Artikel Neuer Artikel: Das Leiben und Leben des Computerwurms Stuxnet

Nero24

Nero24

Administrator
Teammitglied
Mitglied seit
01.07.2000
Beiträge
24.066
Renomée
10.446
  • BOINC Pentathlon 2019
  • BOINC Pentathlon 2020
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2021
<center><img src="http://www.planet3dnow.de/photoplog/file.php?n=12111&w=o" alt="" border="1"></center>

Das Internet ist voll von Viren, Würmern und Trojanern. Dennoch sind alle paar Jahre Vertreter dieser Gattung dabei, die es bis in die Allgemein- und Boulevard-Presse schaffen wie etwa "I love you", Blaster, Sasser oder Conficker. Aktuell macht ein Virus - genauer gesagt ein Wurm - Schlagzeilen, der unter dem Namen Stuxnet bekannt geworden ist. Was ihn so besonders macht, will der heutige Artikel aufzeigen, den Community-Mitglied und damit Gast-Autor "Onkel_Dithmeyer" für uns geschrieben hat.

<b>Zum Artikel:</b> <a href="http://www.planet3dnow.de/vbulletin/showthread.php?t=388468">Das Leiben und Leben des Computerwurms Stuxnet</a>
 
Interessant zu lesen wie gezielt der angriff ist.
Ich bin mal gespannt, wann der nächste Vertreter entdeckt wird....
 
Du nimmst mir die Worte SpitfireXP.
Ich bin mir sicher, dass einige Leute mit diesem "Zug" motiviert wurden, so etwas auch zu machen und der nächste solche Virus (oder was auch immer) nicht lange auf sich warten lassen wird.
Was ich aber doch irgendwie bewundere, diese Person muss sich nicht nur mit den Geräten auseinandergesetzt haben, sondern auch irgendwie seine Anonymität bewahren.
Obwohl die genannten Seiten geschlossen wurden, steht da nichts darüber, dass man einen nützlichen Hinweiß hat.

Der Hinweiß, dass es möglicherweise mit "Hsinchu Science and Industrial Park" zutun hat und dass sehr wahrscheinlich am oder bis 24. Juni 2012 etwas passieren wird, ist im grunde nutzlos.
Greetz
 
Wer dafür wohl verantwortlich ist? *buck*
 
Loader009 schrieb:
Was ich aber doch irgendwie bewundere, diese Person muss sich nicht nur mit den Geräten auseinandergesetzt haben, sondern auch irgendwie seine Anonymität bewahren.
Zum Vergrößern anklicken....

Mit erheblichen Ressourcen meine ich, dass der Wurm keinesfalls von einer Einzelperson entwickelt sein kann. Man muss differenzieren zwischen Sasser Wurm und co. und Stuxnet. Erstere wurde von einem Schüler geschrieben, der zufällig einen Fehler gefunden hat. Stuxnet hingegen nutzt gezielt Lücken, die man nicht zufällig findet und auch die Suche nach geeigneten Lücken sehr aufwendig ist. Viel warscheinlicher ist, dass die Entwickler sich auf dem Schwarzmarkt mehrere dieser Lücken "gekauft" haben. Das bedeutet, dass da ne Menge Geld geflossen ist. Außerdem ist eine Person kaum in der Lage sich so viel Wissen in (verhältnismäßig) so kurzer Zeit anzueignen. Du kannst davon ausgehen, dass ein Team von fünf oder mehr Leuten an Stuxnet etwa ein Jahr gearbeitet haben.


Loader009 schrieb:
Der Hinweiß, dass es möglicherweise mit "Hsinchu Science and Industrial Park" zutun hat und dass sehr wahrscheinlich am oder bis 24. Juni 2012 etwas passieren wird, ist im grunde nutzlos.
Greetz
Zum Vergrößern anklicken....

Den Hinweis zum Industriepark habe ich gegeben, weil man dadurch die Nähe der beiden Unternehmen sieht. Es ist durchaus möglich, dass ein Entwickler von Stux oder eine beauftragte Person in diesem Industriepark Industriespionage begangen hat um an die Signaturen zu kommen. Das fällt natürlich leichter, wenn man beide Unternehmen vor der Nase hat.

Das etwas am oder bis zum 24. Juni 2012 passiert habe ich nirgens geschrieben. Ich habe damit nur eine Auffälligkeit des Virus behandelt. Stell dir vor du schreibst einen Virus und willst damit größtmöglichen Schaden verursachen, warum solltest du wollen, dass ein System auf dem das Datum auf einen Tag nach dem 24.06.2012 eingestellt ist nicht infiziert wird? Findest du nicht auch seltsam, dass sich mal angenommen, alle Systeme haben die richtige Zeit eingerichtet und der Wurm wird nicht angepasst, der Wurm nach diesem Tag nicht mehr verbreiten will? ;)
 
lässt sich das Datum des Compilierens ableiten, der 14 Juli 2010. Damit ist der Code deutlich jünger als der Vorherige, der auf den 25. Januar 2010 zurückgeht
Zum Vergrößern anklicken....

