De Stuxnetworm is mogelijk ontworpen om het verrijkingsproces van uranium te saboteren. Dat suggereert Symantec, op basis van de bijdrage van een Nederlandse expert op het gebied van de programmering van industriële systemen.
Stuxnet wijzigt de omwentelingssnelheid van elektromotoren gedurende korte intervallen. Het doet dat alleen waneer de motoren gedurende een bepaalde periode met een frequentie van 807 Hz tot 1210 Hz gedraaid hebben. Symantec wijst erop dat elektromotoren met zulke hoge toerentallen 'gebruikt kunnen worden voor uraniumverrijking.' De antivirusleverancier vraagt zich hardop af of er andere toepassingen bestaan die dezelfde snelheden gebruiken. Zo ja, dan zou het bedrijf 'dat graag horen.'
Volgens de beveiligingsonderzoekers was het niet de bedoeling van de worm om het verrijkingsproces tot stilstand te brengen. Dat zou te veel in de gaten lopen. In plaats daarvan moest Stuxnet mogelijk de kwaliteit van het verrijkte uranium in zoverre omlaag brengen, zodat het niet meer gebruikt kon worden voor de productie van atoombommen.
Scada
De analyse geeft voeding aan een al langer bestaand vermoeden: dat er politieke motieven ten grondslag liggen aan de productie van Stuxnet. De manier waarop Stuxnet zich verbergt en waarop het interactie heeft met industriële omgevingen duidt op een grondige voorbereiding en een grote kennis van de werking van Scada-omgevingen. Stuxnet zit zo geavanceerd in elkaar dat de malware alleen kan zijn gemaakt door een groep gespecialiseerde professionals die op basis van hun kennis zijn geselecteerd en gedurende een relatief lange periode hebben samengewerkt.
Doelwit van Stuxnet zou mogelijk een nucleaire faciliteit in Natanz in Iran kunnen zijn. Dat suggereerde beveiligingsexpert Frank Rieger van het Duitse beveiligingsbedrijf GSMK al in september. De Duitse onderzoeker Ralph Langer suggereerde eerder dat Stuxnet tot doel had een kernreactor in Bushehr in Iran te saboteren.
Symantec
Symantec gaf begin november delen van de Stuxnet-code vrij en riep experts op te helpen achterhalen wat het doelwit van dit gevanceerde virus is. Met de hulp van een Nederlandse expert, waarvan Symantec de naam niet noemt, is het onderzoek nu een stapje verder geholpen. De Nederlander is een expert op het gebied van Profibus. Dat is een datacommunicatiestandaard voor het aansturen van sensoren en actuatoren. Waar sensoren enkel metingen verrichten, beïnvloeden actuatoren hun omgeving.
De actuator waar Stuxnet zich op richt is een frequentie-omvormer. Dat is een apparaat dat de omwentelingssnelheid van elektromotoren regelt. Een frequentie-omvormer doet dat door de voedingsspanning aan en uit te schakelen, in een bepaalde frequentie. Hoe hoger de freqentie, hoe sneller de motor draait.
Wanneer Stuxnet via een usb-stick een lokaal bedrijfsnetwerk binnenkomt, zoekt het binnen dat bedrijfsnetwerk naar computers die actuatoren aansturen: programmable logic controllers (PLC's). Het was al bekend dat Stuxnet zich richt op PLC's waar een bepaald type aansturingssoftware van Siemens draait. Nu blijkt dat het virus zich enkel richt op PLC's die frequentie-omvormers aansturen. Bovendien gaat het om frequentie-omvormers afkomstig van één of twee fabrikanten. Eén van deze twee fabrikanten bevindt zich in Finland, de ander in Iran.
Jammer dat er hierover geschreven wordt, beter dit sort dingen te zwijgen. Niet vergeten dat siemens de Nazis hebben geholpen 12 miljoen mensen te vernietigen tijdens de tweede wereld oorlog, nu gaan ze vrolijk door de gekke uit Perzië de wereld te vernietigen! Tja en dan zullen ze zeggen ik hab niet…
Als we die gekke aiatolla’s met een computer virus kunnen stoppen juich ik dat toe, ik zal willen dat bedrijven als symantic hier niet mee zouden bemoeien. De keuze is tussen een cyberoorlog en een nucleaire oorlog kies ik de eerste.
haringb snapt er niets van.
Amerika gebruikt leugens om souvereine staten omver te werpen en het ziet er naar uit dat ze behalve wapens nu ook virussen gebruiken. De oorlog in Irak heeft 66% of meer onschuldige burgerslachtoffers.
Stuxnet modificeert fabricage-processen en i.p.v. een korte tijd een motor te laten draaien, loopt de motor oneindig. Dit kan gemakkelijk een groot ongeluk veroorzaken.
Een beetje respect voor je onschuldige medemens zou wel op zijn plaats zijn.
@Haringb Welcome to the real world Haringb. Wat hier aan de oppervlakte komt is hoe geheime diensten werken. Dit zijn autonoom opererende diensten waar de burger geen zicht of vat op heeft, waarbij alle middelen zijn toegestaan. Er wordt in de bovenwereld een computerprobleem gevonden en dat blijkt processen te kunnen beïnvloeden waar ook ter wereld. Als stuxnet bijv. andere plaatsen had besmet zouden medicinale stralingsbronnen wel eens van lagere kwaliteit kunnen zijn dan men verwacht of een centrifuge in een geheel ander fabrieksproces verstoord kunnen worden. Geheime diensten zijn geen James Bond’s. “Big brother is watching you” is alleen iets verfijnder geconfigureerd dan Orwell had aan zien komen, al was zijn visie wel zeer visionair: computers zijn een ideaal hulpmiddel voor controle en ingrijpen. Het risico wordt gevormd door diegenen die achter de knoppen er van zitten en dat is nog altijd mensenwerk.
“Stuxnet zit zo geavanceerd in elkaar dat de malware alleen kan zijn gemaakt door een groep gespecialiseerde professionals die op basis van hun kennis zijn geselecteerd en gedurende een relatief lange periode hebben samengewerkt.”
Ik wil best geloven dat ’t ingewikkeld in elkaar zit. Maar het kan best zo zijn dat Microsoft medewerking heeft verleend – bijv. door nsakey’s o.i.d. in het systeem. Hoeft misschien niet, maar ik kan me dat best voorstellen dat zo’n default ingebouwde achterdeur is gebruikt. Om bij Microsoft de wind uit de zeilen te houden, kan de ‘hackmethode’ dan een 4-dubbele-zero-day exploit worden genoemd. Het kan natuurlijk zo zijn dat Microsoft zo’n exploit-mogelijkheid aan de NSA gegeven heeft dat Microsoft die exploits weer netjes fixte nadat de worm bekend werd.
Wederom een reden waarom je beter Open Source OS’sen kunt nemen – die zijn, laten we eerlijk zijn, gewoon robuuster. Afgezien of ’t doel gerechtvaardigd was: het punt is natuurlijk dat gewone burgers op gelijksoortige manier te maken kunnen en zullen krijgen met zulke malware. Wat voor kans heb je dan nog in een rechtzaak? Geen. Onmogelijk om te bewijzen dat exploits de boel op je PC wel of niet verstierd hebben. Bijv. illegale bestanden plaatsen en dan de lokale politie de boel in beslag laten nemen en die (onwetende agenten) dan laten constateren dat er illegale bestanden op die PC’s staan. Die lokale politie kan dan naar waarheid zeggen en waarheidsgetrouw overkomen dat ze die illegale bestanden niet zelf geplaatst hebben.
Ik noem maar een voorbeeld. Mogelijkheden voor de NSA genoeg.
Ik heb ook profibus kennis en ik weet dat het met de complexiteit reuze meevalt. Ik denk dat het programmeren van een Android app lastiger is. Wel geloof ik dat hier geheim agenten achter zitten. Maar complex, nee, dat niet.
Er is duidelijk een conflict in de echte wereld dat op de een of andere manier opgelost moest worden. Het doel was het stopzetten van de nucleaire dreiging van Iran. De ene oplossing zou fysiek ingrijpen betekenen en de andere oplossing zou virtueel ingrijpen betekenen. Met het oog op dit conflict en het gegeven dat diplomatie duidelijk niet schijnt te werken kan ik me de keuze voor de virtuele aanpak heel goed begrijpen. Zeker als het middel duidelijk gericht is op een bepaald doel.
Ik ben het dan ook zeker eens met haringb dat men hier beter niet mee kan bemoeien en over schrijven want dit schijnt nog onze enige “wall of defence” te zijn.
Zeker met zulke emotionele niet-logisch nadenkende mensen als in de regering van Iran. Een atoomwapen in handen van zo een regering is vele malen gevaarlijker dan een bermbom of een schoenenbom van een religieuze gek. Alles moet gedaan worden om te voorkomen dat ze de beschikking krijgen over atoomwapens. Maar wel in proporties en zonder zogenaamde ‘casual damage’, want de mensen van Iran zijn duidelijk niet zo gek als hun leiders.
Degenen die voorstander zijn van de ontwikkeling van dit soort wapens zouden zich eens af moeten vragen hoe ze het zouden vinden als de tegenstander er ook over zou beschikken. Want als het effectief is, zal dat zeker gaan gebeuren. De geschiedenis leert namelijk dat dat altijd gebeurt. En als je zekere weet dat iets kan – en dat weet je als de vijand het gebruikt – dan ben je al op de helft met uitvogelen hoe het moet. De atoombom zelf is het beste voorbeeld. De VS gebruikte ze als eerste en liet daarmee de rest van de wereld weten dat het mogelijk is. Een paar jaar later hadden de Russen er ook één en de wapenwedloop begon.
Wie bang is dat Iran een atoomwapen ontwikkelt kan zich beter afvragen wáárom ze dat eigenlijk zouden willen, en dan proberen de oorzaak weg te nemen, in plaats van een cyberwapenwedloop te beginnen.
MV