Monday, October 4, 2010

Stuxnet: Domande e risposte

http://neovitruvian.wordpress.com/2010/10/04/stuxnet-domande-e-risposte/

Stuxnet: Domande e risposte

Posted: 4 ottobre 2010 by neovitruvian

D: Cosa è Stuxnet?

R: Stuxnet è un worm di Windows, la diffusione avviene tramite chiavette USB. Una volta all’interno di un’organizzazione, può anche diffondersi copiandosi nei dispositivi collegati in rete.

D: Può diffondersi tramite altri dispositivi usb?

R: Certo, si può diffondere in tutto ciò che può fungere da disco. Come un disco rigido USB, i cellulari di ultima generazione, le cornici digitali e così via.

D: Dunque,dopo essersi diffuso cosa fa?

R: Infetta il sistema, si nasconde con un rootkit e vede se il computer infettato è collegato a un sistema Simatic Siemens (Step7).

D: Cosa provoca ad un Simatic?

R: Modifica i comandi inviati dal computer al PLC. Una volta in esecuzione sul PLC, cerca un sistema specifico della fabbrica. Se non lo trova il virus rimane inattivo.

D: Quali fabbriche colpisce?

R: Non lo sappiamo

D: Ha individuato i complessi industriali da colpire?

R: Non lo sappiamo

D: In teoria cosa potrebbe fare?

R: Si potrebbe adeguare ai motori, ai nastri trasportatori, alle pompe. Potrebbe fermare una fabbrica. Con le modifiche giuste, potrebbe far esplodere degli impianti.

D: Perchè Stuxnet è considerato molto complesso?

R: Perchè utilizza molteplici vulnerabilità e installa i propri driver nel sistema.

D: Come fa ad installare i propri drivers? In questo caso dovrebbe avere dei driver firmati per poter lavorare in windows

R: I driver di Stuxnet sono firmati con un certificato rubato alla Realtek Semiconductor Corp

D: Sono stati revocati i drivers rubati?

R: Si. Verisign gli ha revocati il 16 luglio. Il 17 luglio ne è stata trovata una versione modificata con i drivers rubati alla Jmicron Technology Corporation.

D: Quali sono i rapporti che intercorrono tra la Jmicron e la Realtek?

R: Nessuna. Entrambe però hanno il loro quartier generale nella stessa zona di Taiwan. Il che è molto strano.

D: Che vulnerabilità vengono sfruttate da Stuxnet?

R: Nel complesso Stuxnet sfrutta 5 diverse vulnerabilità:

LNK (MS10-046)
Print Spooler (MS10-061)
Server Service (MS08-067)
Privilege escalation via Keyboard layout file
Privilege escalation via Task Scheduler

D: Sono state patchate da Microsoft?

R: Le ultime due della lista sopra no!

D: Perchè è così difficile analizzare Stuxnet?

R: E’ incredibilmente complesso e grande. Stuxnet “pesa” 1,5 mb.

D: Quando ha iniziato a diffondersi Stuxnet?

R: Nel giugno del 2009, o forse addirittura prima. Uno dei componenti risulta compilato in data Gennaio 2009

D: Come è possibile tutto ciò?

R: Bella domanda

D: Stuxnet è stato scritto sotto commissione governativa

R: A quanto sembra….si!

D: E’ stato Israele?

R: Non lo sappiamo (ma è molto probabile)

D: Il target è l’Iran?

R: Non lo sappiamo (tuttavia è stato il paese più colpito)

D: E’ vero che ci sono delle referenze bibliche all’interno di Stuxnet?

R: C’è un riferimento a “Myrtus” (che è una pianta di mirto). Tuttavia, ciò non è nascosto nel codice. Si tratta di una “firma” o “artifatto” lasciato lì, durante la compilazione del programma. Fondamentalmente questo ci dice dove l’autore ha memorizzato il codice sorgente nel suo sistema. Il percorso specifico di Stuxnet è: \ Myrtus \ src \ objfre_w2k_x86 \ i386 \ guava.pdb. Gli autori probabilmente non volevano farci sapere che il loro progetto si chiamava “Myrtus”, ma grazie a questo artefatto lo sappiamo. Non è la prima volta che vediamo tali artefatti. L’attacco contro Google denominato Operazione Aurora è stato chiamato così proprio per il codice nascosto nei suoi file binari: \ Aurora_Src \ AuroraVNC \ Avc \ Release \ AVC.pdb.

D: Quindi in cosa consiste il riferimento bibilico?

R: Non lo sappiamo

D: Potrebbe significare anche qualcos’altro?

R: Certo: Potrebbe significare “My RTUs”, no myrtus. RTU è un abbreviazione di Remote Terminal Units, usate nei sistemi delle fabbriche.