Les ich falsch oder ist da ein Fehler?
 
Nachdem Stuxnet gezielt Atomanlagen im Iran angreift und extrem ausgefeilt ist, bin ich mir ziemlich sicher, dass der Urheber ein westlicher Geheimdienst ist (Israel, USA, evt. auch Großbritannien). Sollte 19790509 mehr als Zufall sein, könnte ich mir auch eine jüdische extremistische Gruppierung vorstellen.
 
Der Angriff auf Industrieanlagen ist dahingehend als sehr gefährlich einzustufen, da ich weiß, dass man sehr viele CAD-Modelle vom Rechner per LAN an automatisierte Anlagen schickt.
Wenn man hier weiterentwickelt, kann man gezielt Konkurrenten ausschalten.
 
Ein sehr spannender Artikel, ich würde dir dafür gerne ein "Danke" reindrücken, aber ich finde nicht wo ich das könnte.. hat jemand einen Tipp für mich?
 
Sind richtige Hardcoreprogrammierer von Geheimdiensten wirklich so drauf, dass sie "mystische" (=bedeutungsvolle) Zahlen in ihren Code einbauen? Weil sie es so im Film gesehen haben und des lustig finden?

Oder ist es einfach nur Ablenkung? Und der "Schaden", den der Wurm anrichtet? Wäre es nicht einfacher, zu einem bestimmten Datum alle Turbinen durch fehlerhafte Ansteuerung zu überlasten und unbrauchbar zu machen? Oder gibts da weitere Sicherheitseinschränkungen, sodass die Zerstörung schleichend erfolgen muss?
 
Interessant finde ich auch die "Lösung" von Siemens zu dem Problem: http://www.heise.de/security/meldun...iemens-schuetzt-nur-unzureichend-1123629.html

Das Kernproblem sind wohl die zu hohen Rechte und die fest codierten Zugangsdaten in WinCC...


Wir haben in der Firma jedenfalls etliche Kunden, die sich sorgen um ihre Industrieanlagen machen. Auch wenn davon keiner Komponenten einsetzt, die zur Urananreicherung geeignet wären, zeigt die öffentliche Berichterstattung und Panikmache doch deutlich Wirkung
 
Wie groß ist dieser Wurm eigentlich? Bei allem, was er kann, muss er doch einen gewissen Umfang haben.
 
TiKu schrieb:
Nachdem Stuxnet gezielt Atomanlagen im Iran angreift und extrem ausgefeilt ist, bin ich mir ziemlich sicher, dass der Urheber ein westlicher Geheimdienst ist (Israel, USA, evt. auch Großbritannien). Sollte 19790509 mehr als Zufall sein, könnte ich mir auch eine jüdische extremistische Gruppierung vorstellen.
Zum Vergrößern anklicken....
Nun ja, es ging ja schon rum, dass der Ursprung des Wurms in Russland zu suchen wäre. Und für so unwahrscheinlich halte ich das auch nicht. Es würde sogar passen, dass sich die Russen heimlich, still und leise so hintenrum eines Problems entledigen.
 
Mich interessiert es primär, was dieser Parasit auf Privatcomputern anrichten kann.
Mittlerweile hab ich echt große Lust auf Linux...
 
Dein angereichertes Uran wird von minderer Qualität sein ....
 
Shai Hulud schrieb:
Wie groß ist dieser Wurm eigentlich? Bei allem, was er kann, muss er doch einen gewissen Umfang haben.
Zum Vergrößern anklicken....

In der PDF von Simantec wird die DLL-größe in der letzten bekannten Version von Stux mit 611.840 Byte angegeben. Auf einem heutigen USB-Stick würde der also gar nicht auffallen ;)
 
Necabo schrieb:
Mich interessiert es primär, was dieser Parasit auf Privatcomputern anrichten kann.
Mittlerweile hab ich echt große Lust auf Linux...
Zum Vergrößern anklicken....

