Pinligt: Stuxnet fløj under sikkerhedsfirmaers radar et helt år

29. oktober 2010 kl. 12:1310
Sommerens super-malware undgik alle de højt besungne sikkerhedsmekanismer i diverse antivirus-produkter i mindst et år, og det er direkte pinligt for industrien, fortæller den internationale sikkerhedsekspert Mikko Hypponen til Version2.
person
Artiklen er ældre end 30 dage
person

Proaktiv beskyttelsessoftware og hvidlister.

It-sikkerhedsindustriens mange anprisninger af egne produkter viste sig ikke at hjælpe med computerormen Stuxnet, der først blev opdaget i sommers. Ormen er målrettet de såkaldte SCADA-systemer til industristyring, og den har sat en ny standard for malware.

Ikke alene er Stuxnet uhyre avanceret skruet sammen, det er også lykkedes for bagmændene at holde den under anti-virusfirmaernes radarer i mindst et år, og det er for dårligt, mener den finske sikkerhedsekspert Mikko Hypponen fra F-Secure.

»Antivirus firmaer og sikkerhedsindustrien bør opdage malware, meget hurtigere end i dette tilfælde. Det er faktisk ret pinligt for sikkerhedsvirksomheder så som vores eget,« siger han til Version2.dk

Artiklen fortsætter efter annoncen

SCADA-ormen blev først endeligt registreret af sikkerhedsbranchen omkring juli i år, men ifølge en rapport fra sikkerhedsvirksomheden Symantec, så er malwaren på det tidspunkt mindst et år gammel.

Forklaringen på, hvorfor den ikke blev opdaget tidligere er ifølge Mikko Hypponen blandt andet, at flere af Stuxnets komponenter var signerede med gyldige certifikater af flere omgang - i første omgang fra Realtek Technologies. Det skal ses i lyset af den voldsomt voksende mængde malware, som tvinger sikkerhedsindustrien til at lave beskyttelsesforanstaltninger, som automatisk blåstempler eksempelvis programmer, der er signerede med gyldige certifikater.

»Så det er sandsynligvis derfor, at selv antivirusleverandører, som opsnappede filen i deres automatiserede systemer, fik den kategoriseret som 'ren' eller 'sandsynligvis ren' i stedet for 'sandsynligvis inficeret',« siger han.

Udover certifikaterne, så er Stuxnet også en stor fil på over 1,5 MB, hvor flere dele er kodet i høj-niveau programmeringssprog, så den til forveksling har lignet et ufarligt program, påpeger Mikko Hypponen.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Og det er undskyldningen. Det er ikke en god undskyldning, vi skulle have gjort vores arbejde bedre. Men det er den undskyldning, vi har,« siger han.

Endeligt er han ikke i tvivl om, at dem, der står bag Stuxnet, har haft rig lejlighed for at teste malwaren op imod gængse sikkerhedsprodukter for at sikre, at den ikke ville blive opdaget.

»Og hvis den blev opdaget, har de ændret på den, indtil den ikke længere blev det,« siger han og tilføjer:

»Og det er den fordel, angriberne har. De har ubegrænset tid til at skabe og teste deres malware og sikre sig, at den kan forbigå hvilken som helst beskyttelse på markedet.«

Emner
10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
Bjørn Damborg Froberg
29. oktober 2010 kl. 12:43

Mikko er et rart og ærligt menneske. :-)

Thumbs up til Mr. Hypponen, desværre er det nemmere at lave malware, end at beskytte mod det. Det siger også noget om niveauet af professionalisme der har omkredset stuxnet, at der er gået et år før nogen som helst har opdaget hvad der foregik.

  • more_vert
    • insert_linkKopier link
2
Christian Have
29. oktober 2010 kl. 14:22

Formentlig har det taget kortere tid at beskytte sig imod stuxnet end det har at udvikle det. Som du selv siger, er niveauet for Stuxnet meget højt, estimaterne går jo på mellem 5 og 10 mandeårs arbejde...

Men ja Mikko er fantastisk, jeg oplevede ham på T2.fi i 2008 :)

  • more_vert
    • insert_linkKopier link
3
Bjørn Damborg Froberg
29. oktober 2010 kl. 16:27

Jeg fik lejlighed til at sludre lidt med ham til F-Secure partner konferencen i år.

Utroligt flinkt menneske, det må man sige - og hans foredrag er altid spændende. :)

  • more_vert
    • insert_linkKopier link
4
Robert Larsen
1. november 2010 kl. 12:32

??

  • more_vert
    • insert_linkKopier link
5
Knud Henrik Strømming
1. november 2010 kl. 13:10

Hvad bygger de det på? - alder på certifikater eller faktisk fundet "in the wild" eller på lukkede net?

  • more_vert
    • insert_linkKopier link
6
Svend Lyngsø
1. november 2010 kl. 14:11

Jeg kunne godt lide at vide hvordan man finder den?

  • more_vert
    • insert_linkKopier link
7
Jakob Møllerhøj
1. november 2010 kl. 15:05

@Knud compilerings-datoen på en af de Stuxnet-varianter, der er fundet i det fri, går tilbage til juni 2009. Dele af koden er compileret helt tilbage i januar 2009. Spekulationerne i sikkerhedsbranchen går derfor på, at den har været løbende vedligeholdt i mindst et år.

@Svend gængse anti-virus produkter burde fange Stuxnet på nuværende tidspunkt, desuden har Microsoft patched de allermest kritiske sårbarheder i Windows – ift. Stuxnet.

Jeg kan anbefale et kig i både Mikkos Q&A og i Symantecs Stuxnet rapport, hvis I vil vide mere. Jeg har lagt dem ind som eksterne links på artiklen.

Mvh Jakob

  • more_vert
    • insert_linkKopier link
10
Jakob Møllerhøj
1. november 2010 kl. 16:03

@Knud Henrik du har ret i, at uret på compilerings-maskinen kan have været indstillet forkert. Jeg hæfter mig ved, at både Symantec, F-Secure og andre vurderer, malwaren har mindst et år på bagen, ligesom flere - inkl. Mikko - vurderer, Stuxnet har været 'in the wild' i 2009.

  • more_vert
    • insert_linkKopier link
8
Knud Henrik Strømming
1. november 2010 kl. 15:26

At compileringsdatoen af dele af koden ligger helt tilbage i januar 2009 behøver ikke nødvendigvis betyde, at ormen faktisk har været i omløb i det fri siden denne dato. Dels kan udviklerne jo have holdt den internt, dels kan der blot være tale om, at uret på den maskine, hvor koden er blevet kompileret, har gået forkert.

Det er en helt anden sag, hvis man fx har fundet kopier af ormen i backup-kopier af inficerede systemer, hvor det med sikkerhed kan fastslås, hvornår backup-kopien er taget.

I en diskussion af, om AV-firmaerne har været sløsede og selvforherligende, er det ikke helt uvæsentligt, om ormen faktisk har været i omløb og faktisk har inficeret maskiner uden for angribernes kontrol "i et helt år", og om denne tidsramme kan verificeres.

  • more_vert
    • insert_linkKopier link