Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00084 004578 13085666 na godz. na dobę w sumie
Odliczając do dnia zero. Stuxnet, czyli prawdziwa historia cyfrowej broni - ebook/pdf
Odliczając do dnia zero. Stuxnet, czyli prawdziwa historia cyfrowej broni - ebook/pdf
Autor: Liczba stron: 416
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-283-3713-8 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> klasyka hakera
Porównaj ceny (książka, ebook (-40%), audiobook).

Pierwszy „strzał” zwiastujący erę wojen cyfrowych padł na przełomie 2009 i 2010 roku w zakładzie wzbogacania uranu pod Natanz w środkowym Iranie. Przedstawiciele jednostki ONZ odpowiedzialnej za monitorowanie irańskiego programu nuklearnego zorientowali się, że wirówki służące do wzbogacania uranu zaczęły się psuć na ogromną skalę bez pozornie wytłumaczalnych przyczyn. Nie wiedzieli jeszcze, że kilka miesięcy wcześniej, w czerwcu 2009 roku, ktoś dyskretnie uruchomił niszczycielską broń cyfrową na komputerach w Iranie. Ta broń, nazwana Stuxnet, po cichu wśliznęła się do krytycznych systemów w Natanz z jednym zadaniem: sabotować program nuklearny w Iranie.

Nie, to nie jest kolejna powieść science fiction. Na stronach tej książki znajdziesz całą historię tej pierwszej na świecie cyberbroni, od jej genezy za murami Białego Domu do skutków jej użycia w irańskim zakładzie. Przeczytasz też niesamowitą opowieść o geniuszach, którzy zdołali rozwikłać sekret tego sabotażu. Jednak ta książka to nie tylko fascynująco napisana historia Stuxneta. Znajdziesz tu wizję przyszłości cyberwojen i dowiesz się, co może się stać, jeśli Twój świat stanie się celem podobnego ataku. Przekonasz się, że nasza wspaniała cywilizacja Zachodu znajduje się na krawędzi...

Witaj w mrocznym świecie cyberwojen!


Kim Zetter jest znaną, niezależną dziennikarką z Kalifornii. Zajmuje się różnymi tematami, jednak najlepiej znana jest z artykułów publikowanych w magazynie „Wired” i „PC World” o cyberprzestępstwach, swobodach obywatelskich, prywatności i bezpieczeństwie. Była jednym z pierwszych dziennikarzy opisujących Stuxnet po jego wykryciu. Pisała też o wielu innych sprawach związanych z WikiLeaks, inwigilacją przez agencję NSA i hakerskim półświatkiem. Otrzymała kilka prestiżowych nagród dziennikarskich.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: Countdown to Zero Day: Stuxnet and the Launch of the Worlds First Digital Weapon Tłumaczenie: Tomasz Walczak ISBN: 978-83-283-3712-1 Copyright © 2014 by Kim Zetter. All rights reserved. This translation published by arrangement with Crown, an imprint of the Crown Publishing Group, a division of Penguin Random House LLC. CROWN and the Crown colophon are registered trademarks of Random House LLC. Portions of this work were originally published in different form in “How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History” copyright © Wired.com. Used with permission. First published July 2011. Polish edition copyright © 2018 by Helion SA. All rights reserved. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Materiały graficzne na okładce zostały wykorzystane za zgodą Shutterstock Images LLC. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/oddodn Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność SPIS TRE(cid:165)CI 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Prolog: Sprawa wirówek 7 Pierwsze ostrze(cid:285)enie 11 500 kB tajemnicy 26 Natanz 40 Dekonstrukcja Stuxneta 59 Wiosna Ahmadine(cid:285)ada 77 W poszukiwaniu eksploitów typu zero-day 96 Rynek eksploitów typu zero-day 107 (cid:146)adunek 124 Niekontrolowana kontrola procesów przemys(cid:239)owych 137 Bro(cid:241) o wysokiej precyzji 174 Cyfrowa intryga si(cid:218) rozwija 199 Nowy front walk 214 Cyfrowe (cid:239)adunki bojowe 236 Syn Stuxneta 256 Flame 284 Operacja Olympic Games 315 Tajemnica wirówek 342 Po(cid:239)owiczny sukces 364 Cyfrowa puszka Pandory 375 Podzi(cid:218)kowania 411 Poleć książkęKup książkę Poleć książkęKup książkę ROZDZIA(cid:146) 1 PIERWSZE OSTRZE(cid:191)ENIE S iergiej Ulasen nie jest cz(cid:175)owiekiem, jaki móg(cid:175)by by(cid:250) zamieszany w mi(cid:171)- dzynarodowy incydent. Ulasen to 31-letni Bia(cid:175)orusin z krótko obci(cid:171)- tymi jasnymi w(cid:175)osami, szczup(cid:175)(cid:167), ch(cid:175)opi(cid:171)c(cid:167) sylwetk(cid:167), pe(cid:175)n(cid:167) otwarto(cid:321)ci twa- rz(cid:167) i uprzejmo(cid:321)ci(cid:167) kogo(cid:321), kto w (cid:352)yciu narobi(cid:175) sobie niewielu wrogów i by(cid:175) (cid:350)ród(cid:175)em jeszcze mniejszej liczby kontrowersji. Jedn(cid:167) z jego ulubionych rozrywek jest sp(cid:171)dzanie weekendów w wiejskim domu babci pod Mi(cid:302)- skiem, gdzie mo(cid:352)e wypocz(cid:167)(cid:250) od codziennego stresu, z dala od zasi(cid:171)gu tele- fonów komórkowych i internetu. Jednak w czerwcu 2010 r. Ulasen trafi(cid:175) na co(cid:321) niezwyk(cid:175)ego, przez co szybko zdoby(cid:175) mi(cid:171)dzynarodow(cid:167) popularno(cid:321)(cid:250) i narazi(cid:175) si(cid:171) na dodatkowy stres1. W ciep(cid:175)e czwartkowe popo(cid:175)udnie Ulasen, kieruj(cid:167)cy wówczas wydzia(cid:175)em antywirusowym ma(cid:175)ej bia(cid:175)oruskiej firmy zajmuj(cid:167)cej si(cid:171) zabezpieczeniami komputerowymi, VirusBlokAda, siedzia(cid:175) ze swoim wspó(cid:175)pracownikiem, Olegiem Kupriejewem, w biurze w centrum Mi(cid:302)ska w szarym postsowiec- kim budynku niedaleko rzeki (cid:320)wis(cid:175)ocz. Obaj metodycznie badali podejrzane pliki komputerowe, które niedawno znaleziono na komputerze w Iranie. Kupriejew nagle zauwa(cid:352)y(cid:175) co(cid:321) zaskakuj(cid:167)cego. Opad(cid:175) na oparcie krzes(cid:175)a i zawo(cid:175)a(cid:175) Ulasena. Ulasen przejrza(cid:175) kod raz, a potem ponownie, aby si(cid:171) upewni(cid:250), (cid:352)e zobaczy(cid:175) to, co mu si(cid:171) wydawa(cid:175)o, (cid:352)e ujrza(cid:175). Cicho westchn(cid:167)(cid:175). 