Stuxnet: Kód je špatně napsaný a úspěch červa jen náhodný

1. 2. 2011

Sdílet

Expert říká: Byl-li Stuxnet dílem západních služeb, je to opravdu špatná zpráva. Znamenalo by to, že kybernetickou válku za nás vedou úplní ignoranti.

Je možné, že červ Stuxnet zdaleka nebyl tak geniálním programátorským dílem, jak jej prezentují média. Snad jde jen o neodůvodněný mýtus a adoraci. Podle dvou bezpečnostních výzkumníků udělali jeho autoři několik chyb, jimiž značně snížili účinnost výsledného kódu.

Bezpečnostní konzultant Tom Parker uvedl minulý týden na konferenci Black Hat například svůj názor, že Stuxnet je výsledkem spolupráce dvou různých skupin: talentovaných původních programátorů a druhé skupiny, která kód nástroje přizpůsobila pro své další použití, přitom však už nepostupovala příliš profesionálně.

Parker si také napsal program, který srovnával Stuxnet s dalšími červy a jiným malwarem. Stuxnet podle něj skutečně vyžadoval znalosti Step 7, WinCC, tvorbu rootkitů na úrovni jádra, vývoj exploitů proti zranitelnostem a reverzní inženýrství formátů řady souborů. Takto široký soubor znalostí vedl k hypotézám, že jde o dílo tajných služeb nebo jiných velkých a organizovaných skupin. Parker si ale všiml i toho, že v kódu Stuxnetu je řada i celkem triviálních chyb včetně chyby při komunikaci mezi kódem a řídicím serverem, kdy se provoz vůbec nesnaží nijak maskovat. Jinak by se červ mohl rozšířit mnohem více.

Stuxnet tedy podle Parkera na rozdíl od jiných názorů není dílem tajných služeb západního státu, alespoň ne jako celek. Zřejmě někdo na objednávku nejprve vyvinul „polotovar" a ten pak předal k dalším úpravám.

Nate Lawson, bezpečnostní výzkumník zaměřující se hlavně na kryptografii, jde navíc ještě dále. Tvrdí, že chyby ve Stuxnetu nejsou zdaleka jen v „provozní nadstavbě". Už samotný návrh červa ignoruje řadu dobře známých technik, které by červu umožnily se dokonaleji skrývat (např. zatěžování infikovaného systému). Lawson ironicky podotkl, že doufá, že červ nevznikl v laboratořích tajných služeb v USA, protože to by znamenalo, že lidé odpovědní zde za kybernetickou válku nemají ani znalosti bulharských teenagerů z počátku 90. let. Stuxnet sice třeba vypíná antiviry, ale to dělá každý druhý malware, červ se nijak nesnaží maskovat v případě architektury virtuálních strojů, nezvládá ani nové techniky anti-debuggingu.

Lawson soudí, že autor/ři Stuxnetu pracovali asi ve spěchu a nepřisuzovali svému výtvoru zřejmě ani moc velkou hodnotu, protože soudili, že nestojí za to snažit se dílo dotáhnout a odvést profesionálnější práci. Paradoxně se pak tento malware pokládá za přelomovou událost vývoje IT bezpečnosti...

 

bitcoin_skoleni

Zdroj: Threat Post, Kaspersky Lab