Hlavní navigace

Virus Stuxnet aneb vraždy bezpečnostních expertů a mlčení západu

Zdeněk Schee

V červenci 2010 byl po měsících působení objeven virus Stuxnet, pohroma Internetu a katalyzátor nepopulárních bezpečnostních opatření. Je to skutečně tak zlé?

Od doby, kdy běloruská antivirová společnost VirusBlokAda objevila virus Stuxnet (červenec 2010), uběhl již nějaký pátek. Od doby, kdy byl s největší pravděpodobností virus Stuxnet vypuštěn (konec roku 2009), uběhla ještě delší doba. Doba dost dlouhá na to, aby přední bezpečnostní experti mohli virus alespoň částečně proanalyzovat a na to, aby konspirátoři a teoretikové stihli vymyslet řadu teorií o jeho vzniku a záměru. Zejména v posledních dnech v souvislosti s informacemi, že virus Stuxnet je na prodej a že se již mohl dostat do nesprávných rukou, začínají mít obavy, že by se Stuxnet mohl stát zničující zbraní, reálný charakter. Zprvu se přitom zdálo, že zasaženy mohou být pouze centrifugy, nebo lépe řečeno průmyslové objekty napojené na kritickou infrastrukturu napojenou na íránský jaderný program a že „civilizovanému“ světu nebezpečí nehrozí (zejména vezmeme-li v potaz, že kromě Íránu se nachází většina zasažených systémů v Indonésii,Indii a rovněž v Číně).

Světová média zvučných jmen, zejména pak New York Times, Guardian nebo BBC, se shodují v tom, že pouze vládou organizovaná skupina, případně nadnárodní korporace, mohla stát za vznikem takovéhoto viru – vždyť kromě desítek programátorů a odhadovaných 5 let lidské práce (přes 40 000 člověk-hodin) byl zapotřebí i přístup k průmyslovým systémům SCADA, vyvíjených společností Siemens, stejně jako „svůj“ člověk s fyzickým přístupem do budovy na Tajwanu, v níž sídlí společnosti Realtek a JMicron, od nichž pramení odcizené certifikáty, kterých Stuxnet zneužívá. Nejčastěji skloňovaným státem v souvislosti se Stuxnetem je jednoznačně Izrael (se svým Unit 8200, tedy polovojenským útvarem zabývajícím informační rozvědkou a dešifrováním), ovšem zaznívají i hlasy, že na jeho vytvoření se mohly podílet i Spojené Státy (US Cyber Command, neboli USCYBERCOM, někdy nazývaný též kybernetická armáda, která v době viru právě vznikala a který se stala plně provozuschopnou až 31. října 2010), případně další spojenci, nebo že od samého počátku je za virus zodpovědná Čína (tuto teorii prosazuje zejména bezpečnostní expert Jeffrey Carr) s cílem zkompromitovat indický kosmický program.

Lze si jen stěží představit, že by někdo investoval ohromné prostředky do vytvoření Stuxnetu a přitom by jediným jeho cílem bylo pouhé odstrašení. A i kdyby tomu tak bylo, tak nelze vyloučit, že, i přes předpokládaná přísná bezpečnostní opatření v takovém vývojovém centru, by se některý z programátorů mohl zmocnit kompletního zdrojového kódu. Kromě toho hackeři a crackeři již pilně pracují na dekódování viru pomocí reverzního inženýrství, a proto je více než na místě předpovídat další možný vývoj viru Stuxnet. Nejdříve ale podívejme na „historické“ reálie, tedy zejména oficiální prohlášení a události, které jsou k dispozici.

Přibližně rok před objevením Stuxnetu Scott Borg z Útvaru kybernetických následků Spojených Států (US-CCU) oznámil, že ze strany Izraele lze očekávat spíše kybernetický než-li klasický útok na íránský jaderný program, který dlouhodobě představuje jeden z nejpalčivějších problémů na poli mezinárodní bezpečnosti. Bez povšimnutí nezůstal jeho postřeh, že takovýto útok by mohl k přenosu škodlivého kódu USB klíčenek a mohl by být zacílen na centrifugy obohacující uran: ve zkratce tedy popsal virus Stuxnet. Taktéž v roce 2009 New York Times přinesl informaci, že již dříve Bushova administrativa schválila nový plán využívající experimentálních metod, s cílem narušit Íránský jaderný program „podkopáním“ počítačové a síťové infrastruktury. Tento přísně utajovaný program měl dále nabýt na intenzitě s příchodem Obamovy administrace. Kromě skutečnosti, že pro Izrael představuje kybernetická válka jeden z oficiálních pilířů bezpečnostní politiky státu, ukazuje na izraelské pozadí i údajná mytologie obsažená ve viru. Konkrétně se ve strojovém kódu viru objevuje slovo MYRTUS, které sice může odkazovat na semitskou mytologii, ale stejně tak může znamenat My RTUs, tedy My Remote Terminal Units (Moje jednotky vzdáleného terminálu) využívané v systémech SCADA. Dále se ve viru objevuje číslo 19790509, které může odkazovat na datum 9. Května 1979, kdy byl jeden perský žid popraven v Teheránu. Přes nevelký rozsah viru (přibližně 0,5MB a okolo 4000 funkcí) ovšem nelze vyloučit, že podobnost je při takovém množství kódu, spíše náhodná. Navíc ať už za virusem Stuxnet stojí kdokoli, dal si dost práce, aby zůstal neodhalen a jistě by měl i dost prostředků na to, aby virus vypadal jako dílo někoho jiného. Za zmínku jistě stojí i to, že šéf Mossadu, tedy přední Izraelské rozvědky, v roce 2009 zůstal déle ve své funkci kvůli provázanosti jeho práce s klíčovými projekty.

Na možnost, že útok byl osnován západními spojenci, poukazují ještě další podpůrná tvrzení. Jedním z nich je např. to, že podobných systémů jako v Íránu je při obohacování uranu využíváno i v Severni Koreji, jejíž jaderný program je rovněž trnem v oku západu. Podle Davida Albrighta, působícího ve funkci předsedy Institutu pro vědu a mezinárodní bezpečnost a dlouhodobě se zabývajícího jadernými programy obou států, byly dokonce technologie pro obohacování uranu, zejména pak řídící počítačové systémy, jak v Íránu, tak i Severní Koreji, dodávány stejnými firmami. Toto by v podstatě vysvětlovalo neschopnost Severní Koreje obohacovat vlastní uran i přes přítomnost potřebných technologií. Ostatně íránský režim se přiznal, že chod některých z jeho centrifug byl narušen v souvislosti s působením Stuxnetu, až ke konci listopadu a lze proto očekávat, že i Severní Korea by s podobným oznámením rovněž otálela. Z prvotních ne zcela vágních ohlasů z Íránu z vyšších politických pater stojí za zmínku zejména prohlášení předsedy Informačně technologického výboru íránského Ministerstva průmyslu a těžařství Mahmouda Liaii z konce září, podle kterého byla proti Íránu vedena kybernetická válka s cílem zmocnit se citlivých informací. K dnešnímu dni již bylo s virem Stuxnet na íránském území podle oficiálních prohlášení „zatočeno“, i tak se ale v médiích objevují informace naznačující, že situace stále není natolik růžová.

Předposledního listopadového dne tohoto roku do médií pronikla informace, že byl ve svém automobilu na severu Íránu cíleně zabit profesor Majid Shahriari, který vedl nedávno založený tým s cílem potírat následky působení Stuxnetu. O motivu útoku lze jen spekulovat, ale nasnadě jsou dvě možnosti: buď Shahriari představoval při potlačování Stuxnetu natolik významný přínos, že země stojící za Stuxnetem podpořila jeho další šíření fyzickou líkvidací Shahriariho (tento názor zastávají např. redaktoři serveru Wired), nebo zevnitř sabotoval úsilí týmu a byl nasazen, aby napomáhal šíření virusu, přičemž v takovémto případě by stál za jeho likvidací patrně Írán. Tato informace je o to pikantnější, že k střelnému, resp. bombovému útoku na jeho osobu, stejně jako na dalšího vědce s napojením na Íránský jaderný program (tohoto se podařilo pouze zranit), došlo pouhých 12 hodin po publikování zpráv uniklých z WikiLeaks. K oběma útokům došlo v chráněné zóně v Teheránu v bezprostřední blízkosti jaderných laboratoří. Je ovšem potřeba zmínit, že tyto útoky nejsou ničím výjimečným a že v průběhu posledních 2 let došlo již k 5 podobným útokům. V reakci na úspěšný atentát Írán záhy zformoval elitní bezpečnostní útvar na ochranu jaderných fyziků a bezpečnostních expertů, který by měl vědcům zajistit stejnou úroveň bezpečnosti, jako je poskytována předním představitelům Ahmadinežadova režimu.

Takovýmto bezprecedentním propojením kybernetických a reálných hrozeb se stává ze Stuxnetu kauza, která by patrně odpovídala pojmu „kybernetická válka“, na jehož přesném vymezení se ovšem bezpečnostní experti zatím neshodli. Na druhou stranu ovšem Stuxnet svým působením významné bezprostřední škody přeprogramováváním programovatelných logických automatů (PLC neboli Programmable Logic Controller) nezpůsobil, přestože k takovéto činnosti mohl být zjevně nastaven. Na stránkách společnosti Symantec je na možná trochu populistickém videu obrazně demonstrováno, jak by mohlo vypadat eventuální selhání v jaderné elektrárně v „praxi“. Podobné názorné ukázky funkčnosti jednotek PLC se rovněž staly součástí některých bezpečnostních konferencí. Primárně byl Stuxnet nastaven tak, aby vyřadil z provozu jak centrifugy na obohacování uranu, tak i parní turbíny v jaderné elektrárně v Bušeru (jednou z funkcí je nastavení frekvence motoru uranového konvertoru na 2Hz a poté na hodnotu nad 1400Hz, přičemž standardní hodnota je od 800 do 1200Hz, přičemž takovýmto chybným nastavením lze dosáhnout zastavení nebo zpomalení procesu obohacování uranu). Je možné, že mělo jít o poslední důrazné varování spojenců – vždyť Bušerská jaderná elektrárna měla být v plném provozu (tj. napojena na íránskou energetickou síť) již v na začátku roku 2011 a zároveň podle materiálů zveřejněných v poslední době na WikiLeaks.org (nyní spíše WikiLeaks.pirat­skastrana.cz, chcete-li) představitelé několika arabských zemí apelovali na Spojené Státy, aby zbytečně neodkládali útok na Írán, aby nestihl dokončit svůj jaderný program.

Anketa

Znamená podle vás existence viru Stuxnet webovou válku?

V souvislosti se Stuxnetem by neměla být opomenuta ani možná role Ruska, jakožto země, která bývá často zmiňována v souvislosti s kybernetickou bezpečností a internetovými hrozbami, a jakožto strategického partnera Íránu. Již v roce 1995 byl podepsán kontrakt mezi Íránem a ruským Ministerstvem jaderné energetiky o dostavění jaderné elektrárny v Bušeru (od roku 1975 do 1979 na ní pracovali dokonce němečtí inženýři, přesněji firmy Siemens a AEG). Hlavním dodavatelem technologií se přitom stala společnost Atomstroyexport. Přestože kvůli tlaku západu okolo roku 2007 dosáhla výstavba prakticky bodu mrazu, proces uvádění první jaderné elektrárny na Blízkém Východě do provozu víceméně úspěšně pokračuje až k dnešnímu dni. Po dokončení by se o provoz měli nadále starat ruští specialisté – ti samí specialisté, kteří s největší pravděpodobností do íránského jaderného provozu virus Stuxnet zanesli – ať již úmyslně nebo nechtěně s pomocí svých infikovaných USB klíčenek či notebooků. Když vezmeme v potaz, že v průběhu nedávného summitu NATO a Ruska se vztahy Ruska se západem nevídaně zlepšily, tak je, alespoň podle mínění některých blogerů, možné uvažovat i o alternativě, že Stuxnet mohl teoreticky být prvním projektem nových partnerů. Generální tajemník NATO Anders Fogh Rasmussen by podle nich patrně jen stěží označil nedávnou schůzi za historický milník v době, kdy Rusové finišují práce na Bušerské elektrárně, kdyby ruská strana neměla v rukávu určité eso, např. eso v podobě dvojí hry.

V poslední době ovšem prozatímní rozměr viru Stuxnet zastiňují spekulace ohledně možného budoucího vývoje. Jak již bylo zmíněno, podle některých zdrojů je již nyní Stuxnet na prodej. Na infrastruktuře Siemensu, jejíž zranitelnosti Stuxnet využívá a jež by mohla být zasažena, jsou závislá prakticky všechna průmyslová, ale i neprůmyslová odvětví: od dopravní přes energetickou nebo finanční infrastrukturu, až po vodní díla nebo potravinářské společnosti. Alespoň takové obavy sdílí britští vládní bezpečnostní experti. Je ovšem pravda, že informace o prodeji zdrojového kódu, zprvu zveřejněné stanicí Sky News a poté převzaté řadou dalších médií zejména ve Velké Británii, byly možná poněkud nepřesné až zavádějící. Upozorňuje na to např. blog společnosti AVG nebo bezpečnostní server Sophos. Podle dalších informací, které poskytl bezpečnostní expert Eric Cole z institutu SANS, který předsedá komisi pro kyberbezpečnost při kanceláři prezidenta USA, je Stuxnet je pouze špičkou ledovce a z poslední doby ví nejméně o 4 obdobných útocích s využitím 0-day bezpečnostních chyb namířených proti společnostem využívajícím průmyslových výrobních procesů s cílem zmocnit se duševního vlastnictví.

Někdejší kybernetický útok na estonský internet v roce 2007 bývá označován jako „První Webová Válka“, ovšem kauza Stuxnet má k takovéto definici patrně daleko blíže, byť katastrofické scénáře nebyly naplněny a přestože jejich naplnění patrně ani nebylo cílem. Osobně mi asi jako nejvýstižnější v souvislosti se Stuxnetem přijde tvrzení, že jím byla započata Nová éra kybernetických válek nebo přirovnání Stuxnetu k letounu F-35, který by se hypoteticky objevil v První světové válce. Průmyslové systémy bývají záplatovány poměrně zřídka a v nesprávných rukách by tedy Stuxnet jistě představoval právem obávanou zbraň. Takové obavy založené na neutichající nejistotě jistě ještě nějakou dobu potrvají. Bezpečnost ohrožených provozů by v současné době neměla být podceňována a bezpečnostní opatření by měla být přijímána bez prodlení – vždyť s trochou nadsázky lze říci už nyní jim byla dána „druhá šance“ v boji proti hrozbě dříve nevídané.

Našli jste v článku chybu?

9. 12. 2010 12:34

Kevin (neregistrovaný)

Nerad kritizuji cizí práci, ale je to spíš zpětná vazba autorovi. Tomu článku chybí jakýkoliv úvod pro někoho kdo o celé věci dříve neslyšel. Takže co to je, které systémy to napadá se musí luštit mezi řádky. Zdá se že autor předpokládá, že "všichni vědí" a toto doplňuje obecně známé informace.

10. 12. 2010 12:20

sojkovec (neregistrovaný)

Není ten pojem trochu zavádějící? Vždyť stuxnet nemá s WWW nic společného, dokonce se ani nešíří po Internetu. Proto nemohu odpovědět na anketu.

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Dárkové poukazy. Vaše byznys výhra

Dárkové poukazy. Vaše byznys výhra

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny