Door sigmund, Op din 12 jul 2011 20:00, 12 reacties, citaat / intro / linkdump

Het verhaal van de meest bedreigende Malware in de geschiedenis



Boeiende geschiedenis over de ontdekking en ontcijfering van Stuxnet. Volgens experts de meest dreigende Malware in de geschiedenis. Inclusief het doel van dit wapen en de waarschijnlijke opdrachtgevers.

Op 17 juni 2010 checkte Sergey Ulasen in zijn kantoor in Wit-Rusland zijn e-mail, toen zijn oog viel op een bepaald rapport. Een computer, die toebehoorde aan een klant in Iran zat gevangen in een reboot loop - het herhaaldelijk uitschakelen en opnieuw starten, ondanks pogingen van operators om de controle te nemen. Het bleek de machine was geïnfecteerd met een virus.... ...
Annotaties:
| #146294 | 12-07-2011 23:29 | zwart
Wat een prachtig verhaal. Het beste tot nu toe over stuxnet.
Leest als een detective.
zwart's avatar
| #146317 | 13-07-2011 11:43 | merethan
Van wat ik van Wired gelezen heb, het beste verhaal tot nu toe.

Zeker het lezen waard. De conclusie is het mooist ;)
merethan's avatar
| #146449 | 14-07-2011 09:22 | DOS.
Eens met commentaar. Ik sta er echter steeds versteld van dat men windows draait. Ik heb ook wel eens betaalautomaten vast zien zitten met zo'n blauw windows scherm. Zijn er zo weinig linux experts op deze wereld ?
DOS.'s avatar
| #146492 | 14-07-2011 13:36 | ffloor
Kan het verhaal geen nieuws noemen want deze grap om systeembeheerders in het ootje te nemen is al 20 jaar oud!
Gewoon in Microsofts Debug op het stilstaande knipperstreepje opgeven:_ G=FFFF:0 en de machine geeft al spontaan een koude herstart als returnwaarde. Het compilatiebestandje reboot.com staat dan ook gewoon op Internet en is voor programmeurs bedoeld om residente bestandjes in het geheugen te plaatsen zodat extra hardware kan werken.
Om beschreven effekt te maken hoef je op de C: schijf slechts een Autorun.inf als bestandje aan te maken dat dan telkens dat rebootbestandje zal opstarten nog vòòr Windows opstart - nee niks geen virus!
Op http://www.security.nl is al veel te doen geweest waarom Microsoft ook op C: stations een Autorun.inf toestaat (is bedoeld voor pinautomaten in de muur) want in de volgende Windowsversie 8 werkt het héle Autorun.inf namelijk niet meer, althans niet meer in consumentenuitvoeringen.
| #146494 | 14-07-2011 13:39 | sigmund
"Kan het verhaal geen nieuws noemen"

Stuxnet al 20 jaar oud??! Da's pas nieuws...
sigmund's avatar
| #146527 | 14-07-2011 15:27 | ffloor
Stuxnet was iets anders @sigmund. Het ging in dit virus om echte debuggingsregels die zochten naar toerentallen en looptijden van elektromotoren: zoiets kan alleen een assemblerprogrammeur gemaakt hebben en daarvan schat ik er in heel NL maar hooguit 5 mensen die zulke self-debuggende regels nog zouden kunnen uitschrijven want je bent dan echt op machineniveau bezig zonder intepreter en waarin veiligheidshalve veel instructies ongedocumenteerd zijn gebleven of zelfs domweg maar zijn weggelaten: dit is echt voer voor die ouwe assemblertechnici. Daarom was het "virus" ook helemaal niet opspoorbaar want het verstoorde geen enkel programma, alleen produktieprocessen liepen fout.
Sterker, ik denk dat de makers van Stuxnet zelfs geen andere bedoeling hebben gehad dan om de namen van snel ingevlogen Siemens-ingenieurs te kunnen achterhalen want voor Iran geldt immers een exportban!

Het artikel hierboven slaat niet op Stuxnet maar op Malware en dat is iets wat gemiddeld door scholiertjes geschreven wordt en vooral Microsoft heeft ze het wel héél gemakkelijk gemaakt door op een C: schijf een dergelijk Autorun.inf bestandje al toe te staan, laat stààn om het er weer eraf te kunnen krijgen want dan moet je vaak eerst nog met CCleaner of Regseeker in het Register zitten sleutelen. Het heeft me al een hele avond gekost om zoiets simpels eraf te kunnen krijgen want met Attrib -s-h-r *.inf en dan Del *.inf lukte me dat niet.
Bekijk je eigen machine maar eens goed met: DIR /A /P want dan komen rare bestandjes wel tevoorschijn.
Op http://www.security.nl moet je rechtsboven in het zoekveld maar eens Autorun invullen met een entertoets en de boze verhalen over dit "scholiertjesgemakkie" vliegen bij honderden op het scherm.
| #146530 | 14-07-2011 15:39 | xxxx
Sterker, ik denk dat de makers van Stuxnet zelfs geen andere bedoeling hebben gehad dan om de namen van snel ingevlogen Siemens-ingenieurs te kunnen achterhalen want voor Iran geldt immers een exportban
lol :) de belastingdienst werkt wel iets efficienter lijkt me ...wat ik mis in dit verhaal is,dat de makers van dit wapen slechts een zeeeeeer selectief groepje kunnen zijn... een 3e rangs inspecteur van politie zou de beste man na een onderzoekje van een paar uur op kunnen pakken ... het feit dat dat niet gebeurd is, wijst ook de schuldige aan..
xxxx's avatar
| #146531 | 14-07-2011 15:41 | zwart
@ffloor. Het gaat hier wel heel degelijk over stuxnet, en toch heeft u ook gelijk dat het verhaal "hoe breek ik in in Windows" al inderdaad wel heel oud is. En niet alleen in Windows.

Programmeurs in Assembly zijn er nog wel degelijk, maar zoals u al stelt krijg je niet zomaar alle broncode van Intel en Amd om werkelijk alles uit de kast te halen.
Het lijkt er sterk op dat de bouwers van Stuxnet ook die broncode volledig tot hun beschikking hebben, want nog steeds is het niet mogelijk om alle gebruikte instructies te begrijpen.
zwart's avatar
| #146533 | 14-07-2011 15:43 | zwart
Klopt, ik krijg maar beperkte toegang tot de machinetaal instructies.
Nee, die stuxnet jongens en meisjes zijn van het allergeheimste en hoogste niveau.
zwart's avatar
| #146539 | 14-07-2011 15:54 | xxxx
...de Intel bazen ... zijn dat ook geen zio's?
xxxx's avatar
| #146544 | 14-07-2011 16:15 | alegria
Wat ik niet begrijp is dat die gekken, (wij ook), hun kerncentrales op Windows draaien.
Dat id vragen om problemen.
alegria's avatar
| #146546 | 14-07-2011 16:16 | alegria
id=is
alegria's avatar
aanmelden / inloggen