Wie es scheint nutzt der Wurm Computer ohne PLC-System ausschließlich um sich weiter zu verbreiten. Allerdings ist die Verbreitung hierzulande quasi gleich 0
 
Der_Ventilator schrieb:
Oder ist es einfach nur Ablenkung? Und der "Schaden", den der Wurm anrichtet? Wäre es nicht einfacher, zu einem bestimmten Datum alle Turbinen durch fehlerhafte Ansteuerung zu überlasten und unbrauchbar zu machen? Oder gibts da weitere Sicherheitseinschränkungen, sodass die Zerstörung schleichend erfolgen muss?
Zum Vergrößern anklicken....
Eine sofortige Zerstörung könnte man wohl relativ sicher als Sabotageakt identifizieren. Das war den Entwicklern wohl zu heikel. Vor allem wird die zerstörte Maschine dann einfach ausgetauscht. Eine beschleunigte Abnutzung ist da unauffälliger und letztlich effektiver würde ich sagen. Den Berichten zufolge hat ja schon das Manipulieren der Anlage Auswirkungen, d. h. eine Zerstörung ist vielleicht gar nicht nötig und wäre eben eher nachteilig.
 
TiKu schrieb:
Nachdem Stuxnet gezielt Atomanlagen im Iran angreift und extrem ausgefeilt ist, bin ich mir ziemlich sicher, dass der Urheber ein westlicher Geheimdienst ist (Israel, USA, evt. auch Großbritannien). Sollte 19790509 mehr als Zufall sein, könnte ich mir auch eine jüdische extremistische Gruppierung vorstellen.
Zum Vergrößern anklicken....

Oder es soll genau diesen Anschein erwecken *suspect*
 
Wie kann man dir dein verdientes Danke für den Artikel zukommen lassen? Ich hab kein Danke zum anklicken gesehen.
 
Der_Ventilator schrieb:
Sind richtige Hardcoreprogrammierer von Geheimdiensten wirklich so drauf, dass sie "mystische" (=bedeutungsvolle) Zahlen in ihren Code einbauen? Weil sie es so im Film gesehen haben und des lustig finden?
Zum Vergrößern anklicken....

Naja, ich vermute die haben zu Testzwecken und zum Schutz der eigenen Systeme irgendwie eine "Nicht Infizieren"-Markierung gebraucht. Die Zahl kann wie gesagt, eine zufällig Zahl sein. Wenn sie aber gezielt auf dieses Datum zielt, dann könnte das Aufschlüsse über den Hintergrund geben, oder aber eben einfach Verwirrung stiften.

Vielleicht so eine Art Zeichen, wie es Serientäter teilweise nutzen. *noahnung*


Der_Ventilator schrieb:
Wäre es nicht einfacher, zu einem bestimmten Datum alle Turbinen durch fehlerhafte Ansteuerung zu überlasten und unbrauchbar zu machen? Oder gibts da weitere Sicherheitseinschränkungen, sodass die Zerstörung schleichend erfolgen muss?
Zum Vergrößern anklicken....

Wenn ich mir überlege, welche Tricks der Wurm genutzt hat um unerkannt zu bleiben, kann ich mir gut vorstellen, dass ein plumpes Überlasten zu auffällig gewesen wäre. Stell dir mal vor, der Virus wäre nicht entdeckt worden. Der Iran würde deutlich länger für das Atomprogramm brauchen und sie würden nicht herausfinden warum. Auf der anderen Seite hätten die Entwickler eifrig neuen Code nachliefern können und wären über den aktuellen Stand vor Ort informiert.

Auf der anderen Seite kann es auch gut sein, dass die Zentrifugen einen Schutz gegen Überlast haben. Da stecke ich leider aber auch nicht in der Materie.
 
Vielen Dank, ein sehr schöner Artikel. Für mich hatte das Lesen schon Krimi-Charakter.

@Necabo: Spiegel schreibt, dass die Qualität des so erzeugten Urans minderwertig ist. Ich kann mir das auch vorstellen´, wenn die konstante Drehzahl für die Qualität so wichtig ist. Ansonsten wäre der Wurm ja außerdem völlig unsinnig, wenn er denn "nur" die Drehzahl manipuliert und dies keine Auswirkungen hat.

Grüße
 
Zuletzt bearbeitet:

Ähnliche Themen

Onkel_Dithmeyer
News Duqu - Sohn des Stuxnet
Antworten
3
Aufrufe
2K
Gast31082015
G
heikosch
News Stuxnet war nur der Anfang
Antworten
12
Aufrufe
2K
Dalai
Dalai
MusicIsMyLife
Artikel Neuer Artikel: AMD FX "Vishera"
17 18 19
Antworten
459
Aufrufe
48K
Scour
S
heikosch
Zalman CNPS5X Performa
Antworten
0
Aufrufe
19K
heikosch
heikosch
heikosch
mITX-Gehäuse: Inter-Tech Q-6 & E-i7
Antworten
0
Aufrufe
34K
heikosch
heikosch
Zurück
Oben Unten