B6 Security

You know when it comes to security news, it's always puzzling what gets reported. As viewers of this show, you know there's a very regular rhythm of security issues that are always bubbling just below the surface and it takes something truly profound to grab the public's attention. Well, one new threat making the rounds did have the right mix of ingredients last summer. Stuxnet. I mean it makes sense, right? Computer attacks, nuclear power, foreign governments, sabotage, spy versus spy. But how much of it is real? Enough to say it's a sign of the times.

Now as all good threats, the details will continue to evolve, but I do think that there are five items worth paying attention to here.

The first one, non-trivial distribution. Primarily spread via USB sticks. Think non-Internet connected systems that then propagate by escalating privilege levels through zero day exploits, notable for the fact that true zeros are special and they're only valuable for a short period of time. Very expensive, very hard to come by.

The next one, sophistication. This is an intelligent worm. Initially targeting Windows computers, where it even installs its own drivers using a stolen but legitimate certificate. The offending certificate gets revoked of course, but then another one gets added within 24 hours.

Our third point, modular coding. This thing can get new tires while still on the road. Multiple control servers. First in Malaysia, then Denmark, now more, including peer-to-peer. In fact, when two run into each other, they compare versions and make sure that they're both updated.

Fourth point, unique targeting. Windows is just the intermediary, the friend of the friend. Stuxnet is looking for a particular model of PLC. That's programmable logic controller, which is technically not SCADA as it's often reported. These are small imbedded industrial control systems that run all sorts of automated processes, from factories to oil refineries to nuclear power plants. Stuxnet will leverage the vulnerability in the controller software to reach in and change very specific bits of data. Shut things off. Don't grease a bearing for 10 minutes. Don't sound an alarm. This is really unique knowledge. Respectable coding skills that imply a higher level of patience of good funding resources.

Our final point, motive. Stuxnet does not perform... excuse me. It does not threaten. It performs sabotage. Really has no criminal focus. Does not spread indiscriminately or steal credit card information or login credentials. It does not recruit systems into a botnet. It targets infrastructure, our most essential necessities like power, water, safety and much, much more. You know these are older systems. Very established. Generally run with the mentality of hey, if it ain't broke, don't fix it. These things don't get watched over and patched by technical handlers who understand these kind of things. Not yet anyway. So stay tuned. This one is not done. We all have a lot to learn and somebody is working hard to teach us.

Tudod, amikor biztonsági hírekről van szó, mindig zavarba ejtő, hogy mit jelenthetnek. Ennek a műsornak a nézőiként tudja, hogy a felszín alatt bugyborékoló biztonsági problémák rendszeresen és ritmikusan felmerülnek, de valami igazán mélyreható dologra van szükség ahhoz, hogy felkeltse a közönség figyelmét. Nos, egy új fenyegetés, megtette ezeket a köröket a múlt nyáron, és az összetevők megfelelő keverékét tartalmazta. Stuxnet. Gondolom, van értelme, nem? Számítógépes támadások, atomenergia, külföldi kormányok, szabotázs, kém kontra kém. De mennyi ebből az igaz? Elég annyit mondani, hogy ez az idők szele.

Most, mint minden jó fenyegetésnél, a részletek később fognak kirajzolódni, de úgy gondolom, hogy itt öt dologra érdemes odafigyelni.

Az első, a nem triviális eloszlás. Elsősorban USB pendrive-on keresztül terjed. Gondoljunk csak nem internetkapcsolattal rendelkező rendszerekre, amelyeknél aztán minden jogosultsági szinten nulladik napos támadásként terjednek, megjegyzendő az a tény, hogy az igazi nullák különlegesek és csak rövid ideig értékesek. Nagyon drága, nagyon nehéz kivédeni.

A következő, a kifinomultság. Ez egy intelligens féreg. Kezdetben a Windows számítógépeket célozta meg, ahol lopott, de jogos tanúsítvány segítségével saját illesztőprogramokat is telepít. A hibás tanúsítványt természetesen visszavonják, de 24 órán belül hozzáadnak egy másikat.

Harmadik pontunk, a moduláris kódolás. Ez a dolog új gumikat szerezhet még az úton. Több vezérlőszerver. Először Malajziában, majd Dániában, még többen, köztük peer-to-peer. Valójában, amikor ketten összefutnak, összehasonlítják a verziókat, és gondoskodnak arról, hogy mindkettő frissítve legyen.

Negyedik pont, egyedi célzás. A Windows csak a közvetítő, a barát barátja. A Stuxnet a PLC egy adott modelljét keresi. Ez egy programozható logikai vezérlő, amely technikailag nem SCADA, ahogy gyakran jelentik. Ezek kis beépített ipari vezérlőrendszerek, amelyek mindenféle automatizált folyamatot futtatnak, a gyáraktól az olajfinomítókon át az atomerőművekig. A Stuxnet kihasználja a vezérlőszoftver sebezhetőségét, hogy elérje és megváltoztassa az adatok bizonyos részleteit. Kikapcsolja a dolgokat. Ne zsírozza meg a csapágyat 10 percig. Ne szóljon az ébresztő. Ez valóban egyedülálló tudás. Tiszteletreméltó kódolási készségek, amelyek a jó finanszírozási források magasabb szintű kitartását jelentik.

Utolsó pontunk, indítékunk. A Stuxnet nem teljesít ... elnézést. Nem fenyeget. Szabotázsokat hajt végre. Tényleg nincs bűnözői fókusz. Nem terjed válogatás nélkül, és nem lopja el a hitelkártya adatait vagy a bejelentkezési adatokat. Nem toboroz rendszereket botnet hálózatba. Célja az infrastruktúra, a legfontosabb szükségleteink, mint az áram, a víz, a biztonság és még sok más. Tudod, hogy ezek régebbi rendszerek. Nagyon hagyományosak. Általában olyan mentalitással működnek, mint hé, ha nem törött, nem javítjuk ki. Ezeket a dolgokat nem olyan karbantartók figyelik és javítják, akik megértik az ilyen dolgokat. Egyébként ma még nem. Szóval maradjon velünk. Erre nem készült fel. Mindannyiunknak sokat kell tanulnunk, és valaki keményen dolgozik, hogy megtanítson minket.