1 Ulasen i jego zespó(cid:175) natrafili na to z(cid:175)o(cid:321)liwe oprogramowanie w tygodniu obejmuj(cid:167)- cym 24 czerwca 2010 r. Poleć książkęKup książkę ( 12 ) ODLICZAJ(cid:107)C DO DNIA ZERO Kod, który analizowali przez kilka ostatnich dni i uwa(cid:352)ali do tej pory za stosunkowo ciekawego, ale standardowego wirusa, w(cid:175)a(cid:321)nie okaza(cid:175) si(cid:171) dzie- (cid:175)em cichego diabolicznego geniusza. Napastnik nie tylko wykorzysta(cid:175) pomys(cid:175)owy rootkit, aby ukry(cid:250) wirusa przed programami antywirusowymi, ale te(cid:352) zastosowa(cid:175) sprytny eksploit typu zero-day w celu przesy(cid:175)ania wirusa z komputera na komputer. Ten eksploit wykorzystywa(cid:175) tak podstawowy mechanizm systemu operacyjnego Windows, (cid:352)e na infekcj(cid:171) nara(cid:352)one by(cid:175)y miliony komputerów. Eksploit to u(cid:352)ywany w trakcie ataków kod, który hakerzy stosuj(cid:167) do in- stalowania wirusów i innych szkodliwych narz(cid:171)dzi na komputerach. Eks- ploity wykorzystuj(cid:167) luki w zabezpieczeniach w przegl(cid:167)darkach takich jak Internet Explorer lub aplikacjach takich jak Adobe PDF Reader, aby wpro- wadzi(cid:250) do systemu wirusa lub konia troja(cid:302)skiego. Podobnie w(cid:175)amywacz pos(cid:175)uguje si(cid:171) (cid:175)omem, aby podwa(cid:352)y(cid:250) okno i wej(cid:321)(cid:250) do domu. Je(cid:321)li ofiara przejdzie do szkodliwej witryny, na której dzia(cid:175)a eksploit, lub kliknie za- (cid:175)(cid:167)cznik e-maila zawieraj(cid:167)cy eksploit, narz(cid:171)dzie wykorzysta luk(cid:171) w zabez- pieczeniach oprogramowania do wprowadzenia do systemu niebezpiecz- nych plików. Gdy producent oprogramowania odkrywa luk(cid:171) w produkcie, zwykle przygotowuje „(cid:175)atki”, aby uniemo(cid:352)liwi(cid:250) napastnikom dost(cid:171)p do aplikacji. Firmy pisz(cid:167)ce programy antywirusowe (takie jak firma Ulasena) dodaj(cid:167) do swoich skanerów specjalne sygnatury, aby program móg(cid:175) wykry- wa(cid:250) eksploity próbuj(cid:167)ce wykorzysta(cid:250) luki. Jednak eksploity typu zero-day nie s(cid:167) zwyk(cid:175)ym oprogramowaniem. To najbardziej cenione w (cid:321)wiecie hakerów narz(cid:171)dzia, poniewa(cid:352) wykorzystuj(cid:167) luki wci(cid:167)(cid:352) nieznane producentom oprogramowania i programów antywi- rusowych. Oznacza to, (cid:352)e programy antywirusowe nie obejmuj(cid:167) sygnatur wykrywaj(cid:167)cych takie eksploity. Nie istniej(cid:167) te(cid:352) (cid:175)atki zabezpieczaj(cid:167)ce luki wykorzystywane przez te eksploity. W praktyce eksploity typu zero-day s(cid:167) rzadkie. Odkrywanie nowych luk i pisanie wykorzystuj(cid:167)cych je eksploitów wymaga od hakerów czasu i umie- j(cid:171)tno(cid:321)ci. Dlatego zdecydowana wi(cid:171)kszo(cid:321)(cid:250) napastników do rozpowszech- niania szkodliwego oprogramowania wykorzystuje znane luki i eksploity, licz(cid:167)c na to, (cid:352)e wi(cid:171)kszo(cid:321)(cid:250) u(cid:352)ytkowników komputerów nie instaluje (cid:175)atek ani aktualnych programów antywirusowych. Ponadto opracowanie (cid:175)atki dla znanej luki mo(cid:352)e zaj(cid:167)(cid:250) producentom tygodnie lub miesi(cid:167)ce. Ka(cid:352)dego roku wykrywanych jest ponad 12 mln wirusów i innych szkodliwych plików. Poleć książkęKup książkę PIERWSZE OSTRZE(cid:191)ENIE ( 13 ) W(cid:321)ród nich znajduje si(cid:171) tylko kilkana(cid:321)cie eksploitów typu zero-day. Jed- nak w omawianym przypadku napastnicy zastosowali niezwykle cenny eksploit tego typu i pomys(cid:175)owy rootkit na potrzeby wirusa, który — na ile Ulasen i Kupriejew mogli stwierdzi(cid:250) — wyst(cid:171)powa(cid:175) tylko na komputerach w Iraku. By(cid:175)o to bardzo podejrzane. TAJEMNICZE PLIKI ZWRÓCI(cid:146)Y uwag(cid:171) informatyków tydzie(cid:302) wcze(cid:321)niej, gdy ira(cid:302)ski dystrybutor oprogramowania firmy VirusBlokAda zg(cid:175)osi(cid:175) upo- rczywy problem z komputerem klienta z tego kraju. Komputer wpad(cid:175) w p(cid:171)tl(cid:171) restartowania. Nieustannie ulega(cid:175) awarii i restartowa(cid:175) si(cid:171), uniemo(cid:352)liwiaj(cid:167)c technikom zbadanie maszyny2. Zespó(cid:175) pomocy technicznej z firmy Virus- BlokAda zdalnie (z Mi(cid:302)ska) przeskanowa(cid:175) system w poszukiwaniu szko- dliwego oprogramowania, które program antywirusowy móg(cid:175) przeoczy(cid:250), ale niczego nie znalaz(cid:175). To wtedy wezwano Ulasena. Ulasen zosta(cid:175) zatrudniony przez firm(cid:171) VirusBlokAda jeszcze w trakcie studiów. Pocz(cid:167)tkowo by(cid:175) programist(cid:167), jednak zespó(cid:175) w firmie by(cid:175) tak ma- (cid:175)y, a umiej(cid:171)tno(cid:321)ci Ulasena tak wysokie, (cid:352)e po trzech latach, w wieku 26 lat, Siergiej zacz(cid:167)(cid:175) kierowa(cid:250) grup(cid:167) odpowiedzialn(cid:167) za rozwijanie i konserwacj(cid:171) silnika programu antywirusowego. Od czasu do czasu wspó(cid:175)pracowa(cid:175) te(cid:352) z zespo(cid:175)em badawczym analizuj(cid:167)cym zagro(cid:352)enia. By(cid:175)o to ulubione zaj(cid:171)cie Ulasena, cho(cid:250) niecz(cid:171)sto mia(cid:175) mo(cid:352)liwo(cid:321)(cid:250) je wykonywa(cid:250). Dlatego gdy zespó(cid:175) pomocy technicznej poprosi(cid:175) go o ocen(cid:171) zagadki z Iranu, ch(cid:171)tnie si(cid:171) zgodzi(cid:175)3. Ulasen przyj(cid:167)(cid:175), (cid:352)e problem musi wynika(cid:250) z b(cid:175)(cid:171)dnej konfiguracji opro- gramowania lub z niezgodno(cid:321)ci aplikacji zainstalowanych na komputerze i systemu operacyjnego. Jednak pó(cid:350)niej odkry(cid:175), (cid:352)e podobna awaria dotyczy wi(cid:171)kszej liczby maszyn w Iranie, w tym komputerów, które administratorzy 2 Ulasen nigdy nie ujawni(cid:175) nazwy tego dystrybutora. Jednak w witrynie firmy Virus- BlokAda odno(cid:321)nik prowadz(cid:167)cy do ira(cid:302)skiego dystrybutora kieruje u(cid:352)ytkownika do witryny vba32-ir.com. Jest to witryna nale(cid:352)(cid:167)ca do Deep Golden Recovery Corporation, ira(cid:302)skiej firmy zajmuj(cid:167)cej si(cid:171) odzyskiwaniem danych. 3 Informacje o natrafieniu na omawiane z(cid:175)o(cid:321)liwe oprogramowanie w firmie VirusBlokAda pochodz(cid:167) z wywiadów z Siergiejem Ulasenem i Olegiem Kupriejewem, a tak(cid:352)e z ma- teria(cid:175)ów opublikowanych przez Kaspersky Lab w 2011 r., po tym jak ta rosyjska firma antywirusowa zatrudni(cid:175)a Ulasena. Wywiad The Man Who Found Stuxnet — Sergey Ulasen in the Spotlight zosta(cid:175) opublikowany 2 listopada 2011 r. pod adresem: http://eugene.kaspersky.com/ 2011/11/02/the-man-who-found-stuxnet-sergey-ulasen-in-the-spotlight. Poleć książkęKup książkę ( 14 ) ODLICZAJ(cid:107)C DO DNIA ZERO sformatowali, aby od nowa zainstalowa(cid:250) system operacyjny. Dlatego po- dejrzewa(cid:175), (cid:352)e przyczyn(cid:167) mo(cid:352)e by(cid:250) robak kryj(cid:167)cy si(cid:171) w sieci ofiary, ponow- nie infekuj(cid:167)cy sformatowane maszyny. S(cid:167)dzi(cid:175) te(cid:352), (cid:352)e rootkit pos(cid:175)u(cid:352)y(cid:175) do ukrycia szkodliwego kodu przed programem antywirusowym. Ulasen w prze- sz(cid:175)o(cid:321)ci