Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Robak Stuxnet, atakujący przemysłowe systemy SCADA działające pod kontrolą Windows, jest być może najbardziej zaawansowanym szkodliwym kodem w historii. Eksperci, którzy go analizowali twierdzą, że kod jest tak skomplikowany, iż wskazuje to na jakieś rządowe agencje stojące za jego powstaniem. To naprawdę niesamowite, ile zasobów poświęcono na napisanie tego kodu - stwierdził Liam O Murchu z Symanteka.

Dla Roela Schouwenberga z Kaspersky Lab Stuxnet jest przełomowy. Ekspert mówi, że w porównaniu z nim kod Aurora, który złamał zabezpieczenia serwerów Google'a to dziecinna zabawka.

O istnieniu Stuxneta jako pierwsza poinformowała w połowie czerwca mało znana białoruska firma VirusBlokAda. Jednak głośno zrobiło się o nim miesiąc później, gdy Microsoft potwierdził, że skutecznie atakuje on systemy SCADA, wykorzystywane w przemyśle do kontrolowania linii produkcyjnych, elektrowni czy rurociągów.

Kolejne tygodnie badań wykazały, że Stuxnet działa co najmniej od czerwca 2009 roku. Początkowo myślano, że wykorzystuje on pojedynczą dziurę w Windows. Microsoft ją załatał, jednak wkrótce okazało się, że twórcy Stuxneta znali jeszcze inne luki i w sumie wykorzystywali cztery dziury. Ponadto po infekcji robak wyszukiwał i skutecznie atakował systemy SCADA produkcji Siemensa.

Nigdy nie widzieliśmy kodu, który wykorzystuje cztery dziury typu zero-day. To czyste szaleństwo - mówi O Murchu.

W międzyczasie Microsoft załatał - w ramach ostatnich poprawek Patch Tuesday - kolejną z dziur, a dwie pozostałe, mniej groźne, mają doczekać się łat w późniejszym terminie. Jednak Stuxnet nie poprzestaje na nowych dziurach. Atakuje też lukę, którą Microsoft poprawił w 2008 roku w ramach biuletynu MS08-067. To ta sama dziura, którą pod koniec 2008 i na początku 2009 roku wykorzystywał Conficker, infekując miliony komputerów.

Stuxnet przenosi się za pomocą klipsów USB. Gdy już znajdzie się w sieci wewnętrznej, atakuje kolejne komputery wykorzystując jeden ze wspomnianych już błędów. Szuka w ten sposób maszyn z oprogramowaniem WinCC oraz PCS7 do zarządzania systemami SCADA. Gdy je znajdzie, dokonuje ataku za pomocą spoolera drukarki sieciowej lub dziury MS08-67. Następnie próbuje uzyskać uprawnienia administracyjne za pomocą fabrycznych haseł Siemensa. Gdy mu się to uda, wprowadza zmiany w oprogramowaniu PLC i zaczyna wydawać systemowi SCADA polecenia. Twórcy Stuxneta wyposażyli go nawet w co najmniej dwa autentyczne, skradzione certyfikaty cyfrowe.

Poziom organizacji i skomplikowania całego pakietu wchodzącego w skład robaka jest imponujący. Ktokolwiek go stworzył, zrobił to tak, by móc atakować dowolną firmę - mówi Schouwenberg. A O Murchu dodaje, że szkodliwy kod wykorzystuje tak różne techniki, iż musieli pracować nad nim ludzie o bardzo różnych umiejętnościach i doświadczeniu. Od specjalistów tworzących rootkity, poprzez znawców systemów bazodanowych po osoby wiedzące, jak pisze się złośliwy kod wykorzystujący dziury w oprogramowaniu.

Kod Stuxneta zajmuje aż pół megabajta i został napisany w wielu różnych językach, w tym w C i C++. O tym, jak olbrzymimi zasobami dysponowali twórcy Stuxneta może świadczyć chociażby fakt, iż musieli mieć do dyspozycji własne przemysłowe oprogramowanie i sprzęt, by móc przetestować swój kod. To bardzo wielki projekt - mówi O Murchu.

Eksperci mówią, że autorzy robaka są też niezwykle sprytni. Wskazuje na to fakt, że do ataku na MS08-67 dochodzi tylko i wyłącznie w momencie, gdy kod jest pewny, iż ma do czynienia ze SCADA. W większości sieci używających tego typu systemów nie stosuje się logowania zdarzeń, systemy bezpieczeństwa są w nich bardzo ograniczone, a komputery łatane niezwykle powoli. Dlatego też, jak uważają O Murchu i Schouwenberg, obraz całości świadczy o tym, że za Stuxnetem stoi rząd jakiegoś kraju. Żaden cybergang nie dysponuje bowiem zasobami, które pozwoliłyby na stworzenie tak zaawansowanego kodu. Świadczy o tym też fakt przeprogramowywania PLC, a zatem przestawiania urządzeń na inny sposób produkcji, niż życzyliby sobie właściciele fabryki. To pokazuje, że za Stuxnetem kryje się coś więcej niż szpiegostwo przemysłowe i próba kradzieży informacji.

Na ataku szczególnie ucierpiał... Iran. To w tym kraju znajdowało się w pewnym momencie aż 60% komputerów zarażonych Stuxnetem. Autorzy robaka mogli kontrolować dzięki niemu produkcję niektórych zakładów przemysłowych.

Specjaliści wskazują jednocześnie, że infrastruktura użyta do kontrolowania Stuxneta była niezwykle prymitywna. To, ich zdaniem, może wskazywać, że twórcy robaka byli przekonani, iż osiągną swoje cele zanim szkodliwy kod zostanie odkryty. 

Share this post


Link to post
Share on other sites

Na ataku szczególnie ucierpiał... Iran. To w tym kraju znajdowało się w pewnym momencie aż 60% komputerów zarażonych Stuxnetem. Autorzy robaka mogli kontrolować dzięki niemu produkcję niektórych zakładów przemysłowych. Specjaliści wskazują jednocześnie, że infrastruktura użyta do kontrolowania Stuxneta była niezwykle prymitywna. To, ich zdaniem, może wskazywać, że twórcy robaka byli przekonani, iż osiągną swoje cele zanim szkodliwy kod zostanie odkryty.

cui bono (fuerit)? jak mawiali Rzymianie, czyli odpowiedź kto stworzył jest jedna - Izrael

Share this post


Link to post
Share on other sites

Posprzątał albo nie posprzątał. A oni Właśnie bardzo pewnie się czują. Poza tym po co sprzątać? to miało zrobić co miało i jak już narozrabia to po co sprzątać?

Oczywiście Izrael to nie jedyne państwo które miało by takie możliwości 

Share this post


Link to post
Share on other sites

Szczerze mówiąc, coś takiego mogłaby zrobić garstka programistów starej daty. Tyle, że to ginąca rasa, co widać choćby po samym fakcie istnienia automatyki przemysłowej bazującej na windowsach.

Share this post


Link to post
Share on other sites

Widziałeś gdzieś ostatnio garstkę takich ludzi rodem z czasów "gdy prawdziwi mężczyźni pisali sterowniki własnoręcznie" w jednym miejscu?

Bo garstkę takach to ja w życiu spotkałem.

