بایگانی برچسب: s

اثربخشی امنیت: بایدها و نبایدها

این یادداشت، برگرفته از ارائه من در دومین سمینار سالانه امنیت در مرکز فابا است که خرداد ۹۴ برگزار شد و در شماره ۶۱ مجله بانکداری الکترونیک هم چاپ شده است. (دانلود فایل مقاله)

اثربخشی امنیت: باید­ها و نبایدها

مقدمه

با وجود اینکه بسیاری از سازمان­ها برای مقابله با تهدیدها و دور ماندن از خطرات موجود در فضای سایبر تلاش می­کنند، اما تعداد کمی می­توانند ادعا کنند که اقداماتشان به اندازه کافی اثربخش است. منظور از اثر بخشی، برآورده ساختن هدف مورد نظر از طریق اجرای اقدامات برنامه ریزی شده است. حوادث متعددی که اخبار آنها هر روز به گوش می­رسد و هر بار نام سازمانی را در فهرست قربانیان حملات هدفمند سایبری قرار می­دهند نشان می­دهد که اثربخشی امنیت یک چالش عمده در حال حاضر است. به عنوان مثال، اخیراً اداره مدیریت پرسنل (OPM) دولت ایالات متحده مورد نفوذ هکرها  قرار گرفت و بیش از بیست میلیون رکورد حاوی پرونده اطلاعات شخصی و اداری پرسنل دولتی به سرقت رفت. دولت ایالات متحده مدعی است که این حمله توسط چین انجام شده، هر چند چین این موضوع را رد می­کند. رئیس این اداره در پی این رسوایی مجبور به استعفا شد. یکی دیگر از موارد قابل توجه، حمله موسوم به Carbanak به بیش از ۱۰۰ بانک در کشورهای مختلف اروپایی و امریکای شمالی است که در فوریه ۲۰۱۵ افشا شد. ویژگی متمایزکننده این حمله نسبت به بسیاری از نفوذهای دیگر در شبکه­ های بانکی، نفوذ به شبکه داخلی بانک­ها است. در حالی که حملات مشابه معمولاً به شرکت­های وابسته به بانک­ها انجام می­شد. در Carbanak ما با طیف وسیعی از روش­های سوء استفاده بر اساس نفوذ به شبکه داخلی و تسخیر کلاینت­های کنترل­ کننده سیستم­های بانکی مواجه هستیم. در این حمله مانند بسیاری از حملات امروزی، از ارسال ایمیل حاوی فایل آلوده برای کارمندان بانک­ها استفاده شده است که در اصطلاح به آن Spear Phishing گفته می شود. علاوه بر حوادث فوق، می­توان به نفوذ به شرکت Target در سال ۲۰۱۳، یکی از بزرگترین فروشگاه­های زنجیره­ای در آمریکا و کانادا نیز اشاره کرد. در این نفوذ، اطلاعات بیش از ۴۰ میلیون کارت مشتریان فروشگاه به علاوه بیش از ۷۰ میلیون رکورد اطلاعات شخصی مشتریان به سرقت رفت. طبق آمارهای اعلام شده سهام این شرکت با افت ۴۶ درصدی روبرو شد و حدود ۲۰۰ میلیون دلار برای ابطال کارت­های به سرقت رفته و صدور کارت­های جدید هزینه گردید. گفته می­شود که حدود ۱۱۰ میلیون نفر از شهروندان ایالات متحده به نوعی در این حادثه درگیر شده­ اند. نکته جالب توجه آن است که مرحله اول این حادثه با نفوذ به شبکه یک شرکت پیمانکار تهویه این فروشگاه­ها و سرقت مجوزهای دسترسی راه دور این شرکت به شبکه داخلی فروشگاه انجام شده است. به نمونه­ های متعدد دیگری مانند بدافزار Backoff مربوط به پایانه­های فروش، بدافزارهای استاکس‌نت و فِلِیم، حملات اکتبر سرخ (Red October) و APT1 نیز می­توان اشاره کرد.

با توجه به مقدمه فوق، و با در نظر داشتن اینکه مشاهدات نگارنده از میانگین وضعیت امنیت در فضای سایبری کشور نشان دهنده امکان رخداد مشابه این حوادث البته در مقیاس بسیار کوچک­تر در داخل کشور است، نگاهی به عوامل اثربخش نبودن اقدامات امنیتی سازمان­ها در ادامه خواهیم داشت.

برخی دلایل موفقیت حملات

“امنیت یک فرآیند است، نه یک محصول” جمله­ ای است که بارها در سال­های گذشته آن را شنیده­ ایم. این جمله توسط Bruce Schneier یکی از صاحبنظران برجسته امنیت اطلاعات در اواخر دهه ۹۰ میلادی به منظور آسیب­شناسی وضعیت امنیت سایبری در آن سال­ها مطرح شد و به شدت مورد توجه نیز قرار گرفت. عدم توجه به فرآیند امنیت و تکیه بر محصولات و فناوری­ها معضلی بود که در ابتدای فراگیر شدن شبکه­ و اینترنت در میان سازمان­ها به شدت احساس می­شد، اما امروزه در دنیای پیشرفته نمی­توان به سادگی چنین ادعایی داشت. تأکید فراوان انواع استانداردهای امنیتی بر موضوع فرآیند امنیت باعث بدیهی شدن آن برای بسیاری از سازمان­ها شده است. اما در کشور ما به نظر میرسد که هنوز در این حوزه ضعف وجود دارد و بسیاری از سازمان­ها عملاً نتوانسته­ اند به درک درستی از این جمله کلیدی دست پیدا کنند.

 

همانگونه که در شکل مشخص است، اگر هدف اقدامات را به سه دسته پیشگیری از حملات، شناسایی نفوذ­ها و حملات و نیز پاسخ به حملات دسته بندی کنیم، آنگاه سه رکن اساسی در موثر بودن این اقدامات ایفای نقش می­کنند:

– فناوری

– نیروی انسانی

– فرآیند

در صورتی که به این سه رکن به صورت متوازن و به اندازه کافی توجه نشود، سازمان نمی­تواند انتظار اثربخشی امنیت را داشته باشد.

یکی از معضلات فعلی در بازار امنیت کشور، توجه بی­رویه به رکن فناوری است که از دو دهه قبل تا امروز همچنان ادامه دارد. روندهایی که در حدود دو دهه گذشته در فناوری­های امنیتی مورد توجه بازار داخلی مشاهده می­شود را می­توان به صورت زیر بیان نمود:

– اواخر دهه ۷۰: آنتی ویروس

– سال ۸۰ تا ۸۵: فایروال و PKI

– سال ۸۴ تا ۸۹: ISMS (سیستم مدیریت امنیت اطلاعات)

– سال ۸۸ تا امروز: SOC (مرکز عملیات امنیت)

نکته جالب توجه اینجا است که در خصوص ISMS و SOC اساساً ما با راه حل­هایی چند لایه شامل انواع فناوری­ها و فرآیندها و نیز نیروی انسانی مواجه هستیم، اما متأسفانه حتی در این دو مورد هم نگاه مبتنی بر محصول به وضوح در بسیاری از سازمان­ها دیده می­شود. بررسی اینکه بازیگران داخلی هر کدام چه نقشی در تغییر این نگاه یا دامن زدن به آن داشته و می­توانند داشته باشند نیاز به فرصتی جداگانه دارد.

در نقطه مقابل، روندهایی که امروزه در دنیای پیشرفته در حال رشد است و شرکت­ها و افراد در تلاش برای توسعه راه­ حل­های مربوط به این روندها هستند، عبارتند از:

– Big Data + Security

– Data Driven Security

– Threat Intelligence

– Next-generation Security Products

در ادامه به برخی نکات کلیدی در سه بخش فناوری، فرآیند و نیروی انسانی امنیت اشاره می­کنیم.

ایجاد شبکه قابل دفاع

بسیاری از سازمان­هایی که مورد نفوذ هکرها قرار می­گیرند بودجه مناسبی را صرف خرید و نصب تجهیزات و نرم­ افزارهای امنیتی کرده­ اند. با این حال، خرید و نصب این فناوری­ها پایان کار نیست. در واقع، شبکه سازمان باید با استفاده از این فناوری­ها به درجه ای برسد که به آن شبکه قابل دفاع (Defensible) گفته می­شود. این اصطلاح اولین بار توسط Richard Bejlitch ، از صاحبنظران برجسته در زمینه امنیت شبکه در سال ۲۰۰۷ به کار گرفته شد و مورد توجه زیادی قرار گرفت. خصوصیات یک شبکه قابل دفاع عبارتند از:

– پایش شده: شبکه­ای قابل دفاع است که رخدادهای آن به طور مداوم تحث پایش امنیتی (Security Monitoring) با استفاده از فناوری­ها و روال­های مربوطه است.

– فهرست شده: شبکه­ای قابل دفاع است که لیست دارایی­های موجود در آن، حتی کوچکترین و کم اهمیت ترین دارایی­ های آن اعم از نرم­ افزارها، سخت افزارها، تجهیزات جانبی و غیره شناخته شده و دائماً به روز شوند.

– تحت کنترل: شبکه قابل دفاع، شبکه­ای به شدت کنترل شده است که عملکرد کلیه اجزای شبکه، دسترسی­ ها، جریان اطلاعات و غیره در آن به طور کامل تحت کنترل، نظارت و مدیریت است.

– کوچک شده: شبکه­ ای قابل دفاع است که ابعاد آن از هر نظر در کوچکترین اندازه مورد نیاز باشد. به عبارت دیگر، تعداد و تنوع اجزا، نرم افزارها، پورت­ها و به طور کلی سطح حمله (Attack Surface) این تا حد امکان کوچک است.

– ارزیابی شده: در یک شبکه قابل دفاع، ارزیابی امنیتی به طور مداوم در کلیه لایه­ها انجام می­شود.

– به روز: در یک شبکه قابل دفاع، به روز رسانی به صورتی یک فرآیند مداوم با اولویت بالا در تمام لایه­ ها شامل برنامه­ های کاربردی، سیستم عامل­ها و غیره چه در سرورها و چه در کلاینت­ ها و تجهیزات انجام می­شود.

تمرکز بر معماری امنیت

معماری امنیت به بیان ساده توصیف کننده اجزای امنیتی و نحوه ارتباط آنها در راستای دستیابی به اهداف امنیت در سطح شبکه (یا کل سازمان) است. یکی از معضلات دیده شده در بسیاری از سازمان­ها، عدم رعایت توازن در چیدمان ابزارهای امنیتی است. به عنوان مثال، توجه صرف بر ایمن­سازی دروازه­های ورودی شبکه (Gateways) و غفلت از ارتباطات داخلی بین سرورها یا عدم توجه به امنیت کلاینت­ها یکی از این خطاها است. اصول الزامی در طراحی و اجرای معماری امنیت عبارتند از:

– ایجاد دفاع چند لایه

– اجرای اصل حداقل دسترسی مورد نیاز

– ایجاد دید جامع (Total Visibility) نسبت به کل شبکه

– بهبود تصویر کلی (Big Picture) امنیت به جای اقدامات پراکنده

اگر بخواهیم به معماری امنیت اطلاعات از جنبه فنی نگاه کنیم، لازم است به ۲۰ کنترل امنیتی پیشنهادی موسسه SANS اشاره کنیم. این ۲۰ کنترل را می­توان فصل مشترکی برای اکثر سازمان­ها در نظر گرفت. بنابراین سازمان می­تواند وضعیت اجرای این کنترل­ها را بررسی نموده و تصویری از معماری امنیت خود به دست آورد.

فرآیند ونیروی انسانی

همانطور که اشاره شد، جنبه­ های فرآیند و نیروی انسانی نیز در جای خود اهمیت ویژه دارند. چند اصل عمومی در این دو جنبه وجود دارند که باید به آنها توجه کرد:

– لازم است اولویت امنیت اطلاعات را در مقایسه با اهداف دیگر کسب و کار افزایش دهیم.

– تلاش کنیم که تقابل میان وظایف اصلی افراد و وظایف امنیتی آنها کاهش یابد.

– امنیت نیاز به برنامه و بودجه مستقل دارد.

– امنیت یک کار تخصصی بوده و نیاز به نیروی تمام­ وقت دارد.

 

 راهکارهایی برای مدیر ارشد امنیت اطلاعات (CISO)

اگر شما مدیر یا مسئول امنیت سازمان خود هستید، احتمالاً با این تجربه روبرو شده­اید که در بسیاری از سناریوها، نقش شما بیشتر مشاوره­ای است تا اجرایی. به طور کلی مدیران امنیت نسبت به دیگر مدیران از جهان­بینی متفاوتی برخوردارند، گفتمان متفاوتی را استفاده کرده و در نتیجه معمولاً قدرت اجرایی کمتری نسبت به دیگر مدیران دارند.

 تعامل با مدیران: شما نیاز دارید که حمایت و نظر مثبت بدنه مدیریتی سازمان را جلب کنید. لذا باید توانایی ایجاد تعامل و گفتمان با همه رده­ های مدیریتی را داشته باشید. همچنین به یاد داشته باشید که باید جزئیات فنی را در حد لازم نگاه داشته و بیشتر با زبان مخاطرات امنیت با آنها صحبت کنید.

توجیه بودجه: برای توجیه هزینه­ های امنیت، بهترین روش آن است که این هزینه­ ها را در قالب هزینه پروژه­ های جاری سازمان بسته­ بندی کنید. در نتیجه، اثر منفی این هزینه­ ها در دیدگاه مدیران کاهش می­یاید. همچنین سازمان­ها و شرکت­های رقیب را در نظر داشته باشید و بدانید که بودجه درخواستی شما منطقاً نباید فاصله خیلی زیادی با سازمان­های مشابه شما داشته باشد.

ثبت و گزارش موفقیت­ها: شما باید دائماً اثر مثبت هزینه­ های انجام شده تا کنون را به مدیران خود یادآوری کنید، البته با ارائه اسناد و خروجی­های مناسب. این کار باعث می­شود که این نتایج به تدریج به عنوان ملاک سنجش عملکرد عادی سازمان پذیرفته شوند.

رابطه مناسب با همه مدیران و بدنه فنی سازمان: این را به یاد داشته باید که این شما هستید که به حمایت دیگر مدیران سازمان نیاز دارید. در صورت بروز اختلاف، معمولاً امنیت جزو اولین گزینه­ های متضرر خواهد بود.

حرکت به صورت آهسته و پیوسته: برنامه­ های امنیتی را به صورت قدم به قدم و آهسته اجرا کنید. به عنوان مثال، پیش از پیشنهاد خرید تجهیزات، اطمینان حاصل کنید که از همه قابلیت­ها تجهیزات موجود استفاده می­کنید. همچنین نمونه­ های رایگان ابزارها را تست کنید.

ایجاد خط­ مشی­ های قابل توجیه: سعی کنید که از یک الگوی ساده، واضح و بومی که مناسب سازمان شما باشد برای تدوین خط مشی­های امنیتی استفاده کنید. همچنین به فرهنگ سازمان و توانایی­ های فنی مخاطب خط­مشی توجه کمنید. در صورتی که خط مشی شما از این ویژگی­ها تبعیت نکند به سرعت با صداهای مخالف مواجه خواهید شد. حتماً سعی کنید که خط­ مشی­ ها را با مشارکت ذینفعان، به خصوص بدنه فنی سازمان، تدوین کنید. سعی کنید نظرات آنها را بشنوید، منطق راه­ حل پیشنهادی خود را توضیح دهید و ابهام­ ها را برطرف کنید، در عین حال شفاف و بدون تعارف عمل کنید.

(دانلود فایل مقاله)

اشتراک گذاری

در باره نسخه دوم Duqu

نسخه دوم بدافزار Duqu هفته گذشته به طور رسمی معرفی شد و شرکت کسپرسکی اعلام کرد که بخشی از شبکه این شرکت هم آلوده به این بدافزار شده است. گزارش کسپرسکی جزئیات فراوانی دارد که خواندنی است، از جمله اینکه نسخه دوم Duqu از یک آسیب پذیری Zero Day در کرنل ویندوز (مربوط به Kerberos) سوء استفاده کرده است. نفوذ اولیه مثل بسیاری دیگر از تهدیدهای پیشرفته ماندگار (APT) با استفاده از Spear Phishing یعنی ارسال ایمیل حاوی بدافزار برای فردی در داخل سازمان هدف انجام شده است. در این مرحله احتمالاً از یک Zero Day و در مرحله بعدی (گسترش آلودگی در شبکه هدف) از یک Zero Day مربوط به سال ۲۰۱۴ با کد شناسایی MS14-067 استفاده شده است. بعد از به دست آوردن مجوز ادمین دامین، برای آلوده کردن بقیه ماشین ها از روش Deploy کردن بسته حاوی بدافزار از راه دور استفاده شده است. همچنین از Task Scheduler ویندوز هم برای گسترش آلودگی به بقیه ماشین ها استفاده شده است.

به طور کلی تغییرات زیادی نسبت به نسخه اول Duqu که در سال ۲۰۱۱ کشف شد به وجود آمده اما در هر دو مورد، جاسوسی از فعالیت های هسته ای ایران هدف اصلی بدافزار بوده است.

در مطالبی که شرکت کسپرسکی منتشر کرده تلاش شده که به مشتریان این شرکت اطمینان داده شود که آلوده شدن شبکه کسپرسکی خطری برای مشتریان و محصولات کسپرسکی ایجاد نمی کند.

اشتراک گذاری

نسخه دوم Duqu : بدافزار جاسوس مذاکرات هسته ای

همین امروز در دومین سمینار تهدیدهای نوین امنیتی در مرکز فابا بحث های زیادی در مورد تهدیدهای پیشرفته ماندگار (APT) به خصوص در بانک ها انجام شد. حالا جدید ترین خبر در این زمینه:

شرکت کسپرسکی امروز اعلام کرده که نسخه دوم بدافزار جاسوسی Duqu ماه ها فعال بوده و بخش هایی از سیستم های خود کسپرسکی را نیز آلوده کرده است. این بدافزار که خبر فعالیت آن به شدت مورد توجه قرار گرفته، از استاکس‌نت و نسخه قبلی Duqu قوی تر بوده و برای اهداف مختلفی استفاده شده است، از جمله به منظور جاسوسی از ۳ هتل محل برگزاری مذاکرات ایران و گروه ۱+۵ در سوئیس! البته کسپرسکی اطمینان داده که محصولات امنیتی این شرکت آلوده به این بدافزار نیستند!

من چهارسال پیش در مورد Duqu نوشته بودم: اینجا و اینجا.

برای بررسی جزئیات فنی فرصت بیشتری لازم است که امیدوارم در اوین فرصت در این باره بنویسم.

اشتراک گذاری

آسیب پذیری باقی مانده از سال ۲۰۱۰ در سیستم های ویندوز

سه شنبه گذشته چند اصلاحیه امنیتی مطابق معمول توسط مایکروسافت منتشر شد که یکی از آنها با شناسه CVE-2015-0096 مجدداً به منظور رفع یکی از آسیب پذیری های zero-day مورد استفاده توسط استاکس‌نت منتشر شده است. در واقع  از سال ۲۰۱۰ که CVE-2010-2568 برای رفع آسیب پذیری مورد اشاره ارائه شد، سیستم های ویندوزی کماکان آسیب پذیر بوده اند و اصلاحیه سال ۲۰۱۰ کمکی به رفع آن نکرده است!

اشتراک گذاری

تردید در مورد میزان اثر بخشی آنتی ویروس

تهدیدهای جدیدی که در فضای سایبری مطرح شده اند، تردیدها در مورد میزان اثربخشی راه حل های سنتی مانند آنتی ویروس را برای مواجهه با این نوع تهدیدها افزایش داده اند. مثال هایی از این تهدیدهای جدید شامل استاکس‌نت، فلیم، اکتبر سرخ و APT1 است که در همه آنها یک تهدید سازمان یافته و هدفدار در فضای سایبری گسترش پیدا کرده و مدت زیادی بدون اینکه شناسایی شود، ادامه حیات داده است.

یکی از مفاهیم جدیدی که در اینگونه تهدیدها وجود دارد، Indicators of Compromise و به اختصار IOC نام دارد، که عبارت است از مجموعه اطلاعاتی در لایه های مختلف شبکه که نشان دهنده آلوده شدن سیستم ها به بدافزارهای مربوط به این تهدیدها هستند. نمونه IOC مربوط به APT1 که در فایل های ضمیمه گزارش Mandiant ارائه شده بود، شامل اطلاعات گواهی ها، پورت ها، آدرس ها و غیره نشان می دهد که تحلیل ترافیک برای اطمینان از آلوده نبودن سیستم ها، چقدر فراتر و پیچیده تر از تحلیل های رایج آنتی ویروس ها است.

برای اطلاعات بیشتر:

http://www.openioc.org

اشتراک گذاری

ویدئوی تحلیل استاکس‌نت

ویدئوی سخنرانی Ralph Langner در کنفرانس S4 در مورد ساختار و رفتار استاکس‌نت در اینجا قابل دریافت است. این ویدئو تقریباً کامل ترین تحلیل در دسترس از جزئیات استاکس‌نت و شواهد مختلف اهداف آن در ایران است.

اشتراک گذاری

نتایج یک تحلیل درباره استاکس‌نت

کنفرانس S4 به صورت سالانه توسط شرکت Digital Bond برگزار می شود. امسال دوره پنجم آن در فلوریدا برگزار شد. یکی از ارائه های امسال توسط Ralph Langner درباره ویروس استاکس‌نت (Stuxnet) برگزار شد. گفته شده که وی تحقیقات زیادی روی استاکس‌نت داشته و قبلاً هم نتایج مربوطه را منتشر کرده. تمرکز وی بر نقاط ضعف سیستم های کنترل صنعتی، به خصوص SCADA که مورد سوء استفاده استاکس‌نت قرار گرفته، بوده است. وی با مهندسی معکوس ویروس نشان داده که اولاً این ویروس از یک خطای معماری در نرم افزار کنترل کننده محصول زیمنس استفاده کرده، و نه یک آسیب پذیری معمول که در هر نرم افزاری ممکن است موجود باشد. دوم اینکه نشان داده شده که استاکس‌نت دقیقاً دستگاه های خاصی را هدف قرار داده و برای اثبات آن مدعی شده که پیکربندی قابل مشاهده در آن دستگاه ها که تصادفاً در رسانه های ایران منتشر شده، با آنچه در کد استاکس‌نت دیده می شود مطابقت دارد. وی می گوید که دیگر از لحاظ فنی هم تردیدی در اینکه استاکس‌نت برای هدف قرار دادن ایران تولید شده وجود ندارد.

در همین زمینه:

Researcher Will Demo Crippling Siemens Attack Using Metasploit

Stuxnet Expert: Analysis Shows Design Flaw, Not Vulnerability Sunk Siemens

Ralph Langner on Cracking Stuxnet

اشتراک گذاری

پرسش و پاسخ در باره ویروس استاکس‌نت

این پرسش و پاسخ در خصوص ویروس استاکس‌نت در وبلاگ آنتی ویروس F-Secure منتشر شده. علاوه بر موارد فنی، نکته های خیلی جالبی هم در برخی سوالات و پاسخ ها هست که آنها را با رنگ قرمز مشخص کردم.

Q: What is Stuxnet?
A: It’s a Windows worm, spreading via USB sticks. Once inside an organization, it can also spread by copying itself to network shares if they have weak passwords.

Q: Can it spread via other USB devices?
A: Sure, it can spread anything that you can mount as a drive. Like a USB hard drive, mobile phone, picture frame and so on.

Q: What does it do then?
A: It infects the system, hides itself with a rootkit and sees if the infected computer is connected to a Siemens Simatic (Step7) factory system.

Q: What does it do with Simatic?
A: It modifies commands sent from the Windows computer to the PLC. Once running on the PLC, it looks for a specific factory environment. If this is not found, it does nothing.

Q: Which factory is it looking for?
A: We don’t know.

Q: Has it found the factory it’s looking for?
A: We don’t know.

Q: What would it do if it finds it?
A: It makes complex modifications to the system. Results of those modifications can not be detected without seeing the actual environment. So we don’t know.

Q: Ok, in theory: what could it do?
A: It could adjust motors, conveyor belts, pumps. It could stop a factory. With right modifications, it could cause things to explode.

Q: Why is Stuxnet considered to be so complex?
A: It uses multiple vulnerabilities and drops its own driver to the system.

Q: How can it install its own driver? Shouldn’t drivers be signed for them to work in Windows?
A: Stuxnet driver was signed with a certificate stolen from Realtek Semiconductor Corp.

Q: Has the stolen certificate been revoked?
A: Yes. Verisign revoked it on 16th of July. A modified variant signed with a certificate stolen from JMicron Technology Corporation was found on 17th of July.

Q: What’s the relation between Realtek and Jmicron?
A: Nothing. But these companies have their HQs in the same office park in Taiwan. Which is weird.

Q: What vulnerabilities does Stuxnet exploit?
A: Overall, Stuxnet exploits five different vulnerabilities, four of which were 0-days:

LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Privilege escalation via Keyboard layout file
Privilege escalation via Task Scheduler

Q: And these have been patched by Microsoft?
A: The two Privilege escalations have not yet been patched.

Q: Why was it so slow to analyze Stuxnet in detail?
A: It’s unusually complex and unusually big. Stuxnet is over 1.5MB in size.

Q: When did Stuxnet start spreading?
A: In June 2009, or maybe even earlier. One of the components has a compile date in January 2009.

Q: When was it discovered?
A: A year later, in June 2010.

Q: How is that possible?
A: Good question.

Q: Was Stuxnet written by a government?
A: That’s what it would look like, yes.

Q: How could governments get something so complex right?
A: Trick question. Nice. Next question.

Q: Was it Israel?
A: We don’t know.

Q: Was it Egypt? Saudi Arabia? USA?
A: We don’t know.

Q: Was the target Iran?
A: We don’t know.

Q: Is it true that there’s are biblical references inside Stuxnet?
A: There is a reference to “Myrtus” (which is a myrtle plant). However, this is not “hidden” in the code. It’s an artifact left inside the program when it was compiled. Basically this tells us where the author stored the source code in his system. The specific path in Stuxnet is: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. The authors probably did not want us to know they called their project “Myrtus”, but thanks to this artifact we do. We have seen such artifacts in other malware as well. The Operation Aurora attack against Google was named Aurora after this path was found inside one of the binaries: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.

Q: So how exactly is “Myrtus” a biblical reference?
A: Uhh… we don’t know, really.

Q: Could it mean something else?
A: Yeah: it could mean “My RTUs”, not “Myrtus”. RTU is an abbreviation for Remote Terminal Units, used in factory systems.

Q: How does Stuxnet know it has already infected a machine?
A: It sets a Registry key with a value “19790509” as an infection marker.

Q: What’s the significance of “19790509”?
A: It’s a date. 9th of May, 1979.

Q: What happened on 9th of May, 1979?
A: Maybe it’s the birthday of the author? Then again, on that date a Jewish-Iranian businessman called Habib Elghanian was executed in Iran. He was accused to be spying for Israel.

Q: Oh.
A: Yeah.

Q: Is there a link between Stuxnet and Conficker?
A: It’s possible. Conficker variants were found between November 2008 and April 2009. First variants of Stuxnet were found shortly after that. Both exploit the MS08-067 vulnerability. Both use USB sticks to spread. Both use weak network passwords to spread. And, of course, both are unusually complex.

Q: Is there a link to any other malware?
A: Some Zlob variants were the first to use the LNK vulnerability.

Q: Disabling AutoRun in Windows will stop USB worms, right?
A: Wrong.
There are several other spreading mechanisms USB worms use. The LNK vulnerability used by Stuxnet would infect you even if AutoRun and AutoPlay were disabled.

Q: Will Stuxnet spread forever?
A: The current versions have a “kill date” of June 24, 2012. It will stop spreading on this date.

Q: How many computers did it infect?
A: Hundreds of thousands.

Q: But Siemens has announced that only 15 factories have been infected.
A: They are talking about factories. Most of the infected machines are collateral infections, i.e. normal home and office computers that are not connected to SCADA systems.

Q: How could the attackers get a trojan like this into a secure facility?
A: For example, by breaking into a home of an employee, finding his USB sticks and infecting it. Then wait for the employee to take the sticks to work and infect his work computer. The infection will spread further inside the secure facility via USB sticks, eventually hitting the target. As a side effect, it will continue spread elsewhere also. This is why Stuxnet has spread worldwide.

Q: Anything else it could do, in theory?
A: Siemens announced last year that Simatic can now also control alarm systems, access controls and doors. In theory, this could be used to gain access to top secret locations. Think Tom Cruise and Mission Impossible.

Q: Did Stuxnet sink Deepwater Horizon and cause the Mexican oil spill?
A: No, we do not think so. Although it does seem Deepwater Horizon indeed did have some Siemens PLC systems on it.

Q: Does F-Secure detect Stuxnet?
A: Yes.

Note: We have learned many of the details mentioned in this Q&A in discussions with researchers from Microsoft, Kaspersky, Symantec and other vendors.

اشتراک گذاری