Aseistettu Koodi

Julkaistu Skrolli 2016-3

Kello 15.35 paikallista aikaa joulukuussa 2015 Ukrainan energiayhtiö Kyivoblenergo tiedottaa asiakkailleen laajoista sähkökatkoista. Aikaisemmin päivällä sähkönohjauskeskuksessa yhtiön teknikot ovat menettäneet digitaalisten ohjauspäätteiden hallinnan ulkopuoliselle taholle. He raportoivat myöhemmin katsoneensa avuttomina, kun hiiri liikkuu näytöllä ja sulkee sähkönjakelukeskuksia yksi kerrallaan lopulta poistaen niistä etähallinnan mahdollisuuden. Maa vajoaa pimeyteen jakelupiste kerrallaan.

Arvioiden mukaan 225 000 ukrainalaista taloutta oli ilman sähköä, kunnes jakelukeskukset saatiin manuaalisesti takaisin sähköverkkoon. Modernin etähallinnan puuttumisen takia jokaiselle asemalle lähetettiin teknikko fyysisesti kääntämään vipua. Kyberisku oli onnistunut lamauttamaan kokonaisen valtion.

Stuxnet

Aseistetun koodin toi yleisempään tietoisuuteen Stuxnet-tietokonemato, joka Washington Postin mukaan kehitettiin osana ”Operation Olympic Games” -hanketta G. W. Bushin hallinnon alaisuudessa, yhteistyössä israelilaisten kanssa. Madon tarkoituksena oli sabotoida Iranin ydinohjelmaa tavalla, joka vaikuttaisi sarjalta sattumia. Uraanin rikastamista haluttiin hidastaa, mutta lisäksi tarkoituksena oli demoralisoida ja hämmentää tutkijoita. Oletettavasti toiveena oli, että Iran luovuttaisi ydinhankkeensa liian vaikeana.

Mato kantoi sisällään kuormaa, joka odotti uinuvana tarkasti valittuja kriteerejä. Haittakuorman lopullinen kohde, Siemensin SCADA-järjestelmä, näytti saastumisen jälkeen ohjausteknikoille kaiken olevan kunnossa, vaikka sentrifugi kiihdytti vauhtiaan, kunnes se repi itsensä kappaleiksi. Raporttien mukaan hanke oli onnistunut ja tuhosi noin viidesosan Iranin ydinrikastamoissa käytetyistä sentrifugeista.

Toimintaperiaatteeltaan Stuxnet antaa uuden ulottuvuuden sanalle spyware. Tietokonemato on autonominen, itsekopioituva tietokoneohjelma, joka pyrkii leviämään toisiin koneisiin. Stuxnetin tapauksessa mato suoritti kaikki päähaittakuormaan liittyvät rutiinit ja vastasi leviämisestä usealla ennen näkemättömällä tekniikalla.  

Yksinkertaistettuna ympäristön haltuunotto alkoi saastuneella USB-muistilla, jonka jälkeen mato monistui hitaasti verkkoon hyödyntäen useaa eri haavoittuvuutta. Leviämisen tarkoituksena oli etsiä Siemensin Step7 SCADA -ohjelmisto ja koneita, jotka ohjaavat ohjelmoitavia logiikkakontrollereita (PLC). Mikäli Stuxnetin tarkasti määritellyt kriteerit eivät täyttyneet, mato torkkui, kunnes pahaa aavistamaton työntekijä kytki koneeseen uuden USB-muistin, jolla mato pystyi matkustamaan seuraavaan internetistä eristettyyn verkkoon.

Tavanomaisista haittaohjelmista poiketen Stuxnet ei levinnyt aggressiivisesti, eikä tehnyt vahinkoa kuin tarkasti määritellylle kohteelle. Itsemonistumista rajoitettiin koodissa esiintyvillä rajoituksilla, ja jokaisen instanssin sallittiin saastuttaa korkeintaan kolme muuta järjestelmää. Itsetuhomekanismina mato poisti kaikki jäljet itsestään 24. kesäkuuta 2012.

Jos saastuneessa koneessa kuitenkin oli Windows-käyttöjärjestelmä, Siemens PCS 7, WinCC tai Step7-ohjelmisto sekä vähintään yksi Siemensin S7 PLC, Stuxnet asensi piilossa olevan haittaohjelman, niin sanotun rootkitin,  sekä koneeseen että PLC-järjestelmään. Näin se varmisti, että sentrifugi ei sammu, vaikka sitä ohjaava järjestelmä (SCADA) tunnistaisi poikkeavaa käytöstä.

Stuxnet levisi käyttäen neljää nollapäivähaavoittuvuutta ja hyödynsi aiemmin varastettuja varmenteita, joilla madon koodi oli allekirjoitettu näyttämään hyödylliseltä ohjelmalta. Muiden keinojen ohella tämä esti madon tunnistamista, eivätkä virustorjuntaohjelmat puuttuneet sen tekemisiin.  

Haavoittuvuudet ja uudet asekauppiaat

Nollapäivähaavoittuvuus (0-day) on haavoittuvuus ohjelmassa tai järjestelmässä, jonka korjaamiseen sen valmistajalla on ollut aikaa nolla päivää. Näitä haavoittuvuuksia myydään vapailla markkinoilla, ja niistä maksetaan parhaimmillaan isoja rahoja. Haavoittuvuuksien ja niitä hyödyntävien haittaohjelmien myymiseen erikoistuneita yrityksiä löytyy maailmalta jo useita. Toistaiseksi tämä ei ole laitonta liiketoimintaa, vaikka se ei täysin avointa olekaan.

Ostettavissa olevien haavoittuvuuksien selvittämiseksi pitää usein maksaa kuusinumeroinen summa, ja esimerkkinä Iphonen nollapäivähaavoittuvuudesta maksettiin aikaisemmin tänä vuonna miljoona dollaria. Se millä hinnalla tämä myydään eteenpäin, tai kenelle, on yrityssalaisuus.

Todennäköisesti nollapäiviä myyvien yritysten asiakkaina ovat valtiot, jotka käyttävät nollapäivähaavoittuvuuksia uusien Stuxnetin kaltaisten aseiden kehittämiseen. Maailmalla tunnetaan kuitenkin myös tapauksia, joissa kilpailevat yritykset tekevät ostetuilla haittaohjelmilla toisilleen vahinkoa tai varastavat yrityssalaisuuksia.

Osa alan toimijoista pitää kilpailuja ja maksaa rahaa suoraan tietoturvatutkijoille haavoittuvuuksien löytämisestä. He myös haluavat ostaa tutkijoilta heidän jo löytämänsä haavoittuvuudet, ennen kuin niitä ilmoitetaan järjestelmien valmistajille. Jotkut kauppiaat ovat tosin ilmoittaneet, että eivät enää halua enempää tiettyjen valmistajien – esimerkiksi Adoben –  haavoittuvuuksia, koska hyllyltä löytyy jo niin paljon myytävää. Käytännössä näitä haavoittuvuuksia ei kerrota niille valmistajille, joiden tuotteita ne koskevat. Tämä johtaa tilanteeseen, jossa tavalliset kuluttajat saavat päivityksen turvattomaan tuotteeseen vasta sen jälkeen, kun haavoittuvuutta on jokin, kenties pahantahtoinen, taho käyttänyt omien tarkoitusperiensä edistämiseen.  

Iranista otettiin yhteyttä tietoturvayhtiön tutkimusjohtajaan ja yksityisyritys valjastettiin puolustamaan valtiota toista vastaan. Tietoturva-alan toimivat ovat myös tarjonneet laajasti apua Ukrainassa tapahtuneen hyökkäyksen selvittämiseksi. Kummassakin tapauksessa yksityisyritykset suojelevat kansalaisia valtioita vastaan. Olemme ilmeisesti yhteiskuntana päättäneet, että taloudellisia intressejä ajavat instanssit ovat luotettavampia suojelijoita kuin demokratia ja poliittinen johto.  

Lähteet 

https://www.washingtonpost.com/world/national-security/stuxnet-was-work-of-us-and-israeli-experts-officials-say/2012/06/01/gJQAlnEy6U_story.html

http://www.businessinsider.com/stuxnet-was-far-more-dangerous-than-previous-thought-2013-11?r=US&IR=T&IR=T

https://www.wired.com/2015/11/hackers-claim-million-dollar-bounty-for-ios-attack/

http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/#287706060335

http://www.cnet.com/news/thunderstruck-a-tale-of-malware-acdc-and-irans-nukes/

http://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf

Leave a Reply