D: Come fa, Stuxnet a sapere che ha già infettato una macchina?

R: Imposta una chiave di registro con un valore “19790509″ come segno dell’infezione.

D: Quale è il significato di “19790509″?

R: E’ una data: il 09/05/1979

D: Cosa successe il 09/05/1979?

R: Potrebbe essere la data di nascita dell’autore? Ancora, in quella data un uomo d’affari Israeliano/Iraniano di nome Habib Elghanian fù ucciso in Iran. Fù accusato di essere una spia di Israele.

D: C’è un collegamento tra Stuxnet e Conflicker?

R: E’ possibile. Delle varianti di Conflicker furono trovate tra il novembre 2008 e l’aprile 2009. Le prime varianti di Stuxnet sarebbero state trovate da lì a poco. Entrambi sfruttano la stessa vulnerabilità la MS08-067. Entrambi usano chiavette Usb per diffondersi. Entrambi sfruttano le password deboli per penetrare nelle reti. Entrambi sono estremamente complessi.

D: Disabilitando l’autorun in Windows si fermeranno anche i worm da usb?

R: Assolutamente no. Il worm può sfruttare altre vulnerabilità come la LNK, facendo risultare senza senso disabilitare l’autorun.

D: Stuxnet si diffonderà all’infinito?

R: No. La versione corrente ha come “data di morte” il 24 giugno 2012

D: Quanti computer infetterà?

R: Centinaia di migliaia.

D: Ma la Siemens ha detto che solo 15 fabbriche sono state infettate!

R: Bisogna tener conto anche dei danni collaterali. Ci saranno moltissime vittime anche tra i computer di casa e quelli degli uffici.

D: Potrebbe fare altre cose?

R: La siemens ha annunciato l’anno scorso che il sitema Simatic può controllare anche i sistemi di allarmi, i controlli di accesso e le porte. Queste possibilità in teoria potrebbero essere utilizzate per penetrare dentro installazioni top secrets. Pensate un pò a Mission Impossible 2:

D: E’ stato Stuxnet a far affondare la DeepWater Horizon e causare il disastro del Golfo del messico?

R: No non lo crediamo. In ogni caso anche la DeepWater Horizon stessa montava dei sistemi PLC della Siemens.

D: F-Secure riesce ad individuare Stuxnet?

R: Si.

Le informazioni riportate sono il risultato di ricerche condotte da esperti di Microsoft, Kaspersky e Symatec e altri.

6 comments:

  1. "non lo sappiamo"...

    "non lo sappiamo"...

    "non lo sappiamo"...

    "non lo sappiamo"...

    ... ma che cazzo sanno?

    Neovitruzziano, sei un disinformatore scemo e ignorante, torna a giocare con le bambole che è l'unica cosa che ti riesce per ora

    ReplyDelete
  2. D: Quali sono i rapporti che intercorrono tra la Jmicron e la Realtek?

    R: Nessuna. Entrambe però hanno il loro quartier generale nella stessa zona di Taiwan. Il che è molto strano.


    neocoglionem, va a lavorare, va, che basta questa citazione che ho riportato a sputtanarti del tutto.
    Anche le pompe funebri del paese dove abito io hanno l'ufficio vicino all'ospedale. Il che è molto starno, vero, infatti i medici sono in combutta per mandare i morti alle pompe funebri, vero?
    Imbecille.

    ReplyDelete
  3. copia e pubblica articoli già usciti da due settimane sui quotidiani ....ridicolo

    ReplyDelete
  4. Neocoglione, inutile NON SAI UN CAZZO spari CAZZATE a tutto spiano per far far sapere da tutto il mondo che sei un idiota ignorante

    Non hai capito un cazzo(come al tuo solito) e lo dimostri ad ogni post che scrivi.
    Ti piace così tanto fare figura di merda?

    ReplyDelete
  5. Ah ah ah ah...

    Neovitruvian, che succederebbe se ti dicessi che gran parte delle industrie "tecnologiche" hanno la loro base a Santa Clara in California??

    Ti dirò di più.... Intel, AMD, Nvidia, National Semiconductors stanno tutte in un cerchietto di circa 1km!!!

    Strano, no????

    E pensa che a poca distanza c'è anche il S. Mary College??

    Quali saranno le implicazioni biblico-storico-imperial-komunistc-massoniche???

    ;-)

    Jabba

    ReplyDelete
  6. Questa la trovo straordinaria:

    D: E’ vero che ci sono delle referenze bibliche all’interno di Stuxnet?

    R: C’è un riferimento a “Myrtus” (che è una pianta di mirto). [pappardella]

    D: Quindi in cosa consiste il riferimento bibilico?

    R: Non lo sappiamo


    ilpeyote ma piantala neominchiam

    ReplyDelete