Stuxnetworm valt Nederlandse multinational aan
Een grote leverancier van industriële sorteersystemen heeft twee aanvallen van de gevaarlijke Stuxnet-worm afgeslagen. De kerncentrale Borssele is inmiddels in hoogste staat van paraatheid.
Een grote leverancier van industriële sorteersystemen heeft twee aanvallen van de gevaarlijke Stuxnet-worm afgeslagen. De kerncentrale Borssele is inmiddels in hoogste staat van paraatheid.
Stuxnetworm valt Nederlandse multinational aan
Een grote leverancier van industriële sorteersystemen heeft twee aanvallen van de gevaarlijke Stuxnet-worm afgeslagen. De kerncentrale Borssele is inmiddels in hoogste staat van paraatheid.
Willem van der Craats, corporate ICT-manager van Vanderlande Industries uit Veghel, heeft slechts vaag gehoord van Stuxnet. Maar na ruggespraak blijkt dat de geavanceerde worm ook systemen van zijn concern heeft aangevallen. "Ik heb navraag gedaan, en op onze systemen in India en Engeland is inderdaad Stuxnet aangetroffen. We hebben het verholpen, want de antivirussoftware heeft het afgevangen," vertelt Van der Craats opgelucht.
Bagagesysteem Schiphol
Vanderlande Industries is geen kleintje. Het concern zet ruim een half miljard euro per jaar om en heeft vestigingen in tien Europese landen, de VS, China en India. Vanderlande maakt geavanceerde sorteer- en distributiesystemen voor de industrie, de transportsector en luchthavens. Schiphol, Heathrow en Charles de Gaulle gebruiken bagagesystemen van Vanderlande.
De innovatieve Veghelse technologie maakt volop gebruik van processtuur- en controlesystemen (SCADA) van fabrikant Siemens. Net als talloze andere fabrieken, energiecentrales, (drink)waterbeheerders en havenbedrijven. Veel, heel veel vitale infrastructuur, vooral in Europa, draait op Siemens-systemen, waaronder Simatic WinCC en Step 7 software.
Ingenieus cyberwapen
En precies op WinCC en Step 7 heeft de kwaadaardige Stuxnet-worm het gemunt. WinCC is visualisatiesoftware voor het monitoren van geautomatiseerde processen. Step7 is voor ingenieurs die software maken en configureren voor programmable controllers van Siemens die dienst doen in fabrieken en productieprocessen.
Stuxnet is een supergeavanceerde tientrapsraket die zich via maar liefst vier verschillende zeroday-gaten in Windows in WinCC en Step 7 nestelt. Vanuit daar kan het cruciale bedrijfsprocessen bespioneren en manipuleren.
Stuxnet zou het speciaal voorzien hebben op het Iraanse nucleaire programma, stellen experts na analyse van de broncode en het infectiepatroon van de worm. De malware wordt gezien als de meest ingenieuze ooit, waardoor de verdenking sterk uitgaat naar een geheim cybercommando, wellicht van Israël of de VS.
Onder de radar
Zo heeft Stuxnet de net voltooide Iraanse kernenergiecentrale bij Bushehr getroffen. Het opstarten van deze centrale is onlangs met zeker vier maanden uitgesteld, maar Iran ontkent elk verband met Stuxnet. Wel erkent het regime dat er infecties zijn geweest en heeft het enkele arrestaties verricht in verband met 'nucleaire cyberspionage'.
De oorsponkelijke Stuxnet-worm, die al ruim een jaar oud is, sprong alleen van systeem naar systeem via usb-sticks. Dat lijkt primitief, maar het is exact de bedoeling. Want praktisch alle SCADA-systemen zijn - juist uit veiligheidsoverwegingen - stand alone: niet verbonden met een netwerk en al helemaal niet met internet.
Het uitvoeren van updates en het kopiëren van logfiles gebeurt daarom meestal met een...precies, usb-stick. En omdat Stuxnet zich hierdoor nauwelijks verspreidde bleef het lange tijd onder de radar van industriële systeembeheerders en antivirusbedrijven.
Collateral damage
Toch vermoedt onder meer antivirusbedrijf Symantec, dat zojuist een uitgebreide analyse van Stuxnet heeft gepubliceerd, dat die eerste versie zijn doel niet heeft bereikt. Daarom werd een tweede, agressievere variant ontwikkeld die zich ook via netwerken vermenigvuldigt. In plaats van de lasergeleide raket lijkt het nu meer op een clusterbom.
Met als gevolg dat inmiddels honderduizenden, zo niet miljoenen pc's zijn getroffen, waaronder die van talloze Chinese fabriekssystemen. Mogelijk is zelfs een Indiase satelliet onklaar gemaakt. Het is de collateral damage van Stuxnet.
Security-experts vrezen echter dat andere hackers met Stuxnet aan de haal gaan en nieuwe varianten loslaten, die nog veel besmettelijker zijn, met als doelwit miljoenen kwetsbare Windows-systemen.
Want Microsoft heeft weliswaar al meerdere patches uitgebracht, maar die zijn niet beschikbaar voor verouderde pc's met Windows XP SP 1 of 2. Dit geldt voor circa een kwart van de particuliere pc's en bijna de helft van alle bedrijfscomputers. Bovendien zijn twee van de vier misbruikte kwetsbaarheden nog niet verholpen.
Onwetend
De dreiging Stuxnet staat echter nauwelijks op de kaart bij de industrie, blijkt uit een korte rondgang langs technische automatiseerders. Sommigen hebben er überhaupt niet van gehoord, anderen komen met de reflexmatige reactie: het speelt hier niet, onze systemen zijn veilig.
