Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties

De Iraanse minister voor inlichtingendiensten Heydar Moslehi heeft bekend gemaakt dat er een onbekend aantal 'nucleaire spionnen' zijn gearresteerd. Mogelijk staan de aangehouden personen in verband met de computerworm Stuxnet.

Volgens Moslehi zouden de gearresteerde personen er op uit zijn geweest om het kernprogramma van Iran te saboteren, zo schrijft The New York Times. Het is niet duidelijk wie er gearresteerd zijn en om hoeveel mensen het zou gaan. De minister liet verder weten dat Iran een oplossing heeft gevonden om vijandige malware-aanvallen op Iraanse computersystemen onschadelijk te maken.

Iran gaf een week geleden toe dat de Stuxnet-worm zeker 30.000 computersystemen in het land had besmet, waaronder een aantal pc's die in nucleaire installaties stonden opgesteld. De door deskundigen als zeer complex omschreven malware zou zich richten op het aanvallen van industriële scada-systemen van de Duitse firma Siemens. Deze software van Siemens wordt onder andere gebruikt in de nucleaire installaties van Iran.

In een uitvoerige analyse van de malware door Symantec wordt gesteld dat Stuxnet gebouwd is door naar schatting vijf tot tien zeer deskundige hackers. Vermoedelijk zou het project gezien de omvang en complexiteit door een overheid moeten zijn gefinancierd. Iran wijst met een beschuldigende vinger naar de VS en Israël.

Bij een nadere analyse van de broncode van Stuxnet trof Symantec het woord 'myrtus' aan, Latijn voor 'maagdenpalm'. Dit woord zou een verwijzing kunnen zijn naar het Hebreeuwse woord 'hadassah' en verwijzen naar Joodse Bijbelteksten. Ook werd in de broncode het getal '19790509' aangetroffen, een datum die mogelijk verwijst naar de executie van een belangrijke Joodse zakenman in Iran op 9 mei 1979. Symantec stelt echter dat de aanwijzingen door de malwaremakers er ook bewust in kunnen zijn gestopt om zo de precieze herkomst verder te verdoezelen.

Gerelateerde content

Alle gerelateerde content (25)
Moderatie-faq Wijzig weergave

Reacties (63)

@Elmo Misschien kijk je idd teveel films. De ophef met name door ondeskundige pers doet het verhaal geen goed. Maar lees voor de gein dit stuk eens uit Computable, waarin oa een analyse van een collega van me staat waaruit blijkt dat dit stukje software toch echt een heel ernstig stuk electronische oorlogsvoering was. Het is niet door ťťn floeperd geschreven, maar door een team van deskundigen die nauw hebben samengewerkt. Er zit teveel inside kennis is om zomaar iets te zijn.

Of het uit IsraŽl komt of specifiek op de Iraanse kerncentrale gericht was, is mij niet bekend. Ik weet ook niet of daar concrete aanwijzingen voor zijn. Het zou zomaar kunnen dat men die kerncentrale in het nieuws brengt, terwijl er ook installaties in Europa of de VS zijn die last hebben gehad. Dat weet je natuurlijk niet. Er is een politieke agenda om die centrale weg te krijgen.

Ik hou me niet zo bezig met complotten, maar dit ding was ťcht en serieus. Of een vingeroefening (poc) voor iets groters. De films halen voorlopig wel hun inspiratie uit de echte wereld.

[Reactie gewijzigd door mphilipp op 3 oktober 2010 19:05]

Klinkt niet eens zo onaannemelijk dat er een derde partij achter zou zitten. Gezien alle (imho onzinnige) commotie rondom de kerncentrale zou het sommige partijen misschien wel goed uitkomen als die centrale hierdoor platgelegd zou kunnen worden.

Maar wat had er in het ergste geval kunnen gebeuren, als ze het niet op tijd onder controle gekregen hadden? Hadden we dan een nucleaire meltdown kunnen krijgen, of een explosie, zoals destijds bij Tsjernobyl?

Iig mogen de daders, ongeacht wie ze zijn of voor wie ze werkten, wat mij betreft wel streng gestraft worden. Met zulke gevaren ga je dit soort dingen imho dus niet doen...

[Reactie gewijzigd door wildhagen op 3 oktober 2010 13:47]

Het lijkt me niet dat het virus op de kerncentrale gericht was. De veiligheidsvoorzieningen bij de aanleg zijn zeer strak en de interne aansturing van centrale kent meerdere zeer strakke beveilingsniveaus. De Russen zijn niet gek en hadden al ruime ervaring met pogingen tot sabotage.

Nee, ik kijk eerder naar de centrifuges. Dat is veel meer Iran´s eigen project geweest met gekochte kennis die deels uit Nederland afkwam. centrifugehallen zijn niet zo kritisch qua straling, meltdowns zijn onmogelijk etc. Edoch als industrieel ontwerp zijn ze wel zeer kritisch. De engineering, gebruikte materialen en softwarematige tuning luisteren zeer nauw. Een minimieme fout daarin vernietigd een volledige centrifuge.

Buitenlandse overheden (we kunnen ze ook gewoon Israel en de VS noemen) hebben de bouw van centrifuges wereldwijd trachten te saboteren door o.a. engineering documenten ´te lekken´ die miniscule fouten bevatten waar door de centrales instabiel werden. Daarnaast is er strakke controle op alle grondstoffen en halffabrikaten voor de feitelijke bouw. Zie alle in beslag genomen aluminium pijpen als vrolijk voorbeeld.

De laatste stap is de software te manipuleren als het een land desondanks gelukt is om de centrifuges ondanks al die sabota werkend te krijgen en intern te upgraden naar hogere efficientie en hogere spindle speeds.

Je moet je voorstellen dat je duizenden, zo niet tienduizenden centrifuges nodig hebt als je serieus wi opwerken naar genoeg materiaal geschikt voor een kerncentrale.

Er zijn aanwijzingen in het virus gevonden dat het zichzelf beschermt tegen te grote verspreiding (max 3 pc´s geloof ik per instantie) dus het doel was zeker niet alle mogelijke pc´s te besmetten. Wat echter ook opviel is dat in de Scada payload parallele software te vinden is. Ideaal voor een hit in een centrifuge hal.

Als gezegd een minimale ontregeling van de zorgvuldig getunede centrifuge software die via Scada controllers gereguleerd worden leidt heel snel tot vernieting van de centrifuge (iets te hard draaien, niet goed reageren op temperatuur fluctuaties, ec en ze slaan zichzelf kapot (even in leken taal dan).

Een interessant nevenaspect is dat de Iraniers toch al tobben met de centrifuges omdat ze structureel materiaal aangeboden krijgt dat door veiligheidsdiensten bewust doorgelaten wordt omdat het net buiten de specificaties valt door bewuste sabotage. Iran is dus al gewend aan niet functionerende of exploderende centrifuges en zou het probleem in eerste instantie waarschijnlijk in de materialen zoeken en dus preventief de hele opwerkingsfabriek plat leggen voor lange tijd voordat ze naar een virus in hun industriele software zouden kijken.

Dus samenvattend: veel waarschijnlijker is dat de opwerkingsfabriek in Narantz het target was, want daar had je de ideale omstandigheden: parallele targets, geen Russische know how on the spot, zelf geassembleerde en by trial an error werkende systemen en een zeer lage ontregeling is voldoende voor vernietiging van de centrifuges.
Ik ga een explosie niet uitsluiten, maar de kans is toch veel kleiner dan bij Tsjernobyl. In de reactor van Tjernobyl werd hoofdzakelijk grafiet gebruikt als moderator en water als koelmiddel, bij de huidige reactoren wordt water gebruikt als moderator en koelmiddel. Wat is het verschil: stel dat het water onvoldoende kan koelen (te weinig circulatie, whatever) dan begint het te koken, waardoor de hoeveelheid water afneemt. Hierdoor neemt het moderatievermogen van/in de reactor af waardoor de vrijgekomen neutronen te snel zijn om te binden met de overige atomen. Hierdoor vertraagt de reactie of valt ze uiteindelijk stil. Heb je grafiet als moderator, dan moet je het grafiet verwijderen om de reactie te vertragen. Begint je water te verdampen dan heb je nog minder koelvermogen en zolang het grafiet niet uit de reactor gaat blijft de reactie op volle snelheid doorwerken.
Dit wordt uitgedrukt door de dampbelcoŽfficient.

Het verhaal van Tjernobyl is een complex gebeuren geweest, je kan niet ťťn fout aanwijzen, het was een reeks van opeenvolgende fouten. Het verkeerde ontwerp was daar ťťn van, maar staat zeker niet op zichzelf.

Ik ga er toch van uit dat Iran een PWR heeft gebouwd en geen (russische) RBMK.
Ik ga er toch van uit dat Iran een PWR heeft gebouwd en geen (russische) RBMK.
Klopt, de reactoren in Bushehr zijn van het VVER type, een Russische PWR.
Had ook iets te maken met mensen die aan het eind van hun shift de beveiliging netjes uitschakelden omdat er testen gepland waren....

En de volgende shift een stelletje rookies was....

En de Russische overheid het gewoon lekker geheim hield totdat mensen in Europa zich niet zo lekker meer voelden en vragen begonnen te stellen....

En het toen nog wekenlang in de doofpot drukten. Wat een eikels. :/
Maar wat had er in het ergste geval kunnen gebeuren, als ze het niet op tijd onder controle gekregen hadden? Hadden we dan een nucleaire meltdown kunnen krijgen, of een explosie, zoals destijds bij Tsjernobyl?
Ik denk dat iets dergelijks wel het idee was, aangezien het virus temperatuursensoren e.d. kon programmeren.
Maar wat had er in het ergste geval kunnen gebeuren, als ze het niet op tijd onder controle gekregen hadden? Hadden we dan een nucleaire meltdown kunnen krijgen, of een explosie, zoals destijds bij Tsjernobyl?
De centrale in Bushehr is redelijk veilig. Het vermoedelijke doel van Stuxnet waren de verrijkingsfabrieken die dan ook enige tijd hebben stilgelegen.
Nope. Een meltdown of andersoortige ongein is volledig uitgesloten. De Windows based PC's van dit systeem van Siemens zijn operator workstations etc. Daarmee kunnen ze het proces beinvloeden net als een normale operator zou doen. Er is echter nog een systeem, het veiligheidssysteem. Dit bestaat voor dit soort installaties uit hardwired logica die aan zeer strenge eisen voldoet. maar een paar bedrijven ter wereld maken die systemen die tot SIL4 gaan.

DCS platleggen, sure. behoort tot de mogelijkheden. Een meltdown? No way... :)
Dat is inderdaad ook iets wat ik mij afvraag. Hackers, over het algemeen, lijken mij niet to zoiets in staat. Maar hackers (zijn dat wel hackers?) die ingehuurd worden voor zo'n taak als deze wel.

Klinkt allemaal wel als een goed script voor een film :)
Ik vind het nog steeds vreemd dat in een zo belangrijke plek als een kerncentrale er blijkbaar computers rechtstreeks aan het internet hangen. Kritieke systemen horen helemaal geen internetverbinding te hebben juist om dit soort ellende eenvoudig te kunnen voorkomen...
De worm verspreid zich ook via usb sticks. En dat is wel plausibel. Rapporten van computers op een intern netwerk op een stick zetten gebeurd wel meer.

[Reactie gewijzigd door Blokker_1999 op 3 oktober 2010 13:54]

En hoe ga je dan als hacker commando's sturen naar die worm om de malware effectief een opdracht te geven?
misschien door een update te sturen die vervolgens op de usb-stick wordt gezet en dan op het interne netwerk wordt gezet.
mja, maar dan heeft men dus opnieuw toegang tot het systeem nodig. Dan heeft het niet veel nut nu reeds een worm klaar te zetten.
Dan zouden ze beter de worm pas installeren op het moment dat ie ook effectief een opdracht bevat en zo de kans op detectie minimaliseren.
Stuxnet verspreidt zich dan ook via USB sticks. De USB poorten van kritieke systemen dichtmetselen kan natuurlijk ook, maar soms wil je toch toegang tot zo'n computer om bijvoorbeeld softwareupdates uit te voeren.
Dan nog is het altijd 'verwijtbaar'. Als je een dedicated netwerk oid hebt waaraan deze machines hangen en alle machines die voor de 'aanvoer' van updates zorgen worden met de grootst mogelijke zorg beschermd en zo weinig mogelijk gebruikt, kan ik me bijna niet voorstellen dat er zomaar contact komt tussen een "vreemde" usb-stick en dit dedicated netwerk.
edit: Maar dat doe je dan toch niet rechtstreeks?

[Reactie gewijzigd door thegve op 4 oktober 2010 22:43]

Tuurlijk kun je dat wel voorstellen... Wat als je iets op dat dedicated netwerk wil zetten. Alle software wat op die dedicated netwerk staat komt ergens van buitenaf. En USB sticks lijken mij de meest logische geval.
Het gaat waarschijnlijk om laptops oid waarmee de PLC's geprogrammeerd worden. Stuxnet richt zich vooral op de PLC. Uiteraard hanggen de aansturende PC's niet zomaar aan het internet. Meestal zit er wel iets van een datadiode tussen.
verder komt Stuxnet via een USB stick je computer op en verspreid zich via het lokale netwerk.
Dat laatste stukje over de hints welke richting IsraŽl wijzen kan natuurlijk ook geplaatst zijn omdat ze makers juist belang bij hebben (financieel) als er een oorlog oid tussen Iran en IsraŽl zou ontstaan.
Maar als het door een overheid aangestuurd zou zijn dan lijkt me 5 a 10 man weer weinig maar misschien ook wel voldoende ;)
Of het kan ook zijn dat het virus van Israel komt, dat ze er toch symboliek kunnen insteken en achteraf zeggen : we zouden toch niet zo dom zijn van zoiets er zelf in te steken.
Het zegt dus eigenlijk "niks". Het kan ook een dubbele dwaalspoor zijn zoals jij zegt. Maar het kan eigenlijk van alles zijn. Of zelfs toeval.
Het zeg niets, het zegt dat...

Denken jullie nou echt dat die eenvoudige Iraniers zich daar iets van aantrekken? :z
Politiek-Iran heeft een zondebok nodig, om aan het volk te kunnen laten zien dat ze 'sterk naar de buitenwereld reageren' in geval van nood.
En dat doen ze nu!
Wedden dat ze de executie van de onschuldige zondebokken wereldwijd uitzenden, uiteindelijk...
Dat heet propaganda van extreem Islamitische landen - dat kom je veel tegen in Jemen, Iran, Irak, Libanon, etc. (Maar niet in Turkije en Marokko bv.)
En dat alleen maar om de echte Virus-Hackers te doen laten schrikken - zodat ze ophouden. Het is een soort tactiek, die zeer vaak helpt, maar wel een aantal zielen het leven kost.
Jammer dat dit anno 2010 nog steeds bestaat.

NB: ik ben per definitie, niet tegen welke geloofs uiting dan ook, Islam, Katholiek, Hindoe, maakt mij allemaal niet uit, maar moorden, om macht - kan bij mij gewoon niet.

[Reactie gewijzigd door HoeZoWie op 4 oktober 2010 13:17]

wat je zegt zou kunnen, maar het zou ook gewoon westerse propaganda kunnen zijn richting iran, waar 2 partijen vechten hebben ook 2 partijen schuld.

ook is het natuurlijk wel heel erg dom als hacker zijnde om overduidelijke hints te geven over wie je bent of voor wie je werkt, en dus moet je er rekening mee houden dat dit mogelijk opzettelijk gedaan kan zijn om een reactie van iran uit te lokken.

en zo zijn er nog vele andere scenario's die hier achter kunnen zitten, je hebt niet alleen maar met een cyberoorlog te maken maar in zeker zin ook met een informatieoorlog waarbij de waarheid even flexibel is als rubber ;)
We hebben het over "vijf tot tien zeer deskundige hackers" die "door een overheid moeten zijn gefinancierd". Conclusie: er is zeer grondig over nagedacht welke "hints" er in de source staan, hoe cryptisch die zijn en welke dader ze proberen aan te wijzen. Oftewel, dit zegt helemaal niks; als een overheid een groepje zeer deskundige hackers in kan huren dan kunnen ze ook een psycholoog vragen hoe je Iran het beste op een dwaalspoor kan zetten.
het zou wat zijn. Lijkt me niet dat de makes van stuxnet NAW gegevens van zichzelf in zouden bouwen in de worm. :P

Vraag me af of deze "hackers" daadwerkelijk zijn opgepakt nu. Lijkt me niet dat stuxnet in Iran zelf is gemaakt.
Lijkt me niet dat stuxnet in Iran zelf is gemaakt.
Of juist wel, om op die manier de VS en IsraŽl te kunnen beschuldigen. Mooie PR stunt.. 8)7

Kortom, wie zal het zeggen.. Er kunnen zoveel partijen achter zitten.
daar kan je inderdaad gelijk in hebben. Het lijkt me echter vrij onverstandig, ten aanzien van het westen. 8)7

[Reactie gewijzigd door Gerardus op 3 oktober 2010 13:56]

Het is in ieder geval een wake-up call voor de massa dat cyber aanvallen zoals de Russen deden op Estland of de Chinezen op de Dalai Lama niet alleen voorbehouden zijn aan niet westerse machten.

Als er inderdaad bugs werden gebruikt in Windows om het virus te verspreiden, dan gaat bij mij de paranoia knop om en bekruipt mij het gevoel dat MS die bugs er op verzoek van een overheid inlaat juist voor dit doel. De VS heeft al een verleden met dit soort consumenten spionage. Of gaat mijn paranoia knop te snel om?

[Reactie gewijzigd door EektheMan op 3 oktober 2010 14:49]

Die speciale bugs zijn niet nodig hoor, Windows is nu eenmaal relatief lek, en als bepaalde overheden dan inzage krijgen in de broncode
(nieuws: Twaalf landen krijgen inzage broncode Windows),
tja dan weet je toch genoeg
Daarom snap ik zelf helemaal niet waarom ze Windows voor een kerncentrale gaan gebruiken. Als ze het zo nodig vinden om een kerncentrale te bouwen, laat ze dan ook zelf een besturingssysteem ontwikkelen om dit soort dingen te voorkomen.
Tja, maar er worden wel meer onverstandige dingen gedaan ;) Het zou overigens van alle kanten mooi uitkomen als die worm uit Iran kwam, aangezien a. ze er meer technologische kennis mee binnenhalen (die worm mikte niet alleen op die kerncentrale, en de publieke fall-out hierover doet me denken aan de flauwe mop dat Wilders alle moslims en 1 kapper het land uit wil zetten... ), b. ze zichzelf er hopelijk wat sympathie mee kopen (kijk nou, ze vallen ons aan... Help!), en c. ze er een stel staatsgevaarlijke elementen mee kunnen oppakken die ze dan als 'hacker' veroordelen. </aluminiumhoedje>
Het kunnen natuurlijk ook echte Iraanse dissidenten zijn die zo de regering in diskrediet proberen te brengen, al dan niet gesponsord vanuit het buitenland. Of gewoon Russen, die proberen de kerncentrale te gijzelen voor losgeld... of... of... Zo lang wij niet weten wat de geheime diensten weten, kunnen we lang of kort speculeren, maar interessant is het :)
Bij een nadere analyse van de broncode van Stuxnet trof Symantec het woord 'myrtus' aan, Latijn voor 'maagdenpalm'. Dit woord zou een verwijzing kunnen zijn naar het Hebreeuwse woord 'hadassah' en verwijzen naar Joodse Bijbelteksten.

Maagdenpalm en Hadassah....
Dus myrtus verwijst naar maagdenpalm, dat verwijst door naar hadassah en dat zou kunnen verwijzen naar joodse (zijn er ook andere dan?) Bijbelteksten. Welke dan? Misschien wel 4:14 wat zou kunnen betekenen dat 4 landen tegenover 14 andere landen staan.

Hoezo moeilijk denken. Er staat gewoon 'mytrus'...
'Hadassah' is in NL/christelijke bijbel bekend onder de naam Esther.
Het bijbelverhaal Esther gaat kort samengevat over het verhinderen van een complot van een paar foute Perzen (Perzie= huidig Iran) om Joden te doden.

Overigens hebben in Natanz al een tijdje terug wat gasten wellicht een uranium-hexafluoride gas douche over zich heen gekregen; link.
Stuxnet is misschien al wat ouder dan vermoed.
Bedankt,
Ik snapte al niet hoe ze van myrtus bij de Israeliers uitkwamen.
Maar het zouden ook nog de Belgen kunnen zijn: Zie http://www.myrtus.be , of gewoon een Iraanse tuinman.

Ooit, jaren geleden, hadden we bij mijn vorige werkgever een keer een virus. We hebben toen geprobeerd om de bron te achterhalen. Helaas is dat niet mogelijk.
Je kan zien dat het er is, je kan zien welke P.C.'s er besmet zijn, maar niet wanneer de besmetting heeft plaatsgevonden en niet welke P.C. er het eerst besmet was.
Dus ik denk niet dat de Iraniers ooit de daders kunnen achterhalen. Een beetje slimme worm- of virus-schrijver zal geen verwijzingen naar zichzelf in de code zetten.

Verder vraag ik mij af waar deze kwetsbare Siemens apparaten nog meer gebruikt zijn.
Hopelijk niet in de Nederlandse Infrastructuur.