Stuxnet: Un video sottolinea il successo isreaeliano

http://neovitruvian.wordpress.com/2011/02/17/stuxnet-un-video-sottolinea-il-successo-isreaeliano/

Stuxnet: Un video sottolinea il successo isreaeliano

Posted: 17 febbraio 2011 by neovitruvian

Un nasto è stato visionato alla festa di pensionamento del capo delle Forze di Difesa di Israele e sembra ancora una volta dimostrare che vi sia lo zampino israeliano dietro Stuxnet e quindi sui danni provocati al programma nucleare iraniano.

Il video che mostra i successi operativi del tenente generale Gabi Ashkenazi include anche riferimenti a Stuxnet, un virus informatico che l’anno scorso ha danneggiatto il sito di arricchimento nucleare di Natanz.

Anche se ufficialmente Israele non ha accettato la responsabilità per l’attacco via Stuxnet, le prove di suo ruolo attivo nell’intera operazione si hanno da quando sono iniziate le prime avvisaglie e cioè a luglio. Il virus, che non ha precedenti in quanto a complessità, è stato progettato per infiltrarsi nei sistemi di controllo a Natanz e di nascosto fare delle rettiffiche errate alle centrifughe che le avrebbero poi danneggiate.

I ricercatori della sicurezza dicono che i vari fattori della cyber minaccia, tra cui la complessità del suo funzionamento tendono con forza ad indicarne come fonte Israele. E’ un fatto che un impianto speciale è stato istituito con la cooperazione americana, nel deserto israeliano, per testare l’arma.

Subito dopo la sezione di Stuxnet, il video del Ten. Gen. Ashkenazi include un omaggio a Meir Dagan, che era a capo del servizio segreto del Mossad israeliano durante quasi la totalità del tempo in cui il Ten. Gen. Ashkenazi è stato responsabile della IDF.

Fonte

Cablegate: Società tedesca consiglia agli Usa di sabotare i siti nucleari iraniani

http://neovitruvian.wordpress.com/2011/01/20/cablegate-societa-tedesca-consiglia-agli-usa-di-sabotare-i-siti-nucleari-iraniani/

Cablegate: Società tedesca consiglia agli Usa di sabotare i siti nucleari iraniani

Posted: 20 gennaio 2011 by neovitruvian

Il presidente iraniano, Mahmoud Ahmadinejad, mentre ispeziona la centrale nucleare di Natanz, bersaglio del virus Stuxnet.

Un “cable” trapelato dall’ambasciata statunitense rivela che una influente società tedesca ha “consigliato” agli Stati Uniti di adottare una politica che miri a “sabotare” le strutture nucleari clandestine dell’Iran, si cita l’utilizzo del computer hacking e il provocare “inspiegabili esplosioni”.

Volker Perthes, direttore dell’istituto, finanziato dal governo tedesco, per la Sicurezza e gli Affari Internazionali, ha detto ai funzionari Usa a Berlino, che le operazioni sotto copertura sarebbero “più efficace di un attacco militare” nel limitare le ambizioni nucleari iraniane.

Un sofisticato virus, Stuxnet, si è infiltrato nell’impianto nucleare di Natanz lo scorso anno, ritardando il programma iraniano di alcuni mesi. Il New York Times questa settimana ha riportato che Stuxnet fù un’operazione congiunta USA-Israele.

Lunedi’, il capo negoziatore nucleare iraniano ha accusato gli Stati Uniti dell’attacco informatico. Saeed Jalili ha detto alla NBC News di un’indagine che ha portato a scoprire che gli Stati Uniti sono stati coinvolti in un attacco che apparentemente avrebbe chiuso un quinto delle centrifughe nucleari iraniane nel mese di novembre. ”Ho visto alcuni documenti che dimostrano la partecipazione [USA],” ha dichiarato.

Un “cable” diplomatico inviato dall’ambasciatore degli Stati Uniti in Germania, Philip Murphy, nel gennaio 2010, riporta che Perthes disse che una politica di “sabotaggio segreto” (inspiegabili esplosioni, incidenti, pirateria informatica, ecc) sarebbe stato più efficace di un attacco militare, i cui effetti nella regione avrebbero potuto essere “devastanti”.

Perthes è uno dei maggiori esperti occidentali sull’Iran. Un precedente “cable” diplomatico, inviato da Murphy il 14 dicembre 2009 ha dimostrato che il suo consiglio venne ascoltato da politici e funzionari – tra cui Condoleezza Rice, l’ex segretario di stato americano.