Istotnie jeśli Windows ląduje w takich miejscach to znak ze kultura techniczna niechybnie ma się ku upadkowi. Ale angole nawet Windowsa do łodzi podwodnych chcą. O ile miejsce Windowsa może być pod woda to z łodzią jest jeszcze taki porblem ze czasem powinna wypływać i to najlepiej w dość przewidywalnym monecie.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Microsoft ostrzega przed niedawno wydaną przez siebie poprawką. Opublikowana 15 października opcjonalna niezwiązana z bezpieczeństwem KB45200062 może bowiem zaburzyć działanie usługi Windows Defender Advanced Threat Protection (ATP).
      Koncern z Redmond informuje, że po zainstalowaniu poprawki ATP może przestać działać i wysyłać raporty. Ponadto w podglądzie zdarzeń (Event Viewer) może zostać zarejestrowany błąd 0xc0000409.
      Błąd nie dotknie wszystkich użytkowników Windows, jednak jego występowanie to zła wiadomość dla wieru firm, które korzystają z Windows Defender ATP i zainstalowały KB4520062. Poprawka ta poprawia działanie modułów zarządzania energią, Bluetootha i wielu innych. Informacja, że może ona spowodować, iż firmowe komputery staną się mniej bezpieczne z pewnością nie ucieszy przedsiębiorców.
      Windows Defender ATP ma za zadanie chronić sieci firmowe przed zaawansowanymi atakami, wykrywać je, umożliwiać ich analizę i reakcję na nie. Mechanizm ten korzysta z narzędzi analitycznych i dla wielu firm jest istotnym elementem systemu bezpieczeństwa.
      Poprawka sprawia problemy w wersjach Windows 10 build 1809, Windows 10 Enterprise LTSC 2019, Windows Server build 1809 oraz Windows Server 2019. Jako, że jest to poprawka opcjonalna, niezwiązana z bezpieczeństwem bez większego problemu można z niej zrezygnować.
      Microsoft obiecuje udostępnienie pozbawionej błędów wersji poprawki około połowy listopada.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Niewykluczone, że Microsoft ponownie znajdzie się na celowniku urzędników. Jak zapewne niektórzy pamiętają, w przeszłości koncern z Redmond dość często miał kłopoty z amerykańskimi i europejskimi urzędami. Jednak w ostatnich latach działania urzędników skupiały się przede wszystkim na Facebooku, Amazonie, Google'u czy Apple'u. Postępowanie Microsoftu nie budziło zastrzeżeń, wydawało się, że firma ani nie wykorzystuje swojej rynkowej pozycji, ani nie narusza prawa.
      Jednak te czasy mogą właśnie odchodzić do przeszłości. Unia Europejska wysyła sygnały, że j Windows 10 oraz Office naruszają przepisy GDPR regulujące kwestie prywatności. Konsekwencje śledztwa w UE mogą być zaś na tyle poważne, że nie można wykluczyć, iż działaniami Microsoftu zajmą się też odpowiednie władze w USA.
      Wątpliwości europejskich urzędników budzi sposób zbierania informacji przez Windows 10. Pytania pojawiały się już przed uchwaleniem GDPR w marcu ubiegłego roku.
      Na przykład w 2017 roku holenderska Agencja Ochrony Danych uznała, że sposób zbierania danych telemetrycznych przez Windows 10 narusza prawo. Koncern nie został ukarany, ale nakazano mu zmianę sposobu zbierania danych. Microsoft wprowadził żądane zmiany w kwietniu 2018 roku. Udostępniono wówczas m.in. Diagnostic Data Viewer, a koncern ogłosił, że narzędzie to czyni zbieranie danych w pełni transparentnym.
      Pojawiły się jednak głosy,że Diagnostic Data Viewer niczego nie czyni bardziej przejrzystym. Jego użytkownik otrzymuje bowiem długą listę niewiele mówiących informacji, takich jak „TelClinetSynthetic.PdcNetworkActivation_4” czy „Microsoft.Windows.App.Browser.IEFrameProcessAttached”. Kliknięcie na tak opisane pozycje wyświetla użytkownikowi kod, który trudno jest analizować nawet specjalistom.
      Holendrzy zabrali się za analizowanie informacji, jakie użytkownik może uzyskać dzięki Diagnostic Data Viewer i doszli do wniosku, że narzędzie spełnia wymagania, jakie postawili Microsoftowi. Zauważyli jednak coś jeszcze. Narzędzie pokazało bowiem, że Microsoft zdalnie zbiera jeszcze inne dane użytkowników. To zaś oznacza, że firma nadal może naruszać przepisy, stwierdzili przedstawiciele Agencji Ochrony Informacji. Holendrzy powiadomili o sprawie irlandzki Komitet Ochrony Danych, gdyż to właśnie w Irlandii mieści się europejska kwatera główna Microsoftu. To Irlandczycy mają zbadać, czy Microsoft narusza GDPR.
      Na razie sprawa nie wygląda dla Microsoftu korzystnie. Holendrzy stwierdzili odkryli bowiem, że Microsoft zbiera dane diagnostyczne i niediagnostyczne. Chcielibyśmy wiedzieć, czy zbieranie danych niediagnostycznych jest konieczne i czy użytkownicy są o tym w jasnym sposób informowani.
      Jeśli europejskie urzędy stwierdzą, że Microsoft narusza przepisy, to koncernowi może grozić grzywna sięgająca nawet 4 miliardów dolarów. Jeśli zaś europejskie urzędy dojdą do wniosku, że Microsoft narusza przepisy, to koncernowi może grozić podobne postępowanie w USA, zarówno przed Kongresem jak i przed władzami poszczególnych stanów, które tworzą własne przepisy dotyczące prywatności. Ostatnie problemy z amerykańskimi

