image

"Hackers belangrijker dan tanks in toekomst" (interview)

maandag 21 mei 2012, 08:58 door Redactie, 3 reacties

In de toekomst zullen hackers belangrijker dan tanks zijn als het om militaire conflicten gaat, toch heeft een echte cyberoorlog nog altijd niet plaatsgevonden. Dat zegt Aleks Gostev, analist bij het Russische anti-virusbedrijf Kaspersky Lab, in een interview met Security.nl. Gostev sprak tijdens een studentenconferentie in Delft. Voor Kaspersky analyseerde hij zowel Stuxnet als Duqu.

Twee cyberwapens waarvan de ontwikkeling zeer waarschijnlijk in 2007 begon. Hetzelfde jaar van het conflict in Estland, dat regelmatig als het eerste voorbeeld van een cyberoorlog wordt genoemd. Ook de DDoS-aanvallen op Georgië in 2008 of die op Zuid-Korea en de Verenigde Staten in 2009 worden vaak als cyberoorlog bestempeld. Zelfs Anonymous werd in 2010 beticht van het starten van de eerste cyberoorlog. "Een cyberoorlog bestaat niet zonder echte soldaten op de grond", aldus Gostev. "Tijdens een militair conflict hoort 'cyber' onderdeel van de militaire operatie te zijn. Maar alleen cyberoorlog zonder militair conflict is geen oorlog."

Spionage
In de meeste gevallen gaat het dan ook om spionage of sabotage en niet om een oorlog die alleen via het internet wordt gevoerd. Stuxnet en Duqu zijn in dit opzicht een goed voorbeeld. "Stuxnet was alleen een proof of concept, het gaat hier om industriële sabotage", aldus Gostev. De malware bleef anderhalf jaar voor alle virusscanners onopgemerkt en zat zeer goed in elkaar. Gostev schat dat een team van zo'n 20 a 30 mensen aan de worm heeft gewerkt. Zo'n 2 a 3 mensen voor Command & Control administratie, 7 a 10 voor het verspreiden van de malware, 3 a 4 voor het ontwikkelen van de wormcode, 2 a 3 voor het ontwikkelen van de code die de PLC saboteerde, 1 a 2 voor het ontwikkelen van de exploits en nog eens 7 a 10 voor het testen.

In april 2011 werd Duqu ontdekt, wat volgens velen de zoon van Stuxnet was. Verder onderzoek wees uit dat de zeer geavanceerde malware van een platform afkomstig was. Een malware ontwikkelingsplatform dat al in 2007 zou zijn ontwikkeld. En de aanvallen gaan nog steeds door. Onlangs rapporteerde Iran een nieuwe aanval tegen verschillende oliebedrijven. Daarbij werd informatie van een groot aantal machines 'gewiped'. Niet verwijderd, maar grondig gewist zodat de gegevens niet terug te halen waren.

"Meer landen zijn nu bezig met de ontwikkeling van cyberwapens en volgend jaar zullen we meer incidenten zien waarbij wordt gespioneerd en data vernietigd. Ook zullen we waarschijnlijk een nieuwe aanval op de infrastructuur zien." Daarbij acht Gostev het goed mogelijk dat systemen worden vernietigd door bepaalde onderdelen zoals de BIOS, processor of videokaart te beschadigen.

Hackers
De hele discussie over wie er achter Stuxnet en Duqu zitten mist volgens Gostev het punt. "Het is geen vraag van landen, maar van mensen." Alle landen in de wereld zouden teams kunnen hebben die dit soort zeer geavanceerde malware ontwikkelen, aldus de analist. "Dit verschuift de balans in de echte wereld. Op dit moment zijn de machtigste landen de landen die over de meeste tanks en straaljagers beschikken. Maar in de nabije toekomst gaat dit veranderen. Dan kunnen twintig mensen van een willekeurig land een operatie stoppen in een land met een groot leger."

Landen als China en de VS, die nu militaire supermachten zijn, zullen die macht in de komende tien jaar mogelijk verliezen, gaat Gostev verder. Het gaat dan niet alleen om het aantal hackers dat een land heeft, maar ook het niveau van die hackers. En Stuxnet en Duqu zijn wederom voorbeelden van een hoog niveau bij de programmeurs. "Ik analyseer al sinds 1994 code, maar heb nog nooit het werk van zulke professionals gezien. Het is perfect in termen van complexiteit, kwaliteit van de code, de tests die het uitvoert, etc."

Broncode Stuxnet
Wat betreft de ontdekking van Stuxnet en talloze analyses die volgden, wil dat nog niet zeggen dat alle landen over de mogelijkheid beschikken om Stuxnet te gebruiken. De binaire code van Stuxnet kan niet naar broncode worden omgezet. Slechts een zeer klein gedeelte, een driver van Stuxnet, werd uiteindelijk gereverse engineered en naar broncode omgezet. Het gaat hier om een module van slechts 30 kilobyte, terwijl Stuxnet meer dan 1 megabyte aan code bevat. "Het is onmogelijk om aan de hand van deze informatie een nieuwe Stuxnet te ontwikkelen," merkt de analist op.

Toekomst
Voor de toekomst verwacht Gostev geen universele oplossing die landen, organisaties of kritieke infrastructuur tegen dit soort aanvallen beschermt. "De meeste landen grijpen naar bekende oplossingen. Zo stopt Iran met het gebruik van buitenlandse beveiligingssoftware. In China gebruiken ze een eigen Linux-versie. Maar een aanvaller met voldoende tijd en geld kan ook dit soort platformen onderzoeken."

Toch pleit Gostev voor het gebruik van dit soort onbekende software. "Een werkende oplossing zou geheime informatie zijn." Dat de aanvallers niet weten wat voor software het land gebruikt. Gostev erkent dat dit security through obscurity is, maar vindt het toch de meest praktische oplossing.

Een ander element dat in veel landen speelt is dat overheden meer controle over het internet willen, zoals in de Verenigde Staten. "De VS is, zoals ik het zie, meer bezig met offensieve doeleinden dan met defensieve." De analist denkt dan ook dat de VS goed in het uitvoeren van aanvallen is, maar in het geval van verdediging het met veel problemen te maken heeft. "Dat komt omdat de kritieke infrastructuur in handen van private ondernemingen is. In Rusland is het bijvoorbeeld veel eenvoudiger om de kritieke infrastructuur te beschermen."

Reacties (3)
21-05-2012, 18:39 door S-q.
"De binaire code van Stuxnet kan niet naar broncode worden omgezet. Slechts een zeer klein gedeelte, een driver van Stuxnet, werd uiteindelijk gereverse engineered en naar broncode omgezet.."

Even een leken vraag;

Er wordt gesteld: "Ik analyseer al sinds 1994 code, maar heb nog nooit het werk van zulke professionals gezien. Het is perfect in termen van complexiteit, kwaliteit van de code, de tests die het uitvoert, etc."


Aan de hand van wat kan hij dit zeggen? Het komt op mij tegenstrijdig over.

Het zelfde met betrekking tot het volgende;

"Stuxnet was alleen een proof of concept, het gaat hier om industriële sabotage", aldus Gostev. De malware bleef anderhalf jaar voor alle virusscanners onopgemerkt en zat zeer goed in elkaar. Gostev schat dat een team van zo'n 20 a 30 mensen aan de worm heeft gewerkt. Zo'n 2 a 3 mensen voor Command & Control administratie, 7 a 10 voor het verspreiden van de malware, 3 a 4 voor het ontwikkelen van de wormcode, 2 a 3 voor het ontwikkelen van de code die de PLC saboteerde, 1 a 2 voor het ontwikkelen van de exploits en nog eens 7 a 10 voor het testen.


Hoe kun je dat allemaal zeggen als je niet de broncode kunt reverse ingenieren?
21-05-2012, 19:34 door Fwiffo
Ik kan alleen spreken over heel vroeger. Daar ging je met het programma 'sourcer' en de Ice Debugger aan de gang.
Sourcer probeert van een executable assembly code te maken, maar je moet niet verwachten dat die dan ook door de assembler gehaald weer de executable op zal leveren. Als stuxnet bijvoorbeeld encryptie gebruik op zijn eigen code, lijkt mij dat Sourcer daar niet veel van kan maken.

Verder weet je niet wat het doet (omdat er allemaal 0-days inzitten en ze undocumented functies zullen gebruiken) en is het heel erg groot. Voor je er weer OO C van hebt gemaakt ben je weer veel verder, en is er weer een nieuwe versie van stuxnet in het wild. Interessanter is om de stukjes die je wilt hebben eruit te halen en die aan je eigen malware code toe te voegen (voor crackers).

Om een beeld te geven, een assembler instructie kan uit een enkele byte bestaan. Maar neemt wel een hele regel in beslag als je er een .asm bestand van maakt (vroeger). Ook zette Sourcer er nog commentaar bij, bij elke interrupt naar MS-DOS. Zo dat je niet steeds hoeft te zoeken wat er waarschijnlijk gebeurt in het programma.
22-05-2012, 01:47 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.