Murphy riporta: “La maggior parte degli ospiti seduta al tavolo delle trattative non era d’accordo con le tematiche di Perthes riguardo la questione Iran.”E’ stato sorprendente un atteggiamento del genere, da un gruppo di personalità di alto livello che lavorano operativamente sulla questione Iran”.

In un’intervista con il Guardian, Perthes ha detto che l’ambasciatore riflette perfettamente la sua idea, ”degli incidenti inspiegabili” o “dei problemi informatici” sono certamente meglio che degli attacchi militari. – Una escalation militare contro l’Iran – deve essere evitata.

“Rispetto alle azioni militari, questi atti hanno il vantaggio che la leadership del paese interessato non avrebbe necessità di rispondere – quando tutti sono d’accordo sul guasto tecnico, non c’è bisogno di sparare o bombardare. Tutti capirebbero il messaggio e cioè che certe innovazioni sono inaccettabili per il paese contrapposto (USA ISRAELE).

“Il mio intuito, fù all’inizio del 2010 – senza avere alcuna conoscenza specifica – Che alcuni paesi si stessero preparando a rallentare il programma nucleare iraniano attraverso atti di sabotaggio, o di pirateria informatica”

I funzionari americani e israeliani rifiutarono di commentare il loro coinvolgimento in Stuxnet riportato ieri. Tuttavia, i “cables” trapelati indicano quali tecniche utilizzare per creare danni al programma nucleare iraniano – compresi potenti cyber attacchi – una soluzione che ha cominciato a riscuotere pareri positivi all’interno dei circoli diplomatici degli Stati Uniti lo scorso anno.

Il presidente George Bush ha approvato un piano da $ 300m (£ 189m) su progetti segreti contro l’Iran, capendo di dover includere il progetto Stuxnet, prima di lasciare la poltrona di presidente nel 2009.

Le probabilità di un attacco militare contro l’Iran sono ormai scemate, in parte a causa del successo di Stuxnet, ma anche grazie all’assassinio di due scienziati nucleari iraniani lo scorso anno, il cui mandante fù Israele.

Stuxnet ha spazzato via circa un quinto delle centrifughe utilizzate per arricchire l’uranio a Natanz in Iran nell’agosto dello scorso anno. Gli esperti di sicurezza hanno detto al Guardian, quando uscì Stuxnet, che era “il malware più raffinato mai scoperto”, sollevando il sospetto che si trattasse di una operazione ben finanziata e, potenzialmente, sponsorizzata dallo stato. Secondo il New York Times, il worm Stuxnet è stato testato in un bunker segreto israeliano a Dimano, nei pressi del deserto del Negev.

Stuxnet: La Russia avverte, pericolo di una Chernobyl Iraniana

http://neovitruvian.wordpress.com/2011/01/18/stuxnet-la-russia-avverte-pericolo-di-una-chernobyl-iraniana/

Stuxnet: La Russia avverte, pericolo di una Chernobyl Iraniana

Posted: 18 gennaio 2011 by neovitruvian

Funzionari nucleari, russi hanno messo in guardia il mondo riguardo il pericolo di un altro disastro “Stile Chernobyl” che potrebbe colpire il controverso reattore nucleare di Bushehr, a causa dei danni causati dal virus Stuxnet,
stando agli ultimi rapporti delle intelligence occidentali.

Gli scienziati nucleari russi hanno sollevato molti dubbi riguardo gli estesi danni causati dal virus Stuxnet, ai sistemi di controllo computerizzati.

Gli scienziati nucleari russi stanno fornendo assistenza tecnica agli addetti ai lavori iraniani nel tentativo di attivare il primo impianto nucleare nel porto del Golfo.
Ma gli stessi scienziati hanno sollevato serie preoccupazioni circa gli estesi danni provocati ai sistemi informatici dell’impianto dal misterioso virus Stuxnet, scoperto lo scorso anno, si pensa sia il frutto di un cyber attacco congiunto USA-Israele.
Secondo i rapporti delle intelligence occidentali, gli scienziati russi hanno avvertito il Cremlino della probabilità di trovarsi di fronte ad “un’altra Chernobyl”, se fossero costretti a rispettare la scadenza molto ravvicinata (questa estate) per attivare il complesso.
Dopo decenni di ritardi, la prima commissione è di Shah nel 1970, i leader iraniani stanno chiedendo che gli scienziati si attenghino ai tempi stabiliti l’anno scorso. Essi sostengono che ogni ritardo sarebbe un duro colpo al prestigio internazionale dell’Iran.

Bushehr comincerà a produrre elettricità per la rete nazionale dell’Iran questa estate dopo il lavoro dei tecnici russi iniziato ad ottobre 2010.

