stuxnet - Der digitale Erstschlag ist erfolgt

Dieses Thema im Forum "Netzwelt" wurde erstellt von neXy, 22. September 2010 .

  1. 22. September 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    stuxnet - Der digitale Erstschlag ist erfolgt - Updates

    Fieberhaft arbeiten die besten Sicherheitsexperten der Welt an der Analyse eines völlig neuartigen Computervirus. Jetzt legen erste Indizien einen erstaunlichen Verdacht nahe: Offenbar hat die digitale Waffe das iranische Atomprogramm sabotiert.
    ___________________________

    30. September - China von Stuxnet-Epidemie heimgesucht
    stuxnet - Der digitale Erstschlag ist erfolgt - Seite 2 - RR:Board
    ___________________________

    29. September - Update
    stuxnet - Der digitale Erstschlag ist erfolgt - Seite 2 - RR:Board
    ___________________________

    22. September 2010

    Auf den ersten Blick sah das kleine Programm aus wie Hunderte anderer Varianten von Schadsoftware, die jedes Jahr entdeckt werden, weil sie sich wie eine Seuche von Computer zu Computer verbreiten. Einzig verwunderlich war, dass es, um sich zu verbreiten, einen Fehler in Microsofts Betriebssystem ausnutzte, den zuvor noch niemand bemerkt hatte. In der Sprache der Branche nennt man so etwas einen ,,Zero Day Exploit", einen Angriff, der besonders schlagkräftig ist, weil er seit null Tagen - also noch gar nicht - bekannt ist. Angreifbare Schwachstellen, die schon länger bekannt sind, werden meist vom Hersteller mit einem Software-Update behoben. Solange das noch nicht geschehen ist, können Antivirus-Programme, die täglich aktualisiert werden, Schadsoftware wie diesen Trojaner möglicherweise erkennen oder sogar am Einsatz hindern.

    Das anfangs ,,LNK" genannte Problemprogramm wäre normalerweise bald in Vergessenheit geraten, die Durchschlagskraft des Angriffes, der für die Verbreitung dieses spezifischen Trojaners genutzt wurde, jedoch war aufsehenerregend. Sie zeigte sich, wenn ein Nutzer einen infizierten USB-Stick in einen Computer steckte, auch wenn dieser mit den bisher üblichen, vom Hersteller verordneten Sicherheitsmaßnahmen gegen einen Angriff über die USB-Schnittstelle geschützt wurde. Es genügt, den USB-Stick einfach nur einzustecken, und die Schadsoftware wird auf dem Computer - ganz ohne Zutun des Benutzers - heimlich installiert. Und das nicht nur, wie sonst bei Trojanern vielfach üblich, auf einer bestimmten Windows-Version. LNK funktionierte einfach überall, vom uralten Windows 2000 bis zu den allerneuesten, als relativ sicher angesehenen Versionen Windows Vista Plus und Windows 7.

    Seltene Ballung von Angriffsmethoden
    Spoiler
    Üblicherweise sind Schwachstellen, aus denen man so zuverlässig funktionierende Angriffe konstruieren kann, sehr selten zu finden und werden daher in der entsprechenden Szene für einige hunderttausend Dollar gehandelt. Die Käufer sind zum einen Computer-Sicherheitsberater, die Hersteller der betroffenen Software, aber auch Geheimdienste und Regierungsstellen. Wenn man versuchen wollte, ein Äquivalent in der Welt der physischen Waffen zu finden, wäre LNK eine Haubitze, angewendet in einer Situation, für die auch eine Pistole ausreichen würde. Dass jemand ein derart wertvolles Werkzeug nicht verkauft, sondern für möglicherweise kriminelle Zwecke verwendet, ist äußerst ungewöhnlich, da etwa das Ausspähen von Kontoinformationen auch mit weitaus weniger großkalibrigen Mitteln zu erreichen ware.