"Dergelijke SCADA en PLC-systemen (programmable logic controller) zitten geïsoleerd op locale systemen en netwerken. Die zijn strikt gescheiden van internet", aldus Wijnand van Asseldonk, operationeel manager van Task24, een grote dienstverlener in de technische automatisering. "We hebben van onze opdrachtgevers hierover nog niets gehoord. En we hebben het er zelf eigenlijk ook niet over."
Kerncentrales draaien niet op Windows
Volgens Siemens valt het ook allemaal wel mee. "We hebben hier in Nederland geen problemen, voor zover ik weet. We hebben in juli hierover met onze klanten gecommuniceerd en een update uitgebracht. Er zijn wereldwijd 15 aanvallen gemeld, allemaal zonder nadelige gevolgen voor productiesystemen", sust de woordvoerder van Siemens Nederland.
"We gaan niet mee met al die speculaties over gehackte kerncentrales. We willen het niet downplayen, maar er is geen harde informatie over. We zijn bovendien direct noch indirect betrokken bij het nucleaire programma in Iran", verzekert de zegsman. "En kerncentrales werken sowieso niet onder Windows."
Draait de enige kernenergiecentrale van Nederland, Borssele, ook niet op Windows? "Ik kan u zulke details niet geven, ik hoop dat u dat begrijpt", aldus de woordvoerster van EPZ, de eigenaar van de kerncentrale. "Ik kan u wel vertellen dat we Siemens systemen gebruiken." Het nucleaire complex werd begin jaren zeventig zelfs door Siemens gebouwd.
Borssele op defcon 1
In Borssele, een nationale infrastructuur, zijn ze een stuk alerter op Stuxnet. "We zijn al een tijd op de hoogte van dit virus. We worden in een zo vroeg mogelijk stadium op de hoogte gesteld bij dit soort problemen. We hebben diverse voorzorgsmaatregelen genomen om infectie te voorkomen", verzekert de zegsvrouw.
EPZ is dan ook een belangrijke participant in de Nationale Infrastructuur ter bestrijding van Cybercrime, kortweg NICC. "We hebben hierover regelmatig contact met Govcert en NICC, in de nucleaire werkgroep." Govcert publiceerde begin augustus een factsheet over Stuxnet.
Binnen de NICC zijn er verschillende gremia die zich momenteel met de worm bezighouden, zoals voorgenoemde nucleaire werkgroep en een groep voor de hele energiesector. Er is zelfs een overlegorgaan speciaal voor SCADA-systemen, zoals het gewraakte Siemens WinCC.
Zelf draagt de woordvoerster van EPZ haar steentje bij aan de waakzaamheid. "Ik volg met Google Alert allerlei berichten over Stuxnet. Het heeft zeker onze aandacht."
Patch genegeerd
Dat is een heel ander geluid dan uit de industrie. Want de 'communicatie' van Microsoft en Siemens over Stuxnet is door weinig automatiseerders gehoord of serieus genomen. Bedrijven blijken of helemaal niet op de hoogte, of zien geen noodzaak voor de updates. Van Asseldonk van dienstverlener Task24 weet dan ook niet één bedrijf dat de belangrijke Simatic-patch van Siemens heeft uitgerold.
Bij multinational Vanderlande Industries is het niet anders. Tot nog toe dan. ICT-manager Van der Craats: "Voor zover ik weet hebben we de update van Siemens op onze systemen nog niet geïnstalleerd. We zijn dat momenteel direct aan het onderzoeken. Ik ga dit nu allemaal wel even controleren."
Eerder in het Dossier Stuxnet:
19 juli: Malafide shortcuts kapen Windows
20 juli: Wormwerende inlogwijziging saboteert beheersysteem
22 juli: Veel aanvallen via shortcut-lek Windows verwacht
26 juli: Iran blijkt doelwit Windows shortcut-worm
28 juli: Microsoft raadt externe afweer shortcut-lek af
31 juli: Noodpatch voor Windows shortcut-lek
4 aug: Veel kritieke systemen krijgen geen XP-patch
15 sept: Microsoft laat twee gaten voor Stuxnet-worm open
23 sept: Stuxnet-worm update zichzelf via p2p
27 sept: Stuxnet besmet Iraanse kerncentrale
28 sept: Stuxnet-worm laat backdoor achter
Wat een mooie comments jongens! (test)
In theorie. In de praktijk heb je te maken met nog niet gedichte lekken en menselijke systeembeheerders die fouten maken. Dat zijn twee zaken die je wel kunt proberen te minimaliseren maar die je nooit kunt uitbannen.
Je zult dus moeten leren leven met deze altijd aanwezige factoren.
Dus het maakt wel degelijk uit om geen OS te kiezen waar je meer gevaar loopt slachtoffer te worden door (onder andere) deze factoren.
Ja, dan kan je er zeker voor kiezen. Immers kan je er voor kiezen om het OS compleet op slot te zetten waardoor de risico's binnen de gestelde voorwaarden blijft.
Net zo goed dat je er voor kan kiezen om een OS als Linux compleet open te zetten.
Nou, laat ik me er ook maar even in mengen. Om met de deur in huis te vallen: ik zet liever een IT'er achter een Windows machine dan een noob achter Linux.
Ik snap sowieso al niet wat je USB-Stick van thuis op je werk doet, op een computer die notabene aangesloten staat op het meest kritieke netwerk van het bedrijf, waarbij beschadiging voor miljoenen euro's schade kan zorgen.
Volgens mij, maar ik kan natuurlijk ook gewoon dom zijn, is de sterkte van de beveiliging afhankelijk van de zwakste schakel. Zowel in het geval van Windows als Linux is dat de eindgebruiker.
