Pinligt: Stuxnet fløj under sikkerhedsfirmaers radar et helt år

Sommerens super-malware undgik alle de højt besungne sikkerhedsmekanismer i diverse antivirus-produkter i mindst et år, og det er direkte pinligt for industrien, fortæller den internationale sikkerhedsekspert Mikko Hypponen til Version2.

Proaktiv beskyttelsessoftware og hvidlister.

It-sikkerhedsindustriens mange anprisninger af egne produkter viste sig ikke at hjælpe med computerormen Stuxnet, der først blev opdaget i sommers. Ormen er målrettet de såkaldte SCADA-systemer til industristyring, og den har sat en ny standard for malware.

Ikke alene er Stuxnet uhyre avanceret skruet sammen, det er også lykkedes for bagmændene at holde den under anti-virusfirmaernes radarer i mindst et år, og det er for dårligt, mener den finske sikkerhedsekspert Mikko Hypponen fra F-Secure.

»Antivirus firmaer og sikkerhedsindustrien bør opdage malware, meget hurtigere end i dette tilfælde. Det er faktisk ret pinligt for sikkerhedsvirksomheder så som vores eget,« siger han til Version2.dk

SCADA-ormen blev først endeligt registreret af sikkerhedsbranchen omkring juli i år, men ifølge en rapport fra sikkerhedsvirksomheden Symantec, så er malwaren på det tidspunkt mindst et år gammel.

Forklaringen på, hvorfor den ikke blev opdaget tidligere er ifølge Mikko Hypponen blandt andet, at flere af Stuxnets komponenter var signerede med gyldige certifikater af flere omgang - i første omgang fra Realtek Technologies. Det skal ses i lyset af den voldsomt voksende mængde malware, som tvinger sikkerhedsindustrien til at lave beskyttelsesforanstaltninger, som automatisk blåstempler eksempelvis programmer, der er signerede med gyldige certifikater.

»Så det er sandsynligvis derfor, at selv antivirusleverandører, som opsnappede filen i deres automatiserede systemer, fik den kategoriseret som 'ren' eller 'sandsynligvis ren' i stedet for 'sandsynligvis inficeret',« siger han.

Udover certifikaterne, så er Stuxnet også en stor fil på over 1,5 MB, hvor flere dele er kodet i høj-niveau programmeringssprog, så den til forveksling har lignet et ufarligt program, påpeger Mikko Hypponen.

»Og det er undskyldningen. Det er ikke en god undskyldning, vi skulle have gjort vores arbejde bedre. Men det er den undskyldning, vi har,« siger han.

Endeligt er han ikke i tvivl om, at dem, der står bag Stuxnet, har haft rig lejlighed for at teste malwaren op imod gængse sikkerhedsprodukter for at sikre, at den ikke ville blive opdaget.

»Og hvis den blev opdaget, har de ændret på den, indtil den ikke længere blev det,« siger han og tilføjer:

»Og det er den fordel, angriberne har. De har ubegrænset tid til at skabe og teste deres malware og sikre sig, at den kan forbigå hvilken som helst beskyttelse på markedet.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjørn Damborg Froberg

Mikko er et rart og ærligt menneske. :-)

Thumbs up til Mr. Hypponen, desværre er det nemmere at lave malware, end at beskytte mod det. Det siger også noget om niveauet af professionalisme der har omkredset stuxnet, at der er gået et år før nogen som helst har opdaget hvad der foregik.

  • 0
  • 0
#2 Christian Have

Formentlig har det taget kortere tid at beskytte sig imod stuxnet end det har at udvikle det. Som du selv siger, er niveauet for Stuxnet meget højt, estimaterne går jo på mellem 5 og 10 mandeårs arbejde...

Men ja Mikko er fantastisk, jeg oplevede ham på T2.fi i 2008 :)

  • 0
  • 0
#7 Jakob Møllerhøj Editor

@Knud compilerings-datoen på en af de Stuxnet-varianter, der er fundet i det fri, går tilbage til juni 2009. Dele af koden er compileret helt tilbage i januar 2009. Spekulationerne i sikkerhedsbranchen går derfor på, at den har været løbende vedligeholdt i mindst et år.

@Svend gængse anti-virus produkter burde fange Stuxnet på nuværende tidspunkt, desuden har Microsoft patched de allermest kritiske sårbarheder i Windows – ift. Stuxnet.

Jeg kan anbefale et kig i både Mikkos Q&A og i Symantecs Stuxnet rapport, hvis I vil vide mere. Jeg har lagt dem ind som eksterne links på artiklen.

Mvh Jakob

  • 0
  • 0
#8 Knud Henrik Strømming

At compileringsdatoen af dele af koden ligger helt tilbage i januar 2009 behøver ikke nødvendigvis betyde, at ormen faktisk har været i omløb i det fri siden denne dato. Dels kan udviklerne jo have holdt den internt, dels kan der blot være tale om, at uret på den maskine, hvor koden er blevet kompileret, har gået forkert.

Det er en helt anden sag, hvis man fx har fundet kopier af ormen i backup-kopier af inficerede systemer, hvor det med sikkerhed kan fastslås, hvornår backup-kopien er taget.

I en diskussion af, om AV-firmaerne har været sløsede og selvforherligende, er det ikke helt uvæsentligt, om ormen faktisk har været i omløb og faktisk har inficeret maskiner uden for angribernes kontrol "i et helt år", og om denne tidsramme kan verificeres.

  • 0
  • 0
#10 Jakob Møllerhøj Editor

@Knud Henrik du har ret i, at uret på compilerings-maskinen kan have været indstillet forkert. Jeg hæfter mig ved, at både Symantec, F-Secure og andre vurderer, malwaren har mindst et år på bagen, ligesom flere - inkl. Mikko - vurderer, Stuxnet har været 'in the wild' i 2009.

  • 0
  • 0
Log ind eller Opret konto for at kommentere