Eclissato da Stuxnet: su un nuovo virus. Il virus fa più paura di una bomba

09.04.2019 Recensioni

una classe di vulnerabilità chiamata 0day. 0day è un termine che indica le vulnerabilità (a volte il malware stesso) contro le quali i meccanismi di protezione degli antivirus e di altri programmi per proteggere il tuo computer sono impotenti. Questo concetto è apparso perché i criminali informatici che hanno scoperto una vulnerabilità in un programma o sistema operativo effettuano il loro attacco immediatamente entro il primo ("giorno zero") in cui lo sviluppatore è stato informato dell'errore rilevato. Naturalmente, ciò significa che lo sviluppatore non ha il tempo di riparare in tempo la vulnerabilità, che diffonde epidemie complesse di malware che non possono essere trattate in modo tempestivo. Sopra questo momento vari aggressori concentrano la loro attenzione proprio sulla ricerca di tali vulnerabilità. Prima di tutto, prestano attenzione a tali Software, che è diventato molto diffuso. Infettare tale Software codice dannoso, è garantito che l'attaccante riceverà massimo impatto dalle loro azioni. in cui programma antivirus saranno impotenti, dal momento che non saranno in grado di identificare il codice dannoso che è in programma popolare... Uno di questi esempi è stato l'esempio sopra, quando un virus ha infettato i file del servizio Delphi e quindi ha iniettato il suo codice in vari programmi che sono stati compilati con questo compilatore. Poiché tali programmi erano ampiamente utilizzati, un gran numero di utenti è stato infettato. Tutto ciò ha chiarito ai criminali informatici che tali attacchi sono abbastanza efficaci e possono essere utilizzati in futuro. Tuttavia, trovare una vulnerabilità 0day è un processo piuttosto laborioso. Per trovare una tale vulnerabilità, gli aggressori ricorrono a vari stress test. Software, analizzando il codice in parti e cercando vari errori nel codice dello sviluppatore. Ma se queste azioni hanno successo e viene rilevata la vulnerabilità, possiamo presumere che gli aggressori ne trarranno sicuramente vantaggio. Il malware di gran lunga più noto che sfrutta la vulnerabilità 0day nel software è il worm Stuxnet, scoperto nell'estate del 2010. Stuxnet ha sfruttato una vulnerabilità precedentemente sconosciuta nei sistemi operativi Windows relativa all'algoritmo di elaborazione delle scorciatoie. Va notato che oltre alla vulnerabilità 0day, Stuxnet ha sfruttato altre tre vulnerabilità note in precedenza. Le vulnerabilità zero-day consentono inoltre agli aggressori di creare malware in grado di aggirare la protezione antivirus, che è anche pericolosa per l'utente medio. Oltre a tali vulnerabilità (0day), esistono anche vulnerabilità abbastanza comuni che vengono costantemente sfruttate da un utente malintenzionato. Un altro tipo pericoloso di vulnerabilità sono le vulnerabilità che utilizzano l'anello 0 sistema operativo... L'anello 0 è usato per scrivere vari driver di sistema... Questo è un livello speciale da cui partire pieno controllo sul sistema operativo. Un aggressore in questo caso è come un programmatore che scrive un driver per un sistema operativo, perché in questo caso scrivere un programma dannoso e un driver è un caso identico. Attaccante che usa funzioni di sistema e le chiamate stanno cercando di dare al suo programma dannoso la funzione di passare attraverso l'anello 0.

Pericolo di furto di identità da telefoni cellulari

Se qualcosa del genere fosse stato detto letteralmente 7 anni fa, allora, molto probabilmente, un fatto del genere semplicemente non sarebbe creduto. Al giorno d'oggi, il rischio di furto di dati personali degli utenti di telefoni cellulari è estremamente elevato. Esistono molti programmi dannosi che rubano dati personali dai telefoni cellulari degli utenti. E fino a poco tempo, nessuno avrebbe potuto immaginare che le piattaforme mobili sarebbero state di interesse per i criminali informatici. La storia dei virus inizia nel 2004 quando. È quest'anno che è considerato il punto di partenza per virus mobili... Allo stesso tempo, il virus creato quest'anno è stato abbinato al sistema Symbian. Era una dimostrazione della possibilità stessa dell'esistenza di virus sulla piattaforma del sistema operativo Symbian. Gli autori di questo tipo di sviluppo, spinti dalla curiosità e dal desiderio di aiutare a rafforzare la sicurezza del sistema che attaccano, di solito non sono interessati alla loro distribuzione o uso dannoso. In effetti, la copia originale del virus Worm .SymbOS.Cabir è stata inviata alle società antivirus per conto dell'autore stesso, ma in seguito i codici sorgente del worm sono apparsi su Internet, il che ha portato alla creazione di un gran numero di nuove modifiche di questo programma dannoso. Infatti, dopo la pubblicazione del codice sorgente, Cabir ha cominciato a "vagare" da solo cellulari In tutto il mondo. È finito nei guai utenti ordinari smartphone, ma l'epidemia sostanzialmente non si è verificata, poiché le aziende antivirus avevano anche i codici sorgente di questo virus, ed è stato allora che sono iniziate le prime versioni di antivirus per piattaforme mobili. Successivamente, iniziarono a diffondersi varie assemblee di questo virus, che, tuttavia, non fecero molto male. Questa è stata seguita dalla prima backdoor (un programma dannoso che consente l'accesso al sistema dall'esterno). La sua funzionalità consente di trasferire file in entrambe le direzioni e visualizzare messaggi di testo sullo schermo. Quando un dispositivo infetto si connette a Internet, la backdoor invia il suo indirizzo IP via e-mail al suo host. Successivamente, è apparso un altro programma dannoso per piattaforme mobili... Il programma è un file SIS - un'applicazione di installazione per la piattaforma Symbian. Lanciarlo e installarlo nel sistema comporta la sostituzione delle icone (file AIF) delle applicazioni standard del sistema operativo con un'icona a forma di teschio. Allo stesso tempo, nel sistema vengono installate nuove applicazioni, oltre a quelle originali. Le applicazioni riscritte smettono di funzionare. Tutto questo è stato ripreso da vari dilettanti nella scrittura di programmi dannosi, che hanno iniziato a produrre ogni sorta di modifiche ai vecchi virus e hanno anche provato a crearne di propri. Tuttavia, a quel tempo tutti i programmi dannosi per piattaforme mobili erano piuttosto primitivi e non potevano essere confrontati con le loro controparti di programmi dannosi su un computer. Un programma chiamato Trojan.SymbOS Lockhunt ha fatto molto scalpore. Questo programma era un cavallo di Troia. Sfrutta la "credulità" (mancanza di controlli sull'integrità dei file). Dopo l'avvio, il virus crea una cartella nella directory di sistema /system/apps/ con un nome dissonante gavno dal punto di vista della lingua russa, all'interno della quale si trova il file gavno. app e i relativi gavno.rsc e gavno_caption.rsc. Inoltre, in tutti i file invece del corrispondente ai loro formati informazioni di servizio e il codice contiene testo semplice. Sistema operativo basato solo sull'estensione del file gavno. app, lo considera eseguibile e si blocca nel tentativo di avviare l'"applicazione" dopo il riavvio. Diventa impossibile accendere lo smartphone. Dopo questi virus, in sostanza, ci sono virus dello stesso tipo, che possono trasmettersi attraverso varie tecnologie.

La vulnerabilità delle piattaforme mobili in sé è piuttosto elevata, dal momento che non esistono strumenti del genere in grado di proteggere in modo affidabile le piattaforme mobili. Inoltre, è necessario tenere conto del fatto che le moderne piattaforme mobili sono già molto vicine ai sistemi operativi convenzionali, il che significa che gli algoritmi per influenzarle rimangono simili. Inoltre, le piattaforme mobili hanno due metodi piuttosto specifici di trasferimento dei dati che i computer non hanno: si tratta della tecnologia Bluetooth e MMS. Tecnologia Bluetooth trasmissione senza fili dati sviluppati nel 1998. Oggi è ampiamente utilizzato per lo scambio di dati tra vari dispositivi: telefoni e auricolari per loro, tasca e computer desktop e altre tecniche. La comunicazione Bluetooth di solito funziona a una distanza massima di 10-20 metri, non è interrotta da ostacoli fisici (muri) e fornisce prestazioni teoriche velocità di trasmissione dati fino a 721 kbps. S - relativamente vecchia tecnologia, progettato per espandere le funzionalità degli SMS con la possibilità di trasferire immagini, melodie e video. A differenza del servizio

Il fallimento di un numero così elevato di centrifughe mi ha fatto chiedere se questo fosse il risultato di una sorta di sabotaggio pianificato con l'aiuto del virus informatico Stuxnet, emergente di recente, che in Iran era abbastanza diffuso rispetto ad altri stati, che può fungere da prova che gli sviluppatori del virus stavano prendendo di mira l'Iran. E, a quanto pare, direttamente all'impianto di arricchimento dell'uranio, utilizzando le note vulnerabilità del suo sistema operativo e il famigerato " fattore umano».

Ma il cliente è sconosciuto, l'ipotetico esecutore è presumibilmente un dipendente Siemens che ha inserito un'unità flash infetta nel sistema di controllo della produzione. I danni causati al programma nucleare iraniano in in questo caso paragonabili ai danni del famigerato sciopero dell'aviazione israeliana nel 1981, proprio alla vigilia dell'avvio della centrale nucleare, quando l'intera infrastruttura dell'impresa fu completamente distrutta.

Come dimostrano i risultati dell'indagine, sono proprio gli attacchi informatici che possono diventare lo strumento ideale per un danno così ampio alle apparecchiature: sono rapidi, altamente efficaci nella loro distruttività e, allo stesso tempo, sono assolutamente anonimi.

Da notare che il virus Stuxnet attacca a livello di controllori logici (i controllori sono computer che gestiscono grandi complessi industriali ed energetici), infettando la base software del sistema. I suoi obiettivi includono i convertitori a frequenza variabile (VFD). Tra le frequenze attivate trovate nel corpo del virus, ci sono quelle che possono influenzare le apparecchiature elettroniche delle centrifughe IR-1 iraniane. Sebbene di per sé questa circostanza non significhi nulla.

Non si sa cosa volessero effettivamente gli sviluppatori del virus. Se si sono dati esattamente il compito di distruggere fisicamente le centrifughe, il loro piano non ha funzionato, poiché il virus Stuxnet non lo ha fornito. Ma se avevano intenzione di danneggiare alcune centrifughe o di disattivarle per lungo tempo, allora forse ci sono anche riusciti, poiché il danno causato dal virus è stato improvviso e molto tangibile. Va notato che quando il personale si è reso conto che qualcosa non andava nel funzionamento delle centrifughe e ha interrotto l'alimentazione a loro, era già troppo tardi e la situazione in officina assomigliava alle conseguenze di un atto terroristico che coinvolgeva l'uso di molti ordigni esplosivi contemporaneamente.

L'Iran non ha riconosciuto ufficialmente che l'impianto è stato colpito da un virus informatico. Tuttavia, è confermato ai massimi livelli che sono in corso attacchi informatici ai suoi impianti nucleari. Ad esempio, alla fine di novembre 2010, il presidente Mahmoud Ahmadinejad ha affermato che "un numero limitato di centrifughe" ha avuto problemi con il software nell'elettronica.

Allo stesso tempo, il capo dell'Organizzazione iraniana per l'energia atomica, il dottor Ali Akbar Salehi, ha fissato la data in cui il virus Stuxnet è apparso sugli impianti nucleari iraniani: questa è la metà del 2009. Da qui il tempo impiegato virus dannoso ci vuole più di un anno per viaggiare dai primi personal computer infetti alla fabbrica.

Inoltre, nel 2009-2010. Gli specialisti iraniani hanno smantellato e sostituito circa 1.000 centrifughe IR-1 presso l'impianto. E prima ancora, questo modello piuttosto obsoleto di centrifughe spesso falliva (circa il 10% annuo), ma la sostituzione di un lotto così grande come nel 2010 ci ha fatto pensare, avviare un'indagine e uno studio scientifico approfondito su questo problema.

Naturalmente, l'impianto di arricchimento dell'uranio è un'impresa chiusa con accesso limitato, un alto livello di segretezza del sistema di comando e controllo e non è connesso a Internet. Secondo gli esperti, il virus potrebbe arrivare ai computer di controllo solo attraverso i personal computer degli specialisti dell'impianto - prima infettando i loro computer di casa, o attraverso i computer di persone in qualche modo collegate con l'impianto, e poi attraverso le loro chiavette, il virus potrebbe entrare nei computer dei sistemi di controllo.

Gli editoriali della stampa globale si sono riempiti di oscure profezie sull'imminente era della guerra informatica. Esperti dei più direzioni diverse: dalla sicurezza informatica alla linguistica e all'antropologia. Va notato che il virus Stuxnet è stato rilevato dai laboratori antivirus molto tempo fa, ma il mondo ha appreso la vera portata dell'infezione solo alla fine di settembre 2010.

Per ovvie e logiche ragioni, gli sviluppatori del virus Stuxnet preferiscono mantenere un profilo basso. Tuttavia, gli esperti si concentrano sul fatto che è abbastanza ovvio che la complessità di questo virus può essere definita senza precedenti e la creazione di un tale progetto richiede enormi investimenti intellettuali e finanziari, il che significa che solo le strutture su scala statale possono farlo. Gli esperti concordano sul fatto che questo virus non sia il prodotto degli sforzi di un semplice "gruppo di appassionati". Laurent Esloh, chief security officer di Symantec, stima che almeno 10 persone abbiano lavorato sul virus Stuxnet per un periodo da sei a nove mesi. Frank Rieger, Direttore tecnico GSMK supporta il suo collega: secondo lui, il virus è stato creato da un team di programmatori esperti e lo sviluppo è durato circa sei mesi. Rieger cita anche il costo stimato per la creazione del virus Stuxnet: è di almeno 3 milioni di dollari Eugene Kaspersky, direttore generale di Kaspersky Lab, afferma sullo scopo di sabotaggio del virus: “Stuxnet non ruba denaro, non invia spam, e non ruba informazioni riservate. Questo malware è stato creato per controllare processi di produzione e gestisci letteralmente un enorme impianto di produzione. Nel recente passato, abbiamo combattuto contro i criminali informatici e gli hooligan di Internet, ora, temo, sta arrivando il momento del terrorismo informatico, delle armi informatiche e delle guerre cibernetiche". Tilman Werner, un membro della comunità di esperti di sicurezza Internet, è sicuro che gli hacker solitari non possano farlo.

“Stuxnet è così sofisticato da un punto di vista tecnico che si dovrebbe presumere che nello sviluppo del programma dannoso siano stati coinvolti specialisti di agenzie governative o che, secondo almeno fornito alcuni aiuto significativo nella sua creazione”, - dice Werner.

Gli esperti notano che il virus Stuxnet entra in un computer tramite una presa USB da un supporto infetto, di solito un disk-on-key, comunemente indicato come un'unità flash. Da quel momento in poi, il computer infetto diventa esso stesso una fonte di infezione.

E il "verme" al suo interno (il virus Stuxnet ne ha sei diversi modi penetrazione e consolidamento nel sistema operativo del computer) inizia a operare offline. Non ha più bisogno di alcun comando esterno. Sa dalla nascita cosa fare. Il virus Stuxnet verifica il contenuto del computer, i comandi in entrata e in uscita da esso e si comporta in modo del tutto normale rispetto al sistema che lo ha assorbito, non danneggia né se stesso né i suoi partner, finché non si imbatte nei segni del bersaglio per cui è stato creato per cacciare - programmi di gestione della produzione Siemens. E poi si trasforma in un crudele predatore-distruttore.

Il virus Stuxnet è specializzato in programmi per computer per sistemi di controllo industriale su larga scala SCADA (Supervisory Control and Data Acquisition), ovvero "controllo di supervisione e acquisizione dati". Questi sistemi regolano i processi tecnologici di centrali elettriche, oleodotti e gasdotti, impianti militari, imprese di infrastrutture civili, ecc.

Il virus Stuxnet, in possesso delle necessarie capacità iniziali dell'amministratore di sistema e conoscendo le vulnerabilità del sistema operativo, che nessuno conosce, tranne lui e i suoi creatori, si eleva nella gerarchia di gestione stabilita al livello di avvio del comando, in realtà prende il potere nel sistema e lo reindirizza per eseguire il proprio scopo distruttivo.

Prima di tutto, cambia la "testa" del computer e riprogramma il programma PLC (Programmable Logic Controler - controllore logico programmabile), che è responsabile della logica. E comincia a dare comandi lui stesso.

Secondo Ralph Langner, specialista in sicurezza industriale di Siemens, il virus Stuxnet può modificare i parametri operativi del "blocco operativo 35", che monitora situazioni produttive critiche che richiedono una risposta urgente di 100 millisecondi. Se è così, non costa nulla a un "verme" indignato portare il sistema a un incidente devastante.

Prendendo il controllo, il virus Stuxnet porta costantemente il sistema a interrompere la produzione. Non è affatto una spia, come molti speravano all'inizio, è un sabotatore. Non appena il codice sorgente del PLC smette di essere eseguito, sostiene Ralph Langner, ci si può aspettare che presto qualche collegamento esploda, collassi. E, molto probabilmente, si rivelerà qualcosa di importante.

Gli esperti concordano sul fatto che lo sviluppo e l'implementazione di un virus così complesso sia un compito insopportabile per un hacker, un gruppo di hacker o qualsiasi struttura privata. Questa è chiaramente opera dello Stato. Solo lo Stato poteva permettersi di lanciare un "verme" così costoso, declassandolo di fatto, solo per un obiettivo per esso estremamente importante e solo perché non poteva più aspettare.

A tal proposito, lo stesso Ralph Langner fa un presupposto logico che il virus Stuxnet, molto probabilmente, abbia già svolto il suo lavoro. Tuttavia, il "verme", anche se chiaramente no spyware, ma fornisce alcune informazioni, anche per il grande pubblico, almeno per il fatto stesso della sua esistenza.

Problemi di preoccupazione Siemens

Ampio fatto notoè che la centrale nucleare di Bushehr è stata costruita dagli specialisti russi di Atomstroyexport su Tecnologie russe e utilizzando i sistemi computerizzati di controllo della produzione Siemens.

Da notare che, secondo gli esperti, il virus Stuxnet infetta solo un tipo specifico di controllori Siemens, ovvero il SIMATIC S7, che, secondo l'AIEA (International Atomic Energy Agency), è utilizzato dall'Iran. Allo stesso tempo, circa il 60% dei computer infettati dal virus Stuxnet si trova in Iran e il restante 40% si trova in paesi che sono in qualche modo collegati ad esso: Indonesia, India e Pakistan.

Un dettaglio importante della questione in esame è che è stata la società Siemens a prendere parte attiva negli anni '70. il secolo scorso nella fornitura di attrezzature ad alta tecnologia programma nucleare Iran. Dopo la vittoria della rivoluzione islamica, la preoccupazione ha smesso di funzionare nel paese, ma poi i tedeschi sono tornati e l'Iran è diventato per loro uno dei maggiori clienti per attrezzature specifiche. Tuttavia, dopo l'introduzione di sanzioni internazionali, con grande riluttanza e sotto forte pressione da parte del governo tedesco, Siemens ha annunciato la risoluzione dei contratti con l'Iran. I rappresentanti della preoccupazione fanno ancora riferimento a questo fatto in risposta ai rimproveri che sorgono di tanto in tanto. Tuttavia, sono stati presto sorpresi a fornire apparecchiature vietate e componenti a duplice uso che potrebbero essere utilizzati per l'installazione negli impianti nucleari iraniani, di cui parleremo di seguito.

Versione di supporto del software

Come in tutto il mondo delle imprese del ciclo nucleare, l'impianto di arricchimento dell'uranio è un'impresa chiusa e presenta grandi restrizioni, comprese quelle legate all'accesso di estranei al proprio territorio. Ma gli organizzatori del sabotaggio avevano alcune idee sulle specifiche del processo di produzione. Quindi, nel 2007-2008. L'impianto è stato visitato dagli ispettori dell'AIEA - quindi le autorità iraniane non avevano ancora chiuso loro le porte. Gli esperti hanno appreso molte informazioni interessanti anche dalla televisione ufficiale iraniana e dalle fotografie dedicate alla visita allo stabilimento del presidente del Paese Mahmoud Ahmadinejad nel 2008. I servizi di sicurezza hanno lavorato allora in modo sorprendentemente poco professionale. Quindi, nella foto potresti vedere i monitor dei computer che funzionano con il sistema operativo Windows; si è saputo esattamente quali centrifughe vengono utilizzate a Natanz (aggirando l'embargo sulla fornitura di attrezzature vietate, l'Iran ha acquistato centrifughe dal Pakistan); e il controllo computerizzato dei motori delle centrifughe viene effettuato utilizzando i controller Siemens. Con queste informazioni era solo necessario decidere come introdurre in modo affidabile il programma dannoso nella rete informatica aziendale, perché per motivi di sicurezza non è connesso a Internet. E gli autori del virus Stuxnet hanno trovato una soluzione intelligente:

Poiché per le esigenze di una produzione specifica per i controllori Siemens, viene sempre creato un software speciale (il sistema di controllo stesso), i programmi di gestione vengono "scritti" su di essi su ordinazione, pertanto gli sviluppatori successivamente si impegnano nel supporto pianificato e forniscono regolarmente aggiornamenti file alla produzione. Il modo più possibile per fornire informazioni a una rete di impianti chiusi è un supporto esterno. Gli hacker hanno iniettato il virus Stuxnet a sei società di software iraniane che ritenevano potessero avere contatti con lo stabilimento di Natanz. L'infezione dei computer di queste aziende è stata una questione tecnica, poiché sono connesse a Internet e i loro dipendenti utilizzano la posta elettronica. Come previsto, l'aspettativa che prima o poi il virus arrivasse a destinazione era pienamente giustificata: i computer infetti che ne controllano la produzione, ad un certo punto hanno dato il comando di far girare le centrifughe fino a quando alcuni di loro si sono rotti. ... Solo allora il personale addetto alla manutenzione dell'impianto si è accorto che qualcosa non andava e ha interrotto l'alimentazione.

traccia israeliana

L'Iran si è trasformato in un oggetto di maggiore attenzione internazionale quando i paesi occidentali hanno iniziato a prendere provvedimenti in ogni modo possibile per interrompere i suoi programmi nucleari, volti, a loro avviso, a creare le proprie armi nucleari. In queste condizioni, si sta lavorando per far crollare la sua economia attaccando contemporaneamente i settori militare-industriale e scientifico. Questa conclusione è contenuta nel libro pubblicato nell'Unione Europea dallo specialista dell'intelligence Yvonnick Denoel "The Secret Wars of the Mossad". Per la prima volta, questa edizione descrive in dettaglio l'operazione per interrompere il funzionamento delle centrifughe per l'arricchimento dell'uranio utilizzando un virus informatico.

I primi dati sull'impianto sotterraneo di arricchimento dell'uranio a Natanz sono stati ricevuti dai servizi speciali occidentali nel 2002, quando gli agenti dell'intelligence tedesca hanno reclutato un uomo d'affari iraniano, la cui società ha preso parte alla creazione di questo impianto. Sulla base delle parole dell'autore, l'iraniano ha accettato di fornire mappe, fotografie, descrizioni tecniche e altre informazioni su questo oggetto in cambio della promessa di portarlo fuori dal paese in seguito e concedere la cittadinanza tedesca. Tuttavia, osserva Denoel, il controspionaggio iraniano ha scoperto questo agente nel 2004 e lo ha eliminato. Tuttavia, sua moglie è stata in grado di portare dall'Iran alla Germania computer portatile marito defunto.

"Il computer è diventato una vera caverna di Ali Baba, e ci sono voluti mesi dell'intelligence tedesca per studiare i documenti che gli sono caduti nelle mani", - l'autore delle note del libro.

Seguì nel 2006 una serie "sospetta" di esplosioni presso l'impianto di Natanz e il centro nucleare di Isfahan, in cui i trasformatori furono disabilitati durante il lancio di centrifughe a gas che arricchiscono l'uranio. Di conseguenza, a Natanz sono state danneggiate fino a 50 centrifughe.

Nel frattempo, nel 2009, presso l'impianto nucleare israeliano di Dimona, nel deserto del Negev, è stato formato un team congiunto di specialisti statunitensi per monitorare il programma nucleare israeliano. Allo stesso tempo, i servizi di intelligence israeliani hanno creato una copia funzionante esatta dell'impianto di arricchimento iraniano di Natanz sulla base della documentazione ricevuta dai servizi di intelligence. Questo lavoro è stato facilitato dal fatto che sia Dimona che Natanz hanno utilizzato la tecnologia nucleare francese. Denoel scrive che i servizi speciali israeliani sono riusciti ad acquistare centrifughe sul "mercato nero" mondiale, simili a quelle che l'Iran utilizza per arricchire l'uranio.

Di conseguenza, secondo esperti indipendenti, la creazione da parte di Israele dello "specchio Natanz" con il suo ciclo produttivo consente di monitorare in tempo reale i progressi in un'area chiave del programma nucleare iraniano: i lavori di arricchimento dell'uranio. Secondo l'autore, sono state le centrifughe dello stabilimento di Natanz a diventare oggetto di attacco da parte dei servizi speciali occidentali, che hanno utilizzato le reti di computer per questo.

Secondo Denoel, nel 2008, effettuando transazioni con l'Iran, la società di ingegneria tedesca Siemens "ha accettato di collaborare con il Ministero sicurezza interna Gli Stati Uniti per aiutare i suoi specialisti a trovare vulnerabilità nel sistema informatico delle forze armate iraniane". Ciò è stato facilitato dal fatto che Siemens è stata coinvolta nella creazione di computer che gestiscono grandi complessi industriali ed energetici (controllori). Come si è scoperto, l'attrezzatura informatica dell'azienda tedesca è stata utilizzata anche dagli iraniani nello stabilimento di Natanz.

Allo stesso tempo, i servizi speciali di Israele e degli Stati Uniti hanno organizzato un gruppo per creare il virus informatico Stuxnet, che ha iniziato a funzionare a Dimona. A tal proposito, il New York Times ha scritto che senza ricreare il processo produttivo dell'impianto iraniano di Natanz presso il centro nucleare israeliano, il virus Stuxnet non avrebbe potuto funzionare con alta efficienza. Allo stesso tempo, Israele è attratto dal lavoro di scienziati e tecnici precedentemente in pensione che hanno lavorato nel settore nucleare negli anni '50 e '60. - il processo di produzione a Natanz si è rivelato così specifico e, inoltre, piuttosto obsoleto. Ma erano questi specialisti veterani che possedevano le conoscenze necessarie per ricreare i processi tecnologici del programma nucleare iraniano.

L'operazione di sabotaggio industriale in Iran ha avuto diversi livelli. Ad esempio, nel giugno 2009, gli specialisti statunitensi e israeliani hanno creato e lanciato una versione semplificata del virus Stuxnet su Internet, la cui fonte non è stata determinata. Inizialmente, questo virus consentiva di rubare informazioni archiviate nei computer, numeri di identificazione, password e parole in codice, informazioni sulla configurazione delle reti.

Poche settimane dopo, dopo la prima comparsa del virus Stuxnet sul Web globale, ne è stata rilasciata una versione sofisticata, volta ad attaccare gli impianti di produzione iraniani. È stata lei a essere inviata da specialisti statunitensi e israeliani alla rete dello stabilimento di Natanz, dove ha preso il controllo del sistema di controllo della centrifuga. Secondo Denoel, il virus ha costretto i programmi di controllo a segnalare il "normale funzionamento" mentre penetrava sempre più in profondità nei sistemi di produzione.

"Così, è stata creata una realtà virtuale nel sistema informatico di Natanz, che non ha permesso agli specialisti iraniani di sospettare il fatto di un attacco di virus", - osserva l'autore del libro.

Tutto fa pensare che nel 2010 sia stato dato l'ordine di iniziare l'attacco, e il virus, prendendo il controllo delle centrifughe, le abbia costrette ad aumentare la velocità del rotore da 1.000 giri al secondo a 1.400. guasto della centrifuga.

Gli ispettori dell'AIEA hanno immediatamente riferito che alcuni eventi si stavano verificando nello stabilimento di Natanz. Tipicamente, in questo impianto, dove sono state impiegate 8.700 centrifughe, il numero di guasti non ha superato il 10% all'anno. Tuttavia, entro tre mesi del 2010, i tecnici iraniani hanno sostituito fino a 2mila centrifughe, hanno affermato i rappresentanti dell'AIEA. Secondo gli analisti occidentali, l'attacco tecnologico ha rallentato di 24 mesi i progressi nell'arricchimento dell'uranio. Così, secondo l'ex capo del Mossad, Meir Dagan, "un'operazione riuscita ha ritardato di diversi anni l'inizio della produzione iraniana di uranio arricchito per armi".

Tuttavia, secondo Denoel, l'operazione non è riuscita a fermare il programma nucleare iraniano. Le centrifughe danneggiate sono state sostituite e, secondo l'intelligence occidentale, Teheran ha fino a 8.000 centrifughe di riserva.

Materiali di indagine

Le statistiche pre-2010 mostrano che le centrifughe di riserva di Teheran sono un modello piuttosto obsoleto (IR-1) e inoltre si guastano frequentemente. Quindi, nel 2009-2010. Specialisti iraniani hanno smantellato e sostituito circa 1.000 centrifughe IR-1 presso l'impianto di arricchimento dell'uranio.

I dati pubblicati dall'AIEA confermano che all'inizio del 2010 stava accadendo qualcosa di strano nello stabilimento. Nell'officina (modulo tecnologico A26) sono state spente 11 delle 18 cascate di centrifughe, per un totale di 1.804 macchine. In altri negozi la situazione è apparsa migliore, anche se si sono registrate fermate di una o due cascate.

Il modulo A26 è stato installato nel 2008. Questo è il secondo modulo assemblato in fabbrica. A giugno 2009, 12 delle 18 cascate di questo modulo stavano arricchendo l'uranio. Nell'agosto 2009, 10 cascate sono state impegnate nell'arricchimento e a novembre solo sei.

Questa diminuzione del numero di cascate di arricchimento dell'uranio conferma che sono sorti problemi significativi al modulo A26. E nel periodo compreso tra novembre 2009 e fine gennaio 2010 (è impossibile dire più precisamente) è successo qualcosa che ha richiesto lo spegnimento di 11 cascate contemporaneamente.

Allo stesso tempo, va notato che il fatto di guasto delle centrifughe IR-1 non è di per sé un evento straordinario. Le centrifughe IR-1 si rompono e lo fanno frequentemente. Secondo stime non ufficiali degli specialisti dell'AIEA, ogni anno in questo impianto si guasta fino al 10% del numero totale di centrifughe installate, ovvero 800-900 macchine all'anno.

È possibile che le centrifughe del modulo A26 si guastino per motivi "naturali", sebbene il numero di macchine guasti sia piuttosto elevato e superi il tasso di guasto annuale.

C'è un'altra spiegazione che esclude qualsiasi sabotaggio esterno: questa è la qualità dell'installazione dei gruppi centrifughi nel modulo A26, che può essere bassa, che potrebbe essere percepita. Pertanto, è noto che le centrifughe del primo modulo iraniano (A24) funzionano stabilmente. Ma sul secondo modulo (A26), la qualità del lavoro durante l'installazione dei gruppi centrifuga eseguita dopo l'introduzione divieto internazionale(per la fornitura della corrispondente attrezzatura specifica), potrebbe essere inferiore rispetto al primo. Questa spiegazione non contraddice la realtà. Non è chiaro, tuttavia, perché il difetto di fabbrica abbia interessato più di un anno dopo il lancio del secondo modulo.

C'è anche una terza versione. Quindi, il primo modulo (A24) potrebbe essere stato realizzato con componenti importati ufficialmente acquistati e il secondo (A26) - da parti sconosciute all'Iran. In questo caso, il guasto di massa delle centrifughe del secondo modulo non dovrebbe sorprendere.

Va notato che gli esperti di Symantec hanno stabilito che il virus Stuxnet attacca, tra le altre cose, i convertitori di frequenza prodotti dalla società iraniana Fararo Paya e dalla società finlandese Vacon. Gli esperti hanno designato le corrispondenti sequenze di comandi nel corpo del virus come "A" e "B". Convertitori di frequenza sulle centrifughe è necessario un sistema di controllo del motore, che consente di impostare la velocità di rotazione dei rotori delle centrifughe con grande precisione.

I convertitori presi di mira dal virus Stuxnet hanno una portata limitata, compresi quelli destinati all'installazione su centrifughe. Molti esperti, dopo il rapporto di Symantec, credevano che il virus fosse progettato per combattere il programma nucleare iraniano.

Allo stesso tempo, l'Iran non ha mai indicato il tipo di trasformatori nelle sue dichiarazioni e non ha permesso agli ispettori di ottenere questi dati.

(Segue il finale)

“Non so che arma useranno per combattere nella terza guerra mondiale, ma nella quarta si useranno pietre e clave”
Albert Einstein

Alla fine di settembre si è saputo che il virus Stuxnet aveva causato gravi danni al programma nucleare iraniano. Utilizzando le vulnerabilità del sistema operativo e il famigerato "fattore umano", Stuxnet ha colpito con successo 1.368 centrifughe su 5.000 presso l'impianto di arricchimento dell'uranio di Natanz e ha anche interrotto le date di lancio della centrale nucleare di Bushehr. Il cliente è sconosciuto. L'appaltatore è un dipendente Siemens negligente che ha inserito un'unità flash infetta in una workstation. I danni inflitti agli impianti nucleari iraniani sono paragonabili a quelli di un attacco dell'aviazione israeliana.
Il mondo ha iniziato a parlare delle guerre di una nuova generazione. Gli attacchi informatici possono essere strumenti ideali per le prossime guerre: sono rapidi, efficaci nella loro distruttività e di solito sono anonimi. Oggi gli stati stanno concordando frettolosamente una strategia comune per contrastare le minacce informatiche. Cosa succederà domani? Sfortunatamente, la risposta più realistica a questa domanda è ancora il cupo aforisma di Einstein.

L'Iran è impotente di fronte alla minaccia tecnologica

Profezie cupe sull'imminente era della guerra tecnologica hanno riempito i titoli della stampa mondiale. Esperti in una varietà di discipline stanno combattendo per risolvere Stuxnet, il virus che ha infettato gli impianti nucleari dell'Iran, dalla sicurezza informatica alla linguistica e all'antropologia. Stuxnet è stato scoperto dai laboratori antivirus molto tempo fa, ma il mondo ha appreso la vera portata dell'infezione alla fine di settembre, quando si è saputo del ritardo nel lancio della prima centrale nucleare di Bushehr in Iran. Mentre Ali Akbar Salehi, capo dell'Organizzazione per l'energia atomica dell'Iran, ha affermato che il ritardo nell'avvio della centrale nucleare non ha nulla a che fare con il virus, Mark Fitzpatrick dell'Istituto internazionale per gli studi strategici ha osservato che ciò non sembra molto serio, e l'Iran è incline a mettere a tacere i veri problemi della centrale nucleare. Dopo qualche tempo, Mahmoud Jafari, il project manager della stazione di Bushehr, si è "lasciato sfuggire". Secondo lui, Stuxnet "ha colpito diversi computer, ma non ha causato alcun danno al sistema operativo principale della stazione". Sapienti sat. Anche gli impianti nucleari iraniani a Natanz sono stati gravemente danneggiati, con 1.368 centrifughe su 5.000 disabilitate da Stuxnet. Quando a Mahmoud Ahmadinejad è stato chiesto direttamente dei problemi tecnologici con il programma nucleare dopo la sessione dell'Assemblea generale delle Nazioni Unite, ha semplicemente alzato le spalle e non ha risposto. Si noti che, secondo il New York Times, il danno delle azioni del virus in Iran è paragonabile, forse, a un attacco dell'aeronautica israeliana.

L'autore! L'autore!

Per ovvie ragioni, gli sviluppatori di Stuxnet preferiscono mantenere un profilo basso, ma è chiaro che la complessità del virus non ha precedenti. La creazione di un tale progetto richiede enormi investimenti intellettuali e finanziari, il che significa che solo le strutture su scala statale possono farlo. Tutti gli esperti concordano sul fatto che il virus non sia il prodotto di un "gruppo di appassionati". Laurent Esloe, chief security officer di Symantec, stima che almeno da sei a dieci persone abbiano lavorato su Stuxnet per un periodo da sei a nove mesi. Frank Rieger, direttore tecnico di GSMK, supporta il suo collega: secondo lui, il virus è stato creato da un team di dieci programmatori esperti e lo sviluppo ha richiesto circa sei mesi. Rieger indica anche l'importo approssimativo della creazione di Stuxnet: si tratta di almeno $ 3 milioni.Eugene Kaspersky, direttore generale di Kaspersky Lab, afferma sugli obiettivi militari del virus: "Stuxnet non ruba denaro, invia spam o ruba informazioni riservate. Questo malware è stato creato per controllare i processi di produzione, letteralmente per controllare enormi impianti di produzione. Nel recente passato, abbiamo combattuto contro i criminali informatici e gli hooligan di Internet, ora, temo, sta arrivando il momento del terrorismo informatico, delle armi informatiche e delle guerre cibernetiche". Tillmann Werner, membro dell'Honeynet Project, una comunità di esperti di sicurezza in Internet, è convinto che gli hacker solitari non possano farlo. "Stuxnet è così sofisticato da un punto di vista tecnico che si dovrebbe presumere che gli specialisti del governo siano stati coinvolti nello sviluppo del malware, o che almeno abbiano fornito assistenza nella sua creazione", afferma Werner.

Nel processo di analisi di Stuxnet, diversi media hanno concluso che dietro la creazione del virus c'era Israele. Il primo a parlare del coinvolgimento di Israele nell'attacco all'Iran è stato John Markoff, giornalista del New York Times, riferendo che gli analisti avevano evidenziato il nome di uno dei frammenti di codice "myrtus" ("mirto"). Tradotto in ebraico, "mirto" suona come "adas", che a sua volta è in consonanza con il nome "Hadassah" appartenente a Esther (Ester) - l'eroina della storia ebraica che salvò il suo popolo dalla distruzione nell'impero persiano. Tracciando un'analogia con l'antica Persia, dove si trova l'Iran moderno, alcuni analisti ritengono che Israele abbia lasciato " biglietto da visita"Nel codice del virus. Tuttavia, secondo un certo numero di esperti, questa versione non regge alle critiche e ricorda la trama di un romanzo poliziesco a buon mercato - "scrittura a mano" troppo primitiva per un progetto di questa portata.

Allo stesso tempo, va sottolineato che la scorsa estate (ricordiamo, la diffusione di Stuxnet è iniziata nel 2009), WikiLeaks ha riportato un grave incidente nucleare a Natanz. Poco dopo si è saputo che il capo dell'Organizzazione per l'energia atomica dell'Iran, Gholam Reza Aghazadeh, si era dimesso senza fornire alcuna motivazione. Nello stesso periodo sono apparse sui media le dichiarazioni di politici e militari israeliani su un possibile scontro con l'Iran sul fronte tecnologico. Inoltre, Israele ha modificato la data prevista per la ricezione della bomba atomica da parte dell'Iran spostandola al 2014 e i poteri di Meir Dagan, capo del Mossad, sono stati estesi per la sua partecipazione a "progetti importanti" senza nome.

Fattore umano

Degna di nota è la storia dell'infezione iniziale, che ha segnato l'inizio della diffusione del virus. È ovvio che i sistemi controllo automatizzato di livello simile non sono collegati alla rete. In una delle conferenze sulla sicurezza, un esperto del NATO Cyber Center in Estonia, Kenneth Geers, ha suggerito in una conferenza sulla sicurezza che il successo dell'attacco Stuxnet dipendeva esclusivamente dai contatti con le persone giuste e ... unità USB elementari. "Puoi pagare qualcuno per lanciare un Trojan in sistema chiuso, o sostituire l'unità flash, che era destinata esclusivamente all'uso interno, "- riflette Gears. - "È sufficiente inserire un'unità flash USB infetta in un connettore USB standard del computer e Stuxnet passa immediatamente automaticamente al sistema operativo e nessun programma antivirus o altra misura di protezione interferirà con esso." In effetti, l'"anello debole" era il fattore umano: Stuxnet è stato introdotto nel sistema da normale chiavetta USB, che, per disattenzione, ha inserito nella postazione di lavoro un impiegato disattento. È interessante notare che dopo le dichiarazioni del ministro dell'intelligence iraniano Heydar Moslehi sull'arresto di "spie nucleari" (si sono rivelati tecnici russi completamente innocenti), la direzione della Siemens ha ammesso che il virus è stato portato dai dipendenti dell'azienda, sottolineando l'involontaria natura dell'infezione. Va notato che Stuxnet riguarda solo un tipo specifico di controller Siemens, ovvero SIMATIC S7, che, secondo l'AIEA, è utilizzato dall'Iran.

Guerra cibernetica. Il campo di battaglia è la Terra?

Alla conferenza Virus Bulletin 2010 a Vancouver, Canada, un breve intervento di Liam O Murchu, uno dei maggiori esperti di sicurezza IT di Symantec, ha catturato l'attenzione del pubblico. L'analista ha condotto un esperimento che ha chiarito il pericolo di una minaccia informatica meglio di centinaia di rapporti formali. A proposito di Merchu ha installato una pompa ad aria sul palco che esegue un sistema operativo Siemens, ha infettato la workstation che controlla la pompa con il virus Stuxnet e ha messo in moto il processo. La pompa ha gonfiato rapidamente il palloncino, ma il processo non si è fermato: il palloncino si è gonfiato fino a scoppiare. "Immaginate che questo non sia un pallone, ma una centrale nucleare iraniana", ha detto l'esperto, ponendo fine alla questione della "serietà" delle guerre informatiche.

I colleghi di O Merchu condividono pienamente le sue preoccupazioni. Ricercatore Trend Micro Paul Ferguson ha affermato che con la creazione di Stuxnet, è apparsa nel mondo una vera e propria arma cibernetica che va oltre i tradizionali schemi distruttivi (furto di numeri di carta di credito, ecc.) e può portare a gravi incidenti in impianti industriali molto pericolosi. Ferguson sottolinea che ora gli analisti "intimidiranno letteralmente il governo affinché prenda serie misure di sicurezza".

In effetti, il capo del quartier generale informatico statunitense appena creato al Pentagono, il generale Keith Alexander, parlando al Congresso, ha dichiarato pubblicamente che la minaccia della guerra cibernetica è cresciuta a un ritmo esponenziale negli ultimi anni. Alexander ha ricordato due attacchi informatici a interi stati: in Estonia (nel 2007, dopo lo smantellamento del Soldato di bronzo) e in Georgia (nel 2008, durante la guerra con la Russia).

Il presidente estone Toomas Hendrik Ilves, in un'intervista al Berliner Zeitung, solleva la questione delle minacce informatiche in alto livello... Il presidente estone sottolinea: La decisione della NATO di localizzare il Cybersecurity Center a Tallinn (ricordiamo, è stato aperto nel maggio 2008) è dovuta al fatto che l'Estonia è uno dei paesi più informatizzati d'Europa, nonché il primo stato a subire un attacco informatico su vasta scala nel 2007. Dopo un attacco che ha paralizzato le infrastrutture di un intero paese, il ministro della Difesa estone Jaak Aaviksoo ha persino chiesto alla NATO di equiparare questi attacchi informatici a un'azione militare. Il presidente rilascia oggi dichiarazioni simili: "Il virus Stuxnet ha dimostrato quanto dobbiamo prendere sul serio la sicurezza informatica, perché tali prodotti possono distruggere infrastrutture vitali. Nel caso dell'Iran, il virus sembra prendere di mira un programma nucleare, ma virus simili possono distruggere la nostra economia guidata dai computer. Se ne dovrebbe discutere in NATO: se un missile distrugge una centrale elettrica, entra in vigore il comma 5. Ma come procedere in caso di attacco virus informatici? " - chiede Toomas Hendrik Ilves. La proposta del Presidente è in linea con le tendenze attuali: “Sia l'UE che la NATO devono svilupparsi politica comune, comprese le norme legali che diventeranno la base per la protezione collettiva contro le minacce nel cyberspazio ", ha affermato il capo dello stato.

Il primo vicesegretario alla difesa William J. Lynn è pienamente d'accordo con Toomas Hendrik Ilves. In un'intervista a Radio Liberty, Lynn ha provato a rispondere alla domanda posta da Ilves: “Se lo sciopero ha colpito elementi essenziali della nostra economia, probabilmente dovremmo considerarlo un attacco. Ma se la violazione ha provocato il furto di dati, allora potrebbe non essere un attacco. Ci sono molte altre opzioni tra questi due estremi. Per articolare una linea politica, dobbiamo decidere dove si trova il confine tra hacking e attacco, o tra spionaggio e furto di dati. Penso che su questo argomento ci sia una discussione sia al governo che al di fuori di esso, e non credo che questa discussione sia già stata esaurita».

Inoltre, il discorso di apertura di William Lynn è stato l'annuncio pubblico dei cinque principi su cui si basa la nuova strategia di sicurezza informatica degli Stati Uniti. Per citare il vicesegretario alla Difesa degli Stati Uniti senza tagli:
“Il primo di questi principi è che dobbiamo riconoscere il cyberspazio per quello che è diventato: una nuova zona di guerra. Proprio come la terra, il mare, l'aria e lo spazio esterno, dobbiamo vedere il cyberspazio come la nostra area di operazioni, che difenderemo e alla quale estenderemo la nostra dottrina militare. Questo è ciò che ci ha spinto a creare un Cyber Command unificato sotto Strategic Command.

Il secondo principio, di cui ho già parlato, è che la difesa deve essere attiva. Dovrebbe includere due linee generalmente accettate di difesa passiva - in effetti, questa è l'igiene comune: patch in tempo, aggiornamento dei programmi antivirus, miglioramento dei mezzi di protezione. Abbiamo anche bisogno di una seconda linea di difesa, che viene utilizzata dalle aziende private: rilevatori di intrusioni, programmi di monitoraggio della sicurezza. È probabile che tutti questi strumenti ti aiutino a respingere circa l'80% degli attacchi. Il restante 20 percento è una stima molto approssimativa: attacchi sofisticati che non possono essere prevenuti o fermati riparando i buchi. Serve un arsenale molto più attivo. Abbiamo bisogno di strumenti in grado di rilevare e bloccare Codice malevolo... Abbiamo bisogno di programmi che identifichino e perseguano gli elementi dannosi che lo hanno invaso all'interno della propria rete. Quando li trovi, dovresti essere in grado di bloccare la loro comunicazione con la rete esterna. In altre parole, sembra più una guerra mobile che la linea Maginot.

Il terzo principio di una strategia di sicurezza informatica è la protezione delle infrastrutture civili.

Quarto, gli Stati Uniti ei loro alleati devono adottare misure di difesa collettiva. Al prossimo vertice Nato di Lisbona verranno prese importanti decisioni al riguardo.

Infine, il quinto principio è che gli Stati Uniti devono rimanere in prima linea nello sviluppo del software".

La reazione di Dmitry Rogozin, rappresentante permanente della Russia presso la NATO, ai processi in atto nell'Alleanza è davvero notevole. Apparentemente, la Russia è estremamente preoccupata per il prossimo vertice della NATO a Lisbona, che si terrà il 20 novembre, perché è lì che si prevede di chiarire il dilemma se l'attacco alle reti informatiche militari e governative di un membro della NATO sia considerato una scusa per utilizzare l'articolo 5 del Trattato di Washington e rispondere con un attacco militare collettivo. Rogozin scrive nel suo stile caratteristico: “Scopriremo finalmente se è lecito per la NATO colpire gli appartamenti degli hacker con una bomba vigorosa, o si presume che la guerra informatica non andrà oltre il cyberspazio. V l'ultimo scenario Ho buone ragioni per dubitarne. Letteralmente sotto i nostri occhi, sui periodici occidentali si sta svolgendo un enorme scandalo in relazione alla diffusione di un worm chiamato Stuxnet. Sono abituato a leggere e invio di SMS nell'alfabeto latino, quindi ho letto immediatamente il nome del virus come verbo russo della forma del tempo futuro: "uscirà". Assicurati che qualcosa esca o cada per qualcuno e per coloro che hanno lanciato questo virus. Come sai, chi semina vento raccoglie tempesta”. Non osando commentare la ricerca letteraria e creativa del signor Rogozin, notiamo che è stata la Russia ad essere accusata dei due più grandi attacchi di hacker a interi stati (Estonia e Georgia) - forse questo è ciò che ha causato una reazione così violenta da parte del plenipotenziario impressionabile.

Così, sullo sfondo dell'isteria provocata da Stuxnet, alcuni Stati hanno dichiarato la necessità di formare una politica comune per prevenire gli attacchi informatici. Questo porterà al risultato sperato, anche supponendo che verrà elaborato (e firmato) un documento che disciplini l'uso delle tecnologie distruttive? IT Business Week sembra essere estremamente dubbioso, le tentazioni offerte da alta tecnologia: anonimato, sicurezza (per l'attaccante), rapporto costo/efficacia senza precedenti. Ciò significa che Stuxnet è stata solo la prima rondine dell'era della rivoluzione tecno-sociale, che non è iniziata affatto come sognata.

tag:

virus
Stuxnet
Iran

Aggiungere etichette

Stuxnet è in realtà il primo virus della storia ad attraversare il confine del cyberspazio nel mondo fisico reale, il primo virus in grado di corrompere non solo dati e codice programma, ma anche macchine e impianti abbastanza reali.

Pavel Volobuev,
Specialista in informazioni di sicurezza
sistemi tecnologici,
Sicurezza digitale

Molto è stato scritto su questo verme. Ma ancora, per strani motivi, non tanti quanto potrebbero, perché non stiamo parlando solo di un virus ordinario. Stuxnet è in realtà il primo virus nella storia ad attraversare il confine del cyberspazio nel mondo fisico reale, il primo virus in grado di corrompere non solo dati e codice di programma, ma anche macchine e installazioni abbastanza reali. Il suo aspetto non solo ha rivelato le prossime vulnerabilità nei sistemi operativi Microsoft, ma ha anche indirizzato gli occhi degli specialisti della sicurezza delle informazioni su un'area completamente nuova per loro: la sicurezza dei sistemi industriali. In precedenza, poche persone ci pensavano, anche se alcune aziende lo avevano avvertito diversi anni fa. Le ragioni sono abbastanza chiare: le reti industriali sono solitamente isolate non solo dalle reti pubbliche, ma anche da reti interne imprese, utilizzano attrezzature e software molto specifici, tutti i processi sono chiaramente regolati. Sembrerebbe che semplicemente non possa esserci alcun pericolo! Ma a quanto pare, non è così. Potremmo vedere un'immagine "fantastica" simile nel già abbastanza vecchio film "Hackers". Gli sviluppatori del worm Stuxnet sono stati in grado di aggirare facilmente questa protezione fisica apparentemente più affidabile. Perché "sviluppatori"? Perché qui stiamo senza dubbio parlando non di una persona, ma di un intero gruppo, che, oltre a programmatori professionisti e autori di exploit, includeva ingegneri e specialisti ICS che conoscono le specifiche del lavoro con controller industriali e altre apparecchiature periferiche. Le domande sono tante, ma le risposte... nonostante siano passati 4 mesi dal primo rilevamento del worm, non ci sono ancora risposte chiare. Ci sono diverse ragioni per questo:

Innanzitutto, questo è forse il primo caso di un programma dannoso rivolto specificamente ai sistemi industriali;
In secondo luogo, gli specialisti nella sicurezza delle informazioni e nella protezione antivirus di solito hanno un'idea estremamente lontana di cosa siano PLC e SCADA e gli specialisti nei sistemi di controllo dei processi sono lontani dalla sicurezza delle informazioni e questo complica notevolmente l'analisi di un virus;
E infine, poiché il virus ha colpito il lavoro delle più grandi aziende industriali ed energetiche, le informazioni a riguardo vengono accuratamente nascoste. E se la direzione delle aziende conosce ed è preoccupata per questo problema, l'occultamento delle informazioni di solito avviene al livello inferiore.

Digital Security è una delle poche aziende in Russia che lavora nel campo della sicurezza delle informazioni, che impiega specialisti con esperienza nello sviluppo e nell'implementazione. sistemi automatizzati gestione di processi tecnologici complessi. Ed è per questo motivo che abbiamo deciso di condurre la nostra analisi per capire cosa sta realmente accadendo.

Quindi, proviamo a capirlo in ordine ...

Rete industriale: che cos'è?

Immagina un'installazione industriale che fa qualcosa e le cui unità devono essere controllate secondo un determinato algoritmo. Pesiamo questa installazione vari sensori e attuatori e connettersi al PLC, il controller, che esegue questo algoritmo. Allo stesso tempo, il controller controlla i livelli di temperatura, tensione, pressione, monitora la velocità del motore, accende e spegne vari meccanismi. E se alcuni parametri vanno oltre quanto consentito (le impostazioni di questi limiti sono scritte anche nel controllore), si interrompe l'installazione o il processo tecnologico. Ci possono essere molte installazioni e anche controller, rispettivamente. Di solito comunicano tra loro tramite Ethernet, RS485 e le loro varianti. Ethernet industriale è rete regolare Ethernet in cui attrezzatura attiva per le reti industriali è più resistente agli influssi esterni, vibrazioni, interferenze elettromagnetiche, temperatura, umidità, ecc. I protocolli industriali Modbus, Profibus, ecc. nelle moderne reti industriali funzionano spesso su TCP/IP. In effetti, ci sono, ovviamente, differenze rispetto alle reti classiche, ma non sono fondamentali nel contesto di questo articolo.

Il controller stesso è lo stesso computer, ma in un design in miniatura, progettato per eseguire determinate attività e con un proprio sistema operativo. Sistema operativo su controller industriali - di solito auto-sviluppato produttore, le cui informazioni sono inaccessibili: QNX (meno spesso Lunix) o DOS. La struttura dei controllori, di regola, è modulare: ad essi sono collegati vari moduli I/O per risolvere una serie di compiti. E tutto andrebbe bene, ma oltre ai controllori, un operatore umano controlla anche il lavoro del processo. E, naturalmente, è scomodo per lui monitorare manualmente le informazioni da dozzine e spesso centinaia di controller. Per l'operatore è installata una postazione di lavoro automatizzata nella rete industriale - Automated Posto di lavoro... AWP è un computer con sistema operativo Windows, sul quale è installato un programma per la visualizzazione di un processo tecnologico (SCADA). SCADA visualizza le letture dei controller, offre la possibilità di controllare i meccanismi in modalità manuale e consente di modificare alcuni parametri del processo tecnologico, nonché archivi record. Spesso sulle postazioni di lavoro viene installato un database per la registrazione di statistiche e la generazione di report. Ci possono essere diverse postazioni di lavoro nella rete - il loro numero dipende dalle dimensioni della produzione e dal numero di operatori. Le workstation sono sempre nella stessa rete con i controller. Spesso, il software antivirus non è installato su di essi e, se è installato, sicuramente non viene aggiornato. Si ritiene che i virus in questo ambiente isolato non possano comparire in alcun modo... Vale anche la pena notare che nessun aggiornamento del software di sistema sulle postazioni di lavoro avviene naturalmente: molti di essi funzionano ancora sotto Windows XP SP1 o, senza Pacchetto d'aggiornamento che li rende estremamente vulnerabili.

Molte persone che non hanno familiarità con il sistema di controllo del processo hanno una domanda del tutto logica: se c'è computer a tutti gli effetti che può gestire tutto, perché anche i controllori? La risposta è semplice: non sono affidabili. Computer sotto Controllo di Windows tendono a "bloccarsi" e, in effetti, Windows non pretende di essere un sistema operativo in tempo reale. E i controller hanno il proprio sistema operativo, il proprio alimentatore ridondante industriale e la tolleranza ai guasti è parecchie volte superiore a quella di qualsiasi personal computer.

Naturalmente, questa era una spiegazione molto superficiale dei principi di funzionamento dei sistemi industriali, ma senza di essa sarebbe difficile parlare del worm stesso e, soprattutto, dei problemi associati al suo trattamento. Quindi Stuxnet...

Stuxnet - che cos'è?

Stiamo parlando di malware estremamente tecnologico in tutte le sue forme. Questo worm sfrutta quattro vulnerabilità precedentemente sconosciute in Microsoft Windows, una delle quali è progettata per diffondersi quando aiuto flash USB unità. Inoltre, questa vulnerabilità è stata rilevata in tutte le versioni di Windows, inclusi XP, CE, Vista, 7, Windows Server 2003, 2008 e 2008R2 sia a 32 bit che a 64 bit. La vulnerabilità risiede nell'esecuzione del codice quando il sistema tenta di visualizzare l'icona dall'unità, ad esempio, quando viene visualizzata in Explorer. L'esecuzione del codice si verifica anche quando l'esecuzione automatica è completamente disabilitata per tutti i supporti. Inoltre, il codice malware implementa la capacità di infettare la rete. Ma, tuttavia, il tarlo è arrivato alla maggior parte degli oggetti industriali proprio attraverso vettori esterni - come e perché sarà descritto un po' più avanti. Un grande contributo all'analisi del codice del worm e delle vulnerabilità che utilizza è stato fornito dall'ufficio di rappresentanza russo di ESET, guidato da Alexander Matrosov.

Il worm installa due driver nel sistema, uno dei quali è un driver di filtro file system che nasconde la presenza di componenti malware su supporti rimovibili... Il secondo driver viene utilizzato per inserire una libreria di collegamento dinamico crittografata in processi di sistema e contiene software specializzato per eseguire l'attività principale. I driver che il Trojan installa sul sistema sono dotati di firme digitali rubate ai produttori di software legittimo. È noto che utilizza firme di proprietà di società come Realtek Semiconductor Corp. e JMicron Technology Corp. Gli aggressori usano firma digitale per installare silenziosamente i driver rootkit sul sistema di destinazione. Nei sistemi di sicurezza di molti produttori, i file firmati da note aziende sono volutamente considerati sicuri e la presenza di una firma consente di eseguire azioni nel sistema senza impedimenti senza impersonare se stessi. Inoltre, il worm ha meccanismi per controllare il numero di infezioni, autodistruzione e controllo remoto.

Oltre a diffondersi tramite supporti esterni, il worm infetta con successo anche i computer tramite una connessione LAN. Cioè, una volta su un computer al di fuori della rete industriale, analizza tutto attivo le connessioni di rete e "sfonda" alla rete industriale di tutti modi possibili... Dopo essere stato introdotto nel sistema, il malware cerca la presenza di un sistema SCADA Siemens al suo interno. Inoltre attacca solo i sistemi SCADA WinCC/PCS7. Non abbiamo dati sull'infezione di un altro sistema SCADA di Siemens - Desigo Insight, ampiamente utilizzato per l'automazione di edifici e complessi residenziali, aeroporti, ecc. Ciò indica che il worm è "bloccato" in grandi strutture industriali e strategiche.

Quando il worm "si accorge" di essere sulla macchina WinCC, entra nel sistema utilizzando lo standard Conti... Vale la pena notare che la Siemens ufficiale sconsiglia di cambiare le password standard sui propri sistemi, poiché "questo potrebbe influire sulle prestazioni del sistema" e l'uso da parte del worm di password standard garantisce quasi il 100% di successo dell'autorizzazione. Quindi il virus si collega a WinCC e quindi ottiene l'accesso al processo tecnologico. Ma non è tutto... Si "guarda intorno" in rete locale AWP. Avendo trovato altri AWP in esso, il worm infetta anche loro, utilizzando le vulnerabilità 0day nel servizio di stampa di Windows (inoltre, il worm può ottenere privilegi di sistema, se necessario, utilizzando altre due vulnerabilità zero-day). Il worm vede anche i controller sulla rete. Qui abbiamo raggiunto, forse, la sua funzionalità più importante e pericolosa: sì, Stuxnet è in grado di riprogrammare il PLC, ovviamente non tutto, ma solo Simatic di Siemens. E non è poco, considerando che questi controllori servono a costruire un processo tecnologico in un numero enorme di strutture, anche strategiche e militari. Ad esempio, la centrale nucleare in Iran (Bushehr), che molti esperti considerano il "bersaglio" di questa arma cibernetica (così Eugene Kaspersky ha caratterizzato il worm), ovviamente, non utilizza controller Siemens per controllare il reattore stesso, ma li usa in un largo numero per controllare le apparecchiature ausiliarie. E questo è abbastanza per il worm per paralizzare il funzionamento della centrale nucleare. Inoltre, lo stesso processo di "paralisi" è molto interessante. Il Trojan non scrive spazzatura sui controller e non li disabilita. Basta "vivere" nel sistema a lungo, accumula informazioni sul processo tecnologico, sulle modalità di funzionamento dell'apparecchiatura - sugli stessi "setpoint" di temperatura, pressione, frequenza di funzionamento del motore, che ho già menzionato sopra. E ad un certo punto, il Trojan li cambia. Esempio: supponiamo che il setpoint di allarme per la temperatura del liquido di raffreddamento nell'impianto sia 75 ° C. La normale temperatura di lavoro è 40-45 ° . La modifica del valore di arresto di emergenza nel controller da 75 a 40 ' farà sì che il controller avvii un arresto di emergenza nel momento in cui raggiunge il suo normale temperatura di lavoro... O ancora peggio: il setpoint cambia nella direzione opposta e l'unità continua a funzionare dopo il surriscaldamento fino a quando non si autodistrugge completamente. Allo stesso tempo, sullo schermo del sistema SCADA, l'operatore continua a vedere i valori e le impostazioni normali, che il Trojan sostituisce in tempo reale. E se si tratta, ad esempio, di un gruppo pompante gas comandato da un ACS da gruppi turbina di "ultima" generazione, allora la modifica delle impostazioni può comportare la scomparsa dalla mappa dell'intera centrale di compressione, insieme alle zone limitrofe.

In una delle versioni del worm, "smontato" dagli specialisti di Symantec, è stata trovata la funzionalità per controllare gli azionamenti a frequenza variabile (VFD) dei motori elettrici, inoltre, di due produttori specifici, quando funzionano a una certa frequenza. Secondo gli ultimi rapporti, in Iran, il tarlo ha già portato al fallimento di un gran numero di centrifughe utilizzate per arricchire l'uranio. VFD è stato utilizzato nella loro gestione. Il lettore potrebbe porre una domanda logica: dovremmo preoccuparci che le centrifughe si rompano in Iran? La risposta è semplice: Stuxnet può, ad esempio, disabilitare i treni proiettili Sapsan, che sono completamente costruiti su sistemi Simatic e utilizzano un gran numero di quegli stessi "frequency worker" nel loro lavoro ... E non solo Sapsan, ma un enorme numero di sistemi molto diversi ...

Un'altra caratteristica funzionale interessante del virus è quella di cercare una connessione Internet attiva e inviare informazioni a indirizzi specifici. Apparentemente, è stata questa caratteristica a diventare la ragione della dichiarazione degli specialisti del laboratorio antivirus di Danilov sul possibile utilizzo del trojan come strumento per lo spionaggio industriale. Il worm è anche in grado di aggiornarsi via Internet, ed è proprio per questo che le copie “catturate” del virus per i diversi analisti differiscono molto sia per dimensioni (da circa 500k a più di 2MB) che per funzionalità .

Perché tutte queste funzionalità Internet quando le reti industriali non sono connesse a Internet? Voglio farti arrabbiare: connesso. Non tutti, e non in modo permanente, ma connessi. In alcune aziende, la comunicazione viene effettuata tramite una seconda scheda di rete sull'AWP per telecomando e la raccolta di statistiche, su altri, utilizzando un modem GSM per il supporto tecnico remoto o l'invio. In alcuni casi, il sistema di controllo di processo e il sistema ERP di un'impresa sono generalmente "in una bottiglia" ... Ci sono molti modi per entrare nel mondo esterno, e questo non è fondamentale ... la cosa principale è il fatto stesso : molte reti industriali sono collegate alle reti accesso generale in via permanente o temporanea.

Politica e situazione locale

Oggi, tutti i moderni programmi antivirus ripuliscono con successo i computer dal worm Stuxnet. E sembrerebbe che tutto vada bene: gli antivirus stanno trattando le macchine dal worm, Microsoft ha rilasciato aggiornamenti per eliminare le vulnerabilità critiche che il worm utilizza per diffondersi, SIEMENS ha anche rilasciato una patch per WinCC. Il problema è stato risolto? No... L'antivirus pulisce solo la workstation dal malware, cioè quella parte rete tecnologica che gira su Windows. Ma per quanto riguarda i controller? E qui arriviamo al più interessante...

Come accennato in precedenza, la principale fonte di diffusione del worm sono i media esterni. Secondo i regolamenti di quasi tutte le imprese, è severamente vietato il collegamento di tali vettori, in particolare quelli personali. Ma chi osserva le normative... L'operatore seduto al turno di notte è molto annoiato: l'impresa è tranquilla, non c'è nessuno, il processo tecnologico è in Modalità automatica... e davanti agli occhi di un posto di lavoro automatizzato, cioè un computer! Voglio guardare un film, giocare con un giocattolo. Secondo la nostra esperienza di lavoro nei siti, si può affermare che c'erano, ci sono e ci saranno virus sulle workstation. Le aziende coinvolte nello sviluppo e nel supporto di sistemi di controllo dei processi automatizzati, di volta in volta, inviano appositamente i propri specialisti nelle strutture per pulire le postazioni di lavoro e trovare molti virus. E questo problema non è affatto nuovo... solo fino a poco tempo fa i virus non attaccavano i controller industriali e la loro presenza sulle workstation, sebbene portasse qualche inconveniente, non rappresentava un pericolo reale.

Come proteggersi da tali azioni del personale? Se le unità CD/DVD semplicemente non sono installate nei computer degli utenti, allora Ingressi USB sempre per impostazione predefinita. Una soluzione elegante è stata trovata dagli specialisti tecnici di una delle banche commerciali di San Pietroburgo: tutte le porte USB sono state riempite con la colla di una pistola termica. Ma una tale soluzione non è sempre possibile utilizzare, poiché potrebbe essere necessario utilizzare porte USB, ad esempio, per chiavi di sicurezza per prodotti software o per il trasferimento di informazioni da parte del personale tecnico. Inoltre, gli strumenti dell'interfaccia utente e le stampanti vengono spesso utilizzati tramite USB, quindi distruzione fisica porti non è del tutto appropriato, motivo per cui non è consigliabile ricorrere a tale misure radicali... L'unico modo per proteggere i sistemi dalle infezioni, e non solo da Stuxnet, ma anche da un'altra infezione, è rispettare le normative aziendali e regole elementari informazioni di sicurezza. Purtroppo si presta poca attenzione a questo aspetto, e spesso se ne dimentica completamente. Per esperienza personale, so che il personale della maggior parte delle strutture non pensa nemmeno alle conseguenze di un gioco per computer installato sulla workstation o di un modem GSM portato con sé per "navigare" dalla workstation su Internet. Anche il personale spesso manca di base? alfabetizzazione informatica... I capi o non sanno cosa sta succedendo o chiudono un occhio, anche se in ogni caso non dovrebbero. Il personale che lavora direttamente con le AWP e altre parti di un moderno APCS dovrebbe seguire un'adeguata formazione e istruzione, anche su questioni di sicurezza delle informazioni, ma questo, sfortunatamente, non accade.
Questo spiega il fatto che Stuxnet sia presente su un gran numero di siti e sistemi, ma il fatto di tale presenza viene accuratamente nascosto da personale e manager "sul campo". Siamo a conoscenza dei fatti di tale occultamento, quando la direzione di una grande azienda, dopo la comparsa di Stuxnet, ha inviato istruzioni e software a tutti i suoi siti per rilevare e curare il virus. E il virus è stato effettivamente trovato su molti oggetti, ma NESSUNO LO TRATTA! Motivo: per pulire con successo il sistema dal virus, è necessario riavviare il sistema (i), ovvero interrompere il processo tecnologico. È inoltre altamente raccomandato che gli specialisti siano presenti per identificare e possibile correzione cambiamenti nei controllori. Non è facile fermare uno stabilimento, un'officina o l'intera impresa: questa è un'emergenza che va giustificata con qualcosa. Ed è impossibile giustificare la presenza di malware, perché sono i leader locali che sono responsabili dell'attuazione dei regolamenti e delle istruzioni. Se il worm è entrato nel sistema, le istruzioni non sono state seguite e il manager sarà nei guai. E nessuno vuole guai ... Gli oggetti vivono ancora con Stuxnet, e non solo con esso, ma siamo tutti seduti su questa "polveriera". Proprio sulla "polveriera", perché nessuno può garantire che mentre il Trojan "addormentato" a un certo punto non attaccherà nessuno di questi oggetti o compaia una nuova istanza. Secondo le nostre informazioni, oltre al programma nucleare iraniano, Stuxnet è già riuscita a danneggiare alcuni imprese industriali in Cina e in vari impianti in altri paesi, e questi sistemi non erano collegati a programmi nucleari.

Trattamento

Come affermato sopra, Stuxnet viene rilevato e trattato con successo con tutti i moderni strumenti antivirus. E, tuttavia, ci sono delle sottigliezze: dopo aver pulito i sistemi dal worm, è necessario verificare che i programmi e le impostazioni nei controller corrispondano ai valori effettivi necessari per il normale funzionamento dell'ACS. Se necessario, i programmi dovrebbero essere corretti. Gli specialisti dei reparti di strumentazione e automazione di strumentazione e sistemi di automazione o produttori di sistemi di controllo di processo automatizzato possono aiutare in questo. Noi di Digital Security possiamo aiutare anche in questo. Quando si trattano i sistemi su Basato su Windows CE / Embedded non deve mai installare software antivirus direttamente su un computer che esegue questa versione di Windows. Il sistema deve essere arrestato, tramite un apposito adattatore, collegare il supporto a un altro computer con software antivirus installato e pulirlo. Le istruzioni ufficiali per la rimozione del worm Stuxnet sono disponibili sul sito Web di Siemens AG: http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view. Puoi anche scaricare e utilità speciale per rimuovere Stuxnet, la patch WinCC e la patch Microsoft che devono essere installate per evitare reinfezione... In caso di domande, contattare gli specialisti della sicurezza delle informazioni per ricevere assistenza. Sarebbe opportuno notare che il principale "eroe dell'occasione" - SIEMENS con il suo software "che perde" e le meravigliose raccomandazioni sull'"inammissibilità della modifica delle password" (mi chiedo perché, in questo caso, sia stato necessario dedicare tempo alla creazione di un funzione di richiesta password) è molto laconico nelle sue affermazioni ... La società afferma che, secondo le sue informazioni, il worm è stato rilevato in poco più di due dozzine dei suoi clienti e non ci sono stati casi di interruzione del processo tecnologico. Qui è necessario dare alcune precisazioni:

Parlando del numero di contagi, l'azienda si riferisce ai suoi clienti diretti, cioè oggetti che sono stati “costruiti” direttamente dalla stessa SIEMENS, senza intermediari. In effetti, non ci sono così tanti oggetti di questo tipo e stiamo parlando degli oggetti più grandi su scala globale. Secondo dati non ufficiali, Stuxnet ha infettato milioni di computer e decine di migliaia di oggetti in tutto il mondo e, secondo il monitoraggio antivirus, continua a infettare a una velocità di decine di migliaia di macchine al giorno.
Non tutte le aziende sono state controllate e molti siti hanno Stuxnet, ma nessuno lo sa.
E la cosa peggiore: c'è un verme su molti oggetti, lo sanno, ma non fanno nulla al riguardo. Le ragioni di questo comportamento, che non può essere definito criminale se non, sono state scritte sopra.

Controlla tutti i sistemi industriali per Stuxnet e altri malware. Signori, capi di grandi aziende, una semplice direttiva "sul posto" non basta - nessuno farà niente! Devi inviare la tua gente ai siti per il rilevamento e il trattamento obbligatori o cercare aiuto da specialisti indipendenti di terze parti.
Aggiorna il sistema operativo sulle workstation con gli ultimi aggiornamenti e patch disponibili.
Sugli AWP, che per qualche motivo sono collegati a reti pubbliche, è necessario installare un software antivirus e monitorarne gli aggiornamenti.
Fornire il sistema backup Il software è nel suo stato iniziale per garantire la possibilità di ripristino in caso di danni da virus o altri fattori.
Condurre un programma di formazione per il personale sui problemi di sicurezza delle informazioni.
Condurre un audit regolare dei sistemi APCS da specialisti qualificati per la conformità ai requisiti di sicurezza. Tale audit dovrebbe includere almeno un controllo della segmentazione della rete, procedure di aggiornamento, processo di controllo, consapevolezza degli operatori AWP e molto altro.

Nella preparazione sono stati utilizzati materiali delle seguenti aziende: ESET, SYMANTEC, Kaspersky Anti-Virus Laboratory, Danilov's Anti-Virus Laboratory, Siemens, nonché l'esperienza personale dell'autore acquisita mentre lavorava come tecnico di messa in servizio per un sistema di controllo di processo automatizzato .
L'autore esprime particolare gratitudine al personale ingegneristico e tecnico della Società Scientifica e di Produzione "LENPROMAVTOMATIKA" Digital Security, essendo uno specialista leader nella sicurezza delle informazioni dei sistemi tecnologici.

“Non so che arma useranno per combattere nella terza guerra mondiale, ma nella quarta si useranno pietre e clave”
Albert Einstein

L'Iran è impotente di fronte alla minaccia tecnologica

L'autore! L'autore!

Nel processo di analisi di Stuxnet, diversi media hanno concluso che dietro la creazione del virus c'era Israele. Il primo a parlare del coinvolgimento di Israele nell'attacco all'Iran è stato John Markoff, giornalista del New York Times, riferendo che gli analisti avevano evidenziato il nome di uno dei frammenti di codice "myrtus" ("mirto"). Tradotto in ebraico, "mirto" suona come "adas", che a sua volta è in consonanza con il nome "Hadassah" appartenente a Esther (Ester) - l'eroina della storia ebraica che salvò il suo popolo dalla distruzione nell'impero persiano. Tracciando un'analogia con l'antica Persia, sul cui territorio si trova l'Iran moderno, alcuni analisti ritengono che Israele abbia lasciato un "biglietto da visita" nel codice del virus. Tuttavia, secondo un certo numero di esperti, questa versione non regge alle critiche e ricorda la trama di un romanzo poliziesco a buon mercato - "scrittura a mano" troppo primitiva per un progetto di questa portata.

Fattore umano

Degna di nota è la storia dell'infezione iniziale, che ha segnato l'inizio della diffusione del virus. È ovvio che i sistemi di controllo automatizzato di questo livello non sono collegati alla rete. In una delle conferenze sulla sicurezza, un esperto del NATO Cyber Center in Estonia, Kenneth Geers, ha suggerito in una conferenza sulla sicurezza che il successo dell'attacco Stuxnet dipendeva esclusivamente dai contatti con le persone giuste e ... unità USB elementari. "Puoi pagare qualcuno per lanciare un Trojan in un sistema chiuso o sostituire un'unità flash USB che era pensata solo per uso interno", riflette Gears. - "È sufficiente inserire un'unità flash USB infetta in un connettore USB standard del computer e Stuxnet passa immediatamente automaticamente al sistema operativo e nessun programma antivirus o altra misura di protezione interferirà con esso." In effetti, il fattore umano si è rivelato "l'anello debole": Stuxnet è stato inserito nel sistema tramite una normale chiavetta USB, che un dipendente negligente ha inavvertitamente inserito nella workstation. È interessante notare che dopo le dichiarazioni del ministro dell'intelligence iraniano Heydar Moslehi sull'arresto di "spie nucleari" (si sono rivelati tecnici russi completamente innocenti), la direzione della Siemens ha ammesso che il virus è stato portato dai dipendenti dell'azienda, sottolineando l'involontaria natura dell'infezione. Va notato che Stuxnet riguarda solo un tipo specifico di controller Siemens, ovvero SIMATIC S7, che, secondo l'AIEA, è utilizzato dall'Iran.

Guerra cibernetica. Il campo di battaglia è la Terra?

I colleghi di O Merchu condividono pienamente le sue preoccupazioni. Il ricercatore di Trend Micro Paul Ferguson ha affermato che con la creazione di Stuxnet, è apparsa nel mondo un'arma informatica a tutti gli effetti che va oltre i tradizionali schemi distruttivi (furto di numeri di carta di credito, ecc.) e può portare a gravi incidenti su impianti industriali molto pericolosi . Ferguson sottolinea che ora gli analisti "intimidiranno letteralmente il governo affinché prenda serie misure di sicurezza".

Il presidente estone Toomas Hendrik Ilves in un'intervista alla Berliner Zeitung solleva la questione delle minacce informatiche ai massimi livelli. Il presidente estone sottolinea: La decisione della NATO di localizzare il Cybersecurity Center a Tallinn (ricordiamo, è stato aperto nel maggio 2008) è dovuta al fatto che l'Estonia è uno dei paesi più informatizzati d'Europa, nonché il primo stato a subire un attacco informatico su vasta scala nel 2007. Dopo un attacco che ha paralizzato le infrastrutture di un intero paese, il ministro della Difesa estone Jaak Aaviksoo ha persino chiesto alla NATO di equiparare questi attacchi informatici a un'azione militare. Il presidente rilascia oggi dichiarazioni simili: "Il virus Stuxnet ha dimostrato quanto dobbiamo prendere sul serio la sicurezza informatica, perché tali prodotti possono distruggere infrastrutture vitali. Nel caso dell'Iran, il virus sembra prendere di mira un programma nucleare, ma virus simili possono distruggere la nostra economia guidata dai computer. Di questo se ne dovrebbe discutere in Nato: se un missile distrugge una centrale elettrica, entra in vigore il comma 5. Ma come agire in caso di attacco di virus informatico?” - chiede Toomas Hendrik Ilves. La proposta del presidente è in linea con le tendenze attuali: "Sia l'UE che la NATO devono sviluppare una politica comune, comprese le norme legali, che diventeranno la base per la protezione collettiva contro le minacce nel cyberspazio", ha affermato il capo dello Stato.

Il secondo principio, di cui ho già parlato, è che la difesa deve essere attiva. Dovrebbe includere due linee generalmente accettate di difesa passiva - in effetti, questa è l'igiene comune: patch in tempo, aggiornamento dei programmi antivirus, miglioramento dei mezzi di protezione. Abbiamo anche bisogno di una seconda linea di difesa, che viene utilizzata dalle aziende private: rilevatori di intrusioni, programmi di monitoraggio della sicurezza. È probabile che tutti questi strumenti ti aiutino a respingere circa l'80% degli attacchi. Il restante 20 percento è una stima molto approssimativa: attacchi sofisticati che non possono essere prevenuti o fermati riparando i buchi. Serve un arsenale molto più attivo. Abbiamo bisogno di strumenti in grado di identificare e bloccare il codice dannoso. Abbiamo bisogno di programmi che identifichino e perseguano gli elementi dannosi che lo hanno invaso all'interno della propria rete. Quando li trovi, dovresti essere in grado di bloccare la loro comunicazione con la rete esterna. In altre parole, sembra più una guerra mobile che la linea Maginot.

Il terzo principio di una strategia di sicurezza informatica è la protezione delle infrastrutture civili.

Quarto, gli Stati Uniti ei loro alleati devono adottare misure di difesa collettiva. Al prossimo vertice Nato di Lisbona verranno prese importanti decisioni al riguardo.

Infine, il quinto principio è che gli Stati Uniti devono rimanere in prima linea nello sviluppo del software".

La reazione di Dmitry Rogozin, rappresentante permanente della Russia presso la NATO, ai processi in atto nell'Alleanza è davvero notevole. Apparentemente, la Russia è estremamente preoccupata per il prossimo vertice della NATO a Lisbona, che si terrà il 20 novembre, perché è lì che si prevede di chiarire il dilemma se l'attacco alle reti informatiche militari e governative di un membro della NATO sia considerato una scusa per utilizzare l'articolo 5 del Trattato di Washington e rispondere con un attacco militare collettivo. Rogozin scrive nel suo stile caratteristico: “Scopriremo finalmente se è lecito per la NATO colpire gli appartamenti degli hacker con una bomba vigorosa, o si presume che la guerra informatica non andrà oltre il cyberspazio. In quest'ultimo scenario, ho buone ragioni per dubitarne. Letteralmente sotto i nostri occhi, sui periodici occidentali si sta svolgendo un enorme scandalo in relazione alla diffusione di un worm chiamato Stuxnet. Mi sono abituato a leggere e inviare SMS in latino, quindi ho letto immediatamente il nome del virus come verbo russo della forma del tempo futuro: "uscirà". Assicurati che qualcosa esca o cada per qualcuno e per coloro che hanno lanciato questo virus. Come sai, chi semina vento raccoglie tempesta”. Non osando commentare la ricerca letteraria e creativa del signor Rogozin, notiamo che è stata la Russia ad essere accusata dei due più grandi attacchi di hacker a interi stati (Estonia e Georgia) - forse questo è ciò che ha causato una reazione così violenta da parte del plenipotenziario impressionabile.

Così, sullo sfondo dell'isteria provocata da Stuxnet, alcuni Stati hanno dichiarato la necessità di formare una politica comune per prevenire gli attacchi informatici. Questo porterà al risultato sperato, anche supponendo che verrà elaborato (e firmato) un documento che disciplini l'uso delle tecnologie distruttive? IT Business Week sembra essere estremamente dubbia, le tentazioni offerte dalle alte tecnologie sono troppo grandi: anonimato, sicurezza (per un attaccante), un rapporto costo/efficienza senza precedenti. Ciò significa che Stuxnet è stata solo la prima rondine dell'era della rivoluzione tecno-sociale, che non è iniziata affatto come sognata.

Tag: Aggiungi tag

Eclissato da Stuxnet: su un nuovo virus. Il virus fa più paura di una bomba

Pericolo di furto di identità da telefoni cellulari

Problemi di preoccupazione Siemens

Versione di supporto del software

traccia israeliana

Materiali di indagine

“Non so che arma useranno per combattere nella terza guerra mondiale, ma nella quarta si useranno pietre e clave” Albert Einstein

L'Iran è impotente di fronte alla minaccia tecnologica

L'autore! L'autore!

Fattore umano

Guerra cibernetica. Il campo di battaglia è la Terra?

Rete industriale: che cos'è?

Stuxnet - che cos'è?

Politica e situazione locale

Trattamento

“Non so che arma useranno per combattere nella terza guerra mondiale, ma nella quarta si useranno pietre e clave” Albert Einstein

L'Iran è impotente di fronte alla minaccia tecnologica

L'autore! L'autore!

Fattore umano

Guerra cibernetica. Il campo di battaglia è la Terra?

Principali articoli correlati

“Non so che arma useranno per combattere nella terza guerra mondiale, ma nella quarta si useranno pietre e clave”
Albert Einstein

“Non so che arma useranno per combattere nella terza guerra mondiale, ma nella quarta si useranno pietre e clave”
Albert Einstein