עבור אל תוכן

על תולעת המחשבים Stuxnet, על Simens, הכור האטומי באיראן, הקשר לכאורה של ישראל ועוד


  • אנא התחבר בכדי להגיב
2 תגובות לנושא זה

#1
 HNC_S

HNC_S
  •  צוות לשעבר
  • 1194 הודעות
    • מונה תודות: 37 תודות
35
בינוני

על תולעת המחשבים Stuxnet, על Simens, הכור האטומי באיראן, הקשר לכאורה של ישראל ועוד

הקדמה

אבטחת המידע הגיעה בשבועות האחרונים לכותרות פעם אחר פעם, ורוב הקוראים המעורים באקטואליה או באבטחת מידע ודאי כבר הבינו למה אני מתכוון. תולעת המחשבים Stuxnet גרמה לנזקים כבדים בכור האטומי של איראן, וכתוצאה מכניסתה לאותם מקומות הושבתו מערכות חיוניות לפעילות הכור. הדבר פורסם, סוקר ומסוקר כמעט בכל חור בעולם, ותהיתי מתי יגיע הזמן שגם אני אכנע לברבורי התקשורת ואכתוב על זה פוסט. אז הזמן הזה הוא עכשיו.

אם תשאלו אותי – הדבר הכי גרוע שיכול לקרות לאבטחת מידע במובנים מסוימים, הוא לעלות לכותרות. עיוותים, הגזמות, ניפוחים ושקרים הם רק חלק מתחומי ההתמחות של כלי התקשורת, ולמרות שלפעמים עושים עבודה מצויינת בהארת עיניו של הציבור, הם יכולים בעצמם לעשות נזקים שלא יביישו את הנזק שנגרם בסיפור המקורי.

אז על מה הרעש?

אז באמת, על מה הרעש, ולמה טובי הבלוגרים החליטו שזה מספיק חשוב על מנת להשקיע זמן משלהם בכתיבת פוסט מתאים? (וזה כולל את איש אבטחת המידע גיא מזרחי, בעלי Newsgeek יניב פלדמן, עו"ד יהונתן קלינגר, קבוצת הגליונות האהובה עלי DigitalWhisper ומי לא בעצם).

אז ראשית – הרעש הוא בגלל הרעש. כמו כל נושא חם, תמיד נחמד לקפוץ על הגל על מנת לקבל רייטינג (והרי שאין בזה לכשעצמו שום דבר פסול – גם אני עושה את זה), ואם מוסיפים טאץ' אישי ומפתחים רעיונות זה תמיד נחמד. לעיתים הרעיון הזה נלקח למקומות פחות נחמדים כמו הגזמה תקשורתית מובהקת (אליה אגיע בהמשך הפוסט) וכמו טמטום טהור והתעסקות מיותרת למרות בורות וחוסר ידע בנושא, אך לפעמים העסק נלקח למקומות טובים ומעשירים, כמו פרשנויות פוליטיות ומשפטיות, מאגרי מידע מועילים ואפילו ריכוזים של הסברים שהופיעו כבר במקומות אחרים, לטובת הקוראים.

שנית, הרעש הוא בגלל שמדובר בתת-נושא לנושא לוהט. אבטחת מידע הוא תחום שנכנס לידיעה הציבורית באופן דומיננטי נורא בזמן האחרון, ו-Stuxnet הוא חלק מאותו נושא לוהט שיכול להסעיר אנשים רבים. "פריצה" זו מילה פופולרית שמצד אחד ממש קל לשלוף, ומצד שני יכולה לגרום היסטריה רצינית. אם אפשר לייצר היסטריה בהמונים – כפי שכבר למדתי והראתי אין ספור פעמים בבלוג הזה, התקשורת היא הראשונה לקפוץ על המציאה (אפילו במקרים שהפרסום ממש לא מדוייק). תוכלו לדפדף בבלוג קצת אחורה, אפילו לפרסומים הראשונים, וללמוד איך עושים כתבות על אבטחת מידע בישראל.

לבסוף, מדובר על עניין שקשור בבטחון המדינה: אנשים שמתעדכנים בידיעה עושים זאת מתוך הרגשת חשש לחייהם. אחרי הכל, כור גרעיני זה לא משחק ילדים, ולשמוע שקרה לו משהו לדעת רובינו זה דווקא ממש עניין נחמד. לא מדובר פה על עוד איזה אילן ספקטור שפרץ למנחה הישרדות, אלא על סיפור חיים ומוות של ממש. אנחנו מעוניינים לדעת את כל הפרטים על המהלך המבצעי המבריק הזה, שנשמע ממש כמו סרט הוליוודי מצליח: על מה היו המניעים, מי עשה, מתי, ואם אפשר, גם קצת ידע טכני בבקשה.

Stuxnet – תולעת מחשבים.

ראשית, Stuxnet היא תולעת. לא פושעה ולא דופקה כמו שמנסים להדביק לנו במאגרי התקשורת. אין לי מושג מי המציא את המילים המזעזעות האלו (בחייכם, דופקה? נשמע כמו אביזר מין עם שם ביזארי), אבל זו בוודאי לא האקדמיה ללשון העברית. בכל מקרה, בגדול, תולעת היא תוכנה שמטרתה להפיץ עצמה לכמה שיותר מערכות. לא אסביר כאן על דרכי ההפצה שלה (שכן מדובר בפוסט שלם), אבל בהחלט אמליץ לכם לשוטט קצת בסביבה הוירטואלית ולגלות כמה זה מעניין.

לפני הצגת הדברים שכן אסביר אודות תולעים, יש להבין מה זה Zero Day (נכתב גם כ-0day). המונח מתייחס לפירצה שכבר ידועה לאנשים מסויימים – אך עדיין לא ידועה לחברה עצמה (או שעדיין לא פורסם עבורה טלאי מתאים שיתקן אותה). השם התגלגל מהגיל של הפירצה, שכן ברגע שמתגלה פירצת אבטחה במוצר כלשהו, ישנו מירוץ בין מתכנתי המוצר לבין אלו שמתעתדים לכתוב קוד שינצל אותה. המונח "0day" (אפס ימים) מציג פירצה שהתגלתה לפני היום הראשון שהמתכנת היה מודע לה (מתכנתים, שמתחילים לספור מאפס ולא מאחד, יגלו שזה אכן יום מספר אפס), ומרמז על הסיכוי של המתכנת לסגור אותה לפני שתנוצל.

לעיתים, התולעת מכילה קוד שמטרתו לפגוע במחשב אליו היא הגיעה, תוך כדי ניצול פרצות ידועות באותו מחשב. קוד שכזה נקרא Payload, והוא יכול לעשות כל מה שהמשתמש המקורי יכול לעשות. התולעת יכולה, כמובן, לנצל 0days לצורך התפשטות והדבקת מערכות, ואז להריץ את אותו Payload שמטרתו לפגוע במערכת.

על Stuxnet עצמה

תולעת Stuxnet התגלתה במפתיע על ידי חברת האבטחה VirusBlokAda הלא ממש מוכרת ביוני 2010, ונראה ששורשיה נעוצים עוד בינואר 2009. היא נחקרה על ידי אנשים בתעשייה שעוסקים ב"הנדסה הפוכה", כלומר, גילוי הקוד האמיתי של התוכנה מתוך התוכנה עצמה, והיו פרסומים שטענו שמטרת ידידתנו חסרת החוליות היא "לרגל ולתכנת מחדש רכיבים תעשייתים". מאוחר יותר התגלה שהפרסומים אכן נכונים, ומטרתה של חברתנו משכבר הימים Stuxnet היא, קודם כל, למצוא במחשב מערכות SCADA, רוצה לומר: "מערכות מחשב המשמשות לצורך פיקוח, שליטה ואיחזור מידע בתעשייה" (הפרחים על ההגדרה לויקיפדיה).

דרך ההתפשטות של התולעת היא פשוטה מאוד: היא עוברת דרך USB (כל USB – כולל כזה של טלפונים, כוננים קשיחים ניידים ומה לא), ומאותו רגע שהיא במחשב – היא מנצלת את אותן פרצות 0days שהזכרנו קודם לכן לצורך הדבקת שאר המחשבים ברשת המחשבים המקומית. גם אם רשת המחשבים מוגנת בעזרת סיסמה, Stuxnet לא תתייאש ותדע לפצח אותה אם מדובר בסיסמה חלשה. אך כאן בהחלט לא מסתיים סיפורנו, מכיוון שכזכור – לא סיפרנו עדיין על אף פגיעה.

ובכן, הסוד של רעיון התולעת טמון ב"בקרים לוגיים מיתכנתים" (או בקיצור הידוע יותר בלעז: PLC). לצורך הדגמה, רכיב ה-PLC יכול לשלוט על ויסות המים בחלק מסוים בתהליך התעשייתי. במקרה שכזה, מערכת ה-SCADA תאפשר למפעילים לשנות את רמת הזרימה, ואף לקבוע מצבי אזהרה כמו חוסר בזרימה או טמפרטורה גבוה מדי, שיתועדו וישמרו במערכת. המשוב והבקרה המערכתיים עוברים דרך רכיבי ה-PLC, כאשר מערכת ה-SCADA משגיחה ומבקרת את הביצועים. [גילוי נאות: כידוע לכולם, אני ממש לא חלק מהתעשייה וכל מה שאני יודע על המערכות הללו נשען על דיווחים מוזרים שלעיתים אני מתרגם בעזרת Google Translate מגרמנית, מספרדית, מרוסית וכל מני שפות מעניינות, אז נא לקחת בערבון מוגבל].

אז את הצורה הכללית (מאוד) שבה בנויה המערכת הבנו, וכעת נוכל לגלות שכל מה ש-Stuxnet עושה אחרי מציאת מערכת ה-SCADA, היא לתכנת מחדש את אותם בקרי PLC, כך שיעשו מה שהתולעת רוצה. מה היא רוצה? ובכן, לא ממש סגורים על זה. טכנית, היא יכולה לכוון מנועים, מסועים ומשאבות. עם ההרשאות הנכונות, כמו שדאגו להבליט בכותרות התקשורת, היא בהחלט יכולה לגרום לדברים להתפוצץ (אבל סביר להניח שאין לה כאלו).

חדל ברברת וקשקושים, מה Stuxnet רוצה? מאיפה באה?

התולעת היא תעלומה מסתורית ביותר, וזה בערך מה שהפך אותה לכל-כך מפורסמת. למרות שכלי התקשורת מתיימרים להביא לכם עובדות מוצקות, קשה מאוד לגלות מי ומה בעניין Stuxnet. למרות זאת, מספר השערות נזרקו לאוויר, חלקן די מבוססות וכאלו שממש קל להסכים איתן, וחלקן.. ממ.. איך לנסח זאת בעדינות.. ברבורים שנוצרו על ידי שיכורים, ומנופחים באופן חסר פרופורציה על ידי אנשי טלוויזיה נחותים שמתיימרים להיות אנשי אבטחת מידע. וזה במקרה הטוב.

התולעת עצמה נראית מוזרה מאוד יחסית, מהסיבות הבאות (אזהרה: עובדות לפניך!):

   1. בעוד שתולעים רבות כוללות קוד זעיר של מספר קילובייטים על מנת להקל את הפצת התולעת, גודלה של ה-Stuxnet הוא 1.5 מגה.
   2. התולעת מנצלת 5 פירצות אבטחה רציניות, מתוכן 4 היו 0days. ערכה הכספי של פירצת 0day הוא גבוה לאין-שעור, ולכן 4 מהן שמנוצלות באותה תולעת מפתיעות גם חוקרי מחשבים מנוסים.
   3. היא נכתבה במספר שפות (כולל C ו-C++ ושפות מונחות עצמים אחרות), מה שמעלה את השאלה בדבר מספר האנשים שהשתתפו בכתיבת התולעת.
   4. היא משתמשת בלפחות 2 אישורי אבטחה שנגנבו מחברות מסחריות.
   5. יותר ממחצית מהמחשבים הנגועים בוירוס היו איראניים.

מהסיבות האלו פחות או יותר, מסיקה חברת האבטחה Symantec שהיוצרים (כן, יוצרים, בלשון רבים) היו קבוצה המונה בן 5 ל-10 אנשים. הם גם מניחים שמדובר בקבוצה בעלת תקציב גבוה מאוד שמומנה היטב (אחרי הכל, ארבע 0days?!), ושמדובר בתהליך שלקח שישה חודשים באופן משוער. כמובן שיש להדגיש שמדובר בהשערות. נכון לעכשיו, אין שום דרך לדעת אם יחידה צבאית מיוחדת או ילד חנון בנה את זה כי הוא השתעמם רצח בחופש הגדול. למרות זאת, אני חייב להודות שהסיכויים שאדם בודד בנה את זה הם קלושים: רכישה של 4 פירצות 0days על ידי בחור בודד זה לא בדיוק אפשרי, ואם להיות הוגנים, ממש לא סביר שאדם בודד יצליח להשיג לידיו את התכנון המדויק של מערכות ה-SCADA וה-PLC על מנת לבנות דברים שידעו להפעיל אותם באופן כה מדויק.

יחסי Stuxnet – איראן – ישראל

אם לשפוט לפי האחוזים, מדובר באיראן. ואכן, רפובליקת הקופיפים הכריזה על כך שהוירוס פגע להם אנושות במערכות הגרעין. מכשהעסק פורסם, יכולתם לראות עשרות טוקבקים שהריצו דאחקות: "עכשיו יגידו שגם בזה אנחנו אשמים!". ובכן, לא הייתם רחוקים מהמציאות, מסתבר: ישראל אכן מוצגים בכל התקשורת בעולם כמועמדים ה"מובילים" ליצור התולעת. האם זה טוב או רע? אני לא פרשן פוליטי ולא יודע לענות על זה. אני כן יכול להגיד לכם שהטענות להאשמת ישראל מגוחכות בכל קנה מידה.

בין אם שמתם לב ובין אם לא, דבר שנכנס למודה (לא בדיוק לאחרונה) הוא להאשים את ישראל. כל העסק התחיל בלחשושים ש"אחת מהמדינות שיכולה לעשות את זה זה ישראל" (אמת), אחרי זה זה עבר ל"יכול להיות שישראל עשתה את זה", משם ל"יש סיכוי סביר שישראל גרמה לזה", ומשם הדרך כבר סלולה ל"ישראל שוחרת המלחמה הפציצה בעזרת וירוס אימתני את הכור הגרעיני באיראן". אז חבר'ה, בואו נרגע. עד עכשיו לא נמצאו שום הוכחות שפויות בדבר אשמת ישראל, אבל בהחלט יש כאלו הזויות שהתשקורת הישראלית ממש אוהבת להציג.

הטיעון הרווח הוא זה שהציג חוקר אבטחה גרמני, אדם לא שפוי בלשון המעטה. למה הוא מאמין שזה ישראל? את זה אפילו F-Secure לא הצליחו להבין (ולא אף חוקר אבטחה אמיתי אחר שאני מכיר), אבל זה נשמע טוב בתקשורת, אז הנה: ימכרו לכם את הסיפור הראשון של הבחור הגרמני, ש-Myrtus מוחבא בקוד הוירוס. אותה מילה בתרגום לעברית היא צמח ההדס, כפי שידוע לכם כמובן, הדס היה השם המקורי של אסתר המלכה (ואני בהחלט מרשה לכם לצחוק).

איפה התקשורת טועה? אם להגיד את האמת, Myrtus בכלל לא מוחבא בשום מקום בקוד. הנתיב המלא לתולעת הוא: myrtus\src\objfre_w2k_x86\i386\guava.pdb, וזה הקשר היחידי. לא נעים לי לבאס את התקשורת ולפוצץ סיפור מגניב, אבל הדס היה גם אל השאול במיתולוגיה היוונית. בואו נלך להאשים את יוון העתיקה על יכולות טכנולוגיות שהעניקו להם האלים? חוץ מזה, העסק הזה כל-כך מעוות וקלוש, ועבר כל כך הרבה שינויים כדי להגיע ל"הדס", שאני פשוט יכול להגיד שהמילה "גויאבה" כפי שהיא מוצגת בשם הקובץ באה מהמילה הספרדית Guayaba, ולכן התולעת מקורה בספרד. יותר מכך, MyRTUs יכול להגיד "ה-RTU שלי", כאשר RTU אומר Remote Terminal Units. לא יותר הגיוני בעיניכם?

הסיפור השני של הבחור מגרמניה הוא מגוחך בערך באותו קנה-מידה. התולעת משנה את אחד המפתחות ברישום (Registry), כך שיהיה 19790509. החלק ההגיוני במה שאומר החוקר מגרמניה: זה תאריך. העניין יכול להיות מאוד, וזה אפילו בפורמט מקובל. התאריך הכתוב שם הוא התשיעי במאי 1979 (09-05-1979). העניין ה(הרבה) פחות הגיוני, הוא שמדובר דווקא בתאריך רציחתו של חביב אלג'ניאן, בכיר יהודי ואיש עסקים שגר באיראן.

איפה התקשורת טועה?: נוח מאוד לזרוק תאריכים ומספרים, מכיוון שהם בפורמט מתמטי ונכנסים למודע באופן אמין מאוד עבור כל אדם ממבט ראשון (נסו את זה על חברים שלכם, זריקת תאריך או נתון כלשהו באחוזים תמיד יצליח לשכנע אנשים במידע – אפילו מוטעה). למען האמת, באותו תאריך בדיוק גם נולד פייר-בוביה, סולן להקת הפופ-פאנק המצליחה Simple Plan. אולי זה הוא שכתב את הוירוס?! חיפוש פשוט בגוגל יציג לכם עוד טונה של מקרים ממש מגניבים, ואם ממש ממש תנסו, אולי תצליחו למצוא אפילו האשמות נוספות כנגד ישראל (חוקי המשחק: עבור סתם תאריך ישראלי תקבלו נקודה אחת, ועבור תאריך שקשור בצבא ההגנה ישראל 5 נקודות. בהצלחה!)

בוא נחשוב בהיגיון: למה לכותבי התוכנה לכתוב וירוס ולהתמיע בו רמזים כל-כך מטושטשים? הצוות גאון מספיק על מנת לכתוב תוכנה שתצליח להזדחל למערכות הסודיות ביותר של איראן, אבל לא מספיק על מנת להסתיר את השם שלהם? ובכלל, הם לא יכלו לבחור תאריך יותר סקסי לאותה "דופקה"? מוזר.

התשקורת הישראלית

עם כל הרצון הטוב להשיג עוד רייטינג לערוץ או לתוכנית שלנו, ועם כל החשק שבוער בעצמותינו להשיג עוד כניסה ועוד כניסה לאתר החדשות הדועך שבנינו – כולם מדברים על התולעת. הנושא הופך להיות נדוש, ונטחן ונשחק במערבלים הגדולים של ערוצי התקשורת המובילים. התקשורת הישראלית המציאה טריק מגניב שיודע לקחת מצב אבוד מראש זה ולהחלץ ממנו ביעילות רבה (שנאמר: "המוח היהודי ממציא לנו פטנטים"). אין יותר נוח מלקחת כותרת גדולה שמישהו פירסם, ולעוות אותה. ואז לקחת את הכותרת הזו, ולעוות אותה שוב. ושוב. ושוב. בסוף תהליך זה, שעובר מגע ידם של עשרות אם לא מאות אנשים ועורכים בעלי ידע מינורי עד אפסי בתחום אבטחת המידע, מתקמטת הכותרת ומגיעה למצב שקר של ממש.

ואז קורה זה. דף השער של מדור מחשבים בדה-מרקר מצהיר בכותרת ענק: "סימנס נטלה אחריות על תולעת המחשבים באיראן!" יש! מדינת ישראל ניצלה מתבוסה הסברתית נוספת, ואפילו לא בזכותה! סימנס, יוצרת המערכות שהתפוצצו, היא זו שאשמה בהכל! תענוג. אלא שמקריאה של השורה הראשונה בכתבה, נפלו פנינו במהרה:

    סימנס מערכות הודתה כי היא אחראית על החדרת התולעת למחשבים באיראן – כך דווח הערב בתוכניתו של רפי רשף בערוץ 2.

רק אני רואה פה בעייתיות? אין לכם מקורות קצת יותר אמינים? The Register, The New York Times, מישהו? הרגשתי מוזר, אבל החלטתי שלא לפסול שום דבר על הסף, והכרחתי את עצמי לצפות בתוכנית המקורית – "5 בערב עם רפי רשף – 03.10.2010".

"חברת סימנס מודה באופן רשמי בפריצה שלה למחשבים ברחבי העולם", כך מודיע רפי בנונשלנטיות, ממש כאחד שלא מודע למשמעות ההצהרה הזו. הכותרת המגוחכת "החיידק האלים" מופיעה על המרקע, ואני שומע הרבה ברבורים, מחפש את העיקר. כשלא מצאתי אחד כזה, מיהרתי לחפש במאגרי העיתונים של היום ושל אתמול כל זכר להצהרה כזו מחברת סימנס. מוזר, לא הייתה כזו. לאחר זמן רב (ובמהלך כתיבת פוסט זה) היו אלו ynet ששברו את הבועה העלובה וחסרת הפרופורציה שפורסמה בתקשורת הישראלית: "סימנס לא הודתה ששתלה וירוס בכור האיראני". תרגום לקוי מהעיתון הגרמני. כמה נמוך אפשר להגיע. כמובן, הכותרת בדה-מרקר ירדה לתחתית ושונתה. כמה מעצבן.

אני ממליץ לכם לגגל ולהתעדכן בחדשות בקשר לתולעת. המלצה אישית לקוראיי: נסו לפלס את דרככם בתוך ים הטמטום והזבל התעמולתי שמתפרסם, ולהוציא את העיקר. אני בטוח שתמצאו דברים מלמדים ומרתקים מאוד.

קרדיט לאתר אחר

נערך על-ידי HNC_S, 05.10.2010 - 01:02 AM.


#2
 F.Torres

F.Torres
  •  חברים רשומים
  • 60 הודעות
    • מונה תודות: 0 תודות
0
רגיל
תודה על המידע

#3
 DeLuXe

DeLuXe
  •  חברים רשומים
  • 196 הודעות
    • מונה תודות: 1 תודות
3
רגיל
תודה רבה על המידע






0 משתמשים קוראים נושא זה

0 משתמשים, 0 אורחים, 0 משתמשים אנונימיים