    Bisher förderte die Untersuchung vier großkalibrige ,,Zero Day Exploits" zutage. Zusätzlich dazu wurden zwei gestohlene digitale Unterschriften verwendet. Diese Signaturen dienen in modernen Betriebssystemen wie etwa Windows 7 dazu, dass zum Beispiel ein Hersteller von Graphikkarten die für seine Produkte nötige Software unterschreiben und damit bestätigen kann, dass sie echt und unschädlich sind. Das Betriebssystem prüft diese Unterschriften, um zu verhindern, dass sich Schadsoftware im sensiblen Inneren des Systems installieren kann. Die Schadsoftware, inzwischen ,,stuxnet" getauft, kam gleich mit zwei verschiedenen dieser Signaturen daher, gestohlen bei zwei taiwanischen Hardware-Herstellern. Das Betriebssystem hielt das stuxnet-Programm für unschädlich - es wies ja die richtige Unterschrift auf - und ließ es gewähren.
    Diese Ballung und Qualität von Angriffsmethoden in einer einzigen Schadsoftware hatte es bis dahin nicht gegeben. Richtig nervös wurden die Experten und kurz danach diverse Regierungen, als klar wurde, wozu all dieser Aufwand getrieben wurde.

    Hobby-Hacker ausgeschlossen

    Der extreme Aufwand, der von den Autoren von stuxnet getrieben wurde, schließt Hobbyhacker oder lumpige Cyber-Kriminelle aus. Die Entwicklung sowie der Ankauf der notwendigen Angriffskomponenten in dieser Qualität und Zuverlässigkeit verursachen Kosten im siebenstelligen Euro-Bereich. Auf vielen Ebenen stellt stuxnet sicher, dass die Verbreitung absolut zuverlässig und unbemerkt vor sich geht. Am Ziel angekommen, also auf einer passenden Siemens-Industrieanlage, stellen umfangreiche Überprüfungen sicher, dass wirklich nur die spezifische Anlage, auf die stuxnet zielt, manipuliert wird. Auf allen anderen Anlagen passiert - trotz heimlichen Festsetzens des Trojaners - nichts. Die Angreifer verfügten also über hochpräzise Informationen zum Aufbau der Anlage und der darin verwendeten Software. Ohne exakte Kenntnisse der Konstruktionsdetails und der Art des Zusammenwirkens der einzelnen S-7-Komponenten wäre ein Angriff dieser Präzision unmöglich. Angesichts dieses Aufwandes bleiben als Autoren nur Nationalstaaten übrig, die über entsprechende Ressourcen verfügen, um eine derart hochgezüchtete Cyber-Waffe zu entwickeln und zu testen - und zwar, bis sie nahezu nebenwirkungsfrei ist. ,,Cyber-Kriege" können aufgrund des nötigen langfristigen Entwicklungsaufwandes für die digitalen Angriffswerkzeuge de facto nur von Entitäten in der Größenordnung von Staaten geführt werden.

    Eine faszinierende Kette von Indizien
    Spoiler
    Ausgehend von Anfang 2009 als Aktionsdatum, ergibt sich eine faszinierende Kette von Indizien. Mitte Juli 2009 publizierte Wikileaks eine kryptische Notiz mit dem Hinweis eines Informanten aus Iran auf einen nuklearen Unfall in Natanz, der sich kurz zuvor ereignet haben soll. In Natanz wird ein Großteil des iranischen Urans mit Hilfe von Zentrifugen angereichert. Die BBC meldete zur gleichen Zeit, dass der Leiter der iranischen Atombehörde, Gholam Reza Aghazadeh, zurückgetreten sei. Schon damals gab es Spekulationen über ein Einwirken im Rahmen des klandestinen Antiproliferationsprogrammes, das westliche Geheimdienste seit Jahren gegen den Iran betreiben. Die Dienste versuchen durch allerlei Methoden, das iranische Atomprogramm zu behindern und zu verzögern. Statistiken, die aus Daten der Internationalen Atomenergiebehörde erstellt wurden, legen nahe, dass nach dem Frühjahr 2009 die Zahl der tatsächlich betriebenen Anreicherungszentrifugen in Iran deutlich abgenommen hat, trotz Installation von immer mehr Zentrifugen. Ereignisse im Frühjahr 2009 haben die Kapazität des iranischen Anreicherungsprogrammes offenbar nachhaltig beschränkt. War stuxnet womöglich der Auslöser?

    Anreicherungszentrifugen sind komplexe Präzisionsmaschinen, die eine sehr genaue Steuerung von Vakuum, Drehzahl und Gasfluss erfordern. Tausende Zentrifugen müssen in Serie geschaltet werden, um am Ende die nötige Anreicherung des spaltbaren Atommaterials zu erreichen. Ohne entsprechende Computersteuerung ist eine solche Anlage effektiv nicht zu betreiben. Die Analyse von stuxnet weist nun ein faszinierendes Detail auf: Ein Teil der Schadsoftware, die in die Steuerungsprozesse eingreift, scheint darauf ausgelegt, sich auf viele einzelne Steuercomputer in einem Netz zu verbreiten und die Schadensroutinen zeitlich zu synchronisieren. Der logische Weg zur Steuerung von vielen tausend Anreicherungszentrifugen ist es, jede mit einem kleinen separaten Steuercomputer zu versehen, der seine aktuellen Parameter über das Netz an die zentrale Überwachungseinheit meldet und von dort Kommandos empfängt. Das, was den Experten bisher über die Struktur der eigentlichen Schadenskomponente in stuxnet - der innersten Matroschka - bekannt ist, würde perfekt dazu passen.
    Mit den üblichen Mitteln ist eine Verteidigung nicht möglich

    Mit den üblichen Mitteln der IT-Sicherheit ist eine Verteidigung gegen derartige Angriffsmethoden nicht möglich. Es lässt sich wohl kaum ausschließen, dass kritische Systeme nicht einmal mit einem potentiell infizierten USB-Stick - zum Beispiel mit einem Software-Update des Herstellers - in Berührung kommen. Die von den deutschen Energieversorgern dieser Tage vorgebrachten Beteuerungen, ihre Atomkraftwerke könnten auf keinen Fall durch einen Angriff in der Art von stuxnet manipuliert und mit möglicherweise katastrophalen Folgen konfrontiert werden, erscheinen angesichts der Qualität und Durchschlagskraft dieses Trojaners wie das Pfeifen im Walde. Die Kriterien zur Beurteilung der Sicherheit von Atomanlagen können sich zukünftig jedenfalls nicht mehr nur auf die Dicke von Betonhüllen und Tests der Elektrik beschränken.

    Kommentar
    {bild down}
     
  2. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Wahnsinn , nur komisch ist irgendwie das diese Siemens Anlagen "on the web" hängen.

    Beispiel Ampelanlagen -> Werden bei uns in einer Kaserne "gehostet" , die Steuercomputer dazu sind von der Firma AEG & Siemens, sind aber "off air" sprich nicht im web erreichbar.
    Somit könnte zwar ein bööööser Trojaner in das System nur ohne Remote Zugriff sinnlos!

    Die Frage ist - warum sind diese Anlagen "im web" ?
     
  3. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Eine noch bessere Frage wäre: Warum laufen diese kritischen Anlagen mit Windows/x86?
    Ich dachte immer, dass für solche Sachen eher ASICs, FPGAs oder auch ARM und Konsorten (und keine x86 Prozessoren) verwendet werden...
     
  4. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    für mich stellt sich die frage wie das nur mit dem reinstecken des sticks möglich sein soll? es passiert doch nicht viel wenn er angeschlossen wird. der stick wird erkannt, versucht ein schnittstelle zum betriebssystem zu erstellen in form einer partition und dann läuft doch nur noch strom hin und her wenn man nichts weiter macht?

    kann mich da bitte einer aufklären ?( ?

    naja der artikel ist von heute, bleibt mal abzuwarten was da noch passiert. von wann der eigentliche virencode ist, wär auch eine gute frage. naja interessantes thema.
     
  5. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Das ist nicht ganz so gut beschrieben in dem Artikel. Fakt ist, der Anwender muss keine bestimmte Datei öffnen oder eine Datei ausführen. Es reicht wenn er den Stick reinsteckt und den Ordnerinhalt im Explorer betrachtet.

    Ein Fehler bei den LNK-Dateien (die Verknüpfungen darstellen) sorgt dafür, dass ein Parameter nicht genau überprüft wird und man so Schadcode ausführen kann.

    Also es reicht nicht, wenn man den Stick nur reinsteckt, man muss ihn im Explorer anschauen. Aber das funktioniert ja durch Autostart meistens eh automatisch.
     
  6. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    danke , mein verständnissproblem ist gelöst.
     
  7. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    schon sehr erstaunlich aber warum läuft das ganze auf Windows?

    komisch, könnte ja sein das USRAEL dahinter steckt....
     
