Cyberwar - Erstschlag ist erfolgt

Hi,

ich war erstaunt, hier noch nichts über Stuxnet gelesen zu haben.

Bei Stuxnet handelt es sich um einen Virus - so weit, so langweilig. Dieser Virus hat aber zwei Eigenschaften die ihn besonders machen und die sehr deutlich darauf hinweisen, das es sich bei dem Virus nicht um das typische Produkt organiserter Krimineller oder pickliger Milchbubis handelt.

1. Der Virus wird noch erforscht, aber es sind mittlerweile 4 (!) Zero-Day-Exploits gefunden worden. Ein Zero-Day-Exploit ist eine unbekannte Sicherheitslücke. Das ist deshalb so bemerkenswert, weil solche Sicherheitslücken auf dem Schwarzmarkt sehr viel Geld wert ist. Vier Stück davon dürften locker im siebenstelligen Dollar-Bereich liegen. Einen Virus, der so viel Geld wert ist (und der im übrigen ALLE Windows-Betriebssysteme betrifft) und der darüber hinaus auch noch gestohlene digitale Signaturen zur Treiber-Installation beinhaltet, war bis dahin unbekannt. Alleine der Aufwand bis hierhin ist schon gewaltig. Aber es kommt noch besser.

2. Was macht dieser Virus? Während viele Viren lediglich so popplige Sachen machen, wie sich in Online-Banking-Transaktionen einzuschleichen oder Tastatureingaben mitzuschneiden um Passwörter aus dem WoW-Account zu klauen, ist dieser Virus um Größenordnungen höher angesiedelt. Er ist darauf ausgelegt, sogenannten SPS-Anlagen zu infiltrieren. Diese finden bspw. in der Industrie-Anwendung, bei großen, automatisierten Produktionsanlagen. Und in Atomkraftwerken. Das eigentliche Monitoring dieser Systeme und das aufspielen des Codes erfolgt heutzutage von Windows-Rechnern. Über dieses Wissen verfügt schlicht keiner der heutigen Hacker. Insbesondere, wenn man sich anschaut, das der Virus offensichtlich auf Atomkraftwerke spezialisiert ist.

Folgender Artikel bringt es gut auf den Punkt - und er zeigt auf, mit welchen Problemen wir es in Zukunft zu tun haben. Offensichtlich handelt es sich hierbei um den ersten gutdokumentierten Cyber-Angriff eines Staates. Ein Angriff gegen den Iran:

http://www.faz.net/s/RubCEB3712D41B64C3094E31BDC1446D18E/Doc~E8A0D43832567452FBDEE07AF579E893C~ATpl~Ecommon~Scontent.html

Und bevor jemand fragt: Ja, es gibt wirklich Kraftwerke, in denen Windows-Rechner diese überaus wichtige Funktion übernommen haben. Das weiss ich, weil ein Bekannter für ein Kraftwerk ein solches System entworfen und implementiert hat. Diese Systeme hängen natürlich nicht am Internet. Der Haken ist nur, das Stuxnet sich per USB übertragen hat...

meiner meinung nach ungefährlich. ich hab mich mal eindringlicher mit cyberwar beschäftigt, und naja. der einzige angriff der unter diesen Begriff fallen würde war, dass die russen das finnische banksystem zwei tage lahm gelegt haben. aber auf das sind dann sogar die finnen drauf gekommen wer das war. naja...#

alle lebenswichtigen systeme der z.B. USA sind miteinander vernetzt und geschützt (Banken, verteidigung, energie...) und wenn man davon ausgeht, dass sich das system der USA nicht verbessert bräuchten 20 Profihacker ungefähr 30 Jahre und ein Budget von 200 Mio. Euro. aber das system der amys wird ständig besser...

@moredread
sehr interessant, anscheinend wollte man das iranische atomprogramm verzögern, aber wo bleibt der zweite schlag? laut faz war das ja schon anfang 2009 vielleicht war es ja auch nur eine testlauf um die schlagkraft einer solchen waffe zu ermitteln oder gar ein virtuelles minenfeld um bei gegern druck zu machen?

@moredread

Wie amüsant...erst vor einigen Tagen ging mir der Gedanke durch den Kopf, was denn alles möglich wäre, wenn man einen solchen Virus auf Programmierungseinheiten von Energieversorgungsanlagen ( -> Blackout) allgemein und AKW- Rechnern "losließe"...
...Die Folgen wären katastrophal :|

@Crusi
naja aber man könnte immer noch per hand abschalten, also einen kernschmelze gäbe es nicht

@robert-capa

Die "Gefahr" wird dennoch ausgelöst... ich würde das nicht verharmlosen.

hat man nicht irgendwo live die bilder der uav,s verfolgt`?

@Herian

Herian schrieb:meiner meinung nach ungefährlich. ich hab mich mal eindringlicher mit cyberwar beschäftigt, und naja. der einzige angriff der unter diesen Begriff fallen würde war, dass die russen das finnische banksystem zwei tage lahm gelegt haben. aber auf das sind dann sogar die finnen drauf gekommen wer das war. naja...#

Hallo Herian,

hast Du möglicherweise nicht den Link gelesen, den ich oben gesetzt habe? Der Anschlag war ja offensichtlich erfolgreich und das Iranische Atomprogramm hat scheinbar einen Schlag erhalten. Sobald Du es schaffst, einen Virus in ein System einzuschleusen, der imstande ist, SPS umzuprogrammieren, ist die Sache brandgefährlich. Der harmlose Teil - geheime Produktionsprozesse auszulesen - lässt sich schwerlich leugnen, der gefährlichere Teil, diese Systeme zu beeinflussen ist auf diesem Wege offensichtlich einfach möglich.

Herian schrieb:alle lebenswichtigen systeme der z.B. USA sind miteinander vernetzt und geschützt (Banken, verteidigung, energie...) und wenn man davon ausgeht, dass sich das system der USA nicht verbessert bräuchten 20 Profihacker ungefähr 30 Jahre und ein Budget von 200 Mio. Euro. aber das system der amys wird ständig besser...

Nach meiner Erfahrung, basierend auf meiner Arbeit in den USA, kann jeder picklige Hacker wichtige Systeme in den USA infiltrieren. Gary McKinnon hat sich auch in wichtige Systeme gehackt, deren Passwörter "4711" und ähnlich intelligente Dinge waren, teilweise sogar gar keine Passwörter... ich kenne die Möglichkeiten, solche Systeme sicher zu machen. Die greifen aber nur so gut, wie der Admin sie implementiert. "Out of the Box" ist kein System sicher, und schon mal gar nicht auf längere Zeit hin gesehen. Die Implementierung des Virus dürfte in der Tat einige Millionen verschlungen haben. Und die Tatsache, das er so ziemliche jede Industrienation (eingeschlossen den USA) befallen hat und dort weiß-der-Kuckuck-was hätte anrichten können, sollte schon zu denken geben.

@robert-capa

robert-capa schrieb:naja aber man könnte immer noch per hand abschalten, also einen kernschmelze gäbe es nicht

Ja. Sofern Dein Monitor-System Dir anzeigt, das da etwas faul ist. Es ist nur etwas unglücklich, wenn Dein Monitor System vom Virus befallen ist. Und genau das hat dieser Virus ja getan. Ob es so zur Kernschmelze kommen könnte, sei mal dahingestellt, aber es gibt noch einen Haufen anderer übler Dinge, die passieren können. Ein GAU ist nur der Größte Anzunehmende Unfall. Nicht der einzige.

@Crusi

Crusi schrieb:Wie amüsant...erst vor einigen Tagen ging mir der Gedanke durch den Kopf, was denn alles möglich wäre, wenn man einen solchen Virus auf Programmierungseinheiten von Energieversorgungsanlagen ( -> Blackout) allgemein und AKW- Rechnern "losließe"...
...Die Folgen wären katastrophal

Ja, ein solches Szenario wäre durchaus denkbar. Man kann dem entgegenwirken, aber offenbar wurde all das viel zu lax gehandhabt in den letzten Jahren. Ich vermute, das hängt auch mit der "Geiz ist Geil" Problematik zusammen. Wenn man immer weniger Geld für die Fachleute in den IT-Abteilungen bezahlt, ist es nicht verwunderlich, das die Maßnahmen zur Absicherung der Anlagen immer lascher werden. Ist aber nur ein Teil des Gesamtproblems. Ein anderer wichtiger Teil lässt sich mit dem Stichwort "IT-Monokulturen" erklären. Und natürlich mit dem größten Problem überhaupt: Dem Faktor Mensch.

