22. syyskuuta 2010

Skynetin betaversiota odotellessa

No, ehkä otsikko oli hieman liian raflaava, mutta mitenkä tätä nykytilannetta paremmin voisi luonnehtia?

Viime aikoina on kohua herättänyt Stuxnet-haittaohjelma, joka on kykenevä kaappaamaan etenkin energiantuotantolaitoksia. Stuxnet on ilmeisesti luotu Iranin ydinvoimaloita vastaan tiedustelupalvelun (Mossad tai NSA) toimesta. Stuxnet käytti hyökkäykseensä useita eri haavoittuvuuksia, joista ei ollut aikaisemmin mitään tietoa, sekä ilmeisesti järjestelmiin valmistajien toimesta laitettuja takaportteja. Ajatelkaapas, että kriittiset(kin) energiantuotantolaitokset voivat olla noin helposti otettavissa haltuun ja tuhottavissakin haittaohjelmilla?
"Stuxnet is the key for a very specific lock – in fact, there is only one lock in the world that it will open," Langner says in an interview. "The whole attack is not at all about stealing data but about manipulation of a specific industrial process at a specific moment in time. This is not generic. It is about destroying that process."

On esitetty perusteltuja näkemyksiä siitä, että jo vuonna 2003 Blaster-mato aiheutti Yhdysvalloissa tapahtuneet massiiviset sähkökatkokset, sekä myös muut madot häiritsivät muita yhteiskunnan toimintoja ko aikana. Vuonna 2008 kirjoitin blogissani Lontoon sairaaloiden joutuneen haittaohjelmien hyökkäysten kohteeksi. Myöskin kyseisenä vuonna tapahtuneessa Spanairin lennon 5022 onnettomuuteen voimakkaasti myötävaikutti  lentokoneeseen tarttunut tietokonevirus. Mitä kaikkia haavoittuvia järjestelmiä ympäristössämme onkaan tänä päivänä ja mitä niiden romahtamisesta seuraisi?

Muistetaan nyt myös, että viime talvena kiinalaiset puolestaan hyökkäsivät Googlen sähköpostipalvelimille viranomaisten takaporttia hyväksikäyttämällä. Niin ikään Ciscon reitittimiin on mahdollista ohjelmoida rootkit ja kaikissa Ciscon tuotteissa on takaportti viranomaisille salakuuntelua varten. Ylipäätään kotikäytössäkin olevia reitittimiä on mahdollista kaapata internetistä pahantekoa tai vain salakuuntelua varten, sekä tietokoneiden komponenteissakin on takaportteja. Kannattaa tässä yhteydessä muistaa lukea myös tämä aikaisempi kirjoitukseni "Tiedustelupalveluilla takaportteja salauksissa ja laitteissa", jotta osaatte ehkä yhdistää palaset kohdalleen...Minne kaikkialle on tietyillä tahoilla täysin vapaa pääsy ilman, että meille kerrotaan siitä mitään?

Mietitäänpä hetki näiden asioiden isompia merkityksiä.

Onko täysin aiheetonta murehtia siitä, että erilaisia takaportteja ja haittaohjelmia hyväksikäyttämällä on mahdollista kaapata niin sähköverkko, tietoliikenneverkko, koti- ja yritysten tietokoneet, matkapuhelimet ja puhelinkeskuksetkin haltuun? Entä, jos samaan aikaan aktivoituvat vaikkapa lentokoneissa, laivoissa, autoissa, digibokseissa, sekä erilaisissa teollisuus- ja sairaalalaitteissa olevat haittaohjelmat (ns. loogiset pommit)?

Miten pitkä ohjelmapätkä tarvitaan, jotta pystyy käyttämään hyväkseen vaikkapa kymmenessä yleisimmässä reitittimessä, adsl-modeemissa, teollisuuden ja sähköverkon ohjausjärjestelmässä, kotitietokoneissa ja matkapuhelimissa olevia takaportteja ja/tai muita tietoturva-aukkoja vaikkapa vain kaappaamaan ne haltuun ja leviämään edelleen? En usko, että siihen kovin paljon koodia tarvitaan. Enkä varsinkaan usko, että nykyisellä tiedonsiirtokapasiteetilla moisen ohjelmiston siirtäminen ja leviäminen ympäri maailmaa vaatisi enempää kuin joitain sekunteja.

Muutamassa minuutissa kaikki järjestelmät voisivat olla saastuneita, kun haittaohjelma etenee vaikkapa internetin kautta reitittimeen, saastuttaen sen ja edelleen lähiverkkoa pitkin tietokoneeseen, tietokoneesta vaikkapa bluetoothin avulla matkapuhelimeen, josta se pääsee jälleen vaikkapa bluetoothin kautta digiboksiin, josta matka jatkuu edelleen kaapeli- ja tai sähköverkkoa pitkin eteenpäin saastuttamaan lisää laitteita vaikkapa samassa talonyhtiössä tai sähkölaitoksella. Tai päinvastaisessa suunnassa liikkuen haittaohjelma saastuttaa erilaisia järjestelmiä. Autoonkin se voi tarttua saastuneesta puhelimesta tai mp3-soittimesta bluetoothin tai langallisen yhteyden välityksellä, puhumattakaan, jos autohuoltamon tietokoneet ovat saastuneet siitä ja autosi ajotietokone kytketään siihen kiinni huollon yhteydessä. Sairaalassa se voi tarttua tietokoneista myös vaikkapa ihmisissä oleviin tahdistimiin tai erilaisiin monitorointiohjelmistoihin ja laitteisiin.

Entä, jos tuo haittaohjelma toimiikin pelkän leviämisen ja tuhoamisen sijaan jollakin älykkäällä tai suunnitellulla tavalla?



PS. Iso-Britannia on jo käynnistänyt Skynet-ohjelman...

3 kommenttia:

Anonyymi kirjoitti...

"Räätälöity haittaohjelma pyrkii suorittamaan tietokantahakuja salasanalla suojattuun WinCC-taustajärjestelmään. CERT-FI:n saamien tietojen mukaan WinCC-järjestelmän kaikissa ohjelmistokokoonpanoissa on takaportiksi luonnehdittava tietoturvaa vaarantava konfiguraatiovirhe. Kyseinen virhe johtuu siitä, että tietokantayhteyden muodostuksessa käytetään oletusarvoista salasanaa. Salasana ei ole käyttäjän toimesta vaihdettavissa ilman että järjestelmän toimintavarmuus vaarantuisi. Ei-julkisena tietona pidetty salasana on ilmeisesti päätynyt julkisuuteen. Salasana on sama kaikissa asennetuissa WinCC-järjestelmissä. Siemens on ilmoittanut laativansa kyseisestä konfiguraatiovirheestä asiakkailleen tiedonannon. Kyseinen tiedonanto ei ole CERT-FI:n käytettävissä."

Jenkit ja NSA häärää näköjään kaiken elektronisen järjestelmätekniikan parissa. Arvaa onko sitten Windowsit jne. takaportattu. Entä löytyykö Intelin ja AMD:n prosessoreista pyöreiden pöytien ääressä yhdessä suunniteltuja "lisäominaisuuksia" Prosessorien pinta-alasta kun melko suuri osa on julkisesti dokumentoimatonta, ja voi sisältää kaikkea kivaa.
Ja kun tietyistä kopio- ja lasertulostimista on löytynyt "vesileimoja", joista tulostimen voi yksilöidä, niin kukahan tämänkin takana luuraa? Ei ole vaikea arvella kenen maan kansallinen turvallisuus.
Voi vain arvailla missä muissa elektronisissa järjestelmissä NSA on takana, kaiken maailman tunnisteita kun otetaan käyttöön kiihtyvää tahtia.

Tässäkin yksi uusi keino kontrolloida ihmisiä, joka apinoidaan varmasti jenkkilästä muuallekin:
http://yle.fi/uutiset/ulkomaat/2010/09/yhdysvalloissa_halutaan_internetin_kaytto_viranomaisvalvontaan_2017318.html

"Yhdysvalloissa on valmisteilla lakiesitys, jonka tarkoituksena on saada käytännössä kaikki internetissä kulkeva tieto, samoin kuin yksityiskeskustelut, viranomaisten valvontaan. Jos Yhdysvallat hyväksyy lain, samanlaisia säännöksiä todennäköisesti tulisi käyttöön muissakin maissa."

Anonyymi kirjoitti...

Entä jos datasähköä aletaan käyttämään vakoiluun? Elektroniset laitteet, siis pc:t, tulostimet, skannerit, kopiokoneet ja muut sähköverkkoon liitetyt laitteet lähettäisivätkin dataa suoraan sähköverkon kautta, joka ensin näyttää vain kohinalta. Jos sähköverkko onkin samaan aikaan sekän energian siirto- että tiedon valtatie? Tulevaisuudessa, vai onko jo nyt?

Markus Jansson kirjoitti...

Hyviä pointteja. Niinpä. Hassua, ettei näistä(kään) asioista puhuta mitään, ollaan vaan hiljaa kuin kusi sukassa.

Datasähköstä sen verran, että ilmeisesti, JOS sähkökaapit on konffattu oikein, niin sieltä ei pitäisi päästä läpi mitään tuollaista. Ongelmana on kuitenkin se, että kun sähkökaappeja ja mittareita etäluetaan, niin siellä on pakko olla softaa, joka mahdollistaa sinne pääsyn, jolloin puolestaan sen takana oleva verkko vaarantuu myös. Datasähkö aiheuttaa myös niin paljon häiriöitä radioaalloille, että pelkästään niistä voidaan varmasti salakuunnella enemmän kuin tarpeeksi liikennettä (tosin yleensä datasähkösysteemit sisältävät salauksen, mutta minkätasoisen jne. onkin sitten toinen kysymys).