Stuxnet: Domande e risposte

http://neovitruvian.wordpress.com/2010/10/04/stuxnet-domande-e-risposte/

Stuxnet: Domande e risposte

Posted: 4 ottobre 2010 by neovitruvian

D: Cosa è Stuxnet?

R: Stuxnet è un worm di Windows, la diffusione avviene tramite chiavette USB. Una volta all’interno di un’organizzazione, può anche diffondersi copiandosi nei dispositivi collegati in rete.

D: Può diffondersi tramite altri dispositivi usb?

R: Certo, si può diffondere in tutto ciò che può fungere da disco. Come un disco rigido USB, i cellulari di ultima generazione, le cornici digitali e così via.

D: Dunque,dopo essersi diffuso cosa fa?

R: Infetta il sistema, si nasconde con un rootkit e vede se il computer infettato è collegato a un sistema Simatic Siemens (Step7).

D: Cosa provoca ad un Simatic?

R: Modifica i comandi inviati dal computer al PLC. Una volta in esecuzione sul PLC, cerca un sistema specifico della fabbrica. Se non lo trova il virus rimane inattivo.

D: Quali fabbriche colpisce?

R: Non lo sappiamo

D: Ha individuato i complessi industriali da colpire?

R: Non lo sappiamo

D: In teoria cosa potrebbe fare?

R: Si potrebbe adeguare ai motori, ai nastri trasportatori, alle pompe. Potrebbe fermare una fabbrica. Con le modifiche giuste, potrebbe far esplodere degli impianti.

D: Perchè Stuxnet è considerato molto complesso?

R: Perchè utilizza molteplici vulnerabilità e installa i propri driver nel sistema.

D: Come fa ad installare i propri drivers? In questo caso dovrebbe avere dei driver firmati per poter lavorare in windows

R: I driver di Stuxnet sono firmati con un certificato rubato alla Realtek Semiconductor Corp

D: Sono stati revocati i drivers rubati?

R: Si. Verisign gli ha revocati il 16 luglio. Il 17 luglio ne è stata trovata una versione modificata con i drivers rubati alla Jmicron Technology Corporation.

D: Quali sono i rapporti che intercorrono tra la Jmicron e la Realtek?

R: Nessuna. Entrambe però hanno il loro quartier generale nella stessa zona di Taiwan. Il che è molto strano.

D: Che vulnerabilità vengono sfruttate da Stuxnet?

R: Nel complesso Stuxnet sfrutta 5 diverse vulnerabilità:

LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Privilege escalation via Keyboard layout file
Privilege escalation via Task Scheduler

D: Sono state patchate da Microsoft?

R: Le ultime due della lista sopra no!

D: Perchè è così difficile analizzare Stuxnet?

R: E’ incredibilmente complesso e grande. Stuxnet “pesa” 1,5 mb.

D: Quando ha iniziato a diffondersi Stuxnet?

R: Nel giugno del 2009, o forse addirittura prima. Uno dei componenti risulta compilato in data Gennaio 2009

D: Come è possibile tutto ciò?

R: Bella domanda

D: Stuxnet è stato scritto sotto commissione governativa

R: A quanto sembra….si!

D: E’ stato Israele?

R: Non lo sappiamo (ma è molto probabile)

D: Il target è l’Iran?

R: Non lo sappiamo (tuttavia è stato il paese più colpito)

D: E’ vero che ci sono delle referenze bibliche all’interno di Stuxnet?

R: C’è un riferimento a “Myrtus” (che è una pianta di mirto). Tuttavia, ciò non è nascosto nel codice. Si tratta di una “firma” o “artifatto” lasciato lì, durante la compilazione del programma. Fondamentalmente questo ci dice dove l’autore ha memorizzato il codice sorgente nel suo sistema. Il percorso specifico di Stuxnet è: \ Myrtus \ src \ objfre_w2k_x86 \ i386 \ guava.pdb. Gli autori probabilmente non volevano farci sapere che il loro progetto si chiamava “Myrtus”, ma grazie a questo artefatto lo sappiamo. Non è la prima volta che vediamo tali artefatti. L’attacco contro Google denominato Operazione Aurora è stato chiamato così proprio per il codice nascosto nei suoi file binari: \ Aurora_Src \ AuroraVNC \ Avc \ Release \ AVC.pdb.

D: Quindi in cosa consiste il riferimento bibilico?

R: Non lo sappiamo

D: Potrebbe significare anche qualcos’altro?

R: Certo: Potrebbe significare “My RTUs”, no myrtus. RTU è un abbreviazione di Remote Terminal Units, usate nei sistemi delle fabbriche.

D: Come fa, Stuxnet a sapere che ha già infettato una macchina?

