Σάββατο 3 Δεκεμβρίου 2011

Stuxnet: Χειρουργικό χτύπημα στον Κυβερνοχώρο?

Στα μέσα Ιουνίου του 2010 εντοπίστηκε ένας νέος  ιός από τους δεκάδες  που αναγνωρίζονται σε καθημερινή βάση. Ο ιός έλαβε την ονομασία Stuxnet από κάποια σχόλια που βρέθηκαν στον κώδικα του. Ο τρόπος μετάδοσης του ήταν αρκετά συνήθης μέσω USB stick. Από τη στιγμή που ο ιός «εγκαθίσταται» στον υπολογιστή ελέγχει το τοπικό δίκτυο για να εντοπίσει ένα συγκεκριμένο τύπο PLC της Siemens. Όταν το εντοπίσει χρησιμοποιεί τα προκαθορισμένα passwords της Siemens ώστε να αποκτήσει πρόσβαση και έλεγχο των PLC. Έτσι, ο επιτιθέμενος θα ήταν σε θέση να επαναπρογραμματίσει τις λειτουργίες του PLC.
Το γεγονός από μόνο του δεν ήταν ιδιαίτερα εντυπωσιακό, αφού έχουν εμφανιστεί και παλαιότερα ιοί με δυνατότητα επέμβασης σε βιομηχανικά συστήματα. Ωστόσο, αυτό που έκανε τη διαφορά ήταν ο βαθμός πολυπλοκότητας του ιού και ο δυσανάλογος αριθμός εμφανίσεων στο Ιράν, μια χώρα που δεν φημίζεται για τον υψηλό βαθμό χρήσης της Πληροφορικής.
Στους επόμενους μήνες οι ειδικοί σε θέματα ασφάλειας υπολογιστικών συστημάτων εξέτασαν τα αρχεία του ιού και τον πηγαίο κώδικα και τα συμπεράσματα στα οποία κατέληξαν ήταν εκθαμβωτικά: Ο ιός αποτελεί το ψηφιακό ισοδύναμο ενός κατευθυνόμενου πυραύλου με συγκεκριμένο στόχο και σκοπό. Σε συνδυασμό μάλιστα με το ότι πολλά κρούσματα εντοπίστηκαν στο Ιράν δεν άργησε να εμφανιστεί η θεωρία ότι ο ιός στόχευε τα εργοστάσια πυρηνικής ενέργειας της χώρας.
Το πέρασμα του χρόνου όχι μόνο δεν άμβλυνε τη θεωρία αλλά αντίθετα την ενίσχυσε καθώς νέες πληροφορίες αποκαλύπτονται:

Τα γεγονότα
Zero-day attacks
Οι δημιουργοί του ιού χρησιμοποίησαν τέσσερες άγνωστες αδυναμίες-ευπάθειες (vulnerabilities) των Windows. Ο εντοπισμός άγνωστων, άρα μη αντιμετωπίσιμων αδυναμιών είναι εξαιρετικά χρονοβόρος, πολυέξοδος και μάλιστα αυτές οι ευπάθειες είναι βραχύβιες καθώς μετά τον εντοπισμό τους η Microsoft θα τις διορθώσει μέσω του μηχανισμού του Microsoft Update.  Στην προκειμένη δύο ευπάθειες παρέμειναν για αρκετό καιρό, δείγμα του πόσο περίπλοκες ήταν.

Χρήση ψηφιακής υπογραφής
Κατά την εγκατάσταση του ο ιός εγκαθιστά δικό του πρόγραμμα οδήγησης (driver), ο οποίος για να παρακάμψει τις δικλείδες ασφαλείας των Windows χρησιμοποιεί κλεμμένο ψηφιακό πιστοποιητικό. Στην ουσία κάθε φορά που εγκαθιστούμε κάποιο driver τα Windows ελέγχουν εάν είναι «υπογεγραμμένο». Η ψηφιακή υπογραφή πιστοποιεί τον εκδότη και έαν κάποιος έχει παρέμβει σε αυτό μετά την υπογραφή του. Το εντυπωσιακό είναι ότι μόλις μία ημέρα μετά την ανάκληση της ψηφιακής υπογραφής εμφανίστηκε νέα έκδοση του Stuxnet που χρησιμοποιούσε άλλη κλεμμένη, ψηφιακή υπογραφή.

