Wojny w cyberprzestrzeni

Wirus Stuxnet zachwiał irańskim programem nuklearnym, niszcząc ponad 1 tys. wirówek oczyszczających uran. Flamer wstrzymał prace kilku terminali naftowych. Plan cybernetycznego uderzenia na Iran zaakceptował prezydent Bush w 2006 r. Cyberprzestrzeń stała się polem bitwy. Jak przygotować się na atak, by ochronić krytyczną infrastrukturę?

Firmy zajmujące się bezpieczeństwem informatycznym, politycy i służby specjalne zajmują się dziś gorączkowo analizą ostatnich doniesień o wirusach komputerowych Stuxnet, Duqu i Flamer, które uderzyły w krytyczne elementy irańskiej infrastruktury. Nie można się dziwić, że tyle energii jest poświęcane na dokładne zbadanie i poznanie tych zagrożeń.

Bezpieczne funkcjonowanie społeczeństw i gospodarek jest uzależnione od ciągłego zapewnienia dostępu do dóbr, takich jak: energia elektryczna, gaz, ropa naftowa, łączność, woda, żywność, transport i banki. Trudno sobie dzisiaj wyobrazić, by usługi te mogły być świadczone bez wsparcia technologiami informatycznymi, a już krótkotrwałe przerwy w ich funkcjonowaniu spowodowane zakłóceniami w pracy systemów informatycznych wywołują negatywne konsekwencje społeczne i gospodarcze. Scenariusze opisujące długotrwałe przerwy nie są nawet rozważane, gdyż porównywać je można wyłącznie do powieści katastroficznych.

Stuxnet nie jest pierwszym złośliwym programem, który spowodował zakłócenia pracy systemów sterowania i nadzoru. Wspomnieć należy o takim przypadku, jak unieruchomienie na pięć godzin systemów bezpieczeństwa elektrowni jądrowej David-Besse w Ohio w 2003 r. przez wirusa Slammer, który zatrzymał bazę danych MS SQL systemu Scada.

Stuxnet

Stuxnet jest jednak pierwszym wirusem zaprogramowanym do zniszczenia istniejącego fizycznego urządzenia. Świat dowiedział się o nim w czerwcu 2010 r., gdy ujawniono, że spowodował uszkodzenie ok. 1 tys. wirówek do oczyszczania uranu w irańskich zakładach w Natanz, obok elektrowni jądrowej w Buszehr. Późniejsze badania firm związanych z bezpieczeństwem informatycznym wykazały jednak, że pierwsze jego działania zaobserwowane zostały przez systemy antywirusowe już w czerwcu 2009 r.

Wtedy nikt jednak nie podniósł alarmu. Wirus po pierwsze, ma wbudowane możliwości ukrywania się, po drugie, ataki dotyczyły ograniczonej liczby hostów, a po trzecie, infekcje dotykały wyłącznie instalacji w Iranie. Z tych powodów nikt się na dobre nie zabrał do gruntownego rozpoznania zagrożenia.

Dziś, mając już pełną analizę jego budowy i sposobu działania, programista mógłby wręcz zachwycić się kunsztem i wyobraźnią jego twórców. Wiadomo że Stuxnet wykorzystywał cztery błędy typu "zero day" w systemach operacyjnych Microsoftu, używał dwóch certyfikatów cyfrowych do instalowania się w systemie bez zwracania na siebie uwagi oraz potrafił przeprogramowywać produkowane przez Siemensa wirówki uranu, których Iran używał w swoich instalacjach atomowych.

Zagrożenie systemów SCADA

Każda z wymienionych branż ma wyspecjalizowane systemy informatyczne zarządzania i nadzoru, zwane SCADA (Supervisory Control And Data Acquisition). Zasadniczo systemy SCADA dla różnych branż są odmienne, co wynika ze specyficznych dla każdego z nich, przyłączonych urządzeń końcowych. Istnieje jednak wspólna dla nich wszystkich płaszczyzna, jaką są stosowane obecnie powszechnie do budowy systemów SCADA popularne rozwiązania informatyczne znane z biznesu. Rozwiązania dla biznesu żyją jednak innym rytmem niż systemy SCADA, zbudowane na ich podstawie.

Biznes wymienia swoje systemy co pięć, a nie co 20 lat, może sobie pozwolić na przerwy związane z aktualizacjami i wgrywaniem poprawek, dopuszcza funkcjonowanie rozwiązań antywirusowych, co nie jest oczywiste w systemach SCADA. W poprzednich latach odnotowano incydenty bezpieczeństwa wynikające z tych różnic, jak choćby awaryjne wyłączenie elektrowni atomowej Hatch w Georgii w marcu 2008 roku, spowodowane zawieszeniem się bazy danych, wspólnej dla systemów biznesowych i SCADA, w trakcie jej upgrade’u. Słabość fundamentów bezpieczeństwa wynikająca z niedopasowania stosowanych technologii używanych do budowy systemów Scada do potrzeb ich utrzymania doprowadziła do podjęcia prób przeniesienia metod walki między mocarstwami do cyberprzestrzeni.

O wyjątkowości Stuxneta decyduje sposób, w jaki powstał i działał. Samo wykrycie czterech podatności typu "zero day", czyli takich, których producenci programów jeszcze nie zdążyli załatać (dwie pozwalające uzyskać prawa administratora, dwie umożliwiające replikację wirusa), wymaga albo długotrwałej i mozolnej pracy, albo wydania znacznych sum pieniędzy, rzędu 80 tys. USD, za każdą z nich. Podatności tego rodzaju są niezwykle cenne na czarnym rynku. Hakerzy wykorzystują je do przeprowadzania ataków kierowanych i budowy botnetów, które potem przynoszą olbrzymie dochody z rozsyłania spamu.

Kradzież ważnych certyfikatów do podpisywania sterowników od Realteka oraz JMicrona wymagała właśnie przeprowadzenia ataku kierowanego lub wykorzystania wewnętrznego szpiega. Nie jest wykluczone, że kradzież została przeprowadzona przy użyciu narzędzia podobnego do Duqu, o którym za chwilę. Następnie do zbudowania głównego komponentu oprogramowania wirusa użyto rzadko spotykanego języka OO C (Objected Oriented C), co wskazuje, że programowaniem zajmowała się profesjonalna grupa programistów, inżynierów "starej szkoły".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200