Auf SPON gibts es auch nen ziemlich interessanten Artikel zum Thema Stuxnet.

http://www.spiegel.de/netzwelt/web/0,1518,718927,00.html

Dort wird die Vermutung gäußert, daß dieser Wurm durch Geheimdienste zum Angriff genutzt worden sei.Dieser Wurm ist ziemlich speziell.

Eines ist klar: Die Stuxnet-Schöpfer haben sehr lange an der Schadsoftware gearbeitet und dabei exklusives Wissen genutzt. Das Sicherheitsunternehmen Symantec kommt nach der Analyse mehrerer Stuxnet-Versionen zu dem Ergebnis, dass an dem Wurm mindestens seit Juni 2009 gebastelt wurde. Symantecs Schlussfolgerung: "Den Schöpfern dieser Bedrohung standen große Ressourcen zur Verfügung, das ist keine Teenager-hackt-in-seinem-Schlafzimmer-Operation."

Dafür spricht auch, dass die Stuxnet-Autoren vier bis dahin unbekannte Windows-Sicherheitslücken, sogenannte Zero-Day-Exploits, ausgenutzt haben. Der Informatiker Thorsten Holz, Juniorprofessor für Embedded Malware an der Ruhr-Universität Bochum, hat die ausführbaren Dateien der Schadsoftware analysiert. Seine Einschätzung: "Solche Zero-Day-Exploits sind nicht einfach so zu finden - da müssen auch Profis lange arbeiten oder aus anderen, exklusiven Quellen Informationen über diese Lücken erhalten."

Stuxnet zielt darauf ab, die Siemens-Steuersoftware WinCC und PCS 7 zu manipulieren. WinCC - eine Abkürzung für Windows Control Center - visualisiert in Raffinerien, Kraftwerken oder Fabriken Prozesse, PCS 7 überwacht und steuert die automatisierten Betriebsabläufe.

Die ausführbaren Dateien der Schadsoftware Stuxnet dokumentieren sehr gute Kenntnisse der Autoren. Es finden sich darin mehr als 200 Code-Blöcke, die auf spezielle Funktionen von WinCC abzielen. Informatiker Thorsten Holz urteilt: "Dieses Wissen gehört nicht zum Standard-Repertoire von Schadsoftware-Autoren. Maschinenbauer kennen sich mit WinCC vielleicht aus, ein Autor von Schadsoftware für Windows-Systeme eher nicht." Sein Fazit: Da waren Experten am Werk.

Dafür, dass Stuxnet es auf Industrieanlagen in Iran abgesehen hat, gibt es nicht ganz so deutliche Indizien. Der Wurm war auch in Südostasien aktiv. Das Sicherheitsunternehmen Symantec hat dazu zwei Statistiken publiziert. Die im Juli veröffentlichten Zahlen zeigen, wie viele Rechner, die mit Symantec-Sicherheitssoftware geschützt sind, einen Angriff durch Stuxnet registriert haben. Zwischen dem 13. und 16. Juli standen knapp 40 Prozent dieser Rechner in Indien, gut 32 Prozent in Indonesien und mehr als 20 Prozent in Iran.

Eine Woche später veröffentlichte Symantec eine zweite Statistik. Die Übersicht zeigt, in welchen Staaten Rechner von Stuxnet befallen worden sind. Dabei handelt es sich nicht um Computer, die von Symantec-Software geschützt werden. Die Zahlen kommen so zustande: Stuxnet versucht nach einer Infektion eine Erfolgsmeldung über das Internet an eine bestimmte Domäne abzusetzen. Nachdem die Schadsoftware erkannt war, hat Symantec diese Domäne übernommen und analysiert, aus welchen IP-Adressräumen die Statusmeldungen kamen. Das Ergebnis: Knapp 60 Prozent der infizierten Rechner melden sich aus Iran, knapp 20 Prozent aus Indonesien, gut acht Prozent aus Indien.

Ob Irans Atomanlagen das Ziel der Attacke gewesen seien, ist nicht so klar. Selbst die Experten sind nicht so sicher. Es gibt zwar Spekulationen, aber sonst nicht viel.

Siemens-Sprecher Wieland Simon will Langners Einschätzung deshalb auch nicht bestätigen. Siemens-Analysen des Trojaners "erlauben keine konkreten Rückschlüsse über Ziel und Urheber des Virus", sagt er SPIEGEL ONLINE. An Spekulationen darüber, welche Ziele die Macher von Stuxnet verfolgen, wer sie sind und ob Stuxnet womöglich schon zugeschlagen hat, will sich Siemens nicht beteiligen.

Ähnlich äußert sich auch Thorsten Holz: "Aus der Analyse der ausführbaren Dateien der Schadsoftware lässt sich nicht ableiten, wer sie mit welchem Ziel entworfen und in Umlauf gebracht hat. Alle Theorien dazu sind reine Spekulation. Der hohe Aufwand für ein sehr spezielles Ziel spricht natürlich dagegen, dass es sich hierbei um normale Computerkriminelle handelt."

Dagegen spricht allein die Wirtschaftlichkeit. Wie sollen Computerkriminelle bei dem erheblichen Aufwand für die Entwicklung von Stuxnet Geld machen? Der Informatiker Felix Freiling, Professor für IT-Sicherheitsinfrastrukturen an der Universität Erlangen-Nürnberg urteilt: "Der Aufwand, der bei Stuxnet betrieben wurde, deutet in der Tat auf staatliche Dienste hin. Direkt ist auch kein Geschäftsmodell erkennbar. Deshalb ist die Organisierte Kriminalität als Verursacher aus meiner Sicht unwahrscheinlich."

All das führt einige Beobachter zu der Annahme, dass es wohl eine von einem Staat initiierte und finanzierte Aktion gewesen sein muss, Stuxnet zu entwickeln.

Bei allem Aufwand ist die Stuxnet-Attacke nach Ansicht von Experten allerdings keine einzigartige Aktion, schon gar nicht der erste Angriff dieser Art. Informatiker Holz weist darauf hin, dass die Schadsoftware letztlich versagt habe: "Klar ist, dass die Urheber von Stuxnet bei aller Professionalität dennoch Fehler begangen haben. Irgendetwas ist schiefgelaufen, sonst wäre der Angriff nicht bemerkt worden."

Der Sicherheitsexperte warnt deshalb vor einer überzogenen Einordnung des Vorfalls: "Ich halte diesen Angriff nicht für den ersten dieser Art und bei allem Aufwand auch nicht für einmalig. Ich gehe davon aus - das ist nur meine persönliche Einschätzung -, dass solche Angriffe häufiger vorkommen, dass die erfolgreichen aber nicht öffentlich bekannt werden."

Nur wg. diesem Wurm vom Cyberwar zu sprechen, halte ich für etwas übertrieben, denn es wird nicht der erste Versuch gewesen sein, einen virtuellen Angriff zu starten.

Aber ein interessantes Thema ist es allemal.

@bo

Der Spiegel-Artikel ist, wie alle anderen Artikel aus dem Bereich Wissenschaft und IT beim Spiegel, einfach nur mies recherchiert. Ich kenne ihn und habe ihn absichtlich nicht verlinkt. Vermutlich ist er einfach nur falsch abgeschrieben worden, denn es gibt sehr wohl deutliche Hinweise darauf, das es sich dabei um Cyberwar handelt und das der Angriff erfolgreich war. Lies mal den folgenden Artikel - ich hatte ihn schon am Anfang verlinkt, aber egal:

http://www.faz.net/s/RubCEB3712D41B64C3094E31BDC1446D18E/Doc~E8A0D43832567452FBDEE07AF579E893C~ATpl~Ecommon~Scontent.html

Da stehen eine Menge Dinge drin, die Du im Spiegel Artikel nicht findest - vor allem, warum man davon ausgehen kann, das es sich um einen erfolgreichen Anschlag handelt.

Wie bitte kommen Simensbauteile in eine iranische Atomanlage?
Fallen diese Systeme nicht unter die Sanktionen?
Naja anyway... Dass das Programm sabotiert wird ist ja nichts neues.
Es zeigt aber auch, dass ein Irankrieg im Moment nicht passt.
Es sind ja Aktionen um einen Krieg zu vermeiden... naja wohl eher um ihn hinauszuzögern.
Krieg gibts erst wenn der Iran Linux verwendet...

Nein, diese Siemensbauteile fallen nicht unter die Sanktionen.
SPS wird in nahezu allen automatisierten Produktions und Überwachungsaufgaben genutzt, wo Maschinen und deren Steuerung gefragt sind. (Autoindustrie, Wasserwerke,...)
ABER:
Es dürfte nicht wirklich schwer sein, so einen Virus auf ein System zu bekommen, das eigentlich abgeschottet ist. Trotzdem ist damit nicht geholfen denn:
Jeder SPS Plan ist ein anderer und dessen Funktion kann ein Virus schlicht nicht ergründen.
Auch ist es nicht damit getan, schlicht ein paar Aktoren abzuschalten oder zu ändern. Solche Systeme haben erstens nen Haufen Abhängikeiten und sind in aller Regel redundant ausgelegt.

Bei Wasserwerken gibt es z.B. sogar ne Handsteuerung um die Dinger im Falle eines SPS Ausfalles auch so laufen zu lassen.

Aber das das Teil ne SPS liest, versteht und umschreibt, halte ich für nicht machbar.
Allein für Ein Wasserwerk, wo ein paar Pumpen und ein Paar Sensoren sowie Ventilen (wir sprechen hier von so einem Minikleinen Teil in wie man sie in diesen Grashügeln findet) ist schon ein ziemlich komplexes System verbaut, wo man schon ein paar Tage mit dem Rechner vorm Schaltschrank verbringt, bevor das läuft.

Würde man im AKW was durcheinander bringen, dann schaltet sich die Anlage schlicht ab. Aber wie gesagt, ich denke nicht, dass es machbar ist.

Erstschlag...

Ja, das war ganz bestimmt das allererste Mal in der IT-Geschichte, dass Geheimdienste sich untereinander elektronisch bespitzeln und bekriegen :D

Ach bitte, Gegenseitige Cyberattacken sind doch auch unter Geheimdiensten und auf staatlicher Ebene absolut nichts verwunderliches, selbst wenn die Staaten offiziell befreundet sind, versuchen sie permanent, sich gegenseitig eins auszuwischen und Vorteile zu verschaffen, indem sie andere ausspionieren oder lahm legen.

Da ist jetzt zufällig mal ein solches Programm aufgetaucht und alle wundern sich über einen ,,Erstschlag im Cyberwar". Lachhaft :D

Haben westliche Geheimdienste mit dem Schadprogramm Stuxnet einen Cyber-Angriff auf das iranische Atomprogramm gestartet? Der besonders raffiniert programmierte Wurm lässt Experten rätseln. SPIEGEL ONLINE beantwortet die wichtigsten Fragen zur angeblichen Virusattacke.

Der Computer-Schädling Stuxnet hat eine steile Karriere hingelegt. Im Juli wurde seine Existenz erstmals öffentlich gemeldet. Weißrussische PC-Experten hatten den Wurm entdeckt, der sich über USB-Sticks verbreitete und sogar in Windows-Systemen einnisten konnte, die mit allen aktuellen Patches abgesichert waren. Zuerst war die Rede von Industriespionage, dann wurde schnell klar, dass die Schadsoftware die Steuerungssysteme von Industrieanlagen infiziert.

http://www.spiegel.de/netzwelt/web/0,1518,718927,00.html (Archiv-Version vom 24.09.2010)

moredread schrieb:Einen Virus, der so viel Geld wert ist (und der im übrigen ALLE Windows-Betriebssysteme betrifft)

Atomanlagen werden mit Windows gesteuert, das mit dem WWW verbunden ist?!?

Mit vielem habe ich gerechnet, aber damit definitiv nicht. Weder mit Windows noch mit WWW-Verbindung.

Ok, habe noch den Beitrag von Chesus nachgeholt.

Mit einem USB-Stick kann man über ein Windows von der Stange Atomanlagen übernehmen? Wenn's keine Atomanlagen wären, würde ich sagen: selber Schuld, IT-Entscheider und IT-Admins gesteinigt. Aber so ...

Ich fass' es nicht.

Glünggi schrieb:Wie bitte kommen Simensbauteile in eine iranische Atomanlage?

Das ist einen eigenen Thread wert.

Glünggi schrieb:Krieg gibts erst wenn der Iran Linux verwendet...

Sicher nicht. Die NSA waren unter den ersten, die an einem hardened Linux gearbeitet haben: http://www.nsa.gov/research/selinux/ (Archiv-Version vom 23.09.2010)

Die Abhängigkeit von Software ohne Zugang zum Quellcode ist der NSA lange ein Dorn im Auge (Solaris war lange das einzig zertifizierte Betriebssystem für höchste militärische Sicherheit, wenn ich mich richtig erinnere).

Außerdem ist Linus Torvalds seit kurzem US-Staatsbürger.

Oder ... hmm ... der Iran nicht mehr hackbar (obwohl es auch für Linux-Systeme Exploitmöglichkeiten gibt, die müssen aber handgestrickt für das jeweilige System sein, sehr schwer, wenn das System aktuell gehalten wird, der Zugang gesichert ist und USB abgedreht - dann muss man einen Systemadmin kaufen) ... kann Kriegsgrund sein ;)

@Kc

Erstschlag...

Ja, das war ganz bestimmt das allererste Mal in der IT-Geschichte, dass Geheimdienste sich untereinander elektronisch bespitzeln und bekriegen

Ach bitte, Gegenseitige Cyberattacken sind doch auch unter Geheimdiensten und auf staatlicher Ebene absolut nichts verwunderliches, selbst wenn die Staaten offiziell befreundet sind, versuchen sie permanent, sich gegenseitig eins auszuwischen und Vorteile zu verschaffen, indem sie andere ausspionieren oder lahm legen.

Da ist jetzt zufällig mal ein solches Programm aufgetaucht und alle wundern sich über einen ,,Erstschlag im Cyberwar". Lachhaft

Ich glaube Du verstehst da etwas nicht ganz richtig. Was bis jetzt gelaufen ist, ist das ausspitzeln von Informationen. Hierbei ging es um die Beschädigung einer Anlage zur nuklearen Anreicherung - und wie es aussieht, hatte der Virus damit offenbar Erfolg. Du kannst ja gerne mal ein Beispiel nennen, in dem auf ähnlich großer Ebene operiert wurde. Es gab noch keinen SPS-Virus, der auf eine solche Anlage zugeschnitten war. Insbesondere das ausnutzen von vier unbekannten Sicherheitslücken und die Tatsache, das der Virus so unauffällig war, das er erst lange Zeit später gefunden wurde, zeigt auf, das die Ersteller des Virus wesentlich mehr Zeit in die Erstellung investiert haben, als die üblichen gelangweilten Hackerkiddies oder die organisierte Kriminalität, die sonst derartige Aktionen durchzieht, um sich das Geld anderer Leute per Online-Banking-Software zu überweisen. Was Dir vorschwebt ist eine ganz andere Dimension, die viel weiter unten liegt. Klar gibt es Attacken im Internet u.ä. schon seit geraumer Zeit. Aber eine Attacke dieser Dimension ist unbekannt. Dir sind auch offensichtlich die Konsequenzen unklar.

...was Du alles gewusst hättest, wenn Du den Artikel gelesen hättest.