Nieuws
image

"Stuxnet-auteurs maakten amateuristische fouten"

woensdag 19 januari 2011, 10:35 door Redactie, 13 reacties

De makers van de Stuxnet-worm maakten amateuristische fouten, wat aantoont dat de malware waarschijnlijk niet door een Westerse staat ontwikkeld is. Dat zei Tom Parker tijdens de Black Hat DC conferentie. Parker krijgt bijval van cryptograaf Nate Lawson. "Ik hoop echt dat het niet door de VS gemaakt is, omdat ik graag denk dat de elite ontwikkelaars van onze cyberwapens in ieder geval bekend zijn met wat Bulgaarse tieners begin jaren 1990 deden."

Zowel Parker als Lawson hebben hun twijfels over de malware die gebruikt is om de kwaadaardige lading op de computers te plaatsen. Daardoor denkt Parker dat Stuxnet mogelijk het product is van een samenwerking tussen twee verschillende groepen. De Stuxnet-code en exploits zouden door een talentvolle groep zijn ontwikkeld, terwijl een minder ervaren groep de tool voor het gebruik van de code ontwikkelde. De beveiligingsconsultant ontdekte ook verschillende andere aanwijzingen dat de code niet helemaal goed in elkaar zit, maar op bepaalde niveaus nog steeds erg effectief is.

Amateurs
Parker ontwikkelde een tool die de overeenkomsten tussen Stuxnet en andere bekende wormen vergeleek en ontdekte dat de code van een lage kwaliteit was. Lawson gaat zelfs nog een stap verder. "De auteurs zouden zich moeten schamen voor hun amateuristische aanpak om de payload te verbergen."

Zo is er geen speciale obfuscatie en de technieken die de malware gebruikt om zich voor virusscanners te verbergen verschilt niet van de andere malware die vorig jaar werd gevonden. Daarnaast zouden de ontwikkelaars volgens Lawson niet met geavanceerde technieken bekend zijn om hun doelwit te verbergen. "Wie de code ontwikkelde had waarschijnlijk haast en besloot dat het gebruik van geavanceerde technieken om de malware te verstoppen niet de kosten voor testen en ontwikkeling waard was."

Aan de hand zijn analyse stelt Parker dat Stuxnet waarschijnlijk niet door een Westerse staat is ontwikkeld. "Er ging heel veel fout. Er is teveel technische inconsistentie. Maar de kans dat de bugs zouden mislukken was klein. Het waren allemaal logische fouten met een hoge betrouwbaarheid."

Reacties (13)
19-01-2011, 10:46 door Syzygy
Ach het doel heiligt de middelen en het gaat om de succes-rate, toch.

Net als bij voetbal: mooi voetbal is ondergeschikt aan winnen.
19-01-2011, 10:48 door Mysterio
De makers van de Stuxnet-worm maakten amateuristische fouten, wat aantoont dat de malware waarschijnlijk niet door een Westerse staat ontwikkeld is.
Arg! De arrogantie!
19-01-2011, 10:54 door Anoniem
"wat aantoont dat de malware waarschijnlijk niet door een Westerse staat ontwikkeld is"

Sterk staaltje superioriteits-denken :)
19-01-2011, 11:01 door Anoniem
Mja, want Westerse staten maken immers nooit amateuristische fouten.

‘The most terrifying words in the English language are: I'm from the government and I'm here to help.’ — Ronald Reagan
19-01-2011, 11:06 door Anoniem
"Er ging heel veel fout. Er is teveel technische inconsistentie. Maar de kans dat de bugs zouden mislukken was klein. Het waren allemaal logische fouten met een hoge betrouwbaarheid."

Redactie: wat betekent dit?
19-01-2011, 11:11 door Rajaat
Arrogantie ten top, alsof alleen westerse landen goede programmeurs hebben en als er fouten in zitten het niet door een westers land gemaakt kan zijn.
19-01-2011, 11:23 door Anoniem
In het westen worden zoveel onveilige applicaties gemaakt. Dit komt omdat iedere programmeur onbewust onveilig codeert. Je zou de volgende generatie programmeurs vanaf basisschool al moeten leren wat wel of niet veilig is bij het programmeren. Alleen dan kun je een superprogrammeurs generatie voortbrengen die bijna zonder nadenken (=bijna automatisch) veilig codeert (en zelf instinctief kunnen aanvoelen).
19-01-2011, 11:27 door Anoniem
Kan me volledig aansluiten bij het commentaar van de personen hierboven. Breken is weer eens makkelijker dan zelf maken.

IMHO worden veel omgevingsvariabelen niet meegenomen in bovenstaande analyse. Zo hebben SCADA systemen vaak geen virusscanner draaien, juist doordat responsetijden zo enorm belangrijk zijn. Een scanner die een vertraging van 10 seconden veroorzaakt kan in dat geval al rampzalig zijn. Misschien waren de systemen van het doel (Natanz, zoveel is jnu wel duidelijk) helemaal niet voorzien van een anti-virus programma. Lijkt mij goed mogelijk.

Daarnaast bevat de programmatuur zoveel specifieke kennis, dat het niet door een groep is gemaakt die maar wat aanrommelde. Welke talentvolle groep weet precies hoe Siemens PLC herprogrammeerd moeten worden? Welke groep weet dat er precies 984 centrifuges (of wat voor dingen het dan ook waren) onklaar gemaakt moesten worden en dat in de code wisten te verwerken? Welke groep had voldoende capaciteit om te testen met de oude centrifuges die Iran gebruikt? Wie heeft voldoende kennis om Stuxnet foutloos op het doelsysteem uit te laten voeren? Welke groep komt achter het certificaat van RealPlayer? Etc etc? Een talentvolle en minder talentvolle groep? Hou toch op.

Typisch een geval van achteraf afkraken van een stuk software dat door kenners als een van de meest geavanceerde cyberwar tools ooit wordt beschouwd. Maar goed, de heren hebben hun 15 minutes of fame weer gehad. Next.
19-01-2011, 11:44 door Didier Stevens
Door Redactie:
Zo is er geen speciale obfuscatie en de technieken die de malware gebruikt om zich voor virusscanners te verbergen verschilt niet van de andere malware die vorig jaar werd gevonden. Daarnaast zouden de ontwikkelaars volgens Lawson niet met geavanceerde technieken bekend zijn om hun doelwit te verbergen. "Wie de code ontwikkelde had waarschijnlijk haast en besloot dat het gebruik van geavanceerde technieken om de malware te verstoppen niet de kosten voor testen en ontwikkeling waard was."

Die man gaat eraan voorbij dat Stuxnet pas in juli 2010 ontdekt werd en dat alles erop wijst dat de schade aan de Natanz installatie toen al was aangericht. De gebruikte AV-evasion technieken bleken dus afdoende te zijn. Target besmet zonder detectie. Als malware op grote schaal verspreid wordt, zal het vroeg of laat ontdekt worden.
19-01-2011, 11:48 door TheShield
Hoe harder men probeert de boel af te schuiven, des te groter moet de verdenking richting dat land zijn, zeker na de berichtgeving dat het in een bepaalde centrale is getest. Ze proberen nog uit alle macht de onschuld zelf te spelen
19-01-2011, 13:13 door WhizzMan
Ten eerste, zo goed zijn de diverse agencies ook weer niet. Ten tweede, als ze wel goed zijn, hoeven ze het niet zelf uitgevoerd te hebben, maar ook gewoon een opdracht ergens anders kunnen hebben neergelegd. Zelfs als ze wel goed genoeg zijn en het zelf gedaan hebben, is er nog de "plausible deniability" factor. Door dit soort "amateurisme" kunnen ze met een stalen gezicht ontkennen dat ze er iets mee te maken hebben, want ze weten wel beter, toch?
19-01-2011, 15:07 door THEFXR
eerst wel en nu niet door een westerse staat ontwikkeld?
20-01-2011, 08:26 door N4ppy
Hahahaha wat een arogante kwal.

Vraag 1: Heeft het gewerkt.
Antwoord 1: Ja.

Dus was het een goed product.

De partij die dit gemaakt heeft had zeer gedetaileerde kennis en was waarschijnlijk ook op de hoogte hoe de payload te verspreiden. Dan pak je het simpelste wat werkt. Als obfuscatie niet nodig is dan ga je dat ook NIET inbouwen want daarmee VERMINDER je de kan op sucses. Het is een onnodig component dat fouten kan introduceren.

Voldoet aan het KISS principe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search