STUXNET

DI URIEL
wolfstep.cc

Visto che l’ IT e’ il mio lavoro, mi e’ stato chiesto di parlare di Stuxnet, che viene definito il “primo virus militare della storia”, dal quale sono partite speculazioni su speculazioni circa il fatto che sia un’arma israeliana, piuttosto che americana, puttosto che altro. Vorrei dire due cose specifiche, giusto per chiarire che molta dietrologia e’ priva di senso.

L’idea che sia “il primo virus concepito per un attacco militare” e’ del tutto idiota. Non perche’ non sia possibile infettare macchine per uso militare, ma per la ragione che non e’ il primo, ovvero non c’e’ modo di stabilire che sia il primo. Nelle decine di migliaia di virus conosciuti, esistono peculiarita’ che di solito vengono attribuite alla sociopatia del programmatore e quindi non sono ritenute necessariamente un sintomo della volonta’ di attaccare un sistema industriale, ma non e’ necessariamente cosi’ certa tale mancanza di volonta’. Semplicemente, non sempre si sa quale specifico sistema si intendesse attaccare. Prendiamo per esempio uno di quei virus che si attivano in una data specifica.Per esempio, oggi in Russia una grossa telco locale ha svolto una dimostrazione agli azionisti, onde ottenere il via libera su un nuovo servizio. Questa data non e’, ovviamente, nota ai piu’: chi lo sa, in fondo, che l’ 1 di ottobre in Russia ci sia una riunione di un consiglio di amministrazione di una delle diverse telco locali?

Cosi’, un virus che agisca l’ 1 di ottobre puo’ chiamarsi, che so io, “Bali”, perche’ il primo di ottobre di qualche anni fa a Bali un attentato terroristico ha ucciso 19 persone. Esistono virus come Chernobyl che si attivano nell’anniversario dell’incidente nucleare, e cosi’ via.

La scelta della data passera’ per megalomania o psicopatia di chi ha sviluppato il virus, ma in realta’ lo scopo potrebbe essere quello di diffondersi nella speranza di infettare precisi computer e far fallire una precisa demo.(1) Come quella che sta avvenendo in Russia, per dire.

Cosi’, e’ realmente difficile stabilire se un virus sia, o meno, concepito come attacco militare o economico: ci sara’ sempre la possibilita’ di steganografare l’obiettivo reale del virus. O conosciamo qualsiasi grande trattativa industriale in corso nel tal giorno, oppure non possiamo essere certi che un virus non sia nato per colpire proprio quella trattativa industriale.

Diciamo che Stuxnet e’ il primo virus che non tenta di nascondere piu’ di tanto il fatto di essere concepito per colpire infrastrutture. Ma la domanda e’: gli altri virus, invece, organizzano picnic? Non abbiamo gia’ migliaia di virus che hanno mietuto danni nell’industria?

Vorrei quindi fare una disamina di quanto si dice a livello speculativo, ed elencare i contro di tutte le teorie della cospirazione che sono nate attorno a questo virus.

Il virus e’ un attacco all’ Iran. E’ stato ordito da Israele per colpire le centrali iraniane. L’obiezione che porto e’ che la nazione piu’ danneggiata e’ stata la Germania, perche’ il virus colpisce sistemi Siemens, e l’azienda tedesca rischia di perdere numerose commesse in Cina. Non sono noti, invece, i danni che avrebbe fatto in Iran. Basandosi sui fatti, si direbbe sia un virus concepito per colpire Siemens ed i suoi sistemi PLC, piuttosto che l’ Iran. Che colpisca i PLC di Siemens e’ un fatto, che sia nato per colpire l’ Iran e’ solo un’ipotesi.
L’iran e’ la nazione piu’ colpita. Ni. E’ la nazione piu’ infettata, ma non la piu’ colpita. Ma e’ anche la nazione ove non esiste praticamente alcun copyright nel diritto, ovvero dove l’utente comune non ha supporto ufficiale per alcun software, che e’ regolarmente piratato, ed e’ uso NON comprare dalle case ne’ il software ne’ i contratti di manutenzione. Inoltre, il primo focolaio e’ stato rilevato in Bielorussia e non in Iran. Anche in Bielorussia le abitudini degli utenti non sono molto diverse, riguardo all’autenticita’ (e quindi al supporto) del software. Sembra vi sia una correlazione piu’ alta tra focolai e pirateria del software, rispetto alla correlazione tra focolai e nemici di Israele: oggi e’ stata colpita anche la Cina, per dire, e il virus si sta diffondendo anche in India, che di israele e’ fervente partner commerciale.
Essere la nazione piu’ infettata non implica di essere la piu’ colpita. Un virus che si attiva solo quando si usa uno specifico software puo’ diffondersi sul 100% dei computer, ma sino a quando non ha trovato il PLC di Siemens non fara’ danni. Infezione non significa danno, quindi non necessariamente significa obiettivo dell’attacco.
Il virus richiede la conoscenza dei sistemi, quindi e’ un’opera di spionaggio. Sarebbe stato vero anni fa. Ma oggi il lavoratore e’ precario, e il tecnico che lavora sui PLC e’ un povero indiano sfruttato e sottopagato, con un turnover altissimo. Come scrive Pahlaniuk in “Fight Club”, non devi fare il cazzone con noi, perche’ noi ti laviamo i calzini. Se cominciate a fare turnover tra i dipendenti, perche’ “nessuno e’ indispensabile”, di segreti industriali ne usciranno e a iosa, senza chiamare gli 007. Del resto, le caratteristiche del PLC di Siemens sono pubbliche. Se domani mi licenziassero in maniera brutale, per dire, potrei fare lo stesso sui sistemi di diverse telco. Attribuire ai servizi segreti delle fughe di notizie che escono dalle aziende insieme ai precari licenziati e al turnover dei dipendenti e’ assurdo. Nessuna azienda puo’ permettersi di sostituire il 70% del personale in 5 anni e poi dire che se l’informazione esce e’ colpa di un servizio segreto. Non siate ridicoli. Guarda caso, poi, il virus esplode in Bielorussia, Iran, Cina e India, mete predilette di predazione di ingegneri informatici a basso costo e outsourcing.
Il software e’ molto complesso. Quasi tutti i worm e i rootkit lo sono. Il software, si dice, e’ scritto in parte in C e in parte in C++. Dunque? Il virus usa, per passare agli antivirus, delle chiavi industriali uscite da due aziende taiwanesi, dunque e’ stato necessario rubarle. Taiwan. Ancora, cioe’, outsourcing area. Continuate pure a licenziare gente, a spremerla come schiavi, a farla lavorare 16 ore al giorno, a cambiare il 90% del personale ogni 10 anni, e poi accusate pure la SPECTRE se dall’azienda escono chiavi crittografiche e segreti industriali. Io stesso ho le chiavi RSA con le quali potrei fare phishing e simulare diversi siti web di alcune telco. Le ho sul mio portatile personale. Appena cambio progetto, se non le cancello, potrei scriverci un virus e simulare il sito web di una telco. Quindi?
Sviluppare un software cosi’ complesso richiede le risorse di una nazione. Palle. Si sviluppano opensource anche piu’ complessi, completamente gratis, o quasi.

Il software contiene citazioni del libro di Ester, dunque e’ israeliano. Certo, come no. A parte che sono migliaia i virus (Armageddon, per dirne uno) che contengono citazioni bibliche, di solito i servizi segreti non sono usi firmare gli attacchi. Un cartello “e’ stato il mio vicino di casa” non e’ esattamente un indizio di colpevolezza… contro il vicino di casa.
La mia personale idea e’ che non ci siano tutte queste prove del fatto che Stuxnet sia un attacco degli israeliani o degli americani all’ Iran. Sembra piuttosto un attacco alla Siemens, nei fatti.
Perche’ i fatti sono che l’entita’ che ha subito piu’ danni e’ Siemens, non il programma nucleare iraniano.

Devo fare dietrologia? Va bene, ma allora mi sforzo di essere logico:
Si tratta di un attacco industriale condotto contro Siemens per sabotarne la credibilita’ in Cina. Cosa che e’ effettivamente successa, e Siemens rischia di perdere diverse commesse col governo cinese.
Si tratta di un attacco che ha sfruttato la vulnerabilita’ dei mercati ove e’ piu’ diffusa ed impunita la pirateria, nei quali il virus si propaga meglio. Non e’ possibile per Microsoft aggiornare automaticamente la massa enorme di windows piratati in Iran, Bielorussia, Cina, India. E probabilmente nemmeno per Symantec.
L’allarme per il “primo uso militare di un virus”, tesi mai dimostrata, sembra zittire le polemiche nate dopo le ultime leggi di Obama riguardanti il controllo di Internet. Le aziende hanno paura degli impatti economici, e guarda caso gli si sbandiera il pericolo di essere attaccate dalla SPECTRE con un virus. Come se i virus non esistessero da prima, e come se prima non avessero mai colpito apparati industriali.
Qualcuno voleva sabotare Siemens in Cina, e ha scritto un virus ad hoc per i sistemi di Siemens.

Fatti a favore della teoria:
Le chiavi “rubate” usate per i virus vengono da due aziende che a loro volta sono concorrenti di Siemens in piu’ di un settore.
Le due aziende hanno le risorse e le competenze che servono a sviluppare un virus.
Siemens e’ stata colpita duramente in un settore chiave.
Il governo cinese intende rinegoziare i contratti con Siemens.
L’allarme in occidente:
L’amministrazione americana vuole zittire le critiche dell’industria al proprio programma di spionaggio telematico dei cittadini.
Le aziende del settore IT possono far notare che il virus si diffonda prima e meglio nei posti ove la pirateria e’ piu’ diffusa.
Non e’ il primo virus a fare danni nel settore industriale o a colpire/infettare specifici sistemi.
E’ normalmente ignota la reale intenzione di chi scrive un virus, quindi non si puo’ realmente dire con certezza che Stuxnet sia il primo virus nato a questo scopo: sicuramente e’ quello che dissimula meno tale scopo.
Che e’ ancora una teoria del complotto, quindi va presa per quel che e’, ma almeno ha una logica chiara e non si basa su affermazioni ipotetiche e sbroccotroniche. Se proprio volete complottare, almeno fatelo bene.

