14. marraskuuta 2010

Stuxnet iskee vain suomalaisen ja iranilaisen yhtiön tuotteisiin!

Symantec uutisoi sivuillaan seuraavaa:
...we can now confirm that Stuxnet requires the industrial control system to have frequency converter drives from at least one of two specific vendors, one headquartered in Finland and the other in Tehran, Iran. This is in addition to the previous requirements we discussed of a S7-300 CPU and a CP-342-5 Profibus communications module.

Mikä yhtiö Suomessa valmistaa ko. osia? Missä sen tuotantolaitokset ja pääkonttori sijaitsee Suomessa? Missä kaikkialla ko. osia on Suomessa käytetty? Mitkä kaikki paikat ovat vaarassa Suomessa Stuxnetin vuoksi? Onko Suomessa olevaa tehdasta(?) tai sen henkilökuntaa käytetty apuna Stuxnetin luomisessa tai testaamisessa? Millaisia ulko- ja turvallisuuspoliittisia seurauksia on tällä Suomi - Iran yhteydellä ja miten niihin aiotaan reagoida?

Taas paljon kysymyksiä, joihin on turva olettaa löytävänsä vastausta valtamediasta, joka tietenkin vaikenee tästäkin asiasta.

16 kommenttia:

Anonyymi kirjoitti...

Taajuusmuuntajia valmistaa Suomessa ABB (ruotsalainen firma) ja suomalainen Vacon. Nämä taitavat olla kyseisen bisneksen globaalit kärkinimet ja niitä tuotteita löytyy kaikkialta.

Ko. virushan on kohdennettu tiettyyn laitokseen, joten uhka Suomessa lienee minimaalinen, vaikka virus toimiakseen vaatii suomalaisen komponentin.

Anonyymi kirjoitti...

Taitaa tuo Profibus CP 342-5 olla Siemensin tuotteita

http://webcache.googleusercontent.com/search?q=cache:-14mAxme7WcJ:www.siemens.fi/portal.nsf/0/ff1d66cfe804652ec2256f86003a6f49%3FOpenDocument%26Click%3D+CP-342-5+Profibus&cd=6&hl=fi&ct=clnk&gl=fi

Anonyymi kirjoitti...

http://www.digitoday.fi/tietoturva/2010/10/02/stuxnet-madon-koodista-loytyi-raamatullinen-vihje/201013684/66

Anonyymi kirjoitti...

Profibus on kenttäväylästandardi.

Anonyymi kirjoitti...

The malware, however, doesn’t just sabotage any frequency converter. It inventories a plant’s network and only springs to life if the plant has at least 33 frequency converter drives made by Fararo Paya in Teheran, Iran, or by the Finland-based Vacon.

http://www.wired.com/threatlevel/2010/11/stuxnet-clues/

Suomeen tämä ei varsinaisesti liity. "Virus" on kohdistettu tiettyyn laitokseen ja tekijä tietää, millä laitteilla siellä sähkömoottoreita ohjataan.

Taajuusmuuttajat eivät ole rakettitekniikkaa, joten ne tuskin kuuluvat vientirajoitusten piiriin. Sattumalta parhaat muuttajat tehdään Suomessa joten ei ole mitenkään yllättävää, että niitä löytyy myös Iranista.

Ennen ABB (ex-Strömberg) oli tämän bisneksen paras, mutta v. 1993 ABB:n avainhenkilöt loikkasivat ja perustivat oman firman, Vacon:in.

Anonyymi kirjoitti...

Symantecin raportista:
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

"These appear to be Profibus identification numbers, which are required for all Profibus DP devices except Master Class 2 devices. Identification numbers are assigned to manufacturers by Profibus & Profinet International (PI) for each device type they manufacture. 7050h is assigned to part number KFC750V3 which appears to be a frequency converter drive (also known as variable frequency drive) manufactured by Fararo Paya in Teheran, Iran. 9500h is assigned to Vacon NX frequency converter drives manufactured by Vacon based in Finland."

Markus Jansson kirjoitti...

Kiitoksia tiedoista!
Eli kyseessä on Vacon-niminen firma, jolla on pääkonttori Runsorintie 7:ssä Vaasassa ja sivutoimipisteitä Äyritie 8:ssa Vantaalla sekä Vehnämyllynkatu 18:ssa Tampereella. Toivottavasti ovat tsekanneet systeeminsä Stuxnetin varalta muuten...

Anonyymi kirjoitti...

Rauhoitutaanpas nyt taas. Ei se haittaohjelma edelleenkään iske Vacon:in laitteisiin.

Virus iskee siihen tehdas-pc:hen, joka toimii koko laitoksen komentokeskuksena. Tämä ohjelmisto on Win-pohjainen Siemens Simatic tjsp.

Kun virus tunnistaa olevansa oikeassa laitoksessa (laitoksen laiteinventaarion perusteella) se alkaa hissuksiin säätää laitoksen moottoreiden pyörimisnopeutta. Näitä moottoreita ohjataan Vaconin elektroniikalla. Virus ei varsinaisesti ota laitteita hallintaansa vaan antaa niille komentoja.

Tuloksena on luultavasti se, että uraania käsittelevä sentrifuugi pyörii aina välillä väärällä nopeudella (uraania pitää pyörittää kai parikin kuukautta hyvin tarkkaan säädetyllä nopeudella), jolloin iranilaisille jää ainoastaan paskaa uraania asekelpoisen sijaan .

Ja se olisi muuten ihan hyvä juttu. Todella taitava temppu, varmaankin CIA:lta. Harmi, että narahtivat.

Markus Jansson kirjoitti...

> Rauhoitutaanpas nyt taas. Ei se
> haittaohjelma edelleenkään iske
> Vacon:in laitteisiin.
> Virus iskee siihen tehdas-
> pc:hen, joka toimii koko
> laitoksen komentokeskuksena.
> Tämä ohjelmisto on Win-pohjainen
> Siemens Simatic tjsp.
> Kun virus tunnistaa olevansa
> oikeassa laitoksessa (laitoksen
> laiteinventaarion perusteella)
> se alkaa hissuksiin säätää
> laitoksen moottoreiden
> pyörimisnopeutta. Näitä
> moottoreita ohjataan Vaconin
> elektroniikalla.

Eli virus iskee niitä vastaan.

> Virus ei varsinaisesti ota
> laitteita hallintaansa vaan
> antaa niille komentoja.

Eihän mikään tietokonevirus varsinaisesti "ota tietokonetta hallintaansa" vaan ainoastaan "antaa sille komentoja". Heh.

> Ja se olisi muuten ihan hyvä
> juttu. Todella taitava temppu,
> varmaankin CIA:lta. Harmi, että
> narahtivat.

Heh, niinpä, kekseliästä. Ja erittäin pelottavaa kun ajattelee, mitä kaikkea muuta ja missä kaikkialla on tuollaisia vastaavia...

vmt kirjoitti...

Jo vuosia sitten, kertoi eräs proffa esim. Intelin prosessorien sisältävän hyvinkin arveluttavia, dokumentoimattomia "portteja". Tämä tietysti herättää kysymyksiä, että kenen intresseissä tällaiset "takaportit" ovat ja minkälaisiin tilanteisiin ne ovat suunniteltuja?

Tietysti mediahypnoosin turruttamat "lammaslaumalaiset" eivät näe tuossakaan mitään omituista.

Anonyymi kirjoitti...

Nykyinen Metso (entinen Valmet) on Siemensin suurin testausalue maailmassa.

Mutta jo 15 vuotta sitten, Metso kielsi kaikki langattomat laitteet prosesseistaan.

Tapani kirjoitti...

Tämän takia Kiinalaiset tekee omat prosessorit eivät luota länsirautaan.
http://riknik.weebly.com/1/post/2010/6/chinese-godson-3c.html

Anonyymi kirjoitti...

Ja pisteenä iin päälle
http://yle.fi/uutiset/tiede_ja_tekniikka/2010/11/suomalaisia_taajuusmuuttajia_iranin_kiistellyssa_ydinvoimalassa_2153055.html

jaska kirjoitti...

Aika mielenkiintoista, että taajuusmuuttajat ovat vientikiellossa(Ylen mukaan). Ne, kun alkavat nykyään olla ihan perustekniikkaa kaikissa moottorinohjauksissa. Ne eivät sinänsä mahdollista mitään uutta, jota ei voisi toteuttaa muutenkin, mutta ovat yleensä paras tapa ohjata moottoria. Lisäksi, taajuusmuuttajat eivät ole mitään vaikeaa tekniikkaa. Varsinkin senrifugia, joka ei vaadi nopeaa säätöä, on helppo ohjata huonommallakin tekniikalla.

Kenttäväylään (muun muassa profibus) kytketyt laitteet eivät voi oikeen mitenkään suojautua siltä, että master-laite on saastunut viruksesta. Väylää pitkin virus ei voi kuitenkaan tarttua(väylien rajapinnat eivät yleensä mahdollista edes tiedoston siirtoa). Vaconia on siis turha tästä mitenkään syyttää.

"Ennen ABB (ex-Strömberg) oli tämän bisneksen paras, mutta v. 1993 ABB:n avainhenkilöt loikkasivat ja perustivat oman firman, Vacon:in."

Tarina kertoo, että Vacon (Vaasa controls) perustettiin, koska joukko ABB:n työntekiöitä ei halunnut muuttaa ABB:n mukana Vaasasta Helsinkiin. Vacon on suht pieni toimija alalla, niin kuin tuo linkattu Ylen juttu myös kertoo.

Anonyymi kirjoitti...

Iranissakin on firma, joka tekee samaa kuin Vacon.

Anonyymi kirjoitti...

Viimeisin huhu kertoo, että Stuxnet on suomalainen.

CIA ja suomen vastaavat tahot (ohjelmien edistyneisyys) yhteistyössä?