Als ik wil krijg ik met pakweg drie keer klikken zowel een Windows als een Linux systeem onveilig. Het is de taak van de systeembeheerder om ervoor te zorgen dat dát onmogelijk wordt gemaakt. En dáár wordt 9 van de 10 keer gefaald.
Net zoals jij ook jouw mening mag hebben die niet op waarheid hoeft te berusten.
Stel, alle OS'en zijn even sterk en (on)veilig. Is het dan slim om voor een OS te kiezen waar honderduizenden virussen/malware/trojans voor rondwaren en die, ook al hangen je systemen niet aan het internet, je personeel daar vrolijk allerlei rommel, bedoeld of onbedoeld, op kan installeren via usb-sticks die ook op hun (bsmette) thuis-pc's gebruikt worden?
Dat is jouw mening en die mag je in Nederland nog hebben. Maar daarmee hoeft het nog niet op waarheid te berusten.
In praktijk blijkt dat Windows nagenoeg even dicht te zetten is als menig Unix of daar van afgeleide systemen. Het is meestal het bedrijfscultuur die dat bepalend maakt. In feite is het dus een organisatorische probleem die het mogelijk maakt dat men bij dergelijke belangrijke infrastructuren een besmetting van dergelijke malware oploopt.
Dat blijkt wel want functioneel gezien zijn ze er wel.
Zie onder andere Dynamic linking:
Dat gezever over Windows/Linux en het puur elkaar pesten met feiten die toch niemand wat interesseert hangt me een beetje de keel uit ondertussen.
Ik ben gewend om de reacties te lezen van Webwereld gebruikers omdat daar regelmatig zaken tussen staan waar ik nog wat van kan leren, maar hoe kan het toch dat bij bijna iedere security issue weer een nieuwe oorlog losbarst? Niemand zit daar op te wachten en elkaars respect als ict'er heb je nu toch al verspild. Nieuwe flame war, niets veranderd. Kap daar nou eens mee.
Alvast bedankt.
Nee. Fout.
Als derkeiler in 2008 een exploit heeft gemaakt die de kwetsbaarheid van 1993 gebruikt, dan loopt hij/zij een beetje achter. Jij gaf zelf de link naar die bug, zoals door US-CERT gerapporteerd. Jij bracht hem daarmee in verband met derkeiler's (overigens nooit teruggeziene) exploit. Als je op een Win7 bakkie werkt, maak je je toch ook niet meer druk om een bug in Win 3.11?
Ik wil de mogelijkheid niet uitsluiten dat derkeiler van een andere bug gebruik maakte. Als dat exploit al werkte. Alleen is jouw US-CERT link dan, laat ik het vriendelijk zeggen, overbodig.
Zonder derkeiler's exploit kom je er niet achter
- of het exploit werkte
- op welke (vermeende?) bug het exploit zou ingrijpen
Als iemand beweert dat er een ernstig lek in OpenVMS zit, mag die dat lek aanwijzen. Op dit moment heb je alleen nog maar een allang verholpen bug uit 1993 gemeld. Da's wat mager.
Zitten er bugs in OpenVMS? Waarschijnlijk wel.
Zitten er lekken in OpenVMS? Ik kan ze niet aanwijzen. Ik heb derkeiler ze ook niet zien aanwijzen.
Ik herhaal mijn vraag: waar is de link naar een geslaagde inbraak op een OpenVMS-systeem?
Heb ik nooit beweerd. Ik zeg dat het hondsmoeilijk is, en op een half fatsoenlijk beheerde machine nagenoeg onmogelijk.
Ik heb zelf OpenVMS-systemen gehackt. Weet je nog?
oh.. nu is er ineens sprake van een andere bug.. hoe kan da tin een systeem waar nog nooit iets mee is fout gegaan ;)
Kom op, je stelling is onhoudbaar en nu aantoonbaar onjuist. Net zoals in ieder OS zitten er fouten in en maakt men daar ooit misbruik van. Face it.. Weer een sprookje minder.. pfff.
Vandaar ook de eerdere link waarin o.a dit staat
These are generally statements by people who know next to
nothing about VMS.Dat lijkt me een aardige typering ;)
US-CERT berichtte in 1993 al dit:
A remedial kit is now available for OpenVMS AXP V1.0 and OpenVMS V5.0 through V5.5-2 (including all SEVMS versions V5.1 through V5.5-2 as applicable) by contacting your normal Digital Services Support organization.
In de exploit van derkeiller zou de inhoud van een logical als executable moeten worden opgevat. In de exploit moet naar een geheugenplaats geschreven worden waar het inbrekende proces normaal niet bij zou mogen om de privileges van dat proces te verhogen. Als je page-management goed dichtgetimmerd is omdat je braaf je OpenVMS-patches hebt uitgerold, dan is schrijven naar die geheugenplaats geblokkeerd.
Als het om een andere bug in OpenVMS gaat mag jij of derkeiler die aanwijzen. Ik heb er nooit meer iets van gehoord.
Het betekent dat de fout in 1993 in OpenVMS al hersteld was en de fout in 1993 en nog een keer in 2003 via US-CERT publiek is gemaakt.
Verder van dezelfde site:
Thanks to Digital Equipment Corporation for reporting this vulnerability.DEC hield in 1998 op te bestaan. Rapporteren van de fout aan US-CERT is dus ergens tussen 1993 en 1998 gebeurd.
Kul.
jazeker, daar blijkt uit dat er al tenminste sinds 1993 gaten in zaten die jij nu.. 17 jaar later nog niet wilt erkennen. Dat lijkt me op zijn minst opmerkelijk ;)
Fix:Van je link.
Lees jij je eigen links wel?
We have informed HP about the problems (we did this about two months
ago
nog traag ook...
de exploit is er en hij is bekend bij een groep.
wat die beginnerscursus betreft, die sluit goed aan bij jouw opmerkingen hier.
kijk even bij CERT zou ik zeggen, oh ja dan moet jij weer een linkje hebben. Zoeken kost je tijd ;)
komt ie.. [Link]
Heb ik gedaan.
Kreeg nog minder hits dan Jan Smits ooit in Amerika zal hebben.
Met openvms hacken bedoel ik sysprv of bypass bemachtigen. Je links geven geen informatie die dat dichterbij brengen. Wel een cursus DCL voor beginners.
Nogmaals: waar is de link naar een succesvolle inbraak in openvms?
Dus ik mag het bewijs zoeken voor jouw bewering. Je lijkt Geert wel. Eerst wat beweren en het dan niet meer willen bespreken.
Ik denk dat het OS er wel toe doet. Hoe krijg je zo'n worm in een centrale wanneer de bedrijfssystemen niet aan het internet gekoppeld zijn? Juist, door de windowsdozen van de medewerkers te besmetten die op hun beurt ongemerkt de bedrijfssystemen besmetten d.m.v. usb-sticks. In zo'n situatie maak je het een stuk moeilijker voor zo'n worm door geen windows te gebruiken.
Allen,
Nogmaals zal ik melden dat het OS er niet toe doet. De protocollen die gebruikt worden op SCADA platformen bevatten in de meeste gevallen 0,0% aan enige beveiliging.
Als zou de software op FreeBSD draaien, als een PLC via een replay-attack van het protocol kan worden uitgeschakeld, dan is er serieus iets veel belangrijkers aan de hand.
PietT,
Het is natuurlijk onbekend hoeveel OpneVMS gehackt is omdat bedrijven hacks niet graag aan de grote klok hangen. Bij elk OS zullen we die twijfel blijven houden.
Objectieve gegevens zijn er nu eenmaal niet.
Het is redelijk waar, de wereld gonst ervan; kreten als:"een nieuw malware tijdperk is aangebroken" of "geen cybercrime meer maar cyberwar"!
Vraag eerst even aan siemens waarom het admin password zo kwetsbaar is....
Ik weet dat je populaire tactiek is om naar de bekende weg te vragen. In dit geval verwijs ik je naar de betreffende topics op het ubuntu forum. Dat moet je toch lukken ;)
Aannemend dat klopt wat WW hier schrijft, denk ik gelijk: "Welke Oen hangt nu zo'n systeem direct aan het internet.
Hoe zit 't daar met de "veiligheid" Wordt dat net zo'n placebo-begrip zoals dat vandaag de dag te pas en te onpas door de heren politici in de mond wordt genomen en uiteindelijk gaat uitmonden in het "Ministerie van Veiligheid".
Zie het er nog een keer van komen dat, in geval dat wat met Iran te maken heeft zoals webdev hierboven oppert, de poging om het nucleaire programma daar te saboteren, men door "een foutje" de eigen spullen opblaast.
Ja, kosten nog moeite lijken gespaard om stuxnet "up-and-running" te krijgen, vermoedelijk gericht op een Iranees nucleair complex. Mogelijk is de aanval geslaagd, het Iranese project liep veel vertraging op.
Wie zaten erachter, Israelies, Amerikanen ???
Wie er ook achter zaten, geen hackers-clubje. Als het Siemens SCADA systeem op Unix of OpenVMS gedraaid zou hebben, dan zou er vermoedelijk een Unix of OpenVMS Stuxnet-versie gebouwd zijn, zoals gezegd; kosten nog moeite zij gespaard.
Maar toch blijft het onbegrijpelijk waarom producenten als Siemens bij de bouw van software voor kritieke systemen zoals SCADA, kiezen voor het notoir onveilige windows platform.
Ik wil niet beweren dat Stuxnet niet geschreven zou zijn als Siemens SCADA op bijv. OpenVMS zou draaien maar bij het bouwen van software voor kritieke systemen behoort men ALLE bekende of theoretische veiligheidsrisico's te voorkomen. Dat betekent dus dat per definitie NIET voor een windows platform gekozen wordt.
En op welke os sen. We weten ( zie recente oa webwereld stukken) dat er diverse reeds lang bestaande gaten zaten in o.a linux die al jaren misbruikt kunnen worden.
Aan gezie daar zeldeb of noit een virusscanner gebruikt wordt is de kans dat ze opgemerkt worden gering. Dus wachten op de grote klapper daar....
Lees je eerst eens wat in...
[Link]
En wat recenter defcon16
[Link]
ik hoop het van harte :-)
Ooit van goede code en internetverbinding gehoord?
@Thieu. Ik heb nergens over DLL gerept. Ik weet niet bijster veel van Linux maar wel dat er geen DLL's zijn.
Bron?
Oowww... smiley gemist, dus het is niet serieus bedoeld. Sorry ;)
Het heeft er de schijn van dat van de afdeling hackers er ongeveer 6 in een half jaar een doorwrocht virus schreven, gebruikmakend van de research die de anderen van die afdeling uitvoeren.
Met een dergelijke inspanning en organisatie is alles te kraken of het nu Windows, Linux of whatever heet. En netwerkbeheerders die hier beweren dat zij dat soort spul wel in de gaten krijgen, geloof ik niet.
Het is een goedkope manier van oorlogvoeren, een beetje straaljager kost vele malen meer. Je kunt zo aan veel gegevens komen, China schijnt met virussen de Dalai Lama te hebben afgeluisterd, zo nieuw is de methode niet.
Hoe geniaal ook, Stuxnet bevatte een foutje: het verspreidde zich vlot buiten het target waardoor het in de gaten liep. Interessante vraag is dus hoeveel van dit soort virussen worden ingezet zonder dat foutje waardoor die niet in de gaten lopen?
De belangrijkste drempel is de beroerde usb support van alle pre .32 kernels ;)
Grote jongen hoor, zijn je argumenten niet sterk genoeg dat je dergelijke denigrerende opmerkingen moet maken?
Het kan allemaal, maar hoeveel van dergelijke malware gaat er rond?
Een OS gebruiken wat niet door jan en alleman gebruikt wordt verlaagt de kans op infecties via besmette usb-sticks. Tegen de tijd dat alle malware net zoveel schade aanricht op Linux als op windows wordt het een ander verhaal.
We hebben het hier over een professioneel geschreven en geplaatst virus specifiek met een doel.
Jouw hobbysysteem is daar net zo gevoelig voor aangezien alle normale beveiligingen gepasseerdworden. Daarnaast zijn er gebruikers bij beyrokken die het geplaatst hebben. Stop nu eens met je lixnuxloekuetaal en toon aan dat je begrijpt waar het hier over gaat. Windows is hier het vervoersmiddel en dat had net zo goed bsd,linux,apple etc kunnen zijn geweest.
Hoe dan? Kan Linux-malware windows-pc's besmetten en zichzelf verspreiden via usb-sticks middels de autorun-functie in windows?
Als gemiddeld 99% van de medewerkers geen Linux gebruikt thuis, dan is de kans dat dergelijke malware op een Linux bedrijfssysteem terecht komt toch veel kleiner dan wanneer je windows gebruikt en elke prive-usb-stick van medewerkers een risico vormt?
Hoezo wormpje !!!!???
Kijk hier eens.
Het gaat niet om windows of linux maar om de combinatie windows-stuxnet. En die is levensgevaarlijk.
Weinig keuze dus.
Simpele dooddoener. In verhouding tot de belangen die op het spel staan moet het een simpele ingreep zijn om de functionaliteit die software als SCADA biedt, beschikbaar te krijgen op veiliger platforms.
Ik kan me ook niet voorstellen dat de opkomst van stuxnet geen vergaande gevolgen zal hebben op het gebied van beveiliging.
Het gaat hier weer nergens over.
We hebben een wormpje dat toevallig op platform X geschreven is. Vervolgens krijgen we hier weer de gebruikelijke shitload aan pro linux/ pro MS stellingen. Daarna is het weer lekker flamen tegen elkaar. Wat schiet je hier mee op?
Is het kinderspeeluur nu over?
De benodigde software draait nou eenmaal op windows. En voor linux bestaat ie niet.
Weinig keuze dus. En weinig ruimte voor een windows/linux discussie. Ik draai hier op de zaak ook linux, ik ben er een groot voorstander van, maar als het op SCADA aankomt zit ik vast aan windows.
Die verspreid zich via Linux net zo snel. Percentages doen er helemaal niet toe in deze. De hele discussie hier over windows/linux is werkelijk te onbenullig voor woorden en volledig misplaatst.
Als die systemen op linux konden draaien werden de projecten ook via dezelfde besmette USB stick besmet. Maar goed, WINCC draait alleen op windows en niet op linux.
Dat virus is een product van de overheden van de VS en Israel in samenwerking met MS, dat dan weer wel.
Ben bang, waarde Gregorius, dat uw eigen interne systeem zich op dit moment in een echte kernel-panic status bevindt.
Waarom zou er via een usb-stick geen stuk code verspreid kunnen worden, welke door elk platform, elk OS verwerkt zou kunnen worden.
Dacht dat zoiets platform onafhankelijke software genoemd werd.
Op hoeveel verschillende OS'en draait Java en kunnen java-applets in willekeurig welke browsers dan ook geactiveerd worden?
Dan gaat die worm op een Linux-systeem op zoek naar de juiste DLL en die vind ie niet.
Een serieuze systeembeheerder heeft daar een oplossing voor. Met iptables kun je zo een rule toevoegen die er voor zorgt dat iemand slechts een aantal keer per minuut mag inloggen. Verder wordt mislukte inlog akties gelogd en de systeembeheerder kan dat na pluizen waar dat afkomstig van is. Sterker nog, je kunt automatisch een notificatie van ontvangen.
Ik wil hier nu niet mee zeggen dat Linux zo geweldig is (tenminste voor mij wel), maar wel dat een goed getrainde netwerk-/systeembeheerder dat soort zaken kan beveiligen.
Kijk, je zal nooit weten wat voor gaten in een OS in de toekomst misbruikt kan worden. Een systeembeheerder kan ook niet alles weten. Maar het is denk ik wel van belang dat voor allerlei mogelijke scenaro's de zaak goed beveiligd is.
@Gregorius,
Statistisch gezien is de kans dat jij meer Linux gebruikers kent dan iemand die nooit Linux gebruikt of er zelfs van gehoord heeft. Je zoekt/ontmoet mensen gelijke interesse, tijdens opleidingen of werk bijvoorbeeld. Dus ja, ik ben van mening dat een worm zich dan via USB nog steeds kan verspreiden. Wel zal de verspreiding veel trager zijn dan bij een internetbesmetting.
De vraag is, net als bij echte virussen (bij mens en dier) of het virus/worm zich sneller kan vestigen dan er anti-maatregelen kunnen worden uitgerold. Wat bij Stuxnet versie 1 klaarblijkelijk ook het geval is geweest. Je hebt gelijk maar ook weer niet helemaal.
't klinkt als windows-bashing, is het misschien ook, maar:
- stuxnet draait alleen op windows
- antivirus software biedt schijnveiligheid
- stuxnet is waarschijnlijk de meest geniale malware ooit
Conclusie: Houdt je verre van windows (binnen alle fases van (PLC)software ontwerp en later bij installatie, configuratie, beheer of waar dan ook).
Windows maakt in feite deel uit van dit hele malware systeem.
Virusscanners bieden schijnveiligheid. Als je daar op vertrouwt kom je bedrogen uit. Jammer maar waar.
Ik ging er misschien te gemakkelijk vanuit dat iedereen hier het nieuws rondom de stuxnetworm wel gelezen zou hebben. Het staat namelijk gewoon
hier op webwereld. Ik heb het er dus niet "met de haren bijgesleept".
Maar laten we niet afdwalen. Je bent dus wel met me eens dat zo'n worm zich op Linux veel moeilijker c.q. trager kan verspreiden op windows.
Dat betekent dus dat je met Linux meer tijd hebt om maatregelen te nemen zodra iemand hem ontdekt. Het is dus niet zo dat dan binnen een dag talloze systemen besmet zijn omdat de virusdefinities nog niet bijgewerkt zijn zoals op het windowsplatform vaak voorkomt.
Domste uitspraak ooit en dat noemt zich een ict'er!! die moest zich schamen. Ontslag voor deze persoon
Je hebt helemaal niks verholpen. Zo gauw ik stuxnet door een PE infector haal zie je hem niet en kan die nog schade veroorzaken. Lijkt het kinderporno filter verhaal wel.
je eerste reactie
"
Ja, en? Hoe kan zo'n speciaal voor Linux vervaardigde worm zich verspreiden wanneer 99% van de desktopgebruikers geen Linux gebruikt?"
maakt geen melding van usb sticks, dat heb je er later met de haren bijgesleept.
Je zal wel gek zijn, als het al mogelijk was, om dergelijke software via Wine te laten draaien; de kern van stuxnet bevindt zich in een dll en die wil je juist niet activeren.
Nee, dat kan ik niet. Volgens mij heb ik nooit beweerd dat er zoiets als een perfect OS bestaat. Wat je wel kunt doen is de kans op besmettingen zo laag mogelijk maken. Mijns inziens doe je dat niet door een OS te gebruiken waar honderduizenden virussen/malware/trojans voor rondwaren en die, ook al hangen je systemen niet aan het internet, je personeel daar vrolijk allerlei rommel, bedoeld of onbedoeld, op kan installeren via usb-sticks die ook op hun (bsmette) thuis-pc's gebruikt worden.
Dank voor je denigrerende opmerkingen. Je bent ijzersterk in het analyzeren van persoonlijkheden en hun vaardigheden c.q. opleiding.
Ik wens jouw ook alle goeds toe.
Ik heb OpenVMS systemen gehackt, maar dat lukte me niet zonder escalatie van privileges die om te beginnen al niet hadden mogen worden uitgedeeld.
In de praktijk is het hondsmoeilijk - nagenoeg onmogelijk bij half fatsoenlijk beheer - om in te breken. Ik heb er in elk geval geen voorbeeld van.
Misschien een idee om een link te plaatsen naar waar een succesvolle inbraak in een OpenVMS systeem wordt gemeld?
Heb je dat zelf wel gedaan.
Deze OpenVMS exploit beschijft een fout in Multinet, een software pakket dat draait op OpenVMS, en van lange tijd geleden.
Elk systeem, of het nu een computer is, een gebouw of iets anders, is net zo veilig als de zwakste schakel. Je kunt een bunker bouwen, maar als je er een boardkartonnen deur in plaatst loopt iedereen toch zo naar binnen.
En toch wordt een bunker als veilig beschouwt.
Zo is het ook met computers, het gebruik van OpenVMS als OS geeft geen garantie op veiligheid, maar het is hiermee wel veilig in te richten, als je ook op de gebruikte software let.
De anderen OS-en, windows voorop, zijn zelfs kaal geinstalleerd niet veilig te krijgen.
Ik blijf er daarom bij, het meest veilige OS is OpenVMS, maar 100% bestaat niet. Er zijn meer factoren die de veiligheid bepalen, maar ik zou beginnen met een goed OS.
Wel, het lijkt erop dat er een geweldige markt opengaat om SCADA software op een ander platform dan windows te draaien.
De realiteit is dat besmettingen steeds vaker plaats vinden via usb-sticks, door gebruikers/medewerkers die vaak thuis hetzelfde (besmette) OS gebruiken.
... maar ook via malafide usb-sleutels.
Stel, je hebt je pantservoertuig zoveel mogelijk bomvrij gemaakt omdat er het gevaar bestaat van bermbommen. Toch ga je niet voor de lol door een mijnenveld rijden.
Stel, alle OS'en zijn even sterk en (on)veilig. Is het dan slim om voor een OS te kiezen waar honderduizenden virussen/malware/trojans voor rondwaren en die, ook al hangen je systemen niet aan het internet, je personeel daar vrolijk allerlei rommel, bedoeld of onbedoeld, op kan installeren via usb-sticks die ook op hun (bsmette) thuis-pc's gebruikt worden?
Hierbij ga je om te beginnen al totaal voorbij aan de vraag of ze in het geval van linux voor usb sticks gekozen zouden hebben.
Verder twijfel ik er niet aan dat als dit een miljoenen operatie van een geheime dienst gaat dat ze ook methode gevonden hadden om het onder linux te verspreiden.
Kijk daarbij b.v. na zo iets simpels als de debian openssl kwetsbaarheid. Deze heeft er twee jaar in gezetten. Kun jij uitsluiten dat het je met enkele miljoenen aan resources niet een vergelijkbare exploit in de repositories krijgt?
ik en de auteur zijn niet dezelfde, lees de specs van de worm nog eens goed na. Het stukje van O'Reilly was bedoeld om aan te geven dat er geen eensluidend beeld is (een brug te ver voor je begrijp ik)
Om op je USB stokpaardje terug te komen, het zal zich langzamer verspreiden, maar verspreiden zal het zeker.
Ik besef me net dat jij zo in je eigen denkpatroon vast zit dat er geen kruid tegen opgewassen is. Ik wens je daarom veel succes met het afmaken van je middelbare school en een carriere in de ICT. Ik ken managers die net zo zijn als jou, dus er is hoop voor je.
Heel leuk weer dat geleuter over Windows en Linux hier.
Maar het is een feit dat SCADA software duur is en speciaal geschreven is op Windows. dat kun je ook niet even gaan draaien onder Wine of zo.
Dit geldt overigens ook voor veel laboratorium en verspaningssoftware.
De realiteit is dat er al lang diverse ssh wormen bestaan die zich richten op brute force aanvallen via ssh. De vraag of een worm zich kan verspreiden is wat mij betreft een achterhaalde vraag.
Hier ben ik je even kwijt. Wat schreef je over p2p?
Maar denk jij dat Linux 8% marktaandeel heeft op de desktop?
En nu voor de vierde keer, hoe kan zo'n speciaal voor Linux vervaardigde worm zich (via usb-sticks) verspreiden wanneer 99% van de desktopgebruikers/medewerkers geen Linux gebruikt?
dat p2p stukje heb je zeker weg gerationaliseerd?
Je hebt nu al twee keer mijn vraag ontweken d.m.v. afleidingsmanoeuvres en beledigingen.
Hoe kan zo'n speciaal voor Linux vervaardigde worm zich (via usb-sticks) verspreiden wanneer 99% van de desktopgebruikers/medewerkers geen Linux gebruikt?
joh, hou nou toch eens op, nog nooit gehoord van network daemons?
click
Besmette usb-sticks zijn een manier waarop de worm zich verspreidt.
Hoe kan zo'n speciaal voor Linux vervaardigde worm zich (via usb-sticks) verspreiden wanneer 99% van de desktopgebruikers/medewerkers geen Linux gebruikt?
Bullshit. Google OpenVMS exploit nou eens.
Geen miljoenen dus
[Link]
En de discussie gaat trouwens niet over desktopgebruikers, maar over bedrijven die gespecialiseerde software draaien, een kleinigheidje natuurlijk, immers het Linux evangelie moet verkondigd worden!
Ik zal nooit beweren dan OpenVMS niet gehackt kan worden, maar wel dat het een OS is dat nog nooit gehackt is.
Zoals in elk stuk software zitten er ook in OpenVMS fouten, maar deze hebben nog nooit geleid tot een inbraak. Het blijft voorlopig met stip het meest veilige multi-user OS.
Er zijn veiligere systemen maar dit zijn dedicated OS-en met een beperkte toepassing.
OpenVMS
"honderdduizenden, zo niet miljoenen"
List of viruses
Number of known computer viruses exceeds 1 million rel="external">
"99%"
Usage share of operatingsystems
De waarheid zal wel weer ergens in het midden liggen.
- Het is stom om een default wachtwoord te gebruiken wat niet of moeilijk te veranderen is in de dit soort omstandigheden.
- Gebruikers blijven lankmoedig in security. Als het wachtwoord al veranderd kan worden zullen weinigen het doen als de fabrikant het afraadt.
- Windows is gewoon gevoeliger voor virussen en malware etc. Deels door de architectuur, deels omdat er (veel willens en wtens onwetende) meer gebruikers op desktop voor zijn.
- Als het specifiek gericht is op 1 doel, dan had er ook wel een virus/malware geweest voor Apple of Ubuntu. Geen idee hoe dat gedaan zou zijn, maar ik ben dan ook niet zo'n schrijver.
Het bestrijden van deze en toekomstige (stuxnet)wormen en aanverwante ware-achtigen begint met bewustwording. Dit is het grootste probleem. Niet alleen luisteren naar beveiligingsbedrijven maar zelf logisch nadenken. En volgens mij mag je best wel paralellen trekken met "gewone"oorlog en diverse biologische processen. Uiteindelik draait het om 1 ding: Survival of the fittest (oftwel, het overleven van het organisme dat zich het best kan aanpassen en dus niet persé het sterkste organisme)
zie mijn post hieronder. staaf je cijfers met bewijs en ik geef gaarne mijn ongelijk toe.
google " open vms exploit " maar eens.
Je bent een hele vent. Iemand (anoniem) beledigen zonder zelf met een tegenargument te komen.
Hoe kan zo'n speciaal voor Linux vervaardigde worm zich verspreiden wanneer 99% van de desktopgebruikers geen Linux gebruikt?
OpenVMS ?
Draait alleen wel op EOL hardware (Alpha, Itanium).
Open Source is IMHO niet het walhalla van computer security. Capabele netwerkbeheerders en managers en verstandige eindgebruikers wel (een utopie, waardoor ICT altijd kwetsbaar zal blijven)
Als je nou eerst eens je volgende beweringen staaft met bewijs praten we daarna verder
"honderdduizenden, zo niet miljoenen"
"90%"
"99%"
Met open source heb je wel de kans dat de fout eerder ontdekt zou zijn.
Overigens is hier geen sprake van security through obscurity. Er is geen prake van een geheim protocol of encryptie.
En jij denkt dat iemand die geeneens de moeite neemt om een patch te draaien de source code uitgebreid gaat bestuderen?
Hou nou toch eens op met je domme Linux gebral, terwijl je van de hoed nog de rand weet.
Security by obscurity is al lang achterhaald, en het is fijn dat je jezelf apart en slim voelt met je Linux ding, moet de hele wereld dat dan weten?
In de Volkskrant van afgelopen zaterdag stond dat de Stuxnetworm alleen werkt op Windows machines, waaronder XP en 7.
De regering zou vanuit het oogpunt van nationale veiligheid dus het gebruik van Microsoft Windows in dit soort kritische omgevingen bij wet moeten verbieden.
Nog griezeliger vond ik de volgende zinsnede in datzelfde artikel: "De stuxnetworm maakt gebruik van een aantal tot nu toe onbekende gaten".
Dit is het zoveelste en serieuze bewijs dat security by obscurity een fictie is. De regering zou dus alle Closed Source software moeten verbieden op plaatsen waar de veiligheid in het geding is.
- Clearing houses
- Effectenbeurzen
- Besturing van vliegtuigen
- Besturing van auto's
- Medische apparatuur
- en nog een heleboel andere toepassingen.
Lekker slim van die bedrijven en die centrales om van alle bestaande OS'en uitgerekend het enige OS te kiezen
- waar honderdduizenden, zo niet, miljoenen virussen/trojans/malware voor rondwaart.
- wat door 90% van de medewerkers thuis gebruikt wordt die dan vrolijk hun eigen software (malware) kunnen installeren.
Ja, en? Hoe kan zo'n speciaal voor Linux vervaardigde worm zich verspreiden wanneer 99% van de desktopgebruikers geen Linux gebruikt?
Als ik me niet vergis staat er ook in de handleiding om je netwerk goed te beveiligen.
Wat de handleiding schrijft en mensen doen, zit vaak een groot verschil in. :S
Siemens raadt het veranderen van het standaard password zelfs af, dit om problemen te voorkomen.
Je gaat iets te snel door de bocht.
De worm besmet pc's en geen plc's. Het protocol of netwerklaag dat een plc gebruikt is irrelevant.
Plc's kunnen sinds een tijdje bestuurd worden met een ethernet-verbinding en zelfs met andere plc's communiceren via ethernet. En je weet vast wel dat ethernet niet gelijk internet is. De overstap naar ethernetverbinding is vrij logisch en ook een goede stap. De veiligheid hangt af van netwerkbeheerder en/of security manager en/of ander poppetje.
Plc's die met een pc via rs485 communiceren werden nooit veel gebruikt. Plc-fabrikanten maken veel gebruik van eigen netwerklaag en fysieke verbinding. Bij communciate tussen plc's wordt voornamelijk, en vroeger ook, gebruik gemaakt van sterker protocollen als profibus.
Het probleem is dat te veel bedrijven pc's die installaties aansturen op internet hebben aangesloten. Een goed bedrijf, ook kerncentrales, hebben vaak iets van een besturingsapparaat dat plc's kan bedienen. En dat wordt denk ik bedoeld met geen Windows.
Jammer genoeg heb ik mijn twijfels over de veiligheid binnen de slechtere bedrijven. Zoek maar eens in Siemens de standaardwachtwoord op voor een ethernet unit, dan kun je in te veel bedrijven dit wachtwoord gebruiken (of het is bedrijfsnaam - bedrijfsnaam).
noem eens een OS wat nog nooit gehackt is.
Er zijn een aantal OS-en die tot nu toe nog nooit gehackt zijn.
Je zou toch aannemen dat een kerncentrale gebruik maakt van een van deze OS-en. Zou trouwens voor veel meer systemen beter zijn. Hoeft onze overheid ook geen testen te organiseren over hoe inbraak bestendig alles is.
De corporate IT manager van een bedrijf dat grotendeels afhankelijk is van deze Siemens hard- en software heeft vaag gehoord van Stuxnet, en heeft geen idee of de systemen al zijn geupdate.
EPZ draagt zijn steentje bij door Google alerts te gebruiken.
Task24 praat er eigenlijk niet over.
God beware ons.
Verder is de inleiding van dit artikel wel erg optimistisch wanneer het gaat over een "afgeslagen aanval", het is meer "toevallig tegengehouden door het anti virus pakket, terwijl de ICT afdeling lag te slapen"
Ja, dit is bewust geschreven door een geheime dienst.
Ik weet dat ook veel productiebedrijven (bijvoorbeeld bierbrouwerijen, Stork, DSM) SCADA software gebruiken, dus het probleem kan wel eens groter zijn.
Nonsense. Ik ben een verwoed Linux gebruiker, maar dit lijkt me een onzinopmerking. Als die Siemens software op Linux zou draaien was dat virus ook voor Linux geschreven.
You have to learn Ubuntu.
Het probleem is veel groter. de bewering dat dit soort SCADA systemen strikt gescheiden van het internet zijn is pertinent onjuist, integendeel!
De meeste systemen hebben wel een verbinding met het internet. En waar er vroeger tussen de PLC's en de SCADA systemen onderling een RS485 met profibus protocol lag zit daar tegenwoordig een ethernetveerbinding met Profinet.
Sinds de industriele bussystemen meer en meer overgegaan zijn van RS485 op ethernet, en de verbindingen met internet algemener zijn de problemen ook talrijker geworden. Voor een fietsenfabriek is dit hinderlijk, maar het is duidelijk dat er genoeg takken van industrie te bedenken zijn waar het grote gevaren met zich meebrengt.
Reageer
Preview