Nieuws
image

Nederlander zorgt voor doorbraak in Stuxnet-zaak

maandag 15 november 2010, 07:17 door Redactie, 14 reacties

Een Nederlandse Profibus-expert heeft een zeer belangrijk onderdeel van de "Stuxnet-puzzel" opgelost. De niet bij naam genoemde expert reageerde op een oproep van Symantec om met het ontcijferen van de code te helpen. Het lukte de virusbestrijder maar niet om het doel van de worm te achterhalen. Stuxnet wijzigde op besmette systemen de programmable logic controller (PLC), vermoedelijk om het te besturen systeem te saboteren.

Door hulp van de Nederlander staat nu vast dat Stuxnet alleen werkt als de industriële controlesystemen over 'frequency converter drives' van tenminste één van twee specifieke leveranciers beschikken. Eén van deze leveranciers bevindt zich in Finland, de ander in Teheran, Iran. Een frequency converter drive is een voeding die de frequentie van de output kan aanpassen, die weer de snelheid van de motor aanstuurt. Hoe hoger de frequentie, hoe hoger de snelheid van de motor.

Sabotage
Stuxnet wijzigt voor korte perioden de output frequenties en dus de snelheid van de motoren. "Het aanpassen van de snelheid van de motoren saboteert de normale werking van het industriële controle proces", zegt Eric Chien van Symantec.

De motoren waar Stuxnet naar zoekt hebben een frequentie van tussen de 807Hz en 1210Hz. De worm verandert de snelheid eerst in 1410Hz, dan naar 2Hz en dan weer naar 1064Hz. Zodoende kan het systeem niet meer naar behoren werken, merkt Chien op. Dankzij de Nederlandse expert is de werking van de worm nu volledig in kaart gebracht.

Reacties (14)
15-11-2010, 08:22 door Anoniem
Apart. Dit is dus een heel specifieke worm om een fabriek proberen plat te leggen?

Door o.a. lopende banden en processen op een wisselende snelheid aan te sturen?
15-11-2010, 09:41 door spatieman
het zijn de chinezen !
15-11-2010, 09:52 door Prlzwitsnovski
Door spatieman: het zijn de chinezen !
Geloof ik niet.
Wat zou China er in zien om Iran lam te leggen?
De VS zou dit eerder leuk vinden.
15-11-2010, 10:11 door Sokolum
Dit klinkt al een aanval van een overheid met veel resources en kennis over een bepaald systeem.
Het is geen werk meer van een jochie dat een virus programmeert om een PC plat te gooien.

De cyberoorlog is hiermede een realiteit geworden.
15-11-2010, 10:40 door [Account Verwijderd]
[Verwijderd]
15-11-2010, 10:48 door Anoniem
Zo kun je dus enorme economische schade aan andere landen aanbrengen waarmee je concureert,vooral nu in de crisistijd
waar het evenwicht in de plaatselijk economiënen toch al vrij wankel is.
Denk dan met name aan bepaalde Europese landen en Amerika
15-11-2010, 11:03 door Anoniem
Is misschien bedoeld om de uranium centrifuges te saboteren?
15-11-2010, 11:19 door Anoniem
Eigenlijk vind ik Stuxnet tegenvallen voor iets dat door een overheid is geproduceerd.
15-11-2010, 11:21 door ej__
Dat klinkt naar onderbreking/kapot maken van een heel bepaald soort productieproces. Laten die nou net in Iran staan, en niet worden toegelaten door een grootmacht+klein land in het midden oosten... En ja, ik denk dat ik weet welk productieproces.

Lees http://www.technischweekblad.nl/prof-dr-j-kistemaker-%281917%29-initiator-van-het.74317.lynkx eens..., dan weet je om welk productieproces het gaat.
15-11-2010, 18:20 door Anoniem
Heb vandaag een erg interessante presentatie gevolgd van Heiko Patzlaff (Senior Consultant Siemens AG) op het GOVCERT symposium.
Zo diep op de materie als hierboven ging hij niet in, maar de karaktereigenschappen van dit "virus" zijn minstens opmerkelijk te noemen en doen met enige zekerheid vermoeden (alsof dat kan :)) dat hier een grote club (of land) achter zit, dat er kennis geweest moet zijn van specifieke industriele processen, typenummers, etc etc.

Intrigerend. Dat zeker.. en ook verontrustend..
15-11-2010, 19:58 door ej__
Gezien de gegevens tot nu toe is met zekerheid getracht de centrifuges en misschien wel complete cascades kapot te maken. Dat is een _heel_ gerichte aanval.

Edit: misschien een verband met de in http://lewis.armscontrolwonk.com/archive/1452/irans-centrifuge-operations genoemde outages?
15-11-2010, 23:56 door GNOE Inc.
Als ik het filmpje goed begrepen heb, moet er Programmeersoftware (zoals Siemens Step 7) geïnstalleerd zijn op de geïnfecteerde computer om het PLC-programma te veranderen.

Het lijkt me dan ook verstandig om geen programmeersoftware meer op een computer te installeren die constant in verbinding staat met de PLC. Omdat Programmeersoftware eigenlijk alleen nodig is bij wijzigingen en storing zoeken kun je deze beter op een computer/laptop zetten, die alleen aangesloten wordt op het moment van die werkzaamheden.

Zo ver ik weet zit er op een Siemens PLC van de 400-serie ook een optie om het programmeren van de PLC te blokkeren (RUN-P). Ook dat lijkt me dan geen overbodige luxe om te gebruiken...
16-11-2010, 14:36 door Anoniem
misschien was dit alleen maar een poging van de fabrikant om een groter support contract te krijgen?
17-11-2010, 14:54 door Anoniem
http://www.norman.com/business/campaigns/stuxnet/nl?utm_source=frontpage&utm_medium=flash&utm_campaign=stuxnetlp&

the big awww-factor... security is a basic need and can be provided if they're smart...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search