AusCERT 2011: sâu Stuxnet thứ 2 đang sắp tới

AusCERT2011: Second Stuxnet worm on the horizon

EricByres nói sâu này đã tạo ra “một cuộc chạy đua vũtrang”

EricByres says the worm has cre-ated “an arms race”

Hamish Barwick(Computerworld), 16 May, 2011 14:55

Theo:http://www.techworld.com.au/article/386622/auscert_2011_second_stuxnet_worm_horizon/

Bài được đưa lênInternet ngày: 16/05/2011

Lờingười dịch: Nhà tư vấn về an ninh Byres có trụ sở ởMỹ đã cảnh báo “Chúng ta đã tạo ra một cuộc chạyđua vũ trang vì bây giờ các quốc gia như Trung Quốc đangkêu Mỹ đứng đằng sau cuộc tấn công vào Iran và nóichúng tôi (Trung Quốc) cũngcần một con”. Ông còn cho rằng, dù không có bất kỳkết nối nào với Internet, thì vẫn còn có 17 con đườngcó thể gây lây nhiễm cho các hệ thống SCADA, một trongsố đó là các đĩa CD cập nhật phần mềm. Byres, cũngnhư RalphLangner, tin tưởng là sẽ sớm có Stuxnet con, từ chínhcuộc chạy đua vũ trang này.

Sâu độc Stuxnet đãlây nhiễm cơ sở hạt nhân của Iran 2 năm về trước đãđưa ra một thiết kế cho những tên tội phạm không gianmạng và chúng ta có thể mong đợi thấy một sâu kháctrong tương lai.

Đó là quan điểm củanhà tư vấn về an ninh Byres có trụ sở ở Mỹ, EricByres, người đã nói cho cả đoàn tại AusCERT 2011 rằngcó lẽ là chúng ta có thể sớm thấy Stuxnet Con.

Sâu gốc ban đầu đãlây nhiễm sang máy trong nhà máy hạt nhân của Iran vàotháng 06/2009, với vật truyền lây nhiễm được tin tưởnglà bộ nhớ flash (USB). Nó đã có phương án ban đầu,được biên dịch vào ngày 22/06/2009, chỉ 12 giờ đồnghồ để lây nhiễm cho chiếc máy tính cá nhân PC đầutiên.

Sâu này đã lây nhiễmcho ít nhất 100.000 máy tính và ít nhất 22 nhà máy sảnxuất.

“Chúngta đã tạo ra một cuộc chạy đua vũ trang vì bây giờcác quốc gia như Trung Quốc đang kêu Mỹ đứng đằng saucuộc tấn công vào Iran và nói chúng tôi cũng cần mộtcon”, Byres nói. “Tôi nghĩ Stuxnet tiếp sau sẽ còntàn khốc hơn mà nó sẽ đi sau những kết nối phổ rộnglớn hơn”.

Theo Byres, Stuxnet banđầu có thể đã không thâm nhập vào trong nhà máy hạtnhân theo đường USB.

Để chứng minh điềunày, ông đã bắt đầu làm việc với nhà sản xuấttường lửa, Siemens, và đã đưa sâu vào hệ thống SCADAcủa nhà cung cấp.

“Điều đầu tiênlà việc đã có rất ít điểm khởi đầu”, Byres nói.“Mọi người đã giả thiết đó là đầu USB đã đi vàođược máy đó”.

Trong khi đầu USB làrất hữu ích, thì ông nói có thể nhà thầu đã đưa chokhách hàng các tệp của dự án đã bị lây nhiễm.

“Từng là một sựđánh cược hầu như chắc chắn điều đó đã vượtqua”, ông nói. “Nó có thể đã được truyền như mộtgói được thả vào”.

Therogue Stuxnet worm that infected an Iranian nuclear facility twoyears ago has provided a blueprint for cyber criminals and we canexpect to see another one in the future.

That’sthe view of US-based Byres Security consultant, Eric Byres, who tolddelegates at AusCERT 2011 that it was highly likely that we could seethe Son of Stuxnet soon.

Theoriginal wormmanaged to infect machinery in an Iranian nuclear plant in June 2009,with the infection vector believed to be flash memory. It took theinitial variant, compiled on June 22, 2009, just 12 hours to infectits first PC.

Theworm infected at least 100,000 computers and at least 22manufacturing sites.

“Wehave cre-ated an arms race because now countries like China areblaming the US for the Iran attack and saying we need one too,”said Byres. “I think the next Stuxnet will be cruder but it will goafter broad spectrum connections.”

Accordingto Byres, the original Stuxnet may not have got into the nuclearplant by way of USB stick.

Toprove this, he began working with firewall manufacturer ,Siemens, andreleased the worm into the vendor’s supervisorycontrol and data acquisition (SCADA) system.

“Thefirst thing was that there were very few initial starting points,”said Byres. “People assumed it was the USB key that got to thathost.”

Whilethe USB stick was very useful, he said it was likely the contractorcould have given the client infected project files.

“Itwas almost a sure bet that would go through,” he said. “It couldhave been transmitted as a d-rop package.”

Đểchứng minh điều này, Byres đã chỉ cho các đoàn một đĩaCD-ROM mà có chứa sâu Stuxnet. Khi công ty để sâu lâynhiễm cho các hệ thống đang chạy trong phòng thí nghiệmcủa Siemens, đã có những kiểm tra được thực hiện.“Một khi sâu đi ra được, thì nó đã có nhiều conđường để đi vào”, ông nói. “Sâu này đã bắt đầuphân tích mọi thứ mà chúng tôi đã không biết giốngnhư các ổ đĩa mạng chia sẻ và các dịch vụ in quamạng. Có khả năng khai thác những ổ đĩa đó và gâylây nhiễm cho các máy tính khác”.

Lần theo sâu này đãchứng minh được sự phức tạp như là số lượng cáccon đường mà nó đã khai thác được bắt đầu để“làm bùng nổ” và vào cuối tuần thì Byres đã pháthiện ra 17 con đường khai thác.

“Mọi người nóichúng ta cần các hệ thống 'có khe hở khí' [cắt chúngkhỏi Internet] nhưng có những bản vá và các chữ kýchống virus mà cần phải tới. Thậm chí có khe hở khítốt nhất là một sự ảo tưởng”.

Byres cũng đã cảnhbáo sẽ không có bản vá nào sẵn sàng cho Stuxnet vì nólà một thiết kế, chứ không phải là một lỗi, và nềncông nghiệp an ninh cần phải xem xét chức năng an toàn.

“Thà kiểm soát toànbộ hệ thống, còn hơn chúng ta phải bảo vệ thiết bịsống còn. Việc kết hợp chức năng an toàn với các kiểmsoát đang làm cho dễ dàng hơn đối với Stuxnet”, ôngnói.

“Sâunày đang hành động như một bãi huấn luyện cho các têntội phạm không gian mạng. Nó đang chỉ ra cho chúng nhữnggì có thể được làm, và đó là vì sao tôi tin tưởngStuxnet Con không còn xa nữa”.

Các bình luận củaông đồng thanh với các bình luận của nhà tư vấn LoftyPeach, Ron Southworth, người đã nói cho các đoàn tạiAusCERT 2011 rằng Úc cần phải xây dựng một hệ thốngan ninh vạn năng để ngăn chặn các cuộc tấn công từcác sâu như Stuxnet.

Toprove this, Byres showed delegates a CD-ROM disc which contained theStuxnet worm. When the company let the worm infect live systems inthe Siemens lab, there were checks done. “Once the worm got out, hehad many pathways to get in,” he said. “The worm startedanalysing things we didn’t know about like shared network drivesand print spooler services. It was able to exploit those drives andinfect other computers."

Trackingthe worm proved complex as the number of pathways it exploitedstarted to "explode" and by the end of the week Byres haddiscovered 17 pathways of exploitation.

“Peoplesay we need to 'airgap' systems [cut them off f-rom the Internet] butthere are patches and anti virus signatures that need to come in.Even the best airgap is an illusion.”

Byresalso warned there are no patches available for Stuxnet because it wasa design, not a bug, and the security industry needed to look atsafety functionality.

“Ratherthan control the whole system, we should protect mission criticalequipment. Combining safety functionality with controls is making iteasier for Stuxent,” he said.

“Theworm is acting like a training ground for cyber criminals. It’sshowing them what can be done, and that’s why I believe son ofStuxnet is not far away.”

Hiscomments echo those of Lofty Peach consultant, Ron Southworth, whotold delegates at AusCERT 2011 that Australia needed to build auniversalsecurity system to prevent attacks f-rom worms such as Stuxnet.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com