med PLS-styringssystem, går den vidare og infiserer PLS-systemet. Ormen kan då modifisere verdiar som i verste fall kan føre til eksplosjonar og masseøydelegging.

F-Secure har ei fin liste over kjende fakta om ormen.

Kva er målet?

Nuclear is not clean nor sustainable nor cost-effective
Nuclear is not clean nor sustainable nor cost-effective by Pepeketua, on Flickr

Stuxnet er ikkje laga på gutterommet – den er elegant på alle moglege måter. Den kom seg inn på dei fleste system ved hjelp av avansert utnytting av sikkerheitshol. Den brukte gyldige sikkerheitssertifikat for å godkjenne seg sjølv. Den skjulte alle endringar den gjorde på dei underliggande PLS-systema, som gjorde det nært umogleg å finne ut kva som hadde skjedd. Den er skrevet i fleire ulike språk (hovudsakleg C og C++), og har ein høg filstorleik (1.5 megabytes). Den oppdaterer seg automatisk ved hjelp av P2P.

Målet er førebels ukjend. Vi veit at ormen går etter ein spesifikk versjon av Siemens sitt PLS-styringssystem. Men denne typen system er veldig utbreidd, og fins i alle slags industriområder. Det er likevel ein teori som har slått rot: Sabotasje av Irans kjernekraftprogram.

Wikileaks rapporterte i juli følgjande:

Two weeks ago, a source associated with Iran’s nuclear program confidentially told WikiLeaks of a serious, recent, nuclear accident at Natanz. Natanz is the primary location of Iran’s nuclear enrichment program. WikiLeaks had reason to believe the source was credible however contact with this source was lost. WikiLeaks would not normally mention such an incident without additional confirmation, however according to Iranian media and the BBC, today the head of Iran’s Atomic Energy Organization, Gholam Reza Aghazadeh, has resigned under mysterious circumstances. According to these reports, the resignation was tendered around 20 days ago.

Påstanden ovanfor er sjølvsagt ikkje offisielt bekrefta. Dette stemmer likevel ganske godt med at Stuxnet vart oppdaga i juni i år.

Sidan Siemens sine PLS-system styrer veldig mykje forskjellig, er det nært på uante forklaringar på kva ormen skulle utføre. PLS-systema kan óg styre alarmar, dører og adgangstilgang.

Påskeegg og konspirasjonsteoriar

Sabotage #5: Cutting the strings
Sabotage #5: Cutting the strings by Stéfan, on Flickr

Stuxnet inneheld skjulte referansar til fleire merkelege datoar og namn. I databransjen kallar vi dette ofte for påskeegg, eller Easter Eggs.

Myrtus

Stuxnet inneheld ordet «myrtus». Myrtus er planteslekta Myrte. Dette tyder foreløpig ingenting, men i Bibelen er det ei bok som heiter Esters bok. Esters bok handlar om Estér, óg kjent som Hadassah, den jødiske dronninga som redda den persisk-jødiske befolkninga frå folkemord. Hadassah tyder på hebraisk myrte.

Det er dermed koplingar mellom referansa «myrtus» i Stuxnet og Dronning Estér. Ein kan då vidare spekulere om at målet moglegens er Iran, og at ormen i denne samanhengen er Dronning Estér.

19790509

Stuxnet utnyttar kun system som har Siemens SIMATIC WinCC/Step 7-programvara installert. Når den finn denne programvara på maskina, set den eit par registerverdiar. Ein av verdiane som blir satt, er talet 19790509.

Habib Elghanian var ein jødisk forretningsmann i Iran, og er mest kjend for å drive med plastproduksjon. Han gjekk frå å vere født i trange kår til å bli Irans rikaste jøde. Han var óg leiaren av det jødiske samfunnet i Iran, i tillegg til å vere ein stor filantrop. Mange meinar óg at han har æra for landets innføring av vestleg teknologi.

I 1979 vart monarkiet i Iran avskaffa, og landets styreform gjekk over til islamsk republikk. Habib, som ein nasjonalt kjend jøde, vart offer for ei eksemplifisering frå den islamske regjeringa, og vart dømd til døden for mellom anna ha:

  • hatt kontakt med Israel
  • hatt kontakt med «fiender av Gud»
  • begått økonomisk imperialisme

Habib Elghanian vart skoten den 9. mai, 1979, som er verdien Stuxnet set i registeret.

0xDEADF007

Dead Foot er i flysamanheng eit begrep som tyder at motoren er nede for telling. Stuxnet har ei referanse til 0xDEADF007. Som i leetspeak kan overførast til nettop Dead Foot.

Dette kan for eksempel tyde at ormen rett og slett skulle øydelegge det infiserte systemet. Eller eventuelt ta ned eit fly?

Kven står bak?

Det er óg ukjend, men mykje peikar på at Stuxnet er utvikla av ei regjering. Ressursane som har gått med på utviklinga av ormen er enorme, og Stuxnet er den desidert mest avanserte ormen per dags dato.

Meir info

Det fins umåteleg mykje informasjon om Stuxnet-ormen. Nedanfor er eit utdrag av dei mest interessante kjeldene:

32 kommentarer

  1. Veldig spennende lesning. Selv om artikkelen ikke har veldig stor nytteverdi for den jevne leser som meg er det interessant å få en liten smakebit av en del av dataverden jeg ikke kjenner særlig til. Det er også hyggelig å se at det tilsynelatende er noen med innsikt som har skrevet om dette. Her skiller nrkbeta seg fra mange andre tek-nettsider som ofte gir svært overfladiske beskrivelser av avanserte tema.

    Svar på denne kommentaren

    • Eirik Solheim (NRK) (svar til TW)

      Takk for en veldig hyggelig kommentar. Dette er noe av det vi strekker oss etter her på NRKbeta. Å gå i dybden og bruke vår spisskompetanse, men samtidig forklare og opplyse.

      Og jeg kan avsløre at du har helt rett angående artikkelforfatteren. Han har inngående kjennskap til temaet.

  2. Martin Bekkelund

    Stuxnet…

    Stuxnet er navnet på den første forekomsten av en helt ny type datavirus som retter seg mot industrielle styringssystemer. Med Stuxnet er vi på vei inn i en ny, avgjørende epoke for datasikkerhet. Det er flere uvanlige trekk ved Stuxnet. Først og frems…

    Svar på denne kommentaren

  3. Aleksander Mørch

    Interessant artikkel, men høres litt merkelig ut at skaperne av Stuxnet skal ha lagt inn godt skjulte koder som kanskje kan avsløre hva motivet til ormen er. Tankene går til bøker og filmer, der skurken selv legger igjen koder slik at han til slutt blir avslørt. Skaperne til Stuxnet fremstår som smarte, men akkurat dette høres ikke særlig smart ut.

    Svar på denne kommentaren

    • Jeg synes det er kjempesmart.
      For de jeg tror som har laget ormen (den israelske sikkerhetstjenesten/regjeringen) bør kanskje si fra hvem som har overtatt hele atomanlegget og fått alt til å gå «haywire» inni der. 😉
      Hadde de ikke hatt referanser,kunne iran kanskje tro det var nabostater/USA, og det er ikke noen fare ved å henvise til noen motiver (å redde den jødiske/persiske befolkningen, han som ble skutt i 1979 osv)
      Ikke vet jeg, men spennende er det ihvertfall. Bra artikkel, NRK!

    • Men samtidig: Her hintes det til Israel i koden – men dersom dette er israelskutviklet ville vel de aldri ha lagt inn noe slikt, så dermed kan det jo ikke være israelsk, hvilket er akkurat hva eventuelle israelske utviklere ville ha oss til å forstå etc…

      Men henvisninger til DEADF007 og andre ord i hex … nja, har man 1.5 MB kompilert program vil man finne rimelig mange hex-kombinasjoner i programmet. På den annen side, de som har behov for å gå gjennom kompilert kode sørger ofte for å få lagt inn den typen ‘ord’ for å lettere finne fram til bestemte steder. : både hans tekst og (mange av) kommentarene.

  4. Kristoffer Øpstad

    Først, takk for interessant og god artikkel, NRK Beta =)

    Den kristne dagsavisen DagenMagazinet er meget oppdaterte på Israel og Midtøsten. Leste om ormen der for en stund siden. Ryktene gikk da bl.a. på Irans atomanlegg og om kanskje en Israelsk spesialenhet hadde designet ormen. Ut fra det jeg husker skal ormen visstnok ha klart å forårsake hardware-skader og flere pc-skjermer i Iran skal visstnok ha eksplodert som følge av ormen!

    Blir spennende å se hva som skjer videre.

    Svar på denne kommentaren

    • Jeg stiller meg spørrende til validiteten av de rapportene. DagenMagazinet er ikke akkurat kjent for å være upartiske i sin midtøsten-dekning. Men det er en annen debatt.
      Det som skurrer er hardware skadene. Jeg har vanskelig for å tro at software-problemer skal ha fått for eksempel pc-skjermer til å eksplodere uten videre. Med mindre viruset har tatt kontroll over strømnettet og laget overspenning..?
      Er vel mer sannsynlig at et par fjær har lagt på seg litt.

    • «Flere PC-skjermer har eksplodert som følge av ormen» nja, njo, på riktig gamle CRT-skjermer kunne man jo faktisk ødelegge hardware med å sette feil sync-frekvens, men det høres ut for en merkelig form for sabotasje fra et såpass avansert system…

  5. MYRTUS : My RTUs …

    En RTU er en forkortelse for «Remote Terminal Unit», vanlig ord innenfor SCADA systemer. Referansen i koden er en filpath, til netopp en katalog som heter /myrtus/ … kan like godt være en subfolder med «mine RTUs» som en obskur bibeldame.

    Men koden på dette er akkurat stappa med nok obskure referanser som kan gå i flere retninger til at det blir spennende. Apropos dato referanser, det er bursdagen min!

    Passord sikkerheten på denne PLCen er også helt fra «en annen verden» (les; dårlig), noe som også har gjort sitt. Men ikke noe tvil om at dette er noe av det mer spennende man har sett i det siste av slike ting.

    Takk for at dere lager sånne artikler, passe halvnerdete med for litt vanligere folk.

    Neste del er kanskje hvordan norske oljeinstallasjoner benytter seg av PLCer i produksjon og hvor godt de er sikret? Noen som jobber på oljeplatform og vil ha med seg en USBpinne på jobb? =)

    Svar på denne kommentaren

  6. Stuxnet er selvsagt ikke utviklet av noen «regjering». Det er bare noe sprøyt NRK har oversatt fra utenlandske medier. For det første er det vel ingen regjeringer som innehar personell med slik kompetanse. For det andre er det ingen grunn til å tro at siden noe er avansert så er det en Stat som har utviklet det. De aller fleste glupe ideer og løsninger kommer fra enkeltpersoner eller små grupper.

    At det har krevet «enorme ressurser» å utvkle Stuxnet er kun spekulasjoner uten noen grunn i virkeligheten.

    Svar på denne kommentaren

    • Henrik Lied (NRK) (svar til Arne Jensen)

      Hei, Arne!

      Mykje av informasjonen i artikkelen er henta frå utenlandske nettstader, det er heilt korrekt. At ormen er utvikla av ei regjering er ikkje fastslått, men absolutt ikkje unsannsynleg – både sikkerheitsføretaka F-Secure og Symantec – samt den ganske velrenomerte sikkerheitseksperten Bruce Schneier – grublar på det samme.

      At det har krevd enorme ressursar er for meg ganske sjølvsagt:
      Koden er over ein halv megabyte etter kompilering (midt i kapittelet om «Operation»), og er skrevet i fleire ulike programmeringsspråk (mellom anna C og C++).

      I tillegg ser det ut til at utviklaran(e) av ormen har god kjennskap til PLS-systema rundt om i dei ulike næringane her på jord, og spesifikt om korleis desse er satt opp. Det har ikkje den typiske fjorten år gamle nerden i kjellaren til foreldra. Å finne fram fleire ukjende sikkerheitshól er heller ingen triviell sak. Wired nemner óg at ormen er signert med to digitale sertifikat, som ikkje er så lett å få henda på.

      Difor ser både vi, sikkerheitsføretak rundt om i verda, og utenlandsk presse på moglegheita for at dette faktisk er skapt av ei regjering.

      At det er skapt av privat sektor er sjølvsagt óg ei moglegheit. Poenget er iallfall at dette ikkje er tradisjonelt gutteromsarbeid. 🙂

  7. Til Arne Jensen.
    Kan du begrunne dine påstander?
    For det første, hvilke utenlandske media er det du sikter til?
    For det andre, hva i all verden vet du om hva regjeringer har ansatt og hvor har du skaffet deg denne oversikten?
    For det tredje,hvordan kan du anslå (noe som de aller fleste media som omtaler saken) at det ikke har kostet i form av ressurser å lage dette?

    Er veldig spent på et begrunnet svar.

    Svar på denne kommentaren

  8. Jeg jobber med Simatic WinCC og S7 (PLS) og min første reaksjon på Stuxnet var at denne ikke er utviklet av de vanlige sabotørerene, men at det står en regjering bak. Og jeg heller til Israel.
    Etter at det ble kjent at iranske atomanlegg var infisert, ble jeg overbevist.

    La oss håpe at Stuxnet gjør jobben sin og stopper Iran før det er for sent.

    Det som er skummelt er at Stuxnet og avarter av denne kan gjøre enorm skade. Blant annet kan styrestystemer instrueres til å fysisk ødelegge for eksempel generatorer ved å overbelaste dem, og dermed ødelegge strømforsyninger.
    Når man kjenner til hvor dårlige kunnskaper folk har med hensyn til spredning av slik programvare, er det grunn til å være nervøs. Minnepinner brukes ukritisk, nettverksløsninger er dårlig sikret, sikkerhetsoppdateringer gjøres sjeldent på anlegg med Simatic WinCC, osv. osv.

    Det sies at den kalde krigen er over, men krigen fortsetter og utkjempes i dataverdenen.
    Kostnadene ved å få ødelagt infrastrukturen er enorme, og kan være ødeleggende for både bedrifter og hele land.

    Mange jeg har snakket med bagatelliserer Stuxnet, men selv mener jeg at Stuxnet bare er starten på en ny bølge dataangrep som vil være mye mer kostbare enn det vi har sett hittil.

    Svar på denne kommentaren

  9. Jørgen Hovelsen

    Spennende lesning.

    Ikke bare er passordsikkerheten dårlig, men etter det jeg har lest så anbefaler Siemens å _ikke_ endre passordet om man skal være kompromitert. De begrunner det med at systemet sannsynligvis vil slutte å fungere.

    Ikke at jeg er noen sikkerhetsekspert, men dette er jo sånn man ser etter noen år i bransjen og er ikke uvanlig. IT-verktøy som har hardkodede koblinger og generelt manglende prioritet på sikkerhet.

    Til utvikleres forsvar er det jo ikke så lett å ha stålkontroll på utvikling som foregår over lang tid og som gjerne blir svært omfattende og kompliserte. Mr. Bekkelund skrev nylig om at det i lukket kode statistisk blir 20-30 feil per 1000 linjer kode (http://blogg.friprog.no/2010/11/feilfikser/). En gang lærte jeg at delen av Windows OS (dette var nok XP eller tidligere) som håndterte minne i seg selv var på et par millioner linjer. Denne gir ett innblikk: http://en.wikipedia.org/wiki/Source_lines_of_code You do the math! Vel, dette ble litt på vei ut av topic…

    I tillegg er det mange konsulenter som er opplært til å levere billigst mulig og hvor sikkerhet er mer en byrde enn fornuft.

    I kombinasjon er det nødt til å dukke opp denne typen tematikk fra tid til annen (om ikke titt og ofte). Anyway, spennende lesning!

    Svar på denne kommentaren

  10. Om alle sporene peker til Israel som skaper av ormen, kan jo dette være gjort med vilje for å gi Iran et påskudd til å «ta hevn» over Israel. Ingen av disse to statene kjent for å trives med åpenhet og ærlighet. Jeg utelukker selvsagt ikke Israel som skurken, men det er stort sett i underholdningsbransjen at terrorister legger spor etter seg selv med vilje.

    Svar på denne kommentaren

    • Morten (svar til Geir)

      Så kan man da si at israelerene aldri ville lagt inn de «sporene», så det må være noen andre som har laget ormen, hvilket jo er akkurat hva israelerene ville ha hatt oss til å tro om de hadde laget den etc…

    • Anders Hofseth (NRK) (svar til Morten)

      Oj. De må ha isåfall ha gått igjennom noe liknende «The Battle of Wits» fra The Princess Bride 😉

  11. Harald Korneliussen

    Kunnskapsøkonomien Israel har nok mye, mye bedre hackerkompetanse enn oljestaten Iran, så at dette er selv-sabotasje tviler jeg på.

    Men det er nå slik at crackere er crackere, selv om de jobber for en regjering. Derfor overrasker det meg slett ikke at de legger igjen noen kryptiske «visittkort».

    Til sist: Israel er kjent for å trives med en «semi-hemmelighet», nemlig atomvåpen. Alle vet at de har det, men offisielt har de det ikke. Det kan godt tenkes at de ønsker at sin evne til elektronisk krigføring skal være uoffisielt kjent på samme måte.

    Svar på denne kommentaren

  12. Yngve Solbakken

    Et annet interessant aspekt med Stuxnet er at når ormen først har tatt bolig i et SCADA-system (prosesstyringsystemer som ligger «over» PLS’ene), så starter det umiddelbart å analysere hvilket type prosessanlegg den er kommet inn i.

    Det den er på jakt etter er frekvensomformere fra Vacom og Fararo Paya, da disse er spesielt mye brukt i sentrifugeanlegg. (Frekvensomformere brukes til å kontrollere farten på elektriske induksjonsmotorer, og i sentrifugeanlegg er frekvensen svært høy, opptil 1500Hz, mor 50Hz som er normalt i industrien)

    Sentrifugeanlegg er en nøkkeldel av anlegg som anriker uran, og vips så tegner det seg et bilde av et målsøkende virus med noe spesielt i tankene.

    Som noen andre nevnte, så tror jeg ikke «myrtus» har noen annen betydning enn «my rtus». Alle andre tolkninger blir spekulasjoner i langt større grad.

    Det samme tror jeg om leetspeaking og påstanden om at den skal prøve å styrte fly. (Hadde det vært bokstaver senere enn F i koden så kunne jeg vært mer tilbøyelig, men siden det er en lovlig hex-adresse så er det langt mer plausibelt at den er reell)

    Alt i alt er Stuxnet et kjempespennende virus, og når vi ser rapporter om «hendelser» i iranske sentrifugeanlegg så kan den virke å ha vært iallefall delvis vellykket.

    Jeg tror dette er starten på en ny type krigføring og terrorvirksomhet vi vil se mer av.
    Verden er stappfull av PLS-styrte SCADA-anlegg med mangelfull eller fraværende sikkerhet.

    Med rette innsikten i slike prosessanlegg så kan man finne på mange fantestreker.

    Svar på denne kommentaren

  13. Gasstyringssystemer ligger åpent på nett

    […] AGA benytter seg av styringssystemer fra Siemens Simatic, som flere ganger har fått kritikk for dårlige sikkerhetsrutiner. Også statlige etterretningstjenester er mistenkt for å angripe systemene. […]

    Svar på denne kommentaren

  14. Amerikansk supervirus gjemmer seg på harddisken

    […] har tidligere skrevet om Flame og Stuxnet, som også er to svært avanserte statsproduserte virus. Men ingen av disse ser ut til å komme i […]

    Svar på denne kommentaren

Legg igjen en kommentar til Jørgen Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.