R: Imposta una chiave di registro con un valore “19790509″ come segno dell’infezione.

D: Quale è il significato di “19790509″?

R: E’ una data: il 09/05/1979

D: Cosa successe il 09/05/1979?

R: Potrebbe essere la data di nascita dell’autore? Ancora, in quella data un uomo d’affari Israeliano/Iraniano di nome Habib Elghanian fù ucciso in Iran. Fù accusato di essere una spia di Israele.

D: C’è un collegamento tra Stuxnet e Conflicker?

R: E’ possibile. Delle varianti di Conflicker furono trovate tra il novembre 2008 e l’aprile 2009. Le prime varianti di Stuxnet sarebbero state trovate da lì a poco. Entrambi sfruttano la stessa vulnerabilità la MS08-067. Entrambi usano chiavette Usb per diffondersi. Entrambi sfruttano le password deboli per penetrare nelle reti. Entrambi sono estremamente complessi.

D: Disabilitando l’autorun in Windows si fermeranno anche i worm da usb?

R: Assolutamente no. Il worm può sfruttare altre vulnerabilità come la LNK, facendo risultare senza senso disabilitare l’autorun.

D: Stuxnet si diffonderà all’infinito?

R: No. La versione corrente ha come “data di morte” il 24 giugno 2012

D: Quanti computer infetterà?

R: Centinaia di migliaia.

D: Ma la Siemens ha detto che solo 15 fabbriche sono state infettate!

R: Bisogna tener conto anche dei danni collaterali. Ci saranno moltissime vittime anche tra i computer di casa e quelli degli uffici.

D: Potrebbe fare altre cose?

R: La siemens ha annunciato l’anno scorso che il sitema Simatic può controllare anche i sistemi di allarmi, i controlli di accesso e le porte. Queste possibilità in teoria potrebbero essere utilizzate per penetrare dentro installazioni top secrets. Pensate un pò a Mission Impossible 2:

D: E’ stato Stuxnet a far affondare la DeepWater Horizon e causare il disastro del Golfo del messico?

R: No non lo crediamo. In ogni caso anche la DeepWater Horizon stessa montava dei sistemi PLC della Siemens.

D: F-Secure riesce ad individuare Stuxnet?

R: Si.

Le informazioni riportate sono il risultato di ricerche condotte da esperti di Microsoft, Kaspersky e Symatec e altri.

Stuxnet il supervirus si sposta in Cina

http://neovitruvian.wordpress.com/2010/10/01/stuxnet-il-supervirus-si-sposta-in-cina/

Stuxnet il supervirus si sposta in Cina

Posted: 1 ottobre 2010 by neovitruvian

Un virus informatico, soprannominato “la prima cyber superarma”, che ha come scopo principale attaccare i computer Iraniani, ha trovato un nuovo bersaglio – la Cina.

Il virus informatico Stuxnet ha provocato il caos in Cina, infettando milioni di computer in tutto il paese, come segnalato dai media questa settimana.

Stuxnet è temuto dagli esperti di tutto il mondo in quanto può penetrare nei computer che controllano i macchinari chiavi per le industrie, permettendo a un utente malintenzionato di assumere il controllo dei sistemi critici, come le pompe, i motori, gli allarmi e le valvole.

Si potrebbe, tecnicamente, fare esplodere le caldaie di una fabbrica, distruggere i gasdotti o addirittura provocare malfunzionamenti alle centrali nucleari.

Gli obiettivi del virus sono i sistemi di controllo prodotti dal gigante industriale tedesco Siemens comunemente utilizzati per gestire l’approvvigionamento idrico, gli impianti petroliferi, le centrali elettriche e altri impianti industriali.

“Questo malware è progettato appositamente per sabotare gli impianti e i sistemi industriali, invece di rubare i dati personali,” riferisce un ingegnere del Rising International Software, azienda fornitrice di servizi antivirus.

“Una volta che Stuxnet avrà penetrato con successo i computer delle fabbriche cinesi,queste potrebbero fallire, il che danneggerebbe il servizio di sicurezza nazionale della Cina”, ha aggiunto.

Un altro esperto senza nome al Rising International ha comunicato che gli attacchi hanno finora infettato più di sei milioni di conti individuali e quasi 1.000 conti aziendali in tutto il paese.

Il virus per computer Stuxnet – è un software maligno (malware) che copia se stesso e si autoinvia a altri computer in una rete – per la prima volta fù identificato nei sistemi nel mese di giugno.

E ‘stato trovato nei sistemi della Siemens in India, Indonesia e Pakistan, ma la più pesante infiltrazione sembra essere in Iran, secondo i ricercatori per la sicurezza dei software.

Yu Xiaoqiu, analista dell’Information Technology Security Evaluation China Centre, ha minimizzato sulla minaccia del malware.

“Finora non vediamo alcun grave danno provocato dal virus” riferisce Yu

“La creazione di nuovi virus è un fatto relativamente normale. Sia i navigatori privati che le imprese cinesi non dovrebbero preoccuparsene. Dovrebbero essere vigili certo ma non intimoriti.”

Un alto funzionario di sicurezza informatica degli Stati Uniti ha detto la settimana scorsa che il paese stava analizzando il worm per computer ma non sono riusciti a capire chi ci stava dietro o quale fosse il suo scopo.

“Uno dei lavori più difficili è quello di capire gli intenti e chi mette in giro i virus” ha detto Sean McGurk, direttore del National Cybersecurity e Communications Integration Center (NCCIC).

“E ‘molto difficile dire “E’ stato programmato per fare questo o quello”, esprimendosi nei riguardi di Stuxnet, ma il motivo sembra quanto mai palese dato il pesantissimo attacco alle centrali iraniane.

“Il worm Stuxnet è un campanello d’allarme per i governi di tutto il mondo”, ci dice Derek Reveron, un esperto di informatica presso la US Naval War School.

“E ‘il primo worm noto per avere come target i sistemi di controllo industriali.”

WW3: La guerra comincia sulla rete

http://neovitruvian.wordpress.com/2010/10/01/ww3-la-guerra-comincia-sulla-rete/

WW3: La guerra comincia sulla rete

Posted: 1 ottobre 2010 by neovitruvian

Un Iran allarmato chiede aiuto esterno per sconfiggere il virus Stuxnet

Teheran questa settimana ha segretamente inviato un appello a un certo numero di esperti di sicurezza informatica in Europa occidentale e orientale, pagando profumatamente per dei consulti su come sradicare il worm Stuxnet che sta diffondendo il caos attraverso le reti dei computer e dei software amministrativi dei suoi più importanti complessi industriali e centri di comando militare .L’intelligence della DEBKAfile e le fonti iraniane riportano che l’Iran si è rivolto all’esterno dopo che gli esperti locali di computer non sono riusciti a rimuovere il virus distruttivo.

Nessuno degli esperti stranieri si è fatto avanti in quanto Teheran si rifiuta di fornire informazioni precise sui centri sensibili, sui sistemi sotto attacco e non permette agli specialisti di aver accesso ai luoghi dove potrebbero fornire aiuto. Gli esperti sono costretti a lavorare al di fuori di Teheran e non hanno accesso ai siti interessati per studiare e cercare di sconfiggere il virus. L’Iran rifiuta anche di dare i dati sulle modifiche fatte allo SCADA (Supervisory Control and Data Acquisition).
Le impressioni che il DEBKAfile ha riscosso Mercoledì 29 settembre parlando con gli esperti internazionali è che l’Iran è disperato dal punto di vista informatico. Non solo i tentavi per eliminarlo sono falliti, ma le cose sono andate anche peggio: il malworm è diventato più aggressivo ed è tornato ad attaccare gli impianti precedentemente danneggiati.

Un esperto ha detto: “Gli iraniani si sono resi conti che è meglio non ‘irritante’ l’invasore informatico, perché torna a colpire con maggior forza di prima”.

Guardando al di là della difficile situazione dell’Iran, ci si chiede se i responsabili dell’infezione cybernetica all’Iran, abbiano la tecnologia per fermare la sua furia. L’esperto continua: “La mia impressione”, ha detto, “è che qualcuno al di fuori dell’Iran ne abbia un controllo parziale, almeno sulla sua diffusione. Questo qualcuno possiede anche i mezzi per fermarlo? Purtroppo non abbiamo queste informazioni.

I funzionari iraniani che stanno lavorando ad una soluzione hanno subito capito che non si trattava di un affare da poco ma che sarà una piaga persistente. Trovare uno specialista credibile con il codice magico in grado di sconfiggere il loro cyber nemico potrebbe richiedere diversi mesi. Dopo che i vari tentavi di distruggere Stuxnet si sono rivoltati contro, tutto ciò che possono fare gli iraniani è sedersi e sperare per il meglio,data la loro incapacità di prevedere quale sarà il prossimo obiettivo del virus.

Mentre Teheran ha comunicato dati contrastanti sui danni provocati dal virus, circa 30000 – 35000 computer infetti con informazioni classificate, quelli del debkafile hanno calcolato danni molto maggiori della versione ufficiale (si parla di milioni di unità infette). Se questo è vero, allora questo cyber attacco è l’arma più distruttiva mai usata contro l’Iran.