Auch wenn viel Raum für Interpretation und Gerüchte ist, der Kern der Geschichte ist erstaunlich. In kurz: Ein Computervirus/-wurm der (mit sehr hoher Wahrscheinlichkeit) hergestellt und verbreitet wurde mit dem alleinigen Ziel das Nuklerarkraftwerk Bushehr im Iran «abzustellen» — und dies mit Erfolg tat.
Stuxnet ist ein Wurm der sich auf Windows-Computer verbeitet(e), sich dabei sehr unauffällig verhielt und damit über ein Jahr in der freien Laufbahn war. Er verhält sich zumindest so lange unauffällig, bis er eine Programmierumgebung für einen Siemens Industriecontroller vom Typ SIMATIC WinCC/Step 7 angeschlossen findet. Ist eine solche Umgebung vorhanden, so verändert er die daran angeschlossene Steuerung nach immer demselben Muster. Nach Aussage von Siemens wurden bis anhin 15 Controller verändert und nur bei einem zeigte diese Neuprogrammierung Erfolg: Beim iranischen Nuklerarkraftwerk Bushehr, welches in der Folge abgestellt werden musste.
Die Vermutung, dass es sich tatsächlich um dieses eine Ziel handelte ist zwar dreist, wenn man sich jedoch die geographische Infektions-Statistik in der sehr ausführlichen Analyse von Symantec [pdf, 3.1 MB] anschaut ziemlich plausibel.
(Quelle: Symantec)
Nun zur Frage, wer so was entwickelt? Stuxnet ist nach übereinstimmender Aussage aller Analysen einer der komplexesten Computerviren die je entdeckt wurde. Zudem wurde sehr grosszügig mit «teuren Ressourcen» umgegangen. So beispielswiese nutzte die Software gleichzeitig vier «zero-day exploits» (bisher unbekannte Sicherheitslücken) — normalerweise freut sich ein Hacker eine gefunden zu haben und baut darum seinen Hack. Oder das Detail, dass Stuxnet einen Treiber auf dem Rechner installierte und diesem (damit Windows nicht reklamiert) mit einen geklauten Zertifikat von Realtek signiert hatte. Als das Zertifikat am 16. Juli 2010 gesperrt wurde, tauchte bereits am 17. Juli einem neuen bei JMicron geklauten Zertifikat auf. Sehr aufmerksam. Zudem vereint der mit über 1.5 MB riesengrosse Wurm viele modernste Techniken wie beispielsweise eine Peer-to-peer Updatefunktion wenn er eine ältere Version im selben Subnetzt finde oder die Möglichkeit Schadensroutinen über Internet nachzuladen. Also kaum der Juniorprogrammieren im Hobbyraum seiner Vaters. Bruce Schneier schätzt einen Aufwand von 8-10 Personen während einem halben Jahr.
Eine tolle Geschichte, aber auch ein Wink was uns im Bereich der Computersicherheit allen noch vervorstehen könnte. Ein guter Ausgangspunkt zur weiteren Information der Post bei Bruce Schneier oder die bereits genannte (sehr technische) Analyse von Symantec auf 51 Seiten (!!).
PS: Wer heute übrigens 17 Windows-Updates installiert(e) scheint fürs erste geschützt zu sein 😉
Ich hab’ den Artikel mit einem breiten Grinsen gelesen 😉
Ist ja ein tolles Stück Software, dieser Wurm. Sowas möcht’ ich auch mal können…
Aber meine Güte. Die setzen tatsächlich Windows ein bei Kernkraftwerken (!!!)
Was aber noch viel beunruhigender ist: Diese Anlage ist möglicherweise ans Internet angeschlossen; USB Sticks können einfach so mitgenommen und angeschlossen werden.
Ein Kernkraftwerk MUSS ein Inselsystem sein, so wie bei Mission Impossible – d.h. kein Kontakt zur Aussenwelt. Nichts. Alles andere ist grobfahrlässig.
In der Tat das (für mich) spannendste IT-Ereignis nach dem Zusammenbruch des Internet durch den Morris Worm (http://en.wikipedia.org/wiki/Morris_worm). Wer Agentengeschichten mag, Spekulation liebt und vor langen, ungereimten Dialogen nicht zurückschreckt, findet hier noch weiteres Futter: http://www.gregrperry.com/archive/4chan-stux.html (Kopie eines Dialogs aus dem 4chan-Board, in dem sich ein anonymer Hacker als Co-Author von stuxnet outet — ob das glaubwürdig ist, weiss ich nicht).
@Claude: Das Szenario und die Problematik ist etwas komplexer als «Oh mein Gott die betreiben ihr AKW mit Windows».
Der Sprung von Windows zum Industrie-Controller (Siemens Hardware) passiert nicht waehrend des Betriebs sondern beim Senden des Software-Updates and den Controller (siehe Seite 32 des verlinkten Reports).
Wenn man sich nun die Kette vor dem Update vorstellt wird klar, dass eine absolute Isolation von der Aussenwelt schnell durchbrochen wird.
Entwickler schreibt/testet Software: Vermutlich nicht vor Ort und hoffentlich nicht auf der echten Anlage. Die Maschine ist vermutlich im Internet, hat definitiv USB Ports. Schliesslich braucht der Rechner seine Updates und der Entwickler Zugriff auf Online-Dokumentation von Siemens etc.
Entwickler bringt Software in die Fabrik:
Auf seinem eigenen Laptop, als CD, auf einem USB Stick oder als Mail Attachement.
Entwickler spielt Software Update ein:
Entweder wie auf dem Bild im Symantec Report mit dem eigenen Laptop oder indem er die Programmiersoftware auf einem Rechner der Fabrik verwendet.
Abgesehen vom Abtippen des Source Codes oder des kompletten Entwicklungsprozesses innerhalb der Fabrik gibt es keine absolute Entkopplung von der Aussenwelt.