Uriel
Fonte: www.wolfstep.cc
Link: http://www.wolfstep.cc/2010/10/stuxnet.html
1.10.2010

(1) Ogni volta che c’e’ questo tipo di “demo” ci viene imposto di non fare modifiche alle macchine di produzione, ogni cambio e’ sospeso e gli accessi sono tracciati.

Pubblicato da Davide

  • Fabriizio

    interessante

  • VeniWeedyVici

    Sono esperimenti progettati a tavolino per introdurre leggi piu’ restrittive nel sempre piu’ selvaggiamente informatizzato West. Cyberattacchi ai danni di computer che utilizzano programmi crackati, per vendetta sui prodotti non venduti, immaginate il mercato cinese intero ad usare programmi e sistemi operativi originali: Bill Gates, per fare un esempio, quanto sarebbe piu’ ricco? E il bello e’ che Cina e India li fanno i computer Gates e Jobs… l’ Iran usa solo programmi crackati e viene infettato di piu’. Il mercato globale a mano armata deve colonizzare anche quelle fette di consumatori…

  • TizianoS

    Evidentemente URIEL non legge Debkafile, (http://www.debka.com/) il noto sito vicino al Mossad, il quale già il 23 settembre in un “Exclusive Report” annunciava:

    Iran is under cyber threat as Obama offers nuclear negotiations

    …………debkafile’s sources disclose that Israel has had special elite units carrying out such assignments for some time. Three years ago, for instance, cyber raiders played a role in the destruction of the plutonium reactor North Korea was building at A-Zur in northern Syria.
    On Monday, too, the Christian Science Monitor and several American technical journals carried revelations about a new virus called Stuxnet capable of attacking and severely damaging the servers of large projects, such as power stations and nuclear reactors.

    All the leaked reports agreed on three points:

    1. Stuxnet is the most advanced and dangerous piece of Malware every devised.

    2. The experts don’t believe any private or individual hackers are capable of producing this virus, only a high-tech state such as America or Israel.

    3. Although Stuxnet was identified four months ago, the only servers known to have been affected and seriously damaged are located in Iran.

    Some computer security specialists report lively speculation that the virus was invented specifically to target part of the Iranian nuclear infrastructure, either the Bushehr nuclear plant activated last month or the centrifuge facility in Natanz……….

    Dopo quella data, è tutto un susseguirsi di articoli trionfanti al riguardo:

    Tehran admits Stuxnet hits industrial computers

    Stuxnet attack expands, Iran threatens war

    Iran asks for outside help against Stuxnet

    The first full-scale cyber attack on a state

    Iran is bent on avenging cyber attack, raising military tensions

    Russian experts flee Iran, escape dragnet for cyber worm smugglers

  • obender71

    Mio Dio, Debka. Cough, cough!
    Chiudete la finestra, respirate aria pulita.

  • Truman

    Un buon articolo. Vale forse la pena di ricordare che anche Microsoft è danneggiata, visto che ancora una volta si vede come Windows sia indifendibile contro attacchi mirati.

  • Truman
  • ElwoodBlue

    Bravo Uriel, preciso come sempre.

    Per quanto riguarda Debka personalmente trovo che sostenere che un sito sia “vicino” a un qualunque servizio segreto è un ossimoro in più di un senso.

    Trovo questa affermazione priva di senso perché questo implicherebbe una sorta di reciprocità, cioè che un servizio segreto decide di pubblicizzare le proprie azioni tramite un sito.
    Oppure di rivelare al mondo particolari scottanti della propria attività. tramite una sorta di sito semiufficiale.
    Oppure che ci sono agenti del Mossad che fanno delle confidenze private ai redattori di quel sito, e nessuno ha ancora ritenuto opportuno di crocifiggerli.
    Che minchiata.

    Non ho dubbi che questo tipo di reputazione pubblicitaria sia accettata (e probabilmente provocata) molto volentieri da Debka stesso; ma trovo che l’idea che si possano capire le cose fatte dal Mossad solo leggendo un sito internet sia di una stravaganza unica.

  • TizianoS

    Sono d’accordo in linea di massima su quanto hai scritto.

    A me premeva più che altro sottolineare l’aria trionfale con cui detto sito pubblicizzava con una serie di ben sette articoli l’operazione “Stuxnet” in Iran ai danni dei suoi impianti nucleari.

    Oggi in effetti il sito Debkafile pubblica solo il seguente trafiletto sulla questione: “Small leak in storage pool holding fuel – not computer worm – delays Bushehr reactor start-up, says Iran’s nuclear chief Ali Salehi Monday • He claimed problem fixed •”

    Quindi il problema secondo gli iraniani sarebbe stato risolto, ma non si capisce se si riferiscono alla perdita di combustibile o al virus.