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Specjaliści z google'owskiego Project Zero poinformowali o znalezieniu licznych złośliwych witryn, które atakują użytkowników iPhone'ów wykorzystując w tym celu nieznane wcześniej dziury. Wiadomo, że witryny te działają od co najmniej 2 lat i każdego tygodnia są odwiedzane tysiące razy. Wystarczy wizyta na takiej witrynie, by doszło do ataku i instalacji oprogramowania szpiegującego, stwierdzają specjaliści.
      Przeprowadzona analiza wykazała, że ataki przeprowadzane są na 5 różnych sposobów, a przestępcy wykorzystują 12 różnych dziur, z czego 7 znajduje się w przeglądarce Safari. Każdy z ataków pozwala na uzyskanie uprawnień roota na iPhone, dzięki czemu może np. niezauważenie zainstalować dowolne oprogramowanie. Przedstawiciele Google'a zauważyli, że ataki służyły głównie do kradzieży zdjęć i informacji, śledzenia lokalizacji urządzenia oraz kradzież haseł do banku. Wykorzystywane przez przestępców błędy występują w iOS od 10 do 12.
      Google poinformowało Apple'a o problemie już w lutym. Firmie z Cupertino dano jedynie tydzień na poprawienie błędów. Tak krótki czas – zwykle odkrywcy dziur dają twórcom oprogramowania 90 dni na przygotowanie poprawek – pokazuje jak poważne były to błędy. Apple zdążyło i sześć dni później udostępniło iOS 12.1.4 dla iPhone'a 5S oraz iPad Air.
      AKTUALIZACJA:
      Z medialnych doniesień wynika, że za atakiem stoją chińskie władze, a ich celem była głównie mniejszość ujgurska. W ramach tej samej kampanii atakowano też urządzenia z systemem Android i Windows, jednak przedstawiciele Project Zero poinformowali jedynie o atakach na iOS-a. Google nie odniósł się do najnowszych rewelacji. Microsoft oświadczył, że bada doniesienia o ewentualnych dziurach.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Podczas Aspen Security Forum Microsoft zaprezentował swój pierwszy system do elektronicznego głosowania oparty na Microsoft ElectionGuard. Prezentacja miała udowodnić, że system nadaje się dla osób niepełnosprawnych i jest na tyle tani, iż mogą z niego korzystać nawet władze lokalne. Jednocześnie dobrze zabezpiecza wybory.
      ElectionGuard to jedno z rozwiązań oferowanych w ramach microsoftowego Defending Democracy Program. Wraz z innymi narzędziami proponowanymi przez przemysł technologiczny i uczelnie, jest potrzebny do obrony demokracji, oświadczyli przedstawiciele Microsoftu.
      W ubiegłym roku Microsoft poinformował niemal 10 000 swoich klientów, że byli przedmiotem ataków ze strony państw. Około 84% takich ataków przeprowadzono przeciwko przedsiębiorstwom, a około 16% – przeciwko osobom prywatnym. Wiele z tych ataków nie miało nic wspólnego z wyborami czy innymi procesami demokratycznymi, jednak ich skala pokazuje, że państwa coraz częściej wykorzystują cyberataki do zdobycia informacji wywiadowczych, wpłynięcia na decyzje polityczne czy w innych celach.
      Większość ze wspomnianych ataków zostało przeprowadzonych przez Iran, Koreę Północną i Rosję. Irańskie źródła ataków otrzymały kryptonimy Holmium i Mercury, źródła rosyjskie nazwano Yttrium i Strontium, a źródło koreańskie zyskało kryptonim Thallium.
      W sierpniu ubiegłego roku Microsoft uruchomił też usługę AccountGuard, która zawiera system ostrzegający o atakach i jest skierowana do partii politycznych, organizacji pozarządowych itp.Od tamtego czasu system wysłał 781 ostrzeżeń o atakach przeprowadzonych przez państwa na organizacje uczestniczące w programie AccountGuard.
      Wracając zaś do Election Guard, należy zauważyć, że podczas pokazu zademonstrowano trzy główne elementy systemu.
      Pierwszy to możliwość głosowania bezpośrednio z ekranu Microsoft Surfece lub za pomocą Xbox Adaptive Controler, który został stworzony we współpracy z organizacjami pomagającymi osobomniepełnosprawnym. Drugi element, to specjalny kod, który jest generowany po oddaniu głosu. Wyborca może następnie wpisać ten kod na witrynie organizacji przeprowadzającej głosowanie, by upewnić się, że jego głos został policzony i nie został zmieniony. Wykorzystana technika szyfrowania homomorficznego pozwala na upewnienie się co do prawidłowości przebiegu głosowania bez jednoczesnego zdradzania, jak wyborca głosował. Co więcej, w ostatecznej wersji ElectionGuard SDK pojawi się możliwość niezależnej weryfikacji, przez mężów zaufania, członków komisji wyborczych, dziennikarzy czy inną dowolną osobę, czy głosy zostały zliczone i nie zmienione. Trzeci element ElectionGuard to możliwość dodatkowej końcowej weryfikacji przebiegu głosowania. Każdy z wyborców będzie mógł wydrukować swoją kartę do głosowania z zaznaczonym głosem, wrzucić ją do urny, a następnie sprawdzić na specjalnej witrynie, czy jego papierowy głos został zliczony.
      ElectionGuard to rozwiązanie opensource'owe i w ciągu najbliższych kilku tygodni Microsoft udostępni jego SDK na GitHubie. Koncern już porozumiał się z Columbia University i podczas przyszłorocznych wyborów prezydenckich wspólnie przeprowadzą pilotażowe testy ElectionGuard.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      W centrum Londynu, niedaleko głównego sklepu Apple'a, Microsoft otwiera swój pierwszy sklep w Europie. Koncern zajął ponad 3 piętra i 2043 metry kwadratowe w historycznym budynku znajdującym się na roku Regent Street i Oxford Street. Budynek został zaprojektowany w 1912 roku, a od roku 1996 mieścił się tam główny sklep Benettona w Wielkiej Brytanii.
      Jako, że budujemy własny sprzęt, jak Surface, i poszerzamy ofertę dla biznesu, ta lokalizacja jest dla nas bardzo wartościowa. Zespół ludzi pracował nad tym od lat, mówi dyrektor ds. marketingu w Microsofcie Chris Capossela. Nie zakładamy sklepu tylko dlatego, że ktoś tego nie zrobił. Dla nas to okazja do zapoznania z naszą ofertą klientów, którzy chcieliby się dowiedzieć, co dzieje się w naszej firmie, dodaje.
      W sklepie znalazły się m.in. wielkie na całą ścianę wyświetlacze czy liczne pokoje konferencyjne, w których będą odbywały się szkolenia. Klienci będą mogli wypróbować Hololens, kupić laptopa czy kabel do ładowarki. Miłośnicy Xboksa znajdą zaś duży wydzielony obszar przeznaczony wyłącznie dla nich, wypełniony konsolami, kamerami i wszelkiego typu urządzeniami oraz wyświetlaczami potrzebnymi do prowadzenia turniejów gier wideo czy streamingu popularnych tytułów.

      « powrót do artykułu
×
×
  • Create New...