Skip to content

Stuxnet - Stand der Dinge

Stuxnet - wer, wie, was, wieso, weshalb, warum - viele Fragen, nur für wenige gibt es bisher Antworten. Immerhin lässt sich das Ziel des Angriffs auf ganz bestimmte Systeme einschränken, und die werden zufällig gerade in den iranischen Atomanlagen verwendet. Außerdem gibt es u.a. einen Exploit für die letzte noch offene 0-Day-Schwachstelle, und wenn man schon keine Folgen von Stuxnet erkennen kann, lässt er sich wenigstens als "Schwarzer Mann" einsetzen. Demnächst heißt es nicht mehr "Wer hat Angst vorm Schwarzen Mann?", der ja zwischenzeitig auch schon durch einen (nach Möglichkeit islamistischen) Terroristen ersetzt wurde, sondern "Wer hat Angst vorm Stuxnet?". Kinder laufen dann einfach weg, Innen- und Sicherheitspolitiker gesetzgeberischen Amok.

Weitere Puzzleteile

Es gibt weitere Puzzleteile auf dem Weg zum eigentlichen Angriffsziel: Symantec hat herausgefunden, dass Stuxnet es auf die Steuerung bestimmter Frequenzwandler abgesehen hat. Betroffen sind die Wandler zweier Hersteller: Einer mit Sitz in Finnland, der andere mit Sitz im Iran.

Die Frequenzwandler werden zur Steuerung von Motoren verwendet, wobei in diesem Fall die Frequenz zwischen 807 Hz und 1210 Hz liegen muss. Stuxnet ändert die Ausgangsfrequenzen der Wandler und damit die Drehzahl der gesteuerten Motoren für kurze Intervalle über einen Zeitraum von Monaten. Die Anzahl möglicher Systeme kann damit deutlich eingegrenzt werden, und Symantec weist darauf hin, dass entsprechende Frequenzwandler in den USA einer Exportregulierung durch die Nuclear Regulatory Commission unterliegen, da sie u.a. zur Urananreicherung eingesetzt werden können.
Symantec hat sein Paper (PDF) zur Beschreibung von Stuxnet aktualisiert. Und auch F-Secure hat die eigene FAQ "Stuxnet Redux: Questions and Answers" an diese und weitere neue Erkenntnisse angepasst.

Langner Communications hat weitere Erkenntnisse zum Puzzle hinzugefügt. Demnach hat Stuxnet es nicht auf eine, sondern auf zwei Anlagen abgesehen, so dass außer der iranischen Urananreicherungsanlage in Natanz auch gleichzeitig das iranische Atomkraftwerk Bushehr Ziel der Angriffe gewesen sein kann. Im AKW wäre dann sehr wahrscheinlich die Steuerung der Dampfturbine Ziel des Angriffs. Theoretisch könnte es der zweite Schadcode zwar ebenfalls auf die Urananreicherungsanlage abgesehen haben, das ist aber unwahrscheinlich, da beide Programmteile allem Anschein nach von verschiedenen Programmierern geschrieben wurden. Weitere Informationen zu Stuxnet gibt es im Blog von Langner Communications, u.a. einen Überblick und ein Profil der Stuxnet-Entwickler.

Nachricht von den Stuxnet-Autoren?

Im Stuxnet-Code befinden sich mehrere Strings, die als Nachrichten aufgefasst werden, wenn ihre Bedeutung auch bisher unbekannt ist. Z.B. wird in der Windows-Registry der String 19790509 abgelegt, und alle Step-7-Datenblöcke tragen als Datum der Erzeugung den 23. September 2001. Ob es sich wirklich um Nachrichten handelt und was sie ggf. bedeuten sollen, ist unbekannt. Vielleicht handelt es sich einfach nur um ein Ablenkungsmanöver?

Alternative Angriffsziele

Falls Stuxnet es doch nicht auf die iranischen Atomanlagen abgesehen hat, welche möglichen Ziele gibt es dann? Jeffrey Carr hat vier verschiedene Möglichkeiten beschrieben: "Dragons, tigers, pearls, and yellowcake: Four Stuxnet targeting scenarios" (PDF) nennt Staaten mit seltenen Erden, Staaten mit Uran-Bergwerken oder -Anreicherungsanlagen, einen Sabotage-Angriff auf Siemens oder Gas exportierende Staaten als mögliche Ziele. Und auch Bruce Schneier hat einige alternative Erklärungen zusammengestellt: Stuxnet könnte ein aus dem Ruder gelaufenes Forschungsprojekt, ein krimineller Proof-of-Concept-Wurm, eine Nachricht an irgend jemanden oder ein vom US-Militär als neues Bedrohungsszenario zum Erreichen von Etat-Erhöhungen entwickeltes Projekt sein.

Bisher 22 Infektionen im "industriellen Umfeld"

Laut Siemens meldeten bisher (Stand: 22.11.) 22 Kunden "weltweit aus dem industriellen Umfeld" (was auch immer diese Einschränkung besagen soll - vielleicht, das Atomanlagen nicht mitgezählt wurden?) infizierte Systeme. Um zu entscheiden, ob das viele oder wenige sind, müsste man die Gesamtzahl aller installierten Systeme kennen. Ich finde 22 eine ziemlich hohe Zahl, wenn man die Verbreitungswege von Stuxnet (USB-Sticks und Netzwerkverbindungen) berücksichtigt. Das bedeutet immerhin, dass 22 Siemens-Kunden ihre Systeme nicht richtig geschützt haben.

Wie viele weitere Infektionen wohl noch gemeldet werden? Auch würde mich interessieren, wie lange diese Systeme infiziert waren. Wurden die erst vor kurzem, also nach dem Bekanntwerden von Stuxnet, infiziert? Das wäre dann ja schon ziemlich peinlich. Oder wurde eine schon länger bestehende Infektion erst jetzt bemerkt? Das könnte man fast verstehen, immerhin scheint Stuxnet ja auf SCADA-Systemen, die nicht dem Zielsystem entsprechen, nichts weiter zu tun als einfach da zu sein.

Stuxnet im LAN finden

Stuxnet infiziert auch Windows-Systeme, die nichts mit SCADA-Systemen zu tun haben. Trend Micro hat ein 'STUXNET Scanner Tool' veröffentlicht, mit dem mit Stuxnet infizierte Rechner im lokalen Netz erkannt werden können. Das Tool nutzt dazu die P2P-Funktion von Stuxnet: Auf entsprechende gefälschte Pakete antworten infizierte Rechner und lassen sich so identifizieren. Die Bereinigung der Systeme muss dann aber wieder lokal vorgenommen werden.

SCADA-Systeme mit Internetzugang entdecken

John C. Matherly hat beschrieben, wie mit Hilfe der "Computer Search Engine" SHODAN mit dem Internet verbundene SCADA-Systeme gefunden werden können und wie das verhindert werden kann.

Exploit für die letzte offene 0-Day-Schwachstelle veröffentlicht

Von den vier von Stuxnet ausgenutzten 0-Day-Schwachstellen wurden bisher drei behoben. Die verbliebene Privilegien-Eskalations-Schwachstelle befindet sich im Task-Scheduler und soll irgendwann in der Zukunft behoben werden. Damit sollte sich Microsoft nicht mehr zu viel Zeit lassen, denn inzwischen wurde ein Exploit für diese Schwachstelle veröffentlicht.

Wir werden alle sterben!1!!11!

Eins steht fest: Wir werden alle sterben, irgendwann, irgendwie, irgendwo. Einige von uns werden sicher auch an Vireninfektionen sterben, evtl. auch an Würmern. Aber die Gefahr, dass irgend jemand durch Stuxnet ernsthaft gefährdet wird, dürfte verschwindend gering sein. Auch wenn Sky News das Ende der Welt nahen sieht:

"Senior cyber-security figures have said the Stuxnet worm - the first to have been used to damage targets in the real world - could be used to attack any physical target which relies on computers.

The list of vulnerable installations is almost endless – they include power stations, food distribution networks, hospitals, traffic lights and even dams.

A senior IT security source said: "We have hard evidence that the virus is in the hands of bad guys – we can't say any more than that but these people are highly motivated and highly skilled with a lot of money behind them."

[Hervorhebung von mir]

Wenn Stuxnet jetzt in der Hand der bösen Buben ist, dann war er wohl vorher in der Hand der guten? Nun, zumindest die Opfer dürften das durchaus anders sehen, vielleicht sogar anders rum. Aber zurück zur Gefahr durch Stuxnet: Selbst wenn jemand neben einer von Stuxnet fehlgesteuerten Uran-Zentrifuge steht, dürfte die vom Uran ausgehende radioaktive Strahlung deutlich gefährlicher als die etwas schneller drehende Zentrifuge sein. Etwas anders dürfte es bei einer fehlgesteuerten Dampfturbine aussehen, wem die um die Ohren fliegt, der dürfte Probleme bekommen. Aber ich vermute mal, so schnell und unerwartet passiert das auch nicht, da dürfte sich die Manipulation auch erst mal durch merkwürdige Geräusche etc. bemerkbar machen, bevor es knallt. Und selbst wenn die ohne jede Vorwarnung explodieren würde - wie viele Menschen kommen denn in die Nähe so einer Turbine? Also ich kenne niemanden, der so ein Ding zu Hause im Hobbykeller stehen hat.

In der Hand von Terroristen stellt Stuxnet jedenfalls keine Gefahr dar, sofern man nicht gerade eines der beiden angegriffenen SCADA-Systeme betreibt. David Harley von ESET und Paul Ducklin von Sophos haben die beiden verlinken Sky-News-Berichte sehr ausführlich auseinander genommen. Mein Kommentar dazu: Wer auch immer auf die Idee käme, Stuxnet jetzt erneut ein zu setzen, könnte genau so gut den guten alten Christmas Tree aus der Versenkung holen. Es gibt zur Zeit wohl keinen Schädling, der genauer untersucht wurde als Stuxnet. Der eignet sich höchstens noch dazu, US-Senatoren Angst einzujagen. Angst vor einem Schädling, den sehr wahrscheinlich die USA oder einer ihrer Verbündeten entwickelt haben.

Bruce Schneier hat sich übrigens in einem Vortrag vor dem Institute of International and European Affairs zum aktuellen Stand in Sachen Cyber War geäußert.

Keine Panik!

Gründe zur Panik gibt es für manche Menschen bestimmt, aus welchen Gründen auch immer. Aber Stuxnet gehört nicht dazu. Stuxnet macht deutlich, dass Anlagensteuerungen gefährdet sind und entsprechenden Schutz brauchen. Und zwar wirksamen und keinen Placebo-Patch wie ihn Siemens jetzt ausgeliefert hat. Einfach nur die aktuellen Stuxnet-Varianten auszusperren, ist deutlich zu wenig. Aber die Entwicklung so eines Schädlings ist extrem teuer, die bezahlt kein Unternehmen mal eben aus der Portokasse, um z.B. einen Konkurrenten aus dem Verkehr zu ziehen. Und auch Staaten werden es sich gut überlegen, bevor sie in den Cyber War einsteigen. Und Terroristen? Die kommen viel billiger zum Ziel, die müssen nur "Buh" rufen, und alle Innen- und Sicherheitspolitiker fallen erst in Schockstarre und dann in hektische Aktivität, um uns alle zu terrorisieren.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten
Standpunkt: Stuxnet - Wer will da wem an die Produktion?
Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?
Standpunkt: Stuxnet - Ein Überblick über die Entwicklung
Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht
Standpunkt: Stuxnet - Stand der Dinge
Standpunkt: Der Wink mit dem Stuxnet
Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook
Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?
Das RAT, das aus dem Stuxnet kam
Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Standpunkt: Neues zu SSL und Duqu
Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?
Standpunkt: Neues zu Duqu

Trackbacks

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr

"2010 - Ein Rückblick auf ein ereignisreiches Jahr" vollständig lesen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund

Dipl.-Inform. Carsten Eilers am : Ein weiterer bekannter Advanced Persistent Threat: Stuxnet

"Ein weiterer bekannter Advanced Persistent Threat: Stuxnet" vollständig lesen
Sie haben bereits erfahren, was ein Advanced Persistent Threat (APT) ist, und mit der Operation Aurora haben Sie bereits den Angriff kennen gelernt, der den Begriff bekannt gemacht hat. In dieser Folge geht es um einen weiteren bekannten APT-Ang

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!