Ενημέρωση
Ο Stuxnet χρησιμοποιούσε δύο servers (Μαλαισία και Δανία) για να «κατεβάζει» ενημερώσεις. Σε περίπτωση που ο ιός «συναντούσε» αντίγραφό του στο δίκτυο, συγκρίνανε εκδόσεις και ο νεώτερος ενημέρωνε τον παλαιότερο.

WinCC/Step 7
Ο ιός πέρα από το να μολύνει συστήματα με Windows δεν κάνει κάποια άλλη ενέργεια. Αντίθετα αναζητεί ένα συγκεκριμένο μοντέλο PLC της Siemens και πιο συγκεκριμένα το λογισμικό ελέγχου του PLC, το Siemens SIMATIC WinCC/Step 7. Εάν δεν το βρει μένει ανενεργός. Εάν, το εντοπίσει, τότε χρησιμοποιεί ένα zero-day vulnerability του λογισμικού ελέγχου, ώστε να αλλάξει συγκεκριμένα στοιχεία μέσα στο PLC. Δεν στάθηκε δυνατό να εκτιμηθεί το επακόλουθο των αλλαγών, ωστόσο, επειδή οι αλλαγές είναι πολύ συγκεκριμένες, κάποιοι μελετητές θεωρούν ότι ο Stuxnet έχει στόχο ένα συγκεκριμένο ή PLC.

Οι εικασίες
Αφού παρατέθηκαν τα ευρύματα των ερευνητών του συγκεκριμένου ιού, δεν άργησαν να εμφανιστούν και θεωρίες ως προς τον πραγματικό στόχο του ιού αλλά και ως προς τους δημιουργούς αυτού.
Όπως αναφέρθηκε στην αρχή του άρθρου υπήρξε ιδιαίτερα μεγάλος αριθμός μολυσμένων υπολογιστών στο Ιράν. Στην παρακάτω φωτογραφία φαίνονται οι εντοπισμένες μολύνσεις (πριν περίπου 1 χρόνο).

Αυτή η μεγάλη συγκέντρωση μολύνσεων υπονοεί ότι το Ιράν ήταν στόχος κυβερνοεπίθεσης και μάλιστα από κάποιον με ιδιαίτερα εξελιγμένες τεχνικές, όπως αυτές παρουσιάστηκαν παραπάνω.  Τόσο οι ΗΠΑ όσο και το Ισραήλ θεωρείται ότι διαθέτουν εξαιρετική ικανότητα στη διεξαγωγή επιθετικού κυβερνοπολέμου. Το παραπάνω σενάριο ενισχύθηκε δραματικά όταν κυκλοφόρησε η είδηση ότι  η προγραμματισμένη για τον Αύγουστο του 2010 έναρξη λειτουργίας του πυρηνικού σταθμού στο Μπουσέχρ θα καθυστερήσει, χωρίς να δοθούν παραπάνω εξηγήσεις. Ο συγκεκριμένος πυρηνικός σταθμός αποτελούσε τεράστιο κίνδυνο για τις ΗΠΑ, καθώς το εξαντλημένο πυρηνικό καύσιμο θα μπορούσε μέσω επιπλέον επεξεργασίας να αποδώσει πλουτώνιο, το οποίο μπορεί να χρησιμοποιηθεί για κατασκευή όπλων μαζικής καταστροφής.
Το φθινόπωρο του 2010 το Ιράν μέσω διαφόρων πηγών παραδέχθηκε ότι υπάρχει εν εξελίξει κυβερνοεπίθεση με πάνω από 30.000 διευθύνσεις IP να έχουν επηρεαστεί, χωρίς ωστόσο να γίνεται παραδοχή ότι υπονομεύθηκε το πυρηνικό πρόγραμμα. Τελικά, στις 29 Νοεμβρίου 2010 ο πρόεδρος του Ιράν, Μαχμούντ Αχμαντινετζάντ, παραδέχτηκε ότι ενάς ιός προκάλεσε προβλήματα στα συστήματα ελέγχου των φυγοκεντρωτών στις πυρηνικές εγκαταστάσεις του Νατάνζ. Κατά σύμπτωση την ίδια μέρα σκοτώθηκαν σε διαφορετικές εκρήξεις αυτοκινήτων δύο πυρηνικοί επιστήμονες του Ιράν.
Από τη στιγμή που βρέθηκαν κάποιες πιθανές συνδέσεις του Stuxnet με το πυρηνικό πρόγραμμα του Ιράν, γρήγορα εμφανίστηκε μια πληθώρα «ενδείξεων» που ενίσχυαν αυτό το ενδεχόμενο:
Ο Stuxnet δημιουργεί ένα κλειδί στο μητρώο των Windows ως σημάδι ότι έχει μολύνει τον υπολογιστή. Το κλειδί έχει τιμή 19790509, το οποίο παραπέμπει σε ημερομηνία. Στις 9 Μαΐου του 1979, εκτελέστηκε στο Ιράν ένας Ιρανο-εβραίος επιχειρηματίας, ονόματι Χαμπίμπ Ελγκανιάν με την κατηγορία της κατασκοπίας για λογαριασμό του Ισραήλ.
Μέσα στον κώδικα του ιού υπάρχει το εξής κατάλοιπο:
«\myrtus\src\objfre_w2k_x86\i386\guava.pdb». Προφανώς πρόκειται για τον κατάλογο όπου ήταν αποθηκευμένος ο ιός όταν γράφτηκε. Η λέξη myrtus (μυρτιά) στα εβραϊκά μεταφράζεται ως Hadassah, προσωνύμιο με το οποίο ήταν γνωστή η Εσθήρ, γυναίκα ενός Πέρση βασιλιά του 4ου αιώνα π.Χ., η οποία έσωσε τους Εβραίους της Περσίας από μαζική εξόντωση.
Κάποιοι ερευνητές πήγαν την ιστορία ακόμα παραπέρα και έψαχναν για αστοχίες συστημάτων που ελέγχονταν από PLC της Siemens, ώστε να τις αποδώσουν στον Stuxnet. Μία από αυτές ήταν ο ινδικός δορυφόρος INSAT 4B, ο οποίος τον Ιούλιο του 2010 παρουσίασε μια βλάβη στους αναμεταδότες με αποτέλεσμα το 70% των συνδρομητών δορυφορικής τηλεόρασης στην Ινδία να μην έχουν σήμα. Παρομοίως, ειπώθηκε ότι για τη μεγάλη πετρελαιοκηλίδα που προκλήθηκε από τη βύθιση του Deepwater Horizon στον κόλπο του Μεξικό, ευθύνεται πάλι ο Stuxnet. Βέβαια, για αυτές τις περιπτώσεις η μόνη ένδειξη που υπάρχει είναι ότι στις εγκαταστάσεις υπήρχαν PLC της Siemens.

Κατάληξη
Κατά πάσα πιθανότητα, ποτέ δεν θα αποκαλυφθεί όλη η αλήθεια για τους δημιουργούς του Stuxnet και τους πραγματικούς σκοπούς τους. Το μόνο σίγουρο είναι ότι η εμφάνιση  του ιού μας βάζει σε μια νέα πραγματικότητα, όπου όλα τα δικτυωμένα ηλεκτρονικά συστήματα υπόκεινται στον κίνδυνο καταστροφής από κυβερνοεπίθεση. Επίσης, είναι φανερό ότι δεν απειλούνται άυλα ηλεκτρονικά αρχεία, αλλά πολύ συγκεκριμένα απτά συστήματα, που επηρεάζουν την καθημερινή μας ζωή, όπως δίκτυα μεταφοράς ηλεκτρικής ενέργειας, υδροδότησης και συγκοινωνίες. Αυτό βέβαια εξαρτάται και από το βαθμό διείσδυσης των τεχνολογιών πληροφορικής και επικοινωνιών, με αποτέλεσμα χώρες όπως οι ΗΠΑ, η Ιαπωνία και η Μεγ. Βρετανία να έχουν ήδη καταρτίσει στρατηγικά και επιχειρησιακά πλάνα για την αντιμετώπιση κυβερνοεπιθέσεων.
 
1. PLC:  προγραμματιζόμενος λογικός ελεγκτής, συσκευή που δέχεται σήματα εισόδου από διακόπτες και αισθητήρες και παράγει αντίστοιχα σήματα εξόδου.
2. Microsoft Update:  δικτυακή υπηρεσία της Microsoft, μέσω της οποίας όλα τα προϊόντα της Microsoft (Windows, Ofiice κτλ) λαμβάνουν αρχεία επιδιόρθωσης σφαλμάτων.
3. Πρόγραμμα οδήγησης (driver): πρόγραμμα που αναλαμβάνει την επικοινω νία συσκευών με το λειτουργικό σύστημα.
4. Διευθυνση IP: Αναγνωριστικό που λαμβάνει κάθε συσκευή που συνδέεται σε δίκτυο και χρησιμοποιείται για την επικοινωνία της με τις υπόλοιπες συσκευές.
 
 

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου