Stuxnet'i özel yapan ne?
Osman PAMUK, TÜBİTAK BİLGEM28/09/10 Stuxnet ilk defa haziran ayının ortalarında Beyaz Rusya'daki küçük bir firma olan VirusBlokAda tarafından tespit edildi.
İlk incelemeler virüsün standart bir solucan olmadığını zaten gösteriyordu fakat karmaşık yapısı yüzünden uzayan incelemeler devam ettikçe işin boyutu gittikçe değişti.
Özellikle solucanın çok karmaşık yapısı, kullandığı taktikler ve hedefi göz önüne alınınca, siber savaş adı altında yıllarca dillendirilen senaryoların aslında çok da gerçek dışı olmadığı ortaya çıktı.
Tabii ki konunun bu boyutu incelemeye değer önemli bir konu olsa da, açıklığa kavuşması gereken çok fazla iddia ve yorum farklılığı olmasından dolayı biz bu yazımızda bu iddia ve yorumlardan ziyade bu solucanı gerçekten diğer zararlı yazılımlardan farklı ve üstün kılan özellikler neler onlardan bahsetmeye çalışacağız.
Solucanı inceleyen araştırmacılar tarafından ortak olarak dile getirilen ilk gerçek şu ki, stuxnet çok karmaşık bir yapıya sahip.
Bu yüzden bu solucanın birçok farklı alandan uzmanların bir araya gelerek üzerinde uzun süre çalıştığı ve kayda değer bir bütçeye sahip bir projenin ürünü olduğu görüşü hâkim.
Yine birçok araştırmacı tarafından bu tür bir projenin basit bir suç örgütünden ziyade devlet desteğindeki bir kuruluş tarafından gerçekleştirilmiş olması daha gerçekçi gözükmekte.
Stuxnet kendi karmaşık yapısı içinde hâlihazırda bilinen birçok zararlı yazılım yöntemini kullanmanın yanında daha önce hiçbir zararlı yazılımda olmayan dikkat çekici birkaç özelliğe daha sahip.
Özellikle dört tane sıfır gün (zero-day) yani daha önceden bilinmeyen açıklığı beraber kullanması, kendini gizlemek için kullandığı çekirdek (kernel) sürücülerini rahat yükleyebilmek için güvenilir firmalardan çalınmış kök sertifikalar ile sürücülerini imzalaması ve en önemlisi hedef olarak sanayi ve enerji tesislerindeki fiziksel süreçleri gizlice değiştirmeye çalışması.
Sıfır gün açıklıklarının zararlı yazılımlar tarafından kullanılması aslında yeni bir yöntem değil, fakat daha önce hiçbir zararlı yazılımın dört tane sıfır gün açıklığını birden kullandığı tespit edilmemişti.
Tek bir sıfır gün açıklığının tespit edilmesi ve farklı ayarlardaki değişik işletim sistemlerinin hepsinde düzgün bir şekilde çalışmasının sağlanması uzun bir inceleme ve test aşamasının yanında önemli bir uzmanlık gerektirmektedir.
Bulunan bir açıklığın düzgün bir şekilde kullanılması önemlidir, aksi takdirde zararlı yazılımın tespiti çok daha kolaylaşacaktır.
Bu açıdan bakıldığında dört yeni açıklığın birlikte sorunsuz olarak çalıştırılmasının ne kadar uzmanlık, inceleme ve test süreci gerektirdiği aşikârdır.
Peki, nedir bu ilk defa stuxnet tarafından kullanılan ve stuxnet'in keşfi ile bizim de haberdar olduğumuz açıklıklar:
• MS10-046, Microsoft Windows Shell Kısayol İşleme Açıklığı:
Asıl olarak işletim sistemindeki bir dizayn hatasından kaynaklanan bu açıklık sayesinde autorun açık olmasa bile bilgisayara takılan bir taşınabilir depolama aygıtındaki dosyaların ikonlarını göstermeye çalışan Windows Gezgini ve benzeri bir programın zararlı bir kodu çalıştırması sağlanabiliyor.
Stuxnet’in de asıl olarak bu yöntemle birçok yere bulaştırıldığı düşünülüyor.
Ayrıca kendini güncelleme yeteneğine sahip olan stuxnet’e bu özelliğin mart ayında eklendiği ve daha önceden solucanın taşınabilir cihazlardaki autorun özelliği ile bilgisayara bulaştığı düşünülmekte.
• MS10-061, Microsoft Windows Yazdırma Kuyruklayıcısı Açıklığı:
Bu açıklığı kullandığı, stuxnet’in daha sonraki detaylı incelemelerinde açığa çıktı.
Bu açıklığı kullanarak stuxnet bulaşmış olduğu bir bilgisayardan diğerine atlamayı başarabilmekte.
Basitçe bu açıklık bir bilgisayara uzaktan yüksek yetkilerle dosya yüklenilmesine olanak sağlamakta.
Daha sonra da bu dosya WBEM’in bir özelliği ile çalıştırılabilmekte.
Önce şunu belirtmek gerekir ki bu açıklık yukarıdaki açıklık gibi bir taşınabilir aygıtın takılmasını gerektirmese de açıklıktan yararlanılabilmesi için gereken birçok şartın beraber bulunmasını gerektiği için kullanılabilmesi daha zor olan bir açıklık.
•Ve iki tane de hak yükseltme açıklığı:
Stuxnet yukarıda bahsi geçen, yayılmak için yararlandığı açıklık yanında bulaştığı bir sistemde tam kontrolü elde edebilmek için kullandığı birisi XP, diğeri Vista üstü işletim sistemler için geçerli iki hak yükseltme açıklığından da faydalanmakta.
Bu açıklıklar Microsoft tarafından hâlâ kapatılmayı bekliyor.
Bütün bu açıklıların yanında stuxnet eski olsa da gayet etkili olan, ünlü conficker solucanının yayılmak için kullandığı MS08-67 açıklığından da yararlanmakta.
Çekirdek rootkit yöntemleri Windows XP de olsun Windows 2003 de olsun zararlı yazılımların kendilerini virüs tespit programlarından korumak için kullandıkları en güçlü silahlardan birisidir.
Fakat 64 bit Vista ve sonrası işletim sistemleri ile gelen KMCS (Kernel Mode Code Signing ) ve Patchguard gibi koruma mekanizmaları bu tür yöntemlerin kullanılmasını büyük derecede engelledi.
Özelikle KMCS özelliği çekirdeğe yüklenecek bütün sürücülerin güvenilir sertifikalar ile imzalanmış olmasını şart koşmakta.
32 bit Vista ve üstü sistemlerde ise eskiye uyumluluğun korunabilmesi için bu korumalar tam olarak aktif hale getirilmese de güvenilir sertifikalar ile imzalanmamış çekirdek sürücülerinin çalıştırılması kısıtlanmış ve çalıştırılabildiği durumlarda da kullanıcılar uyarılmaktadır.
Fakat bu sistemlerin güvenilir bir sertifika ile imzalanmış kötü niyetli bir yazılımı, normal bir yazılımdan ayırt etme yeteneği bulunmamaktadır.
İşte bu sebeple stuxnet çekirdek sürücüsü üreten iki tanınmış firmanın kök sertifikasını ele geçirip kendi kötü niyetli çekirdek sürücülerini imzalayarak bu korumaları sorunsuz bir şekilde aşmayı başarmaktadır.
Dikkatli bir şekilde saklanması gerektiği gayet iyi bilinen bu kök sertifikaların nasıl ele geçirildiği ilginç bir konu olarak gözükse de maalesef bu konuda yeterince bilgi mevcut değil.
Peki, bu kadar hazırlık ve çabanın sonucunda yapılmak istenen ne?Stuxnet'in hedefi halihazırda piyasa da bulunan virüsler gibi banka veya online oyun hesap bilgilerinin çalınması,DDOS saldırıları gerçekleştirmek veya spam mail atabilmek için zombi bilgisayar ordusu kurmak ve kiralamak değil.
Bunların hepsinden farklı olarak;-
su kaynakları, petrol platformları, enerji santralleri ve diğer sanayi tesislerinin kontrolü için kullanılan SCADA (Siemens supervisory control and data acquisition) sistemlerini ele geçirip fiziksel kontrol sistemlerinin çalışmasını değiştirmek.
-
Stuxnet eğer bulaştığı bilgisayarda bir SCADA sistemi mevcutsa ilk önce mevcut projelerin kod ve dizaynlarını çalmaya çalışıyor, onun dışında asıl ilginç olan nokta ise stuxnet’in programlama yazılım ara yüzü vasıtasıyla PLC'lere (Programmable Logic Controllers) kendi kodlarını yüklemesi.
-
Ayrıca yüklenen bu kodlar, stuxnet’in bulaşmış olduğu bir bilgisayardan PLC'lerdeki bütün kodlar incelenmek istendiğinde dahi görülemiyor.
-
Böylelikle stuxnet PLC lere enjekte edilen kodları saklayabilen bilinen ilk rootkit unvanına da sahip oluyor.
Siemens Corporation Accused of Iranian Hardware Sabotage
It seems you can’t turn your back on the Middle East for more than a few minutes without something going bump in the desert. Sure enough, a few shorts hours after we reported that the leader of Iran’s Revolutionary Guards is certain war with Israel is coming, here comes Iran again with the stunning admission that none other than German industrial conglomerate, and occasional maker of nuclear power plants, Siemens was reponsible for “implanting tiny explosives inside equipment the Islamic Republic purchased for its disputed nuclear program.Prominent lawmaker Alaeddin Boroujerdi said Iranian security experts discovered the explosives and removed them before detonation, adding that authorities believe the booby-trapped equipment was sold to derail uranium enrichment efforts. “The equipment was supposed to explode after being put to work, in order to dismantle all our systems,” he said. “But the wisdom of our experts thwarted the enemy conspiracy.” Expert wisdom aside, what is stunning is not the ongoing attempts by everyone and the kitchen sink to terminally corrupt the Iranian nuclear power plant: after Stuxnet one would expect nothing less than every form of conventional and “new normal” espionage thrown into the pot to cripple the only peaceful argument Iran would have for demanding nuclear power, which by implication would mean that all ongoing nuclear pursuits are geared solely toward aggressive, military goals, of the type that demand immediate military retaliation by the democratic superpowers. No, what is stunning is the implicit admission that Germany’s, and Europe’s, largest electrical engineering company, has been not only quietly transacting with none other than world peace (as portrayed by the MSM) enemy #1, Iran, but instrumental in its nuclear program.
Obviously it took a Stuxnet second before Siemens denied everything and then some. Via Reuters:
Siemens denied the charge and said its nuclear division has had no business with Iran since the 1979 revolution that led to its current clerical state.
“Siemens rejects the allegations and stresses that we have no business ties to the Iranian nuclear program,” spokesman for the Munich-based company Alexander Machowetz said.
Oh well, Iran must have bought all those Siemens nuclear centrifuges, concrete dome and steam plant in near perfect condition on eBay from anonymous sellers (who accept PayPal and even credit cardsas long as the purchase does not have an Indonesian shipping address).
Iran, however, isn’t afraid of trowing Siemens into even deeper water, alleging not only breach of international embargos, but also masterful sabotaging of ones own product:
Boroujerdi, who heads the parliamentary security committee, alleged that the explosives were implanted at a Siemens factory and demanded the company take responsibility.
There is of course another possibility: that the shipping address of the mysterious and anonymous ebay seller was somewhere in Langley, VA:
Some Iranian officials have also suggested in the past that specific European companies may have sold faulty equipment to Iran with the knowledge of American intelligence agencies and their own governments, since the sales would have harmed, rather than helped, the country’s nuclear program.
According to Iran, the alleged campaign has included the abduction of scientists, the sale of faulty equipment and the planting of a destructive computer worm known as Stuxnet, which briefly brought Iran’s uranium enrichment activity to a halt in 2010.
Certifying that there is undoubtedly a Jason Bourne episode in the works over this entire incident is the following:
Abbasi also told the U.N. nuclear agency in Vienna that “terrorists and saboteurs” might have infiltrated the International Atomic Energy Agency, after the watchdog’s inspectors arrived at the Fordo underground enrichment facility shortly after power lines were blown up through sabotage on Aug. 17.
Iran has repeatedly accused the IAEA of sending spies in the guise of inspectors to collect information about its nuclear activities, pointing to alleged leaks of information by inspectors to U.S. and other officials.
Five nuclear scientists and researchers have been killed in Iran since 2010. Tehran blames the deaths on Israel’s Mossad spy agency as well as the CIA and Britain’s MI-6. Washington and London have denied any roles. Israel has not commented.
Boroujerdi said the alleged leaks of nuclear information to its adversaries by the IAEA may finally push Tehran to end all cooperation with the agency.
“Iran has the right to cut its cooperation with the IAEA should such violations continue,” he said.
If anyone follows the game theory in this one, and has any idea who has not defected, or where the Nash equilibrium is at this point, please speak up. The rest of us just want the popcorn.
And in far simpler plotlines, Reuters reports that Syria (which for those who have a 15 minutes attention span, was accused three months ago by everyone, and certainly Hillary Clinton, of offensively taking down a Turkish plane before it turned out to be a self-defensive move, at which point the entire false flag story promptly disappeared as it could no longer be pre-spun) is once again being provoked by NATO-member Turkey, which is now deploying heavy armored vehicles and weapons to the border with Syria. The spin this time around:
The deployment is reportedly in an area where earlier this week Turkish civilians were wounded when stray bullets and shelling crossed the border from the Syrian province of al-Raqqa.
CNN Turk television said artillery fire had landed close to the Turkish border overnight, causing panic among local residents.
The Turkish army moved three Howitzers and one anti-aircraft weapon to the border, the channel said.
Turkey, a member of NATO, has conducted a number of troop deployments in recent months along its 911-km (566-mile) border with Syria, where rebels are fighting to topple President Bashar al-Assad.
And on, and on, until the interminable foreplay finally ends, whenever one of the abovementioned democracies decides the quiet period is over, and the time for real GDP building (if only in a hard core Keynesian-cum-Krugman sense) once the ability to generate even one additional dollar in debt is no longer available, is upon us.
Adversus solem ne loquitor Gunes aleyhinde konusma (Acik ve belli seyleri tartisma) Latince Atasozleri |
Hiç yorum yok:
Yorum Gönder