Haittaohjelma tikittää kuin oikea pommi
1.10.2010 14:10 Tehtaisiin iskeneellä Stuxnet-haittaohjelmalla on teoriassa kyky jopa aiheuttaa räjähdyksiä, arvioi F-Secure.
Bittimaailma ja fyysinen todellisuus voivat kohdata rankalla tavalla. Paljon puhuttu Stuxnet-haittaohjelma on levinnyt ainakin satoihin tuhansiin tietokoneisiin. Se alkaa tehdä pahojaan vain löytäessään oikeanlaisen tehdasympäristön. Silloin seuraukset voivat olla vakavia.
F-Securen tutkimusjohtaja Mikko Hyppönen on koostanut erikoisen madon ominaisuuksia pitkään kysymys ja vastaus -artikkeliin. Stuxnet tekee monimutkaisia muutoksia järjestelmään oikean kohteen havaitessaan. Muutoksia ei voi huomata näkemättä todellista ympäristöä, joten madon kyvyt ovat arvailun varassa.
– Teoriassa mato voisi säätää moottoreita, liukuhihnoja tai pumppuja. Se voisi seisauttaa tehtaan. Sopivin muutoksin se voisi saada asioita räjähtämään, Hyppönen kirjoittaa.
Asiantuntijat ovat muuallakin pitäneet mahdollisena, että Stuxnet voisi periaatteessa saada jopa ydinvoimalan epäkuntoon. Hyppösen mukaan Stuxnet voisi teoriassa myös päästää rikolliset huippusalaisiin paikkoihin ovia avaamalla ja hälytysjärjestelmiä sulkemalla.
Ei ole kuitenkaan syytä epäillä, että Stuxnet olisi aiheuttanut Meksikonlahden öljynporauslautan uppoamisen ja sitä seuranneen valtavan öljyvuodon. Lautalla tosin oli ilmeisesti käytössä joitakin Siemensin PLC-järjestelmiä, jollaisiin Stuxnetin tiedetään yrittäneen ja päässeenkin joissakin tehtaissa.
Yhteys
teloitukseen?
Avoimia kysymyksiä on paljon. Ei ole tietoa, mihin nimenomaisiin tehtaisiin Stuxnet on suunnattu tai onko se päässyt haluttuun kohteeseen.
On myös epäselvää, mistä maasta harvinaisen monimutkainen haittaohjelma on kotoisin. Hyppösen mukaan näyttää kuitenkin siltä, että Stuxnetin takana on jokin valtio. Tekijöiksi on muualla epäilty esimerkiksi israelilaisia ja maalitauluksi on veikattu iranilaista ydinvoimalaa.
Mikko Hyppönen pohtii myös viruksen raamatullista vihjettä, sanaa "myrtus" eli myrtti. Sitä ei ollut piilotettu koodiin. Kyseessä lienee koodiin vahingossa jäänyt viite, joka kertoo missä hakemistossa lähdekoodi sijaitsi tekijän tietokoneella. Hyppösen mukaan on siten epäselvää, missä mielessä myrtti on raamatullinen viittaus.
Mato jättää saastuttamaansa tietokoneeseen rekisteriavaimen arvolla 19790509. Se voi olla viittaus päivämäärään 09.05.1979, jolloin juutalais-iranilainen liikemies Habib Elghanian teloitettiin Iranissa syytettynä vakoilusta Israelille.
Stuxnet toimii
vielä vuosia
Mikko Hyppönen pitää mahdollisena, että Stuxnetillä on yhteys valtavasti levinneeseen Conficker-matoon. Stuxnet alkoi levitä itse asiassa jo kesäkuussa 2009 tai ehkä jo aikaisemmin. Conficker ilmaantui vuosien 2008 ja 2009 vaihteessa.
Hyppösestä on hyvä kysymys, kuinka Stuxnetin havaitsemiseen kului kokonainen vuosi. Mato löydettiin viime kesäkuussa. Nykyiset versiot lakkaavat toimimasta 24.06.2012.
Yksi Stuxnetin leviämiskeinoista oli Windowsin pikakuvakehaavoittuvuus, joka on korjattu. Osa muista aukoista on yhä Microsoftilta paikkaamatta.
- VerkossaF-Securen blogikirjoitus
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Leffateatterin paikannäyttäjä saalistaa piraatteja yölaseilla
27.05.2007 Malesiassa on keksitty uusi ase taisteluun elokuvapiratismia vastaan: yölasit, joilla käräytetään videokameralla elokuvateatterissa kuvaavia katsojia. Lasien käyttökoulutusta tarjoaa - mikäs muukaan - amerikkalainen elokuvayhtiöiden järjestö MPAA, joka on vienyt Malesiaan jopa dvd-vainukoiria.
Kolme vuotta sitten
Intel valottaa palvelinhirmun speksejä
27.05.2009 Intel julkisti eilen illalla uuden Intel Xeon -prosessorin, joka tulee tuotantoon myöhemmin tänä vuonna.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- » Taloussanomat.fi
Kommentit (17)
Ja USB-tikkulevitykseen käytetään maailman vanhinta tietoturva-aukkoa, johon isketään sosiaalisella krakkeroinnilla...
Kyseessä oli kohdistettu hyökkäys, ja noilla resursseilla mitä ilmeisemmin on ollut käytössä Linux tai OSX olisi korkattu aivan yhtä helposti.
Edes rootin rajoittaminen ei olisi auttanut kun Stuxnet käytti 0-day privilege escalation haavoittuvuuksia.
Winkkari kannattaa vaihtaa kriittisissä kohteissa, mutta pelkkä käyttiksen vaihtaminen ei olisi suojannut Stuxnetin kaltaista hyökkäystä vastaan.
Helposti.
Ostaa lisenssin ulkomailta ja asentaa.
Jos Microsoftilla on GeoIP blokki, niin sitten aktivoi puhelimen yli.
Jutun alussa todetaan fyysisen ja bittimaailman kohtaamisesta. Miten kummassa ne yritetään väkisin erottaa toisistaan vaikka on ihan selvää ettei ilman kumpaakaan nykymeno jatkuisi.