pisa(cid:175) dla firmy narz(cid:171)dzia do zwalczania rootkitów, dlatego mia(cid:175) pew- no(cid:321)(cid:250), (cid:352)e zdo(cid:175)a znale(cid:350)(cid:250) takie narz(cid:171)dzie, je(cid:321)li to ono jest problemem. Po uzyskaniu pozwolenia na po(cid:175)(cid:167)czenie si(cid:171) z jedn(cid:167) z maszyn z Iranu i zbadanie jej Ulasen z Kupriejewem skupili si(cid:171) na sze(cid:321)ciu podejrzanych plikach. By(cid:175)y to dwa modu(cid:175)y i cztery inne pliki, które zdaniem informa- tyków mog(cid:175)y stanowi(cid:250) (cid:350)ród(cid:175)o problemu4. Nast(cid:171)pnie z pomoc(cid:167) wspó(cid:175)pra- cowników Ulasen i Kupriejew po(cid:321)wi(cid:171)cili kilka dni na wyrywkowe badanie tych plików, przeklinaj(cid:167)c czasem, gdy próbowali odszyfrowa(cid:250) zaskakuj(cid:167)co skomplikowany kod. Pracownicy ma(cid:175)ej firmy zajmuj(cid:167)cy si(cid:171) g(cid:175)ównie pisa- niem programów antywirusowych dla klientów rz(cid:167)dowych nie byli przy- zwyczajeni do zmagania si(cid:171) z tak trudnymi zadaniami. Wi(cid:171)kszo(cid:321)(cid:250) czasu przeznaczali na (cid:321)wiadczenie rutynowej pomocy technicznej klientom, a nie na analizowanie niebezpiecznych zagro(cid:352)e(cid:302). Robili jednak post(cid:171)py i osta- tecznie ustalili, (cid:352)e jeden z modu(cid:175)ów, sterownik, jest w rzeczywisto(cid:321)ci root- kitem z poziomu j(cid:167)dra — tak jak Ulasen podejrzewa(cid:175)5. Istniej(cid:167) ró(cid:352)ne rodzaje rootkitów. Najtrudniejsze do wykrycia s(cid:167) rootki- ty z poziomu j(cid:167)dra. Kryj(cid:167) si(cid:171) one g(cid:175)(cid:171)boko w j(cid:167)drze maszyny, gdzie mog(cid:167) uzyska(cid:250) takie same uprawnienia, z jakimi dzia(cid:175)aj(cid:167) skanery antywirusowe. Wyobra(cid:350) sobie struktur(cid:171) komputera jako ko(cid:175)o na tarczy do strzelania z (cid:175)u- ku. J(cid:167)dro znajduje si(cid:171) w samym (cid:321)rodku takiej tarczy. Jest to cz(cid:171)(cid:321)(cid:250) systemu operacyjnego, dzi(cid:171)ki której wszystko mo(cid:352)e dzia(cid:175)a(cid:250). Wi(cid:171)kszo(cid:321)(cid:250) hakerów pi- sze rootkity dzia(cid:175)aj(cid:167)ce w zewn(cid:171)trznych warstwach maszyny — na pozio- mie u(cid:352)ytkownika, gdzie pracuj(cid:167) aplikacje — poniewa(cid:352) jest to (cid:175)atwiejsze. 4 Modu(cid:175) to niezale(cid:352)ny komponent. Cz(cid:171)sto jedne modu(cid:175)y mo(cid:352)na zast(cid:171)powa(cid:250) innymi i stosowa(cid:250) w ró(cid:352)nych programach. 5 Sterowniki to oprogramowanie u(cid:352)ywane jako interfejs mi(cid:171)dzy urz(cid:167)dzeniem a kom- puterem. Dzi(cid:171)ki sterownikom urz(cid:167)dzenie mo(cid:352)e wspó(cid:175)pracowa(cid:250) z komputerami. Ste- rownik jest potrzebny np. po to, aby umo(cid:352)liwi(cid:250) komputerowi komunikowanie si(cid:171) z pod(cid:175)(cid:167)czonymi do niego drukarkami lub aparatami cyfrowymi. Dost(cid:171)pne s(cid:167) ró(cid:352)ne ste- rowniki dla ró(cid:352)nych systemów operacyjnych, dlatego to samo urz(cid:167)dzenie mo(cid:352)e wspó(cid:175)- pracowa(cid:250) z dowolnym komputerem. W omawianej historii sterowniki by(cid:175)y rootkitami zaprojektowanymi w celu instalowania i ukrywania w maszynach szkodliwych plików. Poleć książkęKup książkę PIERWSZE OSTRZE(cid:191)ENIE ( 15 ) Jednak skanery wirusów potrafi(cid:167) wykry(cid:250) takie narz(cid:171)dzia. Dlatego hakerzy o naprawd(cid:171) wysokich umiej(cid:171)tno(cid:321)ciach umieszczaj(cid:167) rootkity na poziomie j(cid:167)dra maszyny, gdzie mog(cid:167) si(cid:171) one ukry(cid:250) przed skanerem. Z tego poziomu rootkit pe(cid:175)ni funkcj(cid:171) pomocnika szkodliwych plików, zak(cid:175)ócaj(cid:167)c prac(cid:171) skanera, tak aby z(cid:175)o(cid:321)liwe oprogramowanie mog(cid:175)o niewykryte bez prze- szkód wykonywa(cid:250) swoj(cid:167) brudn(cid:167) robot(cid:171). Rootkity z poziomu j(cid:167)dra nie s(cid:167) rzadkie, jednak zbudowanie skutecznego narz(cid:171)dzia tego rodzaju wymaga zaawansowanej wiedzy i du(cid:352)ej zr(cid:171)czno(cid:321)ci. Omawiany tu rootkit by(cid:175) bar- dzo skuteczny6. Kupriejew ustali(cid:175), (cid:352)e ten rootkit zosta(cid:175) zaprojektowany w celu ukrycia czterech szkodliwych plików .LNK — czterech innych podejrzanych plików znalezionych w systemie w Iranie. Zastosowane z(cid:175)o(cid:321)liwe oprogramowanie by(cid:175)o eksploitem sk(cid:175)adaj(cid:167)cym si(cid:171) z tych plików i rozpowszechnianym za pomoc(cid:167) zainfekowanych pendrive’ów, a rootkit uniemo(cid:352)liwia(cid:175) dostrze(cid:352)enie plików .LNK na pendrive’ach. To po tym odkryciu Kupriejew zawo(cid:175)a(cid:175) Ulasena. Eksploity rozpowszechniaj(cid:167)ce z(cid:175)o(cid:321)liwe oprogramowanie za po(cid:321)rednictwem pendrive’ów nie s(cid:167) tak popularne jak te rozsy(cid:175)aj(cid:167)ce wirusy w internecie (w wi- trynach i za(cid:175)(cid:167)cznikach e-maili), ale nie s(cid:167) te(cid:352) niczym wyj(cid:167)tkowym. Jednak wszystkie tego typu eksploity, które dwaj wspomniani informatycy napo- tkali do tego czasu, korzysta(cid:175)y z mechanizmu automatycznego uruchamiania w systemie operacyjnym Windows, który to mechanizm umo(cid:352)liwia(cid:175) z(cid:175)o(cid:321)liwym 6 Restartowanie nie wyst(cid:171)powa(cid:175)o na innych maszynach zainfekowanych omawianym z(cid:175)o(cid:321)liwym oprogramowaniem. Dlatego cz(cid:171)(cid:321)(cid:250) badaczy podejrzewa(cid:175)a, (cid:352)e problem mo- (cid:352)e wynika(cid:250) z niezgodno(cid:321)ci mi(cid:171)dzy jednym ze sterowników ze z(cid:175)o(cid:321)liwego oprogra- mowania a oprogramowaniem antywirusowym firmy VirusBlokAda. Z(cid:175)o(cid:321)liwe opro- gramowanie u(cid:352)ywa(cid:175)o sterownika na etapie instalacji, a badacze z rosyjskiej firmy Kaspersky Lab podejrzewali, (cid:352)e gdy sterownik wstrzykiwa(cid:175) g(cid:175)ówny plik oprogramo- wania do pami(cid:171)ci maszyn w Iranie, mog(cid:175)o to skutkowa(cid:250) awari(cid:167) niektórych z nich. Badacze z tej firmy próbowali pó(cid:350)niej odtworzy(cid:250) ten problem, ale uzyskali ró(cid:352)ne efekty. Czasem komputer ulega(cid:175) awarii, a czasem nie. Paradoksalne jest to, (cid:352)e napast- nicy w(cid:175)o(cid:352)yli du(cid:352)o pracy w przetestowanie swojego z(cid:175)o(cid:321)liwego oprogramowania pod k(cid:167)tem skanerów antywirusowych z firm Kaspersky, Symantec, McAfee i innych. Ro- bili to, aby si(cid:171) upewni(cid:250), (cid:352)e kod nie zostanie wykryty przez te skanery i nie spowoduje awarii komputerów. Najwyra(cid:350)niej jednak nie przeprowadzili testów z u(cid:352)yciem ska- nera firmy VirusBlokAda. Dlatego je(cid:321)li skaner tej firmy rzeczywi(cid:321)cie stanowi(cid:175) (cid:350)ród(cid:175)o problemu, oznacza(cid:175)o to, (cid:352)e ten niewielki bia(cid:175)oruski producent oprogramowania by(cid:175) nie tylko (cid:350)ród(cid:175)em kl(cid:171)ski napastników z powodu ujawnienia ataku, ale te(cid:352) przyczyni(cid:175) si(cid:171) do powstania awarii, która zwróci(cid:175)a na niego uwag(cid:171). Poleć książkęKup książkę ( 16 ) ODLICZAJ(cid:107)C DO DNIA ZERO programom z pendrive’a rozpocz(cid:171)cie pracy zaraz po pod(cid:175)(cid:167)czeniu urz(cid:167)dzenia do komputera. Jednak ten eksploit dzia(cid:175)a(cid:175) w sprytniejszy sposób7. Pliki .LNK w systemie Windows odpowiadaj(cid:167) za wy(cid:321)wietlanie ikon pre- zentuj(cid:167)cych zawarto(cid:321)(cid:250) pendrive’a lub innych przeno(cid:321)nych urz(cid:167)dze(cid:302) pod- (cid:175)(cid:167)czanych do komputera. Gdy umie(cid:321)cisz pendrive’a w komputerze, eksplo- rator plików lub podobne narz(cid:171)dzie automatycznie wyszuka pliki .LNK, aby wy(cid:321)wietli(cid:250) ikony powi(cid:167)zane z plikami muzycznymi, dokumentami Worda lub programami z pendrive’a8. Jednak w omawianej sytuacji napastnicy umie(cid:321)cili w specjalnie zmodyfikowanym pliku .LNK eksploit. Gdy eksplorator plików skanowa(cid:175) plik, uruchamia(cid:175) eksploit, który niezauwa(cid:352)alnie przenosi(cid:175) na komputer szkodliw(cid:167) zawarto(cid:321)(cid:250) pendrive’a, podobnie jak wojskowy samolot transportowy zrzuca spadochroniarzy w kamufla(cid:352)u nad obszarem wroga. Eksploit z plików .LNK atakowa(cid:175) tak podstawowy mechanizm systemu Windows, (cid:352)e Ulasen zastanawia(cid:175) si(cid:171), dlaczego nikt wcze(cid:321)niej na to nie wpad(cid:175). Ten atak by(cid:175) znacznie gro(cid:350)niejszy ni(cid:352) eksploity zwi(cid:167)zane z mechanizmem automatycznego uruchamiania, z którymi mo(cid:352)na (cid:175)atwo sobie poradzi(cid:250), wy(cid:175)(cid:167)czaj(cid:167)c ten mechanizm w komputerze. Jest to krok, na który decyduje si(cid:171) wielu administratorów sieci, poniewa(cid:352) mechanizm automatycznego uru- chamiania jest znanym zagro(cid:352)eniem dla bezpiecze(cid:302)stwa. Nie da si(cid:171) jednak w prosty sposób wy(cid:175)(cid:167)czy(cid:250) obs(cid:175)ugi plików .LNK, nie przysparzaj(cid:167)c u(cid:352)yt- kownikom problemów. Ulasen przeszuka(cid:175) rejestr innych eksploitów wykorzystuj(cid:167)cych pliki .LNK, jednak nie znalaz(cid:175) niczego podobnego. Wtedy zacz(cid:167)(cid:175) podejrzewa(cid:250), (cid:352)e natrafi(cid:175) na eksploit typu zero-day. Wzi(cid:167)(cid:175) pendrive’a zainfekowanego szkodliwymi plikami i pod(cid:175)(cid:167)czy(cid:175) go do testowej maszyny z Windowsem 7 — najm(cid:175)odsz(cid:167) wówczas wersj(cid:167) sys- temu operacyjnego Microsoftu. Na tym komputerze zainstalowane by(cid:175)y wszystkie najnowsze poprawki bezpiecze(cid:302)stwa. Gdyby ten eksploit by(cid:175) znany 7 Mechanizm automatycznego uruchamiania to wygodna funkcja systemu Windows, umo(cid:352)liwiaj(cid:167)ca programom z pendrive’ów oraz p(cid:175)yt CD-ROM i DVD automatyczne uruchomienie po w(cid:175)o(cid:352)eniu danego no(cid:321)nika do komputera. Funkcja ta stanowi jednak znane zagro(cid:352)enie bezpiecze(cid:302)stwa, poniewa(cid:352) w ten sposób uruchomiony mo(cid:352)e zosta(cid:250) tak(cid:352)e dowolny szkodliwy program z no(cid:321)nika. 8 Je(cid:321)li z przyczyn bezpiecze(cid:302)stwa mechanizm automatycznego uruchamiania jest wy- (cid:175)(cid:167)czony, szkodliwy kod z pendrive’a wykorzystuj(cid:167)cy t(cid:171) funkcj(cid:171) nie b(cid:171)dzie móg(cid:175) au- tomatycznie rozpocz(cid:167)(cid:250) pracy. Uruchomienie go b(cid:171)dzie wymaga(cid:175)o klikni(cid:171)cia pliku przez u(cid:352)ytkownika. Poleć książkęKup książkę PIERWSZE OSTRZE(cid:191)ENIE ( 17 ) Microsoftowi, (cid:175)atki z systemu uniemo(cid:352)liwi(cid:175)yby przeniesienie szkodliwych plików na komputer. Jednak gdyby u(cid:352)ywany by(cid:175) eksploit typu zero-day, nic by go nie powstrzyma(cid:175)o. Ulasen odczeka(cid:175) kilka minut przed sprawdzeniem komputera i, jak pewnie si(cid:171) domy(cid:321)lasz, znalaz(cid:175) na nim szkodliwe pliki. Nie móg(cid:175) w to uwierzy(cid:250). VirusBlokAda, male(cid:302)ka firma z dziedziny za- bezpiecze(cid:302), o której s(cid:175)ysza(cid:175)a garstka ludzi na (cid:321)wiecie, w(cid:175)a(cid:321)nie odkry(cid:175)a naj- cenniejsze dla (cid:175)owców wirusów trofeum. Nie tylko by(cid:175) to eksploit typu zero-day, ale dzia(cid:175)a(cid:175) we wszystkich wersjach systemu Windows od edy- cji 2000. Napastnicy zastosowali pakiet czterech wersji eksploita w czterech ró(cid:352)nych plikach .LNK, aby mie(cid:250) pewno(cid:321)(cid:250), (cid:352)e atak powiedzie si(cid:171) we wszyst- kich wersjach systemu Windows, w których eksploit mo(cid:352)e si(cid:171) znale(cid:350)(cid:250)9. Ulasen próbowa(cid:175) na tej podstawie oszacowa(cid:250) liczb(cid:171) komputerów za- gro(cid:352)onych infekcj(cid:167). Wtedy jednak wpad(cid:175) na co(cid:321) równie niepokoj(cid:167)cego jak eksploit typu zero-day. Szkodliwy modu(cid:175) sterownika i inny modu(cid:175) przeno- szony na docelowe maszyny w ramach z(cid:175)o(cid:321)liwego (cid:175)adunku instalowa(cid:175)y si(cid:171) niezauwa(cid:352)alnie na testowej maszynie, a na ekranie nie pojawia(cid:175)o si(cid:171) (cid:352)adne ostrze(cid:352)enie dotycz(cid:167)ce tej operacji. System Windows 7 obejmuje mechanizm zabezpiecze(cid:302), który powinien informowa(cid:250) u(cid:352)ytkowników o próbie insta- lacji niepodpisanego sterownika lub sterownika podpisanego za pomoc(cid:167) niezaufanego certyfikatu. Jednak oba z(cid:175)o(cid:321)liwe sterowniki zosta(cid:175)y zainsta- lowane bez problemów. Sta(cid:175)o si(cid:171) tak, co Ulasen zauwa(cid:352)y(cid:175) ze zgroz(cid:167), po- niewa(cid:352) by(cid:175)y podpisane za pomoc(cid:167) najwyra(cid:350)niej prawid(cid:175)owego certyfikatu cyfrowego nale(cid:352)(cid:167)cego do firmy RealTek Semiconductor10. Certyfikaty cyfrowe to zaufane dokumenty z obszaru zabezpiecze(cid:302) dzia- (cid:175)aj(cid:167)ce jak cyfrowe paszporty. Producenci oprogramowania u(cid:352)ywaj(cid:167) ich do podpisywania programów, aby potwierdzi(cid:250), (cid:352)e to oprogramowanie jest le- galnym produktem danej firmy. Na przyk(cid:175)ad Microsoft lub firmy rozwijaj(cid:167)ce 9 Eksploit dzia(cid:175)a(cid:175) w siedmiu wersjach systemu Windows: Windows 2000, WinXP, Windows 2003, Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2. 10 W systemach Windows Vista i Windows 7 sterownik, który nie jest podpisany zaufa- nym certyfikatem cyfrowym rozpoznawanym przez Microsoft, b(cid:171)dzie mia(cid:175) trudno(cid:321)ci z zainstalowaniem si(cid:171) na komputerze. W maszynach z 32-bitowymi wersjami tych systemów pojawi si(cid:171) ostrze(cid:352)enie z informacj(cid:167), (cid:352)e plik jest niepodpisany lub (cid:352)e nie jest podpisany za pomoc(cid:167) zaufanego certyfikatu. U(cid:352)ytkownik musi wtedy podj(cid:167)(cid:250) decy- zj(cid:171), czy pozwoli(cid:250) na instalacj(cid:171) takiego oprogramowania. W 64-bitowych wersjach wymienionych systemów plik niepodpisany zaufanym certyfikatem w ogóle si(cid:171) nie zainstaluje. Z(cid:175)o(cid:321)liwe oprogramowanie wykryte przez firm(cid:171) VirusBlokAda dzia(cid:175)a(cid:175)o tylko na komputerach z 32-bitowymi wersjami systemu Windows. Poleć książkęKup książkę ( 18 ) ODLICZAJ(cid:107)C DO DNIA ZERO antywirusy podpisuj(cid:167) cyfrowo swoje programy i aktualizacje. Komputery przyjmuj(cid:167), (cid:352)e plik podpisany za pomoc(cid:167) poprawnego certyfikatu cyfrowe- go jest godny zaufania. Je(cid:321)li jednak napastnik ukradnie certyfikat Microsoftu i prywatny klucz kryptograficzny u(cid:352)ywany w Microsofcie razem z certyfika- tem do podpisywania plików, b(cid:171)dzie móg(cid:175) zmyli(cid:250) komputer, tak aby szko- dliwy kod zosta(cid:175) uznany za kod od Microsoftu. Napastnicy stosowali ju(cid:352) w przesz(cid:175)o(cid:321)ci certyfikaty cyfrowe do podpi- sywania szkodliwych plików. Pos(cid:175)ugiwali si(cid:171) jednak fa(cid:175)szywymi, samodzielnie podpisanymi certyfikatami na(cid:321)laduj(cid:167)cymi certyfikaty prawid(cid:175)owe. Czasem za pomoc(cid:167) oszustw zdobywali rzeczywiste certyfikaty, np. zak(cid:175)adaj(cid:167)c firm(cid:171) wydmuszk(cid:171) w celu nak(cid:175)onienia jednostki certyfikacyjnej do wydania certy- fikatu na nazw(cid:171) tej firmy11. W obu tych scenariuszach napastnicy nara(cid:352)ali si(cid:171) na to, (cid:352)e komputer uzna certyfikat za podejrzany i odrzuci plik. W oma- wianym przypadku wykorzystali poprawny certyfikat firmy RealTek, wia- rygodnego tajwa(cid:302)skiego producenta sprz(cid:171)tu, do przekonania komputerów, (cid:352)e sterowniki to legalne oprogramowanie od RealTeka. Ulasen nigdy wcze(cid:321)niej nie zetkn(cid:167)(cid:175) si(cid:171) z tak(cid:167) strategi(cid:167) i zastanawia(cid:175) si(cid:171), w jaki sposób napastnikom uda(cid:175)o si(cid:171) j(cid:167) zrealizowa(cid:250). Jedn(cid:167) z mo(cid:352)liwo(cid:321)ci by(cid:175)a kradzie(cid:352) komputera programisty z RealTeka i wykorzystanie tej ma- szyny wraz z danymi uwierzytelniaj(cid:167)cymi do podpisania kodu12. 11 Jednostki certyfikacyjne wydaj(cid:167) certyfikaty u(cid:352)ywane przez firmy do podpisywania kodu i witryn. Takie jednostki powinny sprawdza(cid:250), czy organizacja wyst(cid:171)puj(cid:167)ca o certyfikat ma do niego prawo (zapobiega to sytuacji, w której firma inna ni(cid:352) Micro- soft uzyska certyfikat z nazw(cid:167) tej korporacji), a tak(cid:352)e upewnia(cid:250) si(cid:171), (cid:352)e dana firma rze- czywi(cid:321)cie zajmuje si(cid:171) tworzeniem kodu. Jednak niektóre jednostki certyfikacyjne nie przeprowadzaj(cid:167) odpowiednich bada(cid:302), dlatego certyfikaty s(cid:167) czasem wydawane nie- bezpiecznym podmiotom. Ponadto niektóre firmy za op(cid:175)at(cid:167) u(cid:352)ywaj(cid:167) w(cid:175)asnych klu- czy i certyfikatów do podpisywania cudzego kodu. W przesz(cid:175)o(cid:321)ci hakerzy wykorzy- stywali takie firmy do podpisywania swojego z(cid:175)o(cid:321)liwego oprogramowania. 12 We wrze(cid:321)niu 2012 r. przytrafi(cid:175)o si(cid:171) to firmie Adobe. Ten gigant z bran(cid:352)y oprogra- mowania, udost(cid:171)pniaj(cid:167)cy popularne programy Adobe Reader i Flash Player, poin- formowa(cid:175) wówczas, (cid:352)e napastnicy w(cid:175)amali si(cid:171) na serwer s(cid:175)u(cid:352)(cid:167)cy do podpisywania ko- du i podpisali dwa szkodliwe pliki certyfikatami firmy Adobe. Firma przechowywa(cid:175)a u(cid:352)ywane do podpisywania kodu prywatne klucze w tzw. sprz(cid:171)towym module bezpie- cze(cid:302)stwa, który powinien zapobiec dost(cid:171)powi napastników do kluczy. Hakerzy w(cid:175)a- mali si(cid:171) jednak na serwer u(cid:352)ywany do rozwijania oprogramowania, który móg(cid:175) ko- munikowa(cid:250) si(cid:171) z systemem podpisywania kodu, i w ten sposób podpisali swoje pliki. Poleć książkęKup książkę PIERWSZE OSTRZE(cid:191)ENIE ( 19 ) Mo(cid:352)liwe by(cid:175)o te(cid:352) to, (cid:352)e napastnicy wykradli klucz u(cid:352)ywany do podpisywania i certyfikat. Z przyczyn bezpiecze(cid:302)stwa przezorne firmy przechowuj(cid:167) certyfika- ty i klucze na serwerach bez dost(cid:171)pu do sieci lub w zabezpieczonych modu(cid:175)ach sprz(cid:171)towych zapewniaj(cid:167)cych dodatkow(cid:167) ochron(cid:171). Jednak nie wszyscy tak po- st(cid:171)puj(cid:167). Z pewnych poszlak wynika, (cid:352)e certyfikat firmy RealTek rzeczywi(cid:321)cie zo- sta(cid:175) skradziony. Znacznik czasu z certyfikatów wskazuje na to, (cid:352)e oba sterowniki zosta(cid:175)y podpisane 25 stycznia 2010 r. Cho(cid:250) jeden ze sterowników zosta(cid:175) skom- pilowany rok wcze(cid:321)niej, 1 stycznia 2009 r., kompilacja drugiego nast(cid:167)pi(cid:175)a tylko 6 min przed jego podpisaniem. Tak b(cid:175)yskawiczne podpisanie sterownika wskazuje na to, (cid:352)e napastnicy mogli mie(cid:250) dost(cid:171)p do klucza i certyfikatu firmy RealTek. Wynika(cid:175)y z tego niepokoj(cid:167)ce wnioski. Zastosowanie poprawnych cer- tyfikatów cyfrowych do uwierzytelnienia szkodliwych plików podwa(cid:352)y(cid:175)o wiarygodno(cid:321)(cid:250) architektury podpisów w (cid:321)wiecie komputerów. Legalno(cid:321)(cid:250) plików podpisanych za pomoc(cid:167) certyfikatów cyfrowych sta(cid:175)a si(cid:171) tym sa- mym w(cid:167)tpliwa. Skopiowanie tej strategii przez innych napastników i roz- pocz(cid:171)cie wykradania certyfikatów by(cid:175)o tylko kwesti(cid:167) czasu13. Ulasen mu- sia(cid:175) poinformowa(cid:250) o tym innych. Odpowiedzialne ujawnienie tych informacji wymaga(cid:175)o, aby badacze, którzy odkryli luki, poinformowali najpierw producentów oprogramowa- nia, a dopiero potem upublicznili dane. Daje to producentom czas na za(cid:175)a- tanie luk. Dlatego Ulasen wys(cid:175)a(cid:175) e-maile do firm RealTek i Microsoft, po- wiadamiaj(cid:167)c o odkryciach zespo(cid:175)u. 13 Na ironi(cid:171) zakrawa fakt, (cid:352)e 12 lipca 2010 r., czyli w dniu, gdy Ulasen upubliczni(cid:175) in- formacje o wykrytym z(cid:175)o(cid:321)liwym oprogramowaniu, badacz z F-Secure, fi(cid:302)skiej firmy z bran(cid:352)y zabezpiecze(cid:302), opublikowa(cid:175) prezentacj(cid:171) o certyfikatach cyfrowych, w której stwierdzi(cid:175), (cid:352)e jak dot(cid:167)d nie wykryto z(cid:175)o(cid:321)liwego oprogramowania wykorzystuj(cid:167)cego skradzione certyfikaty. Zauwa(cid:352)y(cid:175) jednak, (cid:352)e z pewno(cid:321)ci(cid:167) si(cid:171) to zmieni, poniewa(cid:352) no- we wersje systemu Windows z podejrzliwo(cid:321)ci(cid:167) traktuj(cid:167) niepodpisane sterowniki. Zmusza to hakerów do kradzie(cid:352)y legalnych certyfikatów na potrzeby podpisywa- nia z(cid:175)o(cid:321)liwego oprogramowania (zob. prezentacj(cid:171) Jarna Niemelego, „It’s Signed, Therefore It’s Clean, Right?”, z konferencji CARO w Helsinkach w Finlandii: https://f-secure.com/weblog/archives/Jarno_Niemela_its_signed.pdf). Rzeczywi(cid:321)cie, nied(cid:175)u- go po wykryciu w firmie VirusBlokAda certyfikatu RealTeka inni hakerzy zacz(cid:171)li próbowa(cid:250) stosowa(cid:250) t(cid:171) sam(cid:167) technik(cid:171). We wrze(cid:321)niu 2010 r. firmy antywirusowe od- kry(cid:175)y konia troja(cid:302)skiego Infostealer.Nimkey, zaprojektowanego specjalnie w celu wykradania z komputerów certyfikatów opartych na kluczu prywatnym. W ci(cid:167)gu na- st(cid:171)pnych dwóch lat pojawi(cid:175)o si(cid:171) wiele szkodliwych programów podpisanych za po- moc(cid:167) certyfikatów skradzionych z ró(cid:352)nych zaufanych firm. Poleć książkęKup książkę ( 20 ) ODLICZAJ(cid:107)C DO DNIA ZERO Jednak po up(cid:175)ywie dwóch tygodni bez odpowiedzi od (cid:352)adnej z tych firm Ulasen i Kupriejew zdecydowali, (cid:352)e nie mog(cid:167) d(cid:175)u(cid:352)ej milcze(cid:250)14. Spo- (cid:175)eczno(cid:321)(cid:250) zajmuj(cid:167)ca si(cid:171) zabezpieczeniami musia(cid:175)a si(cid:171) dowiedzie(cid:250) o wykry- tym eksploicie plików .LNK. Informatycy dodali ju(cid:352) sygnatury eksploita do programu antywirusowego firmy VirusBlokAda, aby wykrywa(cid:250) szko- dliwe pliki. Okaza(cid:175)o si(cid:171), (cid:352)e zainfekowane maszyny znajduj(cid:167) si(cid:171) na ca(cid:175)ym Bliskim Wschodzie, a tak(cid:352)e w innych obszarach. Robak (wirus) by(cid:175) na wolno(cid:321)ci i szybko si(cid:171) rozprzestrzenia(cid:175). Informatycy musieli upubliczni(cid:250) t(cid:171) wiadomo(cid:321)(cid:250)15. Dlatego 12 lipca Ulasen zamie(cid:321)ci(cid:175) w firmowej witrynie i na angloj(cid:171)zycz- nym forum po(cid:321)wi(cid:171)conym zabezpieczeniom krótk(cid:167) informacj(cid:171) na temat eksploita typu zero-day. Ostrzega(cid:175) przed wybuchem epidemii infekcji16. Ujawni(cid:175) jednak niewiele szczegó(cid:175)ów na temat luki, aby unikn(cid:167)(cid:250) dostarcza- nia innym hakerom danych, które mog(cid:175)yby pomóc w jej wykorzystaniu. Cz(cid:175)onkowie forum szybko zrozumieli mo(cid:352)liwe konsekwencje, zauwa(cid:352)aj(cid:167)c, (cid:352)e ataki mog(cid:167) okaza(cid:250) si(cid:171) „zabójcze dla wielu jednostek”. Trzy dni pó(cid:350)niej Brian Krebs, dziennikarz zajmuj(cid:167)cy si(cid:171) zabezpie- czeniami komputerowymi, natrafi(cid:175) na wiadomo(cid:321)(cid:250) i zamie(cid:321)ci(cid:175) na blogu po- (cid:321)wi(cid:171)cony jej artyku(cid:175). Podsumowa(cid:175) w nim dost(cid:171)pne wówczas ubogie infor- macje na temat luki i eksploita17. Wiadomo(cid:321)(cid:250) roznios(cid:175)a si(cid:171) po spo(cid:175)eczno(cid:321)ci zajmuj(cid:167)cej si(cid:171) zabezpieczeniami i sprawi(cid:175)a, (cid:352)e wszyscy mogli si(cid:171) przygoto- wa(cid:250) na fal(cid:171) ataków ze strony opisanego robaka i na(cid:321)ladowców u(cid:352)ywaj(cid:167)cych 14 Ulasen skontaktowa(cid:175) si(cid:171) z Microsoftem za po(cid:321)rednictwem ogólnego adresu e-mail stosowanego przez zespó(cid:175) ds. bezpiecze(cid:302)stwa w tej korporacji. Zespó(cid:175) ten otrzymuje ponad 100 tys. e-maili rocznie, dlatego by(cid:175)o zrozumia(cid:175)e, (cid:352)e e-mail przes(cid:175)any na ogólny adres przez nieznan(cid:167) bia(cid:175)orusk(cid:167) firm(cid:171) antywirusow(cid:167) utkn(cid:167)(cid:175) w kolejce wiadomo(cid:321)ci. 15 Badacze odkryli pó(cid:350)niej, (cid:352)e to z(cid:175)o(cid:321)liwe oprogramowanie by(cid:175)o kombinacj(cid:167) robaka i wirusa. Robak umo(cid:352)liwia(cid:175) autonomiczne rozpowszechnianie kodu bez udzia(cid:175)u u(cid:352)ytkownika. Gdy kod znajdowa(cid:175) si(cid:171) ju(cid:352) w systemie, inne komponenty infekowa(cid:175)y pliki (jak robi to wirus), a dalsze ich rozprzestrzenianie wymaga(cid:175)o aktywno(cid:321)ci u(cid:352)ytkowników. 16 Ulasen opublikowa(cid:175) informacje w firmowej witrynie (http://www.anti-virus.by/en/tempo.shtml) i na forum Wilders Security (http://wilderssecurity.com/showthread.php?p=1712146). 17 Krebs, by(cid:175)y reporter gazety „Washington Post”, prowadzi blog http://krebsonsecurity.com/ po(cid:321)wi(cid:171)cony zabezpieczeniom komputerów i cyberprzest(cid:171)pczo(cid:321)ci. Wspomniany artyku(cid:175) opublikowa(cid:175) 15 lipca 2010 r. pod adresem: http://krebsonsecurity.com/2010/07/experts- warn-of-new-windows-shortcut-flaw/. Poleć książkęKup książkę PIERWSZE OSTRZE(cid:191)ENIE ( 21 ) podobnych eksploitów18. Równocze(cid:321)nie szef niemieckiego instytutu ba- daj(cid:167)cego i testuj(cid:167)cego programy antywirusowe skontaktowa(cid:175) znane mu oso- by z Microsoftu z Ulasenem i ponagli(cid:175) Microsoft, aby rozpocz(cid:167)(cid:175) prace nad (cid:175)atk(cid:167)19. Po ujawnieniu luki Microsoft zdecydowa(cid:175) si(cid:171) natychmiast opubli- kowa(cid:250) dotycz(cid:167)c(cid:167) tego krytycznego problemu wskazówk(cid:171) dla u(cid:352)ytkowni- ków. Przedstawi(cid:175) te(cid:352) zestaw rad pozwalaj(cid:167)cych zmniejszy(cid:250) ryzyko infekcji. Jednak z powodu braku (cid:175)atki, która mia(cid:175)a pojawi(cid:250) si(cid:171) dopiero za dwa tygo- dnie, trudno by(cid:175)o uzna(cid:250) to za rozwi(cid:167)zanie problemu20. Tak(cid:352)e w bran(cid:352)y zabezpiecze(cid:302) komputerowych zabrano si(cid:171) do pracy, aby poradzi(cid:250) sobie z robakiem, który teraz mia(cid:175) ju(cid:352) nazw(cid:171) — Stuxnet. By(cid:175)o to okre(cid:321)lenie utworzone w Microsofcie z liter nazwy jednego z plików ste- rownika (mrxnet.sys) i innego fragmentu kodu. Gdy firmy z bran(cid:352)y zabez- piecze(cid:302) zacz(cid:171)(cid:175)y dodawa(cid:250) do swoich produktów sygnatury wykrywaj(cid:167)ce robaka i eksploit, na maszynach zainfekowanych klientów zosta(cid:175)y ujaw- nione tysi(cid:167)ce szkodliwych plików21. Prawie natychmiast pojawi(cid:175)a si(cid:171) nast(cid:171)pna niespodzianka. Siedemnaste- go lipca firma antywirusowa ze S(cid:175)owacji, ESET, wykry(cid:175)a kolejny szkodliwy sterownik, który wydawa(cid:175) si(cid:171) powi(cid:167)zany ze Stuxnetem. Sterownik ten te(cid:352) by(cid:175) podpisany za pomoc(cid:167) certyfikatu cyfrowego tajwa(cid:302)skiej firmy, przy czym innej ni(cid:352) RealTek. By(cid:175)a to firma JMicron Technology — producent uk(cid:175)adów scalonych. 18 Lenny Zeltser, „Preempting a Major Issue Due to the .LNK Vulnerability — Raising Infocon to Yellow”. Tekst zosta(cid:175) opublikowany 19 lipca 2010 r. na stronie: http://isc. sans.edu/diary.html?storyid=9190. 19 Andreas Marx, szef niemieckiej firmy AV-TEST.org, skorzysta(cid:175) ze swoich bezpo- (cid:321)rednich kontaktów w Microsofcie. 20 Wskazówki Microsoftu zosta(cid:175)y opublikowane na stronie: https://technet.microsoft.com/ library/security/2286198. 21 Wi(cid:171)kszo(cid:321)(cid:250) firm antywirusowych korzysta z automatycznych systemów zg(cid:175)osze(cid:302), które powiadamiaj(cid:167) o wykryciu szkodliwych plików na maszynach klientów (je(cid:321)li dany u(cid:352)ytkownik zaakceptowa(cid:175) tak(cid:167) opcj(cid:171)). W wi(cid:171)kszo(cid:321)ci przypadków do firmy prze- sy(cid:175)any jest tylko skrót pliku — kryptograficzna reprezentacja zawarto(cid:321)ci pliku obej- muj(cid:167)ca (cid:175)a(cid:302)cuch liter i cyfr, wygenerowana w wyniku przetworzenia pliku przez algorytm. Dane o ofierze obejmuj(cid:167) tylko adres IP nadawcy. Jednak w niektórych sytuacjach firmy mog(cid:167) otrzyma(cid:250) ca(cid:175)y szkodliwy plik, je(cid:321)li ofiara zdecyduje si(cid:171) go przes(cid:175)a(cid:250). Firma antywirusowa mo(cid:352)e te(cid:352) na podstawie adresu IP ustali(cid:250) to(cid:352)samo(cid:321)(cid:250) ofiary i poprosi(cid:250) o kopi(cid:171) szkodliwego pliku. Poleć książkęKup książkę ( 22 ) ODLICZAJ(cid:107)C DO DNIA ZERO Ten sterownik zosta(cid:175) odkryty na komputerze sam, bez innych plików Stuxneta, ale wszyscy uznali, (cid:352)e musi by(cid:250) powi(cid:167)zany z robakiem, poniewa(cid:352) by(cid:175) podobny do innych sterowników znalezionych w firmie VirusBlokAda22. Zauwa(cid:352)ono te(cid:352) ciekaw(cid:167) rzecz dotycz(cid:167)c(cid:167) daty kompilacji sterownika. Gdy hakerzy przekazali kod (cid:350)ród(cid:175)owy do kompilatora, aby uzyska(cid:250) czytelny dla komputerów kod binarny, kompilator umieszcza(cid:175) w pliku binarnym znacz- nik czasu. Cho(cid:250) napastnicy zmienili znacznik czasu, by utrudni(cid:250) prac(cid:171) ba- daczom, tym razem czas wydawa(cid:175) si(cid:171) prawid(cid:175)owy. Wynika(cid:175)o z niego, (cid:352)e ste- rownik zosta(cid:175) skompilowany 14 lipca, dwa dni po tym jak firma VirusBlokAda upubliczni(cid:175)a informacje o Stuxnecie. Czy twórcy Stuxneta wykorzystali sterownik do nowego ataku, zupe(cid:175)nie nie(cid:321)wiadomi tego, (cid:352)e ma(cid:175)o znana firma antywirusowa z Bia(cid:175)orusi w(cid:175)a(cid:321)nie ich zdemaskowa(cid:175)a? A mo(cid:352)e wiedzie- li, (cid:352)e ich tajna misja wkrótce zostanie ujawniona, i próbowali pospiesznie umie(cid:321)ci(cid:250) Stuxneta na wi(cid:171)kszej liczbie komputerów, zanim zostanie on za- blokowany? Pojawi(cid:175)y si(cid:171) poszlaki, zgodnie z którymi napastnicy pomin(cid:171)li pewne kroki w trakcie podpisywania sterownika z u(cid:352)yciem certyfikatu firmy JMicron. Oznacza(cid:175)oby to, (cid:352)e rzeczywi(cid:321)cie mogli si(cid:171) spieszy(cid:250), aby umie(cid:321)ci(cid:250) szkodliwy kod na docelowych komputerach23. Jedna rzecz by(cid:175)a pewna: napastnicy potrzebowali nowego certyfikatu do podpisania ste- rownika, poniewa(cid:352) certyfikat firmy RealTek wygas(cid:175) miesi(cid:167)c wcze(cid:321)niej, 12 czerwca. Certyfikaty cyfrowe maj(cid:167) ograniczony czas wa(cid:352)no(cid:321)ci, dlatego po wyga(cid:321)ni(cid:171)ciu certyfikatu RealTeka napastnicy nie mogli d(cid:175)u(cid:352)ej stosowa(cid:250) go do podpisywania nowych plików. Ponadto po ujawnieniu Stuxneta cer- tyfikat zosta(cid:175) cofni(cid:171)ty przez jednostk(cid:171) certyfikacyjn(cid:167), dlatego komputery 22 Badacze spekulowali, (cid:352)e ten sterownik móg(cid:175) zosta(cid:250) u(cid:352)yty w nowej wersji Stuxneta, któr(cid:167) jego twórcy wypu(cid:321)cili po dopracowaniu kodu w taki sposób, aby zapobiec wy- krywaniu ataku na podstawie sygnatur. Nie wykryto (cid:352)adnych pó(cid:350)niejszych wersji Stuxneta (por. przypis 41. w rozdziale 17.). 23 Zob. Costin G. Raiu, Alex Gostev, A Tale of Stolen Certificates. Tekst ten zosta(cid:175) opubli- kowany w drugim kwartale 2011 r. w „SecureView”, kwartalnym newsletterze firmy Kaspersky Lab. B(cid:175)(cid:171)dy pojawi(cid:175)y si(cid:171) w bloku z sygnatur(cid:167) cyfrow(cid:167) certyfikatu, gdzie firmy podaj(cid:167) informacje na swój temat. Napastnicy podali b(cid:175)(cid:171)dny adres URL firmy JMicron, dlatego po próbie otwarcia witryny pojawia(cid:175) si(cid:171) b(cid:175)(cid:167)d „serwera nie znaleziono”. Na- pastnicy nie wype(cid:175)nili te(cid:352) kilku pól z nazw(cid:167) firmy, prawami autorskimi i innymi da- nymi. W o(cid:321)miu z tych pól zamiast informacji znajdowa(cid:175)y si(cid:171) s(cid:175)owa change me, czyli „zmodyfikuj mnie”. Poleć książkęKup książkę PIERWSZE OSTRZE(cid:191)ENIE ( 23 ) z systemem Windows zacz(cid:171)(cid:175)y odrzuca(cid:250) lub odpowiednio oznacza(cid:250) podpi- sane przy jego u(cid:352)yciu pliki24. Odkrycie drugiego certyfikatu doprowadzi(cid:175)o do dalszych spekulacji na temat tego, jak hakerzy zdobyli te dokumenty. Siedziby g(cid:175)ówne firm Real- Tek i JMicron s(cid:167) oddalone od siebie tylko o dwie przecznice i znajduj(cid:167) si(cid:171) w tajwa(cid:302)skiej miejscowo(cid:321)ci Xinzhu w parku przemys(cid:175)owym Xinzhu Science and Industrial Park. Ze wzgl(cid:171)du na geograficzn(cid:167) blisko(cid:321)(cid:250) tych firm cz(cid:171)(cid:321)(cid:250) osób spekulowa(cid:175)a, (cid:352)e napastnicy mogli fizycznie w(cid:175)ama(cid:250) si(cid:171) do obu biur i wykra(cid:321)(cid:250) klucze i certyfikaty. Zdaniem innych to Chiny sta(cid:175)y za atakami z u(cid:352)yciem Stuxneta i to hakerzy z tego kraju z(cid:175)amali zabezpieczenia obu tajwa(cid:302)skich firm, aby zdoby(cid:250) klucze i certyfikaty cyfrowe. Niezale(cid:352)nie od scenariusza napastnicy prawdopodobnie mieli te(cid:352) inne wykradzione certyfikaty. A skoro w(cid:175)o(cid:352)yli tyle wysi(cid:175)ku w upewnienie si(cid:171), (cid:352)e ich atak b(cid:171)dzie skuteczny, prawdopodobnie mieli powa(cid:352)ne cele i dyspo- nowali znacznymi (cid:321)rodkami. Wiele osób w spo(cid:175)eczno(cid:321)ci zajmuj(cid:167)cej si(cid:171) za- bezpieczeniami by(cid:175)o niespokojnych i zdumionych. „Rzadko widzimy tak profesjonalnie przeprowadzone operacje” — napisa(cid:175) w internecie badacz Pierre-Marc Bureau z firmy ESET25. Gdy firmy antywirusowe przeanalizowa(cid:175)y nap(cid:175)ywaj(cid:167)ce od klientów pliki Stuxneta, natrafi(cid:175)y na jeszcze jedn(cid:167) niespodziank(cid:171). Na podstawie dat z nie- których plików wydawa(cid:175)o si(cid:171), (cid:352)e Stuxnet zosta(cid:175) zastosowany ju(cid:352) w czerwcu 2009 r. Oznacza(cid:175)o to, (cid:352)e czai(cid:175) si(cid:171) w komputerach przynajmniej przez rok przed wykryciem go przez firm(cid:171) VirusBlokAda. Wydawa(cid:175)o si(cid:171) te(cid:352), (cid:352)e napastnicy przeprowadzili atak w trzech falach: w czerwcu 2009 r. oraz w marcu i kwietniu 2010 r. Za ka(cid:352)dym razem wprowadzali drobne zmiany w kodzie. Jednak pewna kwestia wci(cid:167)(cid:352) pozostawa(cid:175)a zagadk(cid:167): jakie by(cid:175)o przezna- czenie Stuxneta? Badacze w (cid:352)adnym z plików nie znale(cid:350)li oznak tego, (cid:352)e Stuxnet wykrada(cid:175) has(cid:175)a do kont bankowych lub inne dane osobowe. Ró(cid:352)- ni(cid:175) si(cid:171) pod tym wzgl(cid:171)dem od du(cid:352)ej cz(cid:171)(cid:321)ci szkodliwego oprogramowania. 24 Certyfikat RealTeka by(cid:175) wa(cid:352)ny od 15 marca 2007 r. do 12 czerwca 2010 r. Certyfikat firmy JMicron by(cid:175) aktywny do 26 lipca 2012 r., jednak po jego wycofaniu przez jed- nostki certyfikacyjne napastnicy nie mogli si(cid:171) ju(cid:352) nim pos(cid:175)ugiwa(cid:250). 25 Pierre-Marc Bureau, „Win32/Stuxnet Signed Binaries”. Tekst zosta(cid:175) opublikowany 9 sierpnia 2010 r. na stronie: https://www.welivesecurity.com/2010/07/19/win32stuxnet- signed-binaries/. Poleć książkęKup książkę ( 24 ) ODLICZAJ(cid:107)C DO DNIA ZERO Badacze d(cid:175)ugo nie znajdowali w kodzie tak(cid:352)e (cid:352)adnych innych oczywistych wskazówek co do motywów napastników. Dopiero pewien niemiecki ana- lityk trafi(cid:175) na poszlak(cid:171), która mog(cid:175)a sugerowa(cid:250) przeznaczenie Stuxneta. „Cze(cid:321)(cid:250) wszystkim — napisa(cid:175) Frank Boldewin na forum, na którym Ulasen po raz pierwszy zamie(cid:321)ci(cid:175) informacje o Stuxnecie. — Czy kto(cid:321) […] dok(cid:175)adniej przyjrza(cid:175) si(cid:171) temu wirusowi?”. Boldewin odpakowa(cid:175) pierwsz(cid:167) warstw(cid:171) z jednego z plików Stuxneta i znalaz(cid:175) nieoczekiwane referencje do oprogramowania rozwijanego przez niemieck(cid:167) firm(cid:171) Siemens. Napastnicy najwyra(cid:350)niej szukali komputerów z zainstalowanymi zastrze(cid:352)onymi pro- gramami Siemensa (SIMATIC Step 7 lub SIMATIC WinCC). Oba te pro- gramy to cz(cid:171)(cid:321)(cid:250) przemys(cid:175)owego systemu sterowania zaprojektowanego do wspó(cid:175)pracy ze sterownikami PLC Siemensa — ma(cid:175)ymi komputerami, zwykle wielko(cid:321)ci tostera, u(cid:352)ywanymi w fabrykach na ca(cid:175)ym (cid:321)wiecie do kontrolowania takich mechanizmów jak ramiona robotów i ta(cid:321)moci(cid:167)gi na liniach monta(cid:352)owych. Boldewin nigdy wcze(cid:321)niej nie zetkn(cid:167)(cid:175) si(cid:171) ze szkodliwym oprogramo- waniem atakuj(cid:167)cym przemys(cid:175)owe systemy sterowania. Hakowanie wypo- sa(cid:352)enia fabryki takiego jak sterowniki PLC nie prowadzi(cid:175)o do oczywistych korzy(cid:321)ci finansowych — a przynajmniej nie tego rodzaju, jak szybkie pie- ni(cid:167)dze, jakie mo(cid:352)na zyska(cid:250) dzi(cid:171)ki w(cid:175)amaniom na konta bankowe lub do systemów kart kredytowych. Zdaniem Boldewina mog(cid:175)o to oznacza(cid:250) tylko jedno. „Wygl(cid:167)da na to, (cid:352)e ten wirus zosta(cid:175) opracowany na potrzeby szpie- gostwa” — napisa(cid:175)26. Napastnicy najprawdopodobniej chcieli wykra(cid:321)(cid:250) plany fabryki konkurencji lub projekty produktów. Wiele osób ze spo(cid:175)eczno(cid:321)ci informatyków zbyt szybko zaakceptowa(cid:175)o tak(cid:167) ocen(cid:171) sytuacji. Stuxnet najwyra(cid:350)niej atakowa(cid:175) tylko systemy z zainstalo- wanym oprogramowaniem Siemensa, co oznacza(cid:175)o, (cid:352)e pozosta(cid:175)e maszyny by(cid:175)y bezpieczne, a ich w(cid:175)a(cid:321)ciciele mogli spa(cid:250) spokojnie. Ulasen stwierdzi(cid:175), (cid:352)e w ira(cid:302)skich systemach, które wpad(cid:175)y w p(cid:171)tl(cid:171) restartowania, takie opro- gramowanie nie by(cid:175)o zainstalowane. Wygl(cid:167)da(cid:175)o na to, (cid:352)e Stuxnet nie wy- rz(cid:167)dzi(cid:175) na tych komputerach (cid:352)adnych trwa(cid:175)ych szkód (oprócz powtarzaj(cid:167)- cych si(cid:171) awarii systemu). 26 Boldewin opublikowa(cid:175) swoje informacje na stronie: http://wilderssecurity.com/showthread. php?p=1712146. Poleć książkęKup książkę PIERWSZE OSTRZE(cid:191)ENIE ( 25 ) Dlatego mniej wi(cid:171)cej tydzie(cid:302) po krótkiej chwili s(cid:175)awy tajemniczego ro- baka Stuxnet znalaz(cid:175) si(cid:171) na dobrej drodze do zapomnienia. Microsoft wci(cid:167)(cid:352) pracowa(cid:175) nad (cid:175)atk(cid:167), która mia(cid:175)a wyeliminowa(cid:250) luk(cid:171) w zabezpiecze- niach wykorzystan(cid:167) przez eksploit z plikami .LNK, jednak wi(cid:171)kszo(cid:321)(cid:250) firm zajmuj(cid:167)cych si(cid:171) zabezpieczeniami tylko doda(cid:175)a do skanerów sygnatury wykrywaj(cid:167)ce szkodliwe pliki robaka i przesta(cid:175)a interesowa(cid:250) si(cid:171) Stuxnetem. Historia pierwszej cyfrowej broni na (cid:321)wiecie mog(cid:175)aby si(cid:171) na tym za- ko(cid:302)czy(cid:250). Jednak kilku badaczy nie chcia(cid:175)o jeszcze si(cid:171) z tym pogodzi(cid:250). Poleć książkęKup książkę ( 416 ) ODLICZAJ(cid:107)C DO DNIA ZERO Poleć książkęKup książkę
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Odliczając do dnia zero. Stuxnet, czyli prawdziwa historia cyfrowej broni
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: