În ultimele zile, toată mass-media din lume și-a amintit brusc de viermele WIN32/Stuxnet, descoperit în luna iunie a acestui an. După standardele computerelor, o perioadă de trei luni este ca câțiva ani în viața obișnuită. Chiar și lent Microsoft a reușit să lanseze un patch care a închis una dintre cele patru vulnerabilități prezente în Windows și utilizate de malware. Adevărat, nu pentru toate versiunile de sistem de operare, ci numai pentru Vista și „Seven”, în timp ce 2000 și XP au rămas instabile Stuxnet și toate speranța sunt doar pentru programe antivirus terțe. Ceea ce va mai fi nevoie, deoarece restul vulnerabilităților sunt vii și bine.
Și deodată Stuxnet a apărut din nou în titlurile resurselor de știri. Se pare că acesta nu este doar un alt „vierme”, deși unul scris destul de complicat (jumătate de megaoctet de cod criptat care folosește mai multe limbaje de programare, de la C/C++ la asamblare), ci un spion-sabotor digital. Se strecoară în unitățile industriale în care sunt utilizate sistemele hardware și software Siemens, obține acces la sistemul Siemens WinCC, care este responsabil de colectarea datelor și controlul operațional al expedierii producției și, prin intermediul acestuia, încearcă să reprogrameze controlerele logice (PLC).
Ți-e frică deja? Stai, acesta este doar începutul! Stuxnet nu este conceput pentru un fel de atelier de îmbuteliere de bere. Ținta lui principală este centrala nucleară iraniană din orașul Bushehr! Se presupune că toată puterea diabolică a viermelui este adaptată configurației sale și fie că a reușit deja să-i încurce serios pe iranieni, deoarece nu au reușit să pornească stația din august, fie a aprins controlerele în liniște și când centrala nucleară începe să funcționeze, va da comanda să explodeze. Și apoi...
Sa citez cateva pareri oameni cunoscători. Astfel, Evgeny Kaspersky în blogul său numește Stuxnet „o capodopera a gândirii ingineriei malware” și, la rândul său, citează fragmente din materialul lui Alexander Gostev, în opinia căruia despre care vorbimîn general, despre „armele de sabotaj industrial”. A fost realizat, desigur, de Mossad-ul israelian pentru a opri funcționarea centralei nucleare Bushehr.
Sisteme hardware și softwareSiemens sunt utilizate în industrii foarte diferite. Bine, dacă vorbim de fontă...
... dar imaginați-vă cum vor tremura inimile a sute de mii de oameni dacă un vierme dăunează unei linii de producție a berii?
Analiștii ESET sunt puțin mai puțin emoționați. Nu sunt siguri că ținta Stuxnet este BNPP, dar omagiază calitatea codului și frumusețea ideii. „Win32/Stuxnet a fost dezvoltat de un grup de specialiști cu înaltă calificare, care sunt bine versați puncte slabe mijloace moderne securitatea informatiei. Viermele este proiectat să rămână nedetectat cât mai mult timp posibil. Ca mecanisme de distribuție, malware-ul folosește mai multe vulnerabilități grave cu capacitatea execuție la distanță cod, dintre care unele rămân neînchise astăzi. Costul unor astfel de vulnerabilități pe piața neagră poate ajunge la 10 mii de euro fiecare. Și costul vulnerabilității în procesarea fișierelor LNK/PIF (MS10-046), care permite viermelui să se răspândească prin medii externe, este și mai mare.”
Avertismentul despre media externă este foarte important. După cum înțelegem, sistemele de control ale fabricilor și centralelor nucleare nu au acces la Internet, așa că Stuxnet poate infecta unitățile flash și le poate folosi pentru a intra în rețele închise. Servicii de securitate? Da, ele, desigur, funcționează și uneori foarte eficient. Cu toate acestea, alături de factorul uman banal (a se citi: neglijență), există modalități destul de viclene de a deghiza unitățile flash. De exemplu, un angajat mituit cu grijă poate aduce un mouse cu memorie flash încorporată la locul de muncă și îl poate înlocui cu unul emis de guvern. Vă puteți întreba, de ce atunci aveți nevoie de distribuție pe Internet? Deci, la urma urmei, să distragă atenția, astfel încât aceiași șefi ai serviciului de securitate să nu caute un inamic în echipă, ci să dea cu încredere din cap la pătrunderea accidentală din exterior. Între timp, pentru a face viermele mai ușor de operat, unele componente Win32/Stuxnet au fost semnate cu certificate digitale legale de la JMicron și Realtek. Drept urmare, până la revocarea certificatelor, Stuxnet a putut să ocolească un număr mare de implementări ale tehnologiei HIPS (Host Intrusion Prevention System).
ESET oferă, de asemenea, un tabel minunat cu geografia infecțiilor înregistrate cu virusul, care, pe de o parte, confirmă sugestiile lui Gostev și, pe de altă parte, îi face pe teoreticienii conspirației să scrie și mai activ comentarii pe forumuri și bloguri. Nu este o glumă, infecția afectează cele mai mari țări în curs de dezvoltare și, pentru a completa imaginea, singurul lucru care lipsește de pe tabel este China și nu Indonezia.
Ți-e frică deja, ca Evgeny Kaspersky? Aștepta. Hai să tragem aer în piept.
În primul rând, trebuie să înțelegeți de ce producătorii de produse de protecție împotriva amenințărilor cibernetice vorbesc despre Stuxnet cu atâta plăcere. Da, desigur, vor să salveze mica noastră planetă. Dar aceasta este și o nouă piață uriașă. Nu numai Siemens produce echipamente de control și monitorizare pentru o mare varietate de industrii, de la centrale nucleare la magazine de îmbuteliere de bere. Pe lângă germani, mai sunt americani, japonezi și așa mai departe. Astfel de complexe sunt, ca să spunem ușor, nu ieftine, și dacă fiecare poate fi atașat cu propriul produs de protecție... Da, da, m-ați înțeles bine.
În al doilea rând, în ciuda toată frumusețea versiunii despre Mossad, nu ar trebui să crezi în ea. Dacă au fost petrecuți cu adevărat multe luni-om sau chiar ani-om pentru vierme, așa cum susțin experții, atunci o astfel de finalizare a operației este un eșec colosal. Combinația dintre lipsa rezultatelor și publicitate este o combinație teribilă pentru orice ofițer de informații. De obicei, pentru a rezolva problemele de obținere a informațiilor și de sabotaj, se recurge la recrutarea veche, iar Mossad-ul are o vastă experiență în acest gen de muncă în țările arabe. Nu, se poate presupune, desigur, că programul a fost scris special pentru implementare tăcută de către unul dintre angajații centralei nucleare, iar când ceva nu mergea bine, viermele a fost lansat pe Internet pentru a acoperi agentul. Dar asta dacă Stuxnet a fost cu siguranță pregătit pentru Bushehr, despre care există multe îndoieli. Despre ei - în paragraful următor.
În al treilea rând, după cum am aflat, pentru automatizarea centralelor electrice (inclusiv în Bushehr), se folosesc echipamente Siemens licențiate, care diferă de PLC-urile tradiționale în aproximativ același mod în care un luptător de luptă diferă de un deltaplan. Destinul PLC este, în cel mai bun scenariu, automatizarea unei fabrici de bere sau a unei statii de pompare gaz/patrol. Rămâne complet neclar - ce fel de PLC Stuxnet se va schimba în Bushehr?
În sfârșit, în al patrulea rând. Acordați atenție Win32 în numele complet al virusului. Nicio centrală serioasă, cu atât mai puțin o centrală nucleară, nu are funcționare sistem Microsoft nu va avea voie să gestioneze procese cu adevărat importante. Sistemele din familia *nix (în special, QNX) domnesc acolo, iar un virus din tabăra Windows este absolut inofensiv pentru ele. Așa că senzația vine dintr-o serie de povești despre o secretară care se temea să nu ia un virus de pe computerul ei. Adevărat, cei mai severi autori de povești de groază clarifică faptul că Windows PLC nu controlează, dar sub ei există instrumente pentru reprogramarea controlerelor și asta folosește Stuxnet. Acest lucru este puțin mai înfricoșător, dar în producția serioasă nimeni nu a anulat Big Switch-urile, care sunt responsabile pentru lucruri cu adevărat importante. Pot fi trase exclusiv cu mana, deoarece este mult mai fiabil. Și mai sigur. Dacă computerul este permis în apropierea lor, nu va fi astăzi sau mâine. Și la o centrală nucleară, cel mai probabil, deloc.
Nu vreau să-mi forțez opinia cititorului, dar până acum Stuxnet miroase a concurență neloială. De unde această ură față de soluțiile Siemens? Cine nu era prea leneș să petreacă atât de mult efort și timp pe un vierme mare gras, care, potrivit în general, nu poate face niciun rău, dar lasă un postgust extrem de neplăcut. Uite, investitorii în fabrici noi cu centrale electrice se vor gândi la asta și vor cumpăra un complex de la alt producător. Când vorbim de sute de milioane și chiar de miliarde de dolari, nu este păcat să cheltuiți câteva milioane pe PR-ul negru.
Deci este o armă, dar este puțin probabil să ducă la explozii reale. Cu excepția cazului în care au loc explozii de indignare la următoarea vizită la magazin sau la primirea unei facturi de energie electrică. Toate aceste războaie industriale se duc în cele din urmă în detrimentul nostru, consumatorii.
Sute de teoreticieni ai conspirației au fost jigniți când au scris acest articol.
o clasă de vulnerabilități numită 0day. 0day este un termen care denotă vulnerabilități (uneori chiar și programele dăunătoare) împotriva cărora mecanismele de apărare ale antivirusurilor și ale altor programe de protecție a computerului sunt neputincioase. Acest concept a apărut deoarece atacatorii care descoperă o vulnerabilitate într-un program sau sistem de operare își efectuează atacul imediat, nu mai târziu de prima zi („zero zi”) în care dezvoltatorul a conștientizat eroarea descoperită. Desigur, aceasta înseamnă că dezvoltatorul nu are timp să repare vulnerabilitatea la timp, ceea ce răspândește epidemii complexe de programe rău intenționate care nu pot fi tratate în timp util. În acest moment, diverși atacatori își concentrează atenția pe găsirea unor astfel de vulnerabilități. În primul rând, ei acordă atenție acestui lucru software, care s-a răspândit. Infectând asta software cod rău intenționat, atacatorul este garantat să îl primească randament maxim din acțiunile tale. În acest caz, programele antivirus vor fi neputincioase, deoarece nu vor putea identifica codul rău intenționat care se află în program popular. Un astfel de exemplu a fost exemplul de mai sus, când un virus a infectat fișierele de serviciu Delphi și, prin urmare, și-a injectat codul diverse programe, care au fost compilate în acest compilator. Deoarece astfel de programe au fost utilizate pe scară largă, un număr mare de utilizatori au fost infectați. Toate acestea le-au arătat clar atacatorilor că astfel de atacuri sunt destul de eficiente și pot fi folosite în viitor. Cu toate acestea, găsirea unei vulnerabilități de 0 zile este un proces destul de intensiv în muncă. Pentru a găsi o astfel de vulnerabilitate, atacatorii recurg la diverse teste de stres software, parsând codul în părți și, de asemenea, căutând în codul programului dezvoltator diverse erori. Dar dacă aceste acțiuni au succes și se găsește o vulnerabilitate, atunci putem presupune că atacatorii vor profita cu siguranță de ea. Astăzi, cel mai faimos malware care exploatează vulnerabilitatea 0day din software este Viermele Stuxnet, care a fost descoperit în vara anului 2010. Stuxnet a exploatat o vulnerabilitate a sistemului de operare necunoscută anterior Familia Windows, asociat cu algoritmul de procesare a etichetei. Trebuie remarcat faptul că, pe lângă vulnerabilitatea 0day, Stuxnet a folosit încă trei vulnerabilități cunoscute anterior. Vulnerabilitățile zero-day permit, de asemenea, atacatorilor să creeze programe malware care pot ocoli protecția antivirus, ceea ce este, de asemenea, periculos pentru utilizatorul obișnuit. Pe lângă acest tip de vulnerabilități (0day), există și vulnerabilități destul de obișnuite, care sunt exploatate constant de atacatori. Un alt tip periculos de vulnerabilități sunt vulnerabilitățile care exploatează Ring 0 al sistemului de operare. Ring 0 este folosit pentru a scrie diverse drivere de sistem. Acesta este un nivel special de la care poți control total peste sistemul de operare. Atacatorul în acest caz este asemănat cu un programator care scrie un driver pentru sistemul de operare, deoarece în acest caz scrierea unui program rău intenționat și a unui driver este un caz identic. Atacatorul, folosind funcțiile și apelurile de sistem, încearcă să ofere programului său rău intenționat funcțiile de a trece în Ring 0.Pericolul furtului de identitate de pe telefoanele mobile
Dacă ceva de genul acesta s-a spus literalmente acum 7 ani, atunci, cel mai probabil, un astfel de fapt pur și simplu nu ar fi crezut. Acum pericolul furtului de date personale ale utilizatorilor de telefoane mobile este extrem de mare. Există un număr mare de programe rău intenționate care fură în mod specific date personale de pe telefoanele mobile ale utilizatorilor. Și recent, nimeni nu și-ar fi putut imagina că platformele mobile ar fi de interes pentru atacatori. Istoria virușilor începe în 2004. Anul acesta este considerat punctul de plecare pentru virușii mobili. În același timp, virusul creat anul acesta a fost selectat pentru sistemul Symbian. A fost o demonstrație a posibilității însăși a existenței virușilor pe platforma de operare sisteme Symbian. Autorii unor astfel de dezvoltări, mânați de curiozitate și dorința de a contribui la întărirea securității sistemului pe care l-au atacat, nu sunt de obicei interesați de distribuția sau utilizarea lor rău intenționată. Într-adevăr, copia originală a virusului Worm .SymbOS.Cabir a fost distribuită către companii de antivirusîn numele autorului însuși, dar mai târziu codurile sursă viermele a apărut pe Internet, ceea ce a dus la crearea cantitate mare noi modificări ale acesteia malware. De fapt, după publicarea codurilor sursă, Cabir a început să „rătăcească” independent telefoane mobile la nivel mondial. A cauzat probleme utilizatori obișnuiți smartphone-uri, dar epidemia în esență nu a avut loc, deoarece companiile de antivirus aveau și codurile sursă ale acestui virus și atunci au început primele lansări de antivirusuri pentru platformele mobile. Ulterior, au început să se răspândească diverse ansambluri ale acestui virus, care, însă, nu au cauzat un rău mare. Acesta a fost urmat de primul backdoor (un program rău intenționat care permite accesul la sistem din exterior). Funcționalitatea sa vă permite să transferați fișiere în ambele direcții și să afișați mesaje text pe ecran. Când un dispozitiv infectat se conectează la Internet, ușa din spate trimite prin e-mail adresa sa IP proprietarului său. Ulterior, a apărut un alt program rău intenționat pentru platformele mobile. Programul este un fișier SIS - o aplicație de instalare pentru platforma Symbian. Lansarea și instalarea acestuia pe sistem are ca rezultat înlocuirea pictogramelor (fișiere AIF) ale aplicațiilor standard ale sistemului de operare cu o pictogramă cu o imagine a craniului. În același timp, în sistem sunt instalate noi aplicații, peste cele originale. Aplicațiile rescrise nu mai funcționează. Totul a fost preluat diverși amatoriîn scris programe rău intenționate care au început să producă tot felul de modificări ale virușilor vechi, precum și să încerce să-și creeze proprii. Cu toate acestea, la acel moment, toate programele rău intenționate pentru platformele mobile erau destul de primitive și nu se puteau compara cu omologii lor de programe rău intenționate de pe computer. Un program numit Trojan.SymbOS Lockhunt a provocat destul de mult zgomot. Acest program a fost un troian. Exploatează „credulitatea” (lipsa verificărilor integrității fișierelor). După lansare, virusul creează un folder în directorul de sistem /system/apps/ cu numele gavno, disonant din punctul de vedere al limbii ruse, în care se află gavno. aplicația și însoțitorii săi gavno.rsc și gavno_caption.rsc. Mai mult, în toate fișierele, în loc să corespundă formatelor acestora informatii oficialeși codul conținut text simplu. sistem de operare, bazat numai pe extensia de fișier gavno. app , îl consideră executabil - și se blochează încercând să lanseze „aplicația” după repornire. Pornirea smartphone-ului devine imposibilă. După acești viruși, există în principal viruși de același tip care se pot transmite prin diverse tehnologii.
Vulnerabilitatea platformelor mobile în sine este destul de mare, deoarece nu există instrumente care să protejeze în mod fiabil platformele mobile. În plus, este necesar să se țină seama de faptul că platformele mobile moderne se potrivesc deja cu sistemele de operare convenționale, ceea ce înseamnă că algoritmii de influențare a acestora rămân similari. În plus, platformele mobile au două metode destul de specifice de transfer de date pe care computerele nu le au - acestea sunt tehnologie bluetoothși MMS. Tehnologia Bluetooth transmisie fără fir date, dezvoltat în 1998. Astăzi este utilizat pe scară largă pentru schimbul de date între diverse dispozitive: telefoane și căști pentru ele, computere de buzunar și desktop și alte echipamente. Comunicarea prin Bluetooth funcționează de obicei la o distanță de până la 10-20 m, nu este întreruptă de obstacole fizice (pereți) și oferă viteza de transmisie date de până la 721 Kbps. MMS este o tehnologie relativ veche concepută pentru a extinde funcționalitatea SMS-urilor cu capacitatea de a transfera imagini, melodii și videoclipuri. Spre deosebire de serviciu
Mijlocul lunii iulie a fost marcat de un atac cibernetic asupra întregului sector industrial
state Firește, revista noastră nu putea lipsi la un astfel de eveniment și
a pregătit material despre acest incident.
Spionaj industrial
Suntem obișnuiți cu criminalitatea cibernetică încercând să înșelam, să spargem și să furăm
utilizatorii de internet nemulțumiți. Dar timpul face mereu oamenii să se miște
mai departe, pentru noi rezultate și noi profituri. Același lucru se întâmplă și în
împotriva băieților răi. Puteți construi botnet-uri și puteți fura încă zece ani
Numerele CC, dar există încă o nișă uriașă neexplorată - industria, ea
tehnologii, secrete și date valoroase. Cu ea s-a petrecut incidentul la culmea
vara - un atac fără precedent asupra sistemelor industriale
,Control de Supraveghere Și
Achiziție de date, care se traduce prin „ Controlul expedieriiși colectarea datelor"
(în opinia noastră, acesta este un analog al unui sistem automat de control al procesului - Sistem automatizat management
Proces tehnologic). Astfel de sisteme controlează procesele de producție,
platforme petroliere, centrale nucleare, gazoducte etc. Desigur, așa
complexele au propriile baze de date, iar informațiile din aceste baze de date sunt neprețuite.
Tocmai aceste informații sunt pe care le-a vizat cel mai recent malware, primind
Nume .
Stuxnet
Primii care au descoperit noua fiară au fost frații slavi din Belarus, și anume -
compania antivirus VirusBlokAda. Pe 17 iunie au găsit cadavrul lui Vir, dar numai
Pe 10 iulie, au emis un comunicat de presă (în care explică că au nevoie
sesizează firmele al căror nume a fost „discreditat” în timpul cauzei și examinează copia).
Aceste companii sunt destul de cunoscute - Microsoft și Realtek. Specialiști VirusBlokAda
Am detectat viermele folosind o vulnerabilitate de 0 zile atunci când procesăm fișiere de comenzi rapide.
(.lnk) și, prin urmare, Microsoft s-a implicat în chestiune (despre vulnerabilitatea în sine
Hai să vorbim mai târziu). Dar ce legătură are Realtek cu el? Cert este că instalat
șoferii de viermi aveau un certificat valabil certificat de Verisign și eliberat către
numele Realtek. Această întorsătură a evenimentelor complică foarte mult procesul de detectare
conținut rău intenționat diverse sisteme detectarea și prevenirea
intruziuni la nivel de gazdă (HIPS, anti-rootkit-uri), deoarece astfel de sisteme sunt nelimitate
au încredere în certificate fără să acorde atenție esenței problemei. Sunt destul de sigur că
un certificat de încredere a prelungit foarte mult durata de viață a malware-ului înainte de a fi descoperit.
Oricum ar fi, după comunicatul de presă al bielorușilor, alte companii de antivirus
s-a alăturat de asemenea cercetării ca o nouă vulnerabilitate cu care
viermele răspândit și la sarcina de luptă.
Răspândirea
Mecanismul de reproducere a viermelui, s-ar părea, nu este deosebit de original - prin
Unități flash USB. Dar autorun.inf nu are nimic de-a face cu asta. O nouă vulnerabilitate intră în joc,
care vă permite să încărcați o bibliotecă .DLL arbitrară de îndată ce unitatea flash
va fi inserat și utilizatorul își va deschide conținutul. Faptul este că pe unitatea flash
se află un fișier .DLL cu cod rău intenționat (de fapt, o extensie, în cazul
vierme, - .TMP) și fișier .LNK. Un fișier cu extensia .LNK este o comandă rapidă obișnuită.
Dar în situația noastră eticheta nu este în întregime obișnuită. Când comanda rapidă este afișată în
shell-ul standard sau Total Commander îl va executa automat pe cel din apropiere
Fișier .DLL cu toate consecințele care decurg! Cum se poate întâmpla?
După cum știți, eticheta indică fisier executabil iar când se face dublu clic
îl cheamă. Dar aici totul este fără clicuri, iar fișierul .DLL nu poate fi executat așa. Dacă
uitați-vă la scurtătura din editorul HEX, puteți vedea că calea este indicată în mijlocul acesteia
la nostru.DLL. În plus, aceasta nu este o comandă rapidă obișnuită, ci o comandă rapidă către un element de panou
Control! Acest detaliu explică totul. Orice element al panoului de control - .CPL-
applet. Dar CPL este în esență un simplu .DLL, deci este o comandă rapidă pentru Panoul de control
special, pare să înțeleagă că are de-a face cu .DLL. Mai mult, o astfel de scurtătură
încearcă să scoată pictograma din .DLL pentru a o afișa în Explorer. Dar pentru a
Pentru a scoate pictograma, trebuie să încărcați biblioteca. Care este, de fapt, coaja și
face acest lucru apelând LoadLibraryW().
Pentru a fi corect, merită remarcat faptul că apelarea automată a acestei funcții
presupune executarea funcției DllMain() din biblioteca încărcată.
Prin urmare, dacă o astfel de comandă rapidă nu indică către un applet .CPL, ci către un rău
bibliotecă cu cod rău (în funcția DllMain()), atunci codul va fi executat
AUTOMAT când vizualizați pictograma comenzii rapide. În plus, această vulnerabilitate poate fi
utilizarea și utilizarea comenzilor rapide .PIF.
Sarcina de luptă
Pe lângă metoda de distribuție interesantă, am fost surprins și de încărcătura de luptă - nr
botnet-uri, furt de parole bancare, numere CC. Totul s-a dovedit a fi mult mai mare.
Vulnerabilitatea .LNK determină descărcarea unui fișier ascuns numit ~wtr4141.tmp,
întins lângă etichetă. Acest fișier este executabil, dar mic (doar 25 KB). Cum
au remarcat experții de la Symantec, este foarte important la început să vă ascundeți
prezența în timp ce sistemul nu este încă infectat. Ținând cont de specificul vulnerabilității 0day,
care intră în vigoare de îndată ce utilizatorul vede pictogramele, va funcționa și
~wtr4141.tmp, care blochează în primul rând interceptările apelurilor de sistem
kernel32.dll. Apeluri interceptate:
- GăsițiFirstFileW
- FindNextFileW
- FindFirstFileExW
Cârligele sunt, de asemenea, atașate la unele funcții de la ntdll.dll:
- NtQueryDirectoryFile
- ZwQueryDirectoryFile
Toate aceste funcții sunt procesate cu următoarea logică - dacă fișierul începe cu
„~wtr” și se termină cu „.tmp” (sau „.lnk”), apoi eliminați-l din
valoarea returnată de funcția originală și apoi returnează ceea ce a mai rămas.
Cu alte cuvinte, ascunde-ți prezența pe disc. Prin urmare, utilizatorul pur și simplu
nu va vedea fișierele de pe unitatea flash. După aceasta, ~wtr4141.tmp încarcă al doilea fișier cu
disc (~wtr4132.tmp). El nu face asta chiar în mod standard, chiar aș spune
în mod pervers - prin instalarea de cârlige în ntdll.dll pentru apeluri:
- ZwMapViewOfSection
- ZwCreateSection
- ZwOpenFile
- ZwCloseFile
- ZwQueryAttributesFile
- ZwQuerySection
Apoi, folosind apelul LoadLibrary, încearcă să încarce un fișier inexistent
cu un nume special, cârligele instalate anterior sunt declanșate în acest scop și se încarcă
al doilea fișier, care există deja cu adevărat - ~wtr4132.tmp, sau mai degrabă, acesta
parte necodificată, care decodifică a doua parte (de fapt -
compresie UPX). A doua parte reprezintă unele resurse, alte fișiere,
care intră în joc după decriptare și export (similar cu pervertit
metoda cu cârlige la funcțiile API).
În primul rând, sunt instalate două drivere - mrxcls.sys și mrxnet.sys (și anume
Din cauza acestor fișiere, viermele și-a primit numele - Stuxnet). Sunt instalate in
directorul de sistem, iar funcționalitatea acestora este un rootkit la nivel de kernel cu aceeași logică,
ca în primul dosar. Acest lucru va asigura că viermele este protejat după repornire și închidere
proces ~wtr4141.tmp.
Acești șoferi, după cum sa menționat deja, au un certificat Realtek legitim,
prin urmare, instalarea lor se va face fără probleme (momentan certificatul este deja
revocat). În plus față de rootkit, șablonul de comandă rapidă și fișierele ~wtr4141.tmp sunt despachetate pentru
organizarea infecției altor dispozitive USB. Apoi se exportă codul, care
se injectează în procesele de sistem și adaugă fișierele .SYS menționate mai sus în registry
rootkit (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls). Mai departe
sunt decodificate două fișiere .DLL, care înlocuiesc fișierele de sistem SCADA existente
- Siemens Pasul 7.
Astfel, toate apelurile din sistemul SCADA sunt transferate în biblioteci false.
Acolo are loc procesarea „necesară”, după care apelurile sunt transferate în .DLL-urile originale.
(vir emulează singur restul funcțiilor). Pe lângă toate
enumerate mai sus, viermele blochează procesele antivirus și încearcă să găsească servere
DBMS (MSSQL). După ce le-a găsit, încearcă să se conecteze cu contul
WinCCConnect și parola implicită este 2WSXcder. Acest Cont din baza de date SCADA
tip Siemens Simatic WinCC. După cum puteți vedea, viermele este conceput special pentru produsul Siemens.
Dacă autentificarea are succes, spionul pompează date despre procese și alte lucruri.
informatii secrete. În plus, nu ezită să caute fisiere locale util
informații pentru spioni. Dacă este posibil să detectați o conexiune la Internet, atunci viermele se târăște
la unul dintre servere de comandă. Numele serverelor sunt:
- mypremierfutbol.com
- todaysfutbol.com
Aici viermele a încercat să ajungă și să scurgă „ceva” în formă criptată.
Băieții de la Symantec și-au dat seama de această problemă. Sa dovedit că criptarea
este o operație XOR de octeți cu o cheie de 31 de biți care a fost
cusute într-una dintre bibliotecile DLL. Vine și răspunsul de la server
În formă XOR, totuși, este utilizată o cheie diferită din aceeași bibliotecă. troian
trimite către server informații generale despre mașina infectată (versiunea Windows, nume
computer, adresele interfețelor de rețea, precum și un steag pentru prezența SCADA). Ca răspuns de la
Centrul de comandă poate primi apeluri RPC pentru a lucra cu fișiere, creați
procese, implementare în proces și încărcare de noi biblioteci etc.
Ce-a fost asta?
Așa e... ce a fost asta?! Pălăriile negre simple nu se vor implica în ce
nu va aduce bani ușori. Datele din sistemele SCADA sunt de interes numai pentru concurenți.
Concurenți în termeni comerciali sau politici. Daca te uiti pe harta
răspândirea infecției (conform Kaspersky Lab), este clar că
epicentrul este Asia (și anume India, Iran și Indonezia). Dacă te uiți la
funcționalitatea descrisă a viermelui, puteți fi îngrozit - control asupra .DLL și interceptare
Funcții SCADA. Nu e mișto să conduci o centrală nucleară din India?
Internet? Sau se infiltrează în programul nuclear al Iranului? Mai mult, avem faptul
că driverele rootkit au un certificat legal care este geografic
deținut de o companie cu sediul în aceeași zonă (Thailanda)!
Această poveste este tratată nu numai de companiile antivirus, ci și
structuri guvernamentale (ca să-și acopere urmele? :)). Ca urmare
a fost analizată „capturarea” domeniilor și serverelor de comandă specificate
statisticile mașinilor bolnave care bat acolo. Ca rezultat, datele Symantec sunt aproape
coincid cu informațiile de la Kaspersky Lab - toate aceleași țări. Pe lângă toate
acest lucru a fost deja confirmat de faptele pătrunderii în Sistem SCADA. Nu încă
mult, vreo trei fapte (două din Germania și unul din Iran). Dar nu toată lumea o va face
spun public că au fost violați...
Ce se va intampla?
După tot ce s-a întâmplat, cred că va exista un interes puternic pentru securitate
SCADA. Înainte de acest incident, existau deja atât cercetători, cât și companii care
au avertizat despre problemele de securitate și și-au oferit serviciile, dar asta
un caz anume îi poate ajuta să facă bani foarte buni. Îndrăznesc să cred asta
același model de vierme este potrivit și pentru sistemele ERP, deoarece diagrama prezentată
este valabil si pentru acest model. Sistemele ERP sunt responsabile de planificare și management
afaceri - bani, sarcini, bunuri etc., etc. (Aș spune chiar asta
Ar fi mai ușor să scrieți un astfel de vierme pentru ERP, dar din moment ce s-au ales SCADA și regiunile
Asia, mai degrabă miroase a politică aici...). Deci toată această afacere și
sistemele industriale își așteaptă încă eroii (bună ziua lui Alexander Polyakov aka
sh2kerr). Dar în ceea ce privește vulnerabilitatea .LNK, de exemplu, troianul Zeus are deja
a început să-l folosească pentru reproducerea sa. De asemenea, băieții de la Rapid7
a făcut un exploit pentru Metasploit, care poate funcționa prin HTTP folosind
WebDav.
În acest caz, codul shell este scris în fișierul .DLL, iar comanda rapidă îl încarcă. Patch on
la momentul scrierii acestui articol nu a avut loc încă, dar amenințarea este foarte semnificativă - asta-i tot
companiile de antivirus spun că detectează perfect virușii pe baza semnăturilor,
așa că este timpul să subliniem că semnăturile sunt naibii. Semnătura DLL pentru noi
nu este atât de interesant, dar iată semnătura prin care se stabilește că această comandă rapidă este
exploata poate cu siguranta nasol. Să luăm o scurtătură de la PoC public
(suckme.lnk_) și trimiteți acest miracol la virustotal.com. Ca rezultat, avem 27
antivirusuri care l-au detectat. Acum să deschidem panoul de control și să creăm
câteva comenzi rapide, una de preferință din Java. Apoi, să redenumim aceste comenzi rapide ca
consolă:
nopy Java.lnk Java.lnk_
Copiați a doua comandă rapidă în același mod ca prima. Acum le putem edita în
Editor HEX. De obicei, toate comenzile rapide au un index sub forma unui format Unicode, dar
Comandă rapidă Java - nr. Ca rezultat, vedem două link-uri către applet-urile CPL și pentru Java -
nu în formă Unicode. Schimbați calea către CPL (DLL) către fișierul nostru, ștergeți-l la mijloc
octeți suplimentari (fa ff ff ff 20) și salvați. Copiați-l înapoi cu extensia .LNK.
Trimitem rezultatele la virustotal.com. Au mai rămas 11 antivirusuri pentru comanda rapidă Unicode,
pentru comanda rapidă Java - 8, adică 70% dintre antivirusuri au încetat să detecteze exploit-ul și
Printre acești antivirusuri se numără giganți precum Symantec, Kaspersky, AVG, NOD32. Asa de
că antivirusul nu este un panaceu aici.
Sunt atât de... cinci copeici de la mine, încât să nu se relaxeze acolo, dar, în general,
Specialiștii în antivirus trebuie să fie mulțumiți pentru munca atât de amănunțită și interesantă,
munca pe care au făcut-o pentru a ne ajuta să înțelegem această amenințare. Mulțumesc,
luptători antivirus: AdBlokAda (primul descoperit și studiat), Symantec
(pentru analize tehnice detaliate pe blogul său), ESET și personal
Alexander Matrosov pentru munca lor în laboratorul din Moscova. Multumesc de asemenea
Kaspersky Lab și blogul lor, în care Alexander Gostev și-a împărtășit-o
ganduri si harti frumoase :). Ei bine, mulțumesc, cititorul meu, pentru digerare
acest material important.
Din ce în ce mai multe detalii sunt dezvăluite despre virusul descoperit în luna iunie a acestui an. De ce este virusul neobișnuit? Da, multe lucruri...
În primul rând, pentru că s-ar putea răspândi pe unități flash (folosindVulnerabilitatea de gestionare a fișierelor lnk ) Acest lucru în sine este exotic în era Internetului.
El se remarcă și prin faptul că a folosit nu unul, dar patru Vulnerabilitati de 0 zile (adică necunoscute până acum), ceea ce se întâmplă rar. Sau mai bine zis, se cunoșteau două vulnerabilități, dar foarte puține. Microsoft nu știa despre ele și, în consecință, nu a lansat niciun patch. Cu siguranță, virusul a folosit și o a cincea vulnerabilitate, binecunoscută, dar foarte diabolică, în serviciul RPC, pe care viermele o exploatase deja pe deplin.
Virusul a fost semnat o semnătură digitală furată. Din motive de securitate, Microsoft cere ca toți driverele de pe sistem să fie semnate. Nu a ajutat. Cel mai probabil, atacatorii au furat semnături de la filialele din Taiwan ale MicronJ și RealTek. Un fapt ciudat, dar birourile acestor companii sunt situate în aceeași clădire din orașul Shinchu. Dacă aceasta nu este o simplă coincidență, înseamnă că cineva a intrat fizic în camere, s-a conectat la computerele corespunzătoare și a furat cheile. Nu munca de amator.
A fost scris clar de o echipă - o jumătate de megaoctet de cod în asamblare, C și C++.
Stuxnet a fost descoperit nu în America, China sau Europa, unde există cei mai mulți oameni pe internet și unde virușii normali au cea mai mare grație, ci în Iran. 60% din infecții a avut loc în starea revoluției islamice.
Poate accepta comenzi și poate actualiza într-un mod descentralizat, după tipul P2P . Rețelele botne clasice folosesc sisteme de comandă centrală
Și cel mai mult, nu mă tem să spun, lucru senzațional este că virusul nu trimite spam, nu formatează discul și nici măcar nu fură datele bancare. Este angajat în sabotaj industrial. Mai exact, atacă sistemele industriale de monitorizare și control folosind un software numit Simatic WinCC . Ceea ce este și mai senzațional este că Stuxnet se înregistrează în secret pe cipuri programabile (sunt folosite pentru a controla producția), se maschează și ucide unele proces important. Nu proces aleatoriu, și cel care se întoarce cod specific. Din păcate, ce înseamnă acest cod este încă necunoscut. . Aceasta, apropo, explică metoda de distribuție prin unități flash - sistemele industriale sunt rareori conectate la Internet.
Concluzia sugerează de la sine: un grup de profesioniști duri a vrut să spargă ceva, ceva foarte scump, important și industrial. Cel mai probabil în Iran (deși virusul s-a răspândit în alte țări) și, cel mai probabil, sa spart deja cu succes (se estimează că virologii Stuxnet a trăit aproape un an înainte de a fi descoperit) Acesta nu este un simplu grup de hackeri. Acest lucru necesită echipament tehnic de primă clasă - de la oameni care fură chei, la specialiști în vulnerabilități, la experți în producție industrială. Cel puțin cooperare de dimensiuni decente și, mai probabil, agențiile guvernamentale ale cuiva.
Nu se știe cine folosește exact sistemul WinCC în Iran, dar teoreticienii conspirației indică faptul că o copie a WinCC, și fără licență , a stat pe șantierReactorul Bushehr . Același în care Iranul vrea să îmbogățească uraniu pentru el program nuclear, și pe care Rusia vrea să-l protejeze trimite sistem de rachete S-300 și a trimis deja tunuri antiaeriene Tor-1 .
Acest lucru, desigur, nu dovedește că Bushehr este ținta. Poate jumătate din fabricile din Iran lucrează la acest produs. Cu atât mai rău pentru Iran.
(Actualizați: Se pare că WinCC a fost deja licențiat în Iran. Cheie de proiect 024 infișierul README însoțitor special alocate pentru Bushehr (vezi pagina 2). Apropo, nu există alte obiecte iraniene pe listă.)
Apropo: majoritatea informațiilor necesare pentru a crea un virus erau în acces deschis. Vulnerabilități similare au fost menționate de câteva ori în diferite , parole din fabrică pentru baze de dateau fost pe forumuri . Rețelele botne P2P au fost discutate ca o posibilitate teoretică. Despre WinCC - fotografia de mai sus. O strategie foarte inteligentă. În primul rând, economisește bani și, în al doilea rând, este imposibil de urmărit calea informațiilor. Întrebarea „cine ar fi putut ști asta?” devine foarte complicat - dar oricine ar putea.
Pe scurt, urmărim știrile. Săptămâna viitoare - prezentarea lui Ralph Langner la Conferinta privind sistemele industriale de control, 29 septembrie— cercetători de la Symantec, precum și cercetătorii de la Kaspersky.
Primă: Hackerii germani care au distrus virusul au găsit și un troian care a murit în urmă cu doi ani pe site-ul nostru nativ AtomStroyExport (uită-te la codul sursă www.atomstroyexport.com/index-e.htm) Cel mai probabil nu are nicio legătură cu infecția, arată pur și simplu nivelul de securitate în energia nucleară.
http://malaya-zemlya.livejournal.com/584125.html
Articole pe tema:
-
Rise of the Machines? Skynet devine o realitate... Virusul, descoperit pentru prima dată în urmă cu aproximativ două săptămâni de sistemul informatic al sistemului de securitate bazat pe gazdă al armatei, nu i-a împiedicat pe operatori... -
Mii de utilizatori au căzut victime ale noului virus ICQ Snatch lansând fișierul .exe cu același nume care le-a venit prin intermediul rețelei ICQ. Epidemie virală a început în jurul prânzului zilei de 16 august; la momentul scrierii... -
S-a încercat o plasă orbitoare pe Pământ. Afirmația binecunoscută că armata se pregătește pentru războaiele trecute este valabilă mai ales astăzi. Totuși, ca întotdeauna. Potrivit generalului de armată Andrei Nikolaev: &ld...
„Nu știu ce arme vor fi folosite pentru a lupta în al treilea război mondial, dar în al patrulea vor folosi pietre și bâte.”
Albert Einstein
La sfârșitul lunii septembrie s-a știut că Virusul Stuxnet a cauzat daune grave programului nuclear iranian. Utilizarea vulnerabilităților sistemului de operare și a notoriilor " factorul uman„, Stuxnet a lovit cu succes 1.368 din cele 5.000 de centrifuge de la uzina de îmbogățire a uraniului Natanz și, de asemenea, a perturbat programul de lansare al centralei nucleare Bushehr. Client – necunoscut. Făptuitorul este un angajat Siemens neglijent care a introdus o unitate flash infectată stație de lucru. Daunele cauzate instalațiilor nucleare ale Iranului sunt comparabile cu pagubele cauzate de un atac al forțelor aeriene israeliene. Lumea vorbește despre războaiele noii generații. Atacurile cibernetice ar putea fi instrumente ideale pentru următoarele războaie - sunt rapide, eficiente în distrugerea lor și, de regulă, anonime. Astăzi, statele convin de urgență asupra unei strategii comune pentru a contracara amenințările cibernetice. Ce va fi mâine? Din păcate, răspunsul cel mai realist la această întrebare rămâne încă tristul aforism al lui Einstein.
Iranul este neajutorat împotriva amenințării tehnologice
Paginile editoriale ale presei mondiale sunt pline de profeții sumbre despre apariția unei ere a războaielor tehnologice. Experți din diverse domenii se luptă să rezolve soluția la Stuxnet, un virus care a afectat instalațiile nucleare ale Iranului, de la securitatea IT la lingvistică și antropologie. Stuxnet a fost descoperit de laboratoarele antivirus cu mult timp în urmă, dar scară adevărată Lumea a aflat despre infecție la sfârșitul lunii septembrie, când s-a aflat despre întârzierea lansării primei centrale nucleare Bushehr din Iran. Deși Ali Akbar Salehi, șeful Organizației pentru Energie Atomică din Iran, a spus că întârzierea lansării centralei nucleare nu are nicio legătură cu virusul, Mark Fitzpatrick, angajat al Institutului Internațional de Studii Strategice, a remarcat că acest lucru sună „ nu foarte grav”, iar Iranul este înclinat să tacă problemele reale de la centrala nucleară. După ceva timp, Mahmoud Jafari, managerul departamentului de proiecte al stației din Bushehr, „lasă-l să scape”. Potrivit acestuia, Stuxnet „a infectat mai multe computere, dar nu a provocat nicio daune sistemului principal de operare al stației”. Sapienti sat. Instalațiile nucleare ale Iranului de la Natanz au fost, de asemenea, grav avariate: 1.368 din cele 5.000 de centrifuge au fost dezactivate ca urmare a Stuxnet. Când Mahmoud Ahmadinejad a fost întrebat direct după sesiunea Adunării Generale a ONU despre problemele tehnologice ale programului nuclear, el a ridicat din umeri și nu a spus nimic. Să remarcăm că, potrivit New York Times, pagubele cauzate de virus în Iran sunt comparabile, probabil, cu un atac al forțelor aeriene israeliene.Autor! Autor!
Din motive evidente, dezvoltatorii Stuxnet preferă să păstreze un profil scăzut, dar este clar că complexitatea virusului este fără precedent. Crearea unui astfel de proiect necesită investiții intelectuale și financiare uriașe, ceea ce înseamnă că doar structurile la scară guvernamentală o pot face. Toți experții sunt de acord că virusul nu este rezultatul eforturilor unui „grup de entuziaști”. Laurent Eslau, șeful sistemelor de securitate la Symantec, estimează că cel puțin șase până la zece persoane au lucrat la crearea Stuxnet pe parcursul a șase până la nouă luni. Frank Rieger, Director tehnic GSMK își susține colegul - potrivit acestuia, virusul a fost creat de o echipă de zece programatori experimentati, iar dezvoltarea a durat aproximativ șase luni. Rieger numește și costul estimat al creării Stuxnet: este de cel puțin 3 milioane de dolari. Evgeny Kaspersky, CEO al Kaspersky Lab, vorbește despre scopurile militare ale virusului: „Stuxnet nu fură bani, nu trimite spam și nu fură. informații confidențiale. Acest malware a fost creat pentru a controla procesele de producție, pentru a gestiona literalmente capacități de producție uriașe. În trecutul recent, am luptat împotriva criminalilor cibernetici și a huliganilor online, acum, mă tem, vine vremea terorismului cibernetic, a armelor cibernetice și a războaielor cibernetice.” Tillmann Werner, membru al Proiectului Honeynet, o comunitate de experți în securitatea internetului, este încrezător că hackerii singuri nu sunt capabili de acest lucru. „Stuxnet este atât de avansat din punct de vedere tehnic încât ar trebui să presupunem că la dezvoltarea programului rău intenționat au participat specialiști din cadrul agențiilor guvernamentale sau că au macar, a oferit o oarecare asistență în crearea sa”, spune Werner.
În procesul de analiză a Stuxnet, unele instituții media au ajuns la concluzia că Israelul s-a aflat în spatele creării virusului. Primul care a vorbit despre implicarea Israelului în atacul asupra Iranului a fost John Markoff, jurnalist pentru New York Times, raportând că analiștii au remarcat în special numele unuia dintre fragmentele de cod „myrtus” („mirt”). Tradus în ebraică, „mirtul” seamănă cu „adas”, care, la rândul său, este în consonanță cu numele „Adassah”, aparținând Esterei (Estere), eroina istoriei evreiești care și-a salvat poporul de la distrugerea Imperiului Persan. Făcând o analogie cu Persia antică, pe al cărei teritoriu se află Iranul modern, unii analiști cred că Israelul a lăsat o „carte de vizită” în codul virusului. Cu toate acestea, potrivit unui număr de experți, această versiune nu rezistă criticilor și seamănă cu intriga unei povești polițiste ieftine - o „scriere de mână” prea primitivă pentru un proiect de această amploare.
În același timp, trebuie subliniat că vara trecută (nu uitați, răspândirea Stuxnet a început în 2009), resursa WikiLeaks a raportat un accident nuclear grav la Natanz. Curând după aceea, s-a știut că șeful Organizației pentru Energie Atomică din Iran, Gholam Reza Aghazadeh, și-a dat demisia fără explicații. Cam în aceeași perioadă, în presă au apărut declarații ale politicienilor și militarilor israelieni despre o posibilă confruntare cu Iranul pe frontul tehnologic. În plus, Israelul a ajustat data prevăzută pentru ca Iranul să obțină o bombă atomică, împingând-o înapoi în 2014, iar mandatul lui Meir Dagan, șeful Mossad-ului, a fost prelungit pentru participarea sa la „proiecte importante” nenumite.
Factorul uman
Este de remarcat istoricul infecției inițiale, care a marcat începutul răspândirii virusului. Este evident că sistemele control automatizat de acest nivel nu sunt conectate la Rețea. Un expert de la Centrul cibernetic NATO din Estonia, Kenneth Geers, a sugerat la una dintre conferințele de securitate că succesul atacului Stuxnet depinde doar de contactele cu oamenii potriviți și... unități USB de bază. „Puteți plăti pe cineva pentru a lansa un troian în care sistem închis, sau înlocuiți o unitate flash care a fost destinată numai uz intern", reflectă Gears. „Este suficient să introduceți o unitate flash infectată într-un conector USB standard de pe computer, iar Stuxnet va trece imediat automat la sistemul de operare și niciun program antivirus sau alte măsuri de protecție nu vor interfera cu acesta.” Și într-adevăr, „veriga slabă” s-a dovedit a fi factorul uman - Stuxnet a fost introdus în sistem printr-o unitate USB obișnuită, care a fost introdusă neglijent în stația de lucru de un angajat neglijent. Este de remarcat faptul că, după declarațiile ministrului iranian al informațiilor, Heydar Moslehi, despre reținerea unor „spioni nucleari” (s-au dovedit a fi tehnicieni ruși complet neimplicați), conducerea Siemens a recunoscut că virusul a fost introdus de angajații companiei, subliniind caracterul neintenționat al infecţie. Trebuie remarcat faptul că Stuxnet afectează doar un anumit tip de Controlere Siemens, și anume SIMATIC S7, care, conform AIEA, este folosit de Iran.Război cibernetic. Câmpul de luptă este Pământul?
La conferința Virus Bulletin 2010 din Vancouver, Canada, o scurtă prezentare a lui Liam O Murchu, unul dintre cei mai importanți experți în securitate IT de la Symantec, a atras atenția publicului. Un analist a efectuat un experiment pentru a explica pericolele unei amenințări cibernetice. mai bine decât sute rapoarte formale. O Merchu a instalat pe scenă o pompă de aer care rulează un sistem de operare fabricat de Siemens, a infectat stația de lucru care controlează pompa cu virusul Stuxnet și a lansat procesul în acțiune. Pompa a umflat rapid balonul, dar procesul nu s-a oprit - balonul s-a umflat până a explodat. „Imaginați-vă că acesta nu este un balon, ci o centrală nucleară iraniană”, a spus expertul, punând capăt întrebării „seriozității” războaielor cibernetice.
Colegii lui O Merchu îi împărtășesc pe deplin preocupările. Cercetătorul Trend Micro Paul Ferguson a spus că, odată cu crearea Stuxnet, lumea are acum o armă cibernetică cu drepturi depline care depășește schemele distructive tradiționale (furtul de numere). Carduri de credit etc.) și poate duce la accidente grave la instalații industriale foarte periculoase. Ferguson subliniază că analiștii vor „intimida literalmente guvernul să ia măsuri serioase de securitate”.
Într-adevăr, șeful personalului cibernetic nou creat al SUA de la Pentagon, generalul Keith Alexander, vorbind în fața Congresului, a declarat public că amenințarea războiului cibernetic a crescut rapid în ultimii câțiva ani. Alexandru a amintit de două atacuri cibernetice asupra statelor întregi - asupra Estoniei (în 2007, după dezmembrarea Soldatului de Bronz) și asupra Georgiei (în 2008, în timpul războiului cu Rusia).
Președintele Estoniei Toomas Hendrik Ilves, într-un interviu acordat Berliner Zeitung, ridică problema amenințărilor cibernetice în realitate. nivel inalt. Președintele Estoniei subliniază: decizia NATO de a amplasa Centrul de Securitate Cibernetică la Tallinn (nu uitați, acesta a fost deschis în mai 2008) se datorează faptului că Estonia este una dintre cele mai computerizate țări din Europa, precum și primul stat care a suferit un atac cibernetic la scară largă în 2007. După ce atacul a paralizat infrastructura întregii țări, ministrul eston al apărării, Jaak Aaviksoo, a cerut chiar ca NATO să echivaleze aceste atacuri cibernetice cu acțiuni militare. Președintele face astăzi puncte similare: „Virusul Stuxnet a demonstrat cât de serios trebuie să luăm securitatea cibernetică, pentru că cu ajutorul produse similare Infrastructura vitală poate fi distrusă. În cazul Iranului, virusul părea să vizeze programul său nuclear, dar viruși similari ar putea distruge economia noastră condusă de computer. Acest lucru ar trebui să fie discutat în NATO: dacă o rachetă distruge o centrală electrică, intră în vigoare paragraful 5. Dar ce să faci în cazul unui atac de virus informatic?" - întreabă Toomas Hendrik Ilves. Propunerea președintelui este în concordanță cu tendințele actuale: „Atât UE, cât și NATO trebuie să dezvolte o politică comună, inclusiv norme juridice, care să devină baza pentru apărarea colectivă împotriva amenințărilor din spațiul cibernetic”, crede șeful statului.
Prim-secretarul adjunct al Apărării William J. Lynn este pe deplin de acord cu Toomas Hendrik Ilves. Într-un interviu acordat Radio Liberty, Lynn a încercat să răspundă la întrebarea adresată de Ilves: „Dacă atacul a afectat elemente semnificative ale economiei noastre, probabil că ar trebui să îl considerăm un atac. Dar dacă hack-ul a dus la furtul de date, atunci s-ar putea să nu fie un atac. Între aceste două extreme există multe alte opțiuni. Pentru a formula o linie de politică clară, trebuie să decidem unde se află limita dintre hacking și atac sau între spionaj și furtul de date. Cred că există o discuție pe această temă atât în interiorul cât și în afara guvernului și nu cred că această discuție a fost deja epuizată.”
În plus, punctul cheie al discursului lui William Lynn a fost anunțarea publică a celor cinci principii pe baza cărora noua strategie Securitatea cibernetică a Statelor Unite. Cităm pe secretarul adjunct al Apărării al SUA fără reduceri:
„Primul dintre aceste principii este că trebuie să recunoaștem spațiul cibernetic pentru ceea ce a devenit deja - o nouă zonă de război. La fel ca pământul, marea, aerul și spațiul, trebuie să privim spațiul cibernetic ca pe un domeniu al operațiunilor noastre pe care îl vom proteja și la care ne vom extinde doctrina militară. Acesta este ceea ce ne-a determinat să creăm o comandă cibernetică unificată în cadrul Comandamentului strategic.
Al doilea principiu, pe care l-am menționat deja, este că apărarea trebuie să fie activă. Ar trebui să includă două linii de apărare pasivă general acceptate - de fapt, aceasta este o igienă obișnuită: instalați patch-uri la timp, actualizați programele antivirus, îmbunătățiți instrumentele de protecție. Avem nevoie și de o a doua linie de apărare, care este folosită de companiile private: detectoare de etruziune, programe de monitorizare a securității. Toate aceste instrumente vă vor ajuta probabil să respingeți aproximativ 80% dintre atacuri. Restul de 20 la sută este o estimare foarte aproximativă - atacuri sofisticate care nu pot fi prevenite sau oprite prin plasarea unor găuri. Este nevoie de un arsenal mult mai activ. Avem nevoie de instrumente care pot identifica și bloca codul rău intenționat. Aveți nevoie de programe care să identifice și să urmărească elementele rău intenționate din propria rețea care au pătruns în ea. Odată ce le-ați găsit, ar trebui să puteți bloca comunicarea cu acestea rețea externă. Cu alte cuvinte, este mai mult ca un război de manevră decât o linie Maginot.
Al treilea principiu al unei strategii de securitate cibernetică este protecția infrastructurii civile.
În al patrulea rând, Statele Unite și aliații săi trebuie să ia măsuri de apărare colectivă. Deciziile importante în acest sens vor fi luate la următorul summit NATO de la Lisabona.
În cele din urmă, al cincilea principiu este că Statele Unite trebuie să rămână în fruntea dezvoltării de software.”
Reacția lui Dmitri Rogozin, reprezentantul permanent al Rusiei la NATO, la procesele care au loc în Alianță este foarte demnă de remarcat. Aparent, Rusia este extrem de îngrijorată de viitorul summit NATO de la Lisabona, care va avea loc pe 20 noiembrie, pentru că acolo se plănuiește clarificarea dilemei dacă un atac asupra rețelelor de computere militare și guvernamentale ale unui membru NATO este considerat un motiv pentru a invoca articolul 5 Tratatul de la Washingtonși răspunde printr-o lovitură militară colectivă. Rogozin, în stilul său caracteristic, scrie: „Vom afla în sfârșit dacă este permis ca NATO să lovească apartamentele hackerilor cu o bombă nucleară sau dacă se presupune că războiul cibernetic nu va depăși granițele spațiului cibernetic. Am mari motive să mă îndoiesc de acest ultim scenariu. Literal în fața ochilor noștri, în periodicele occidentale se desfășoară un scandal uriaș în legătură cu răspândirea unui vierme de computer numit Stuxnet. Sunt obișnuit să citesc și trimiterea de SMS-uriîn latină, așa că am citit imediat numele virusului ca verb rusesc la timpul viitor: „se va stinge”. Fii sigur că ceva cu siguranță va merge prost sau va cădea pentru cineva, mai ales pentru cei care au început acest virus. După cum știm, cine seamănă vântul va culege vârtejul.” Fără a îndrăzni să comentem cercetările literare și creative ale domnului Rogozin, constatăm că în cele două mari atacurile hackerilor state întregi (Estonia și Georgia) au fost puse pe seama Rusiei - poate că asta a provocat o reacție atât de violentă din partea plenipotențiarului impresionabil.
Astfel, pe fondul isteriei provocate de Stuxnet, o serie de state au anunțat necesitatea formulării unei politici comune de prevenire a atacurilor cibernetice. Va duce acest lucru la rezultatul dorit, chiar dacă presupunem că va fi elaborat (și semnat) un document care reglementează utilizarea tehnologiilor distructive? Săptămâna de afaceri IT pare extrem de îndoielnică, tentațiile oferite sunt prea mari tehnologie avansata: anonimat, securitate (pentru atacator), raport cost/eficacitate fără precedent. Aceasta înseamnă că Stuxnet a fost doar primul semn al erei revoluției tehno-sociale, care a început deloc așa cum se visa.
Etichete:
- virus
- Stuxnet
- Iranul