  8. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    weil Windows das sicherste betriebssystem ist :x
    und nein das ist nicht ironisch gemeint gerade irgentwo nen Artikel gelesen, ein richtig Eingestelltes Windows ist als hacker die schwierigste aufgabe um ne Lücke zu finden
    mac OS ist nen Witz
    Linux hat auch mehr als genug lücken...


    einzige was mich wundert ist das für wirklich wichtige dinge nichts in eigenproduktion gemacht wird was minimale Funktionnen hat das kostet zwar mehr ist aber wohl immer noch das sicherste, mal von der idee abgesehen das ganze nicht mit nem Webanschluß zu machen
     
  9. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    es gab da keinen direkten webanschluss. der wurm ist über einen windows pc in das interne firmennetz und die steueranlagen gekommen. das netz selber ist nicht an das internet angeschlossen , wahrscheinlich wurde nur ein infizierter pc von dem netzwerk abgekoppelt und hat den wurm dann übers internet verbreitet. das ganze ist auch schon 2009 passiert, also kann davon ausgegangen werden dass es keinen direkten internetanschluss gab.
     
  10. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Es laufen ja nicht die SPS mit Windows >_>
    Die laufen mit der Firmware von Siemens..
    Aber die PCs, mit denen die SPS programmiert/überwacht werden laufen mit Windows.. Und der Stuxnet kann halt über dieses Programm auf die SPS zugreifen und Befehle geben, Daten auslesen oder die SPS umflashen..

    MfG
     
  11. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Das wurde doch zu keiner Zeit gesagt, es ist auch möglich, dass der Virus die Anlagen über USB-Medien erreicht hat.

    Woher beziehst du deine Informationen? Beleg deine Aussagen mal bevor du mit irgendwelchen Theorien um dich wirfst.

    Ich denke Linux ist mindestens genauso sichere, da man es in so einem Fall von Grund auf selbst programmieren / anpassen kann. Bei Windows ist eine derart detaillierte Anpassung (gerade im Bezug auf Sicherheit) gar nicht möglich.

    Man findet Lücken besser im OpenSource als bei Windows im ClosedSource (wie man hier sieht, die LNK-Lücke blieb ewig unentdeckt, weil keiner den Source sehen konnte).

    Abgesehen davon siehst du die sowieso Sache etwas falsch, da hier nicht der Server (die SPS) sondern das Steuerprogramm angegriffen wurde.
     
  12. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    irgendwelche geheimdienstler,/ spione haben wohl die Rechner dort mit nem USB stick infiziert. Irgendwer hat wahrsch. dort nen Rechner, Notebook oder selbst nen USB stick mitgenommen und ans inet gehängt. So ist der erst ins web gelangt.
     
  13. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt


    So wie ich das verstanden habe, kam stuxnet per USB Stick auf die Anlage. Und wie im Artikel beschrieben z.B. im Zuge eines Software Updates.
    Könnte mir auch vorstellen, dass wenn tatsächlich ein Geheimdienst dahinter steckt dass der Virus über einen "bezahlten Mitarbeiter" in das System gelangt ist.
     
  14. 23. September 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Pwn2own-Fazit: Mac hacken macht Spaß, Windows ist harte Arbeit - RR:Board

    dagegen hab ich ja nichts gesagt dennoch ist windows inzwischen nicht mehr das unsichere für das es manche halten :x mit paar tools kannst ne Menge machen und vorallem ist der Vorteil des closed source du kannst keine neuen Sicherheitslücken ausversehen schaffen

    hat beides vor und nachteile wie gesagt das sicherste für mich ist mit standart sachen sich sein eigenes kleines Linux minimalistisch zusammenzuschustern, wenn mans kann und davon gehe ich bei staaten / großen firmen doch mal aus ^^
     
  15. 23. September 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Wie ich fast wusste, dass du dich darauf beziehst. Das ist einfach etwas, dass eine einzelne Person für sich persönlich gesagt hat.

    Das ist ein persönlicher Erfahrungsbericht und nichts objektives. Es gibt vielleicht genauso Leute die sagen: "Ich finde es persönlich einfacher Windows-Exploits zu schreiben."

    Ansonsten stimme ich dir zu, dass sich in Sachen Windows-Sicherheit eine Menge getan hat. Aber den "schlechten" Ruf wird es so schnell nicht mehr los.
     
  16. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    In allen Medien wird immer von Industriespionage geredet.
    Aber soweit ich es verstanden haben, versendet der gar keine Infos (kann ja auch nicht, da internes Netz) sondern sabotiert nur.

    Frage mich wie der in mehreren Länder kam, da er sich ja nur innerhalb von einer Anlage automatisch verbreiten kann.
     
  17. 23. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    das hat uns wohl die nicht vorhandene geschichte gelehrt
    viel wirbel um nix, glaub nicht das da nen staat hintersteckt.
     
  18. 26. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    wer sonst?

    der Hacker aus dem Nachbarhaus?


    Wenn ich das richtiig verstanden habe ist dieses Teil so komplex, dass nur ein Staat dies entwickelt haben kann.
     
  19. 26. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Laut des Artikels schon, allerdings kann es genauso gut von einer anderen Gruppierung entwickelt worden sein. Wenn genug Geld fließt, muss nicht zwingend der Staat dahinter stecken. Große Firmen oder kriminelle Organisationen (was in gewisser Weise das gleiche ist) halte ich auch für denkbare "Täter" .

    Abgesehen davon sollte man die so geannten "Hobby-Hacker" nicht unterschätzen. Ich bin mir fast sicher, dass es dort weitaus fähigere Leute gibt als bei so mancher Regierung zu finden sind. Es müssten sich dort auch nur ein paar Leute gruppieren.

    Die "der Staat wars"-Version lässt sich nur wesentlich besser verkaufen denke ich. Es ist natürlich auf gar keinen Fall auszuschließen. Man sollte sich mal genauer anschauen wer noch die nötige Motivation gehabt haben könnte (und auch über die Mittel verfügte)
     
  20. 26. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Jetzt verstehe ich auch die Einführunges des roten Knopfes fürs Internet in den USA.

    Obama wusste schon vorher, dass das neue Zeitalter das Internet ist und eine unheimliche gefahr für einen Staat sein kann.

    Deswegen hat er präventiv so einen Notknopf eingeführt, um sich vor einem eventuellen Gegenschlag zu wehren.

    Das komische ist ja, die USA warnen uns vor gefahren. (Atombomben, Internetcyberwars) und sind dann immer die ersten, die es wirklich ausprobieren.

    vllt. sollten wir unsere Wahrnehmung ändern und uns wirklich bewusst werden, wer oder was das böse auf der Welt ist.
     
  21. 26. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Bis die Meisten das begriffen haben wird es zu spät sein Malena. Skepsis ist mittlerweile mehr als nur angebracht.

    Schau dir dieses Board an. Auch hier stecken einige tiefer im ***** der US Regierung als es ihnen selbst bewusst ist.
     
  22. 26. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    ein staht bezahlt auch nur leute die das entwickeln, und leute wohnen irgendwo also wirds schon von irgendwem der Hacker aus dem Nachbar haus sein .

    Erschreckend, mal sehen was und überhaubt obwas unternommen wird.
     
  23. 26. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Dazu muss dieser Hacker allerdings die nötige "Infrastruktur" zur Verfügung gestellt bekommen haben. Alle Experten gehen davon aus, dass dies nicht in Frage kommt bei der Komplexität des Wurmes deshalb empfinde ich es als etwas abwegig wenn Leute hier behaupten ein "Hacker aus dem Nachbarhaus" könnte diesen Wurm entwickelt haben.
     
  24. 27. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Das mag schon sein, aber welche "Gruppierung" will denn bitte nen Trojaner schreiben, der Zentrifugen manipuliert?
    Die Atomgegner?
    Sonst würde mir spontan keine Gruppierung dafür einfallen, daher tendiere ich auch eher dazu, dass es ein Staat war (wobei nicht sicher ist, welcher - allerdings wohl einer der eine Menge IT-Kompetenz besitzt).
    Ausserdem haben nur sehr wenige "Hobby-Hacker" die Zeit oder das Geld sich die vier 0day-Exploits zu besorgen...

    Mfg
    TuXiFiED
     
  25. 27. September 2010
    AW: stuxnet - Der digitale Erstschlag ist erfolgt

    Bin da auch der Meinung von TuXiFiED. Die Frage ist ja wer hat von so einer Aktion was davon? Davon zieht man dann noch die Leute ab die was davon haben aber nicht die Mittel dafür besitzen und dann bleibt nicht mehr viel übrig. Atomgegner haben eher kein Geld dafür und welche Unternehmen haben ein Interesse daran... Gut da gibts ein paar beispielsweise um Siemens den Platz streitig zu machen aber dafür ist die Aktion etwas zu übertrieben. Finde das mit dem Staat sehr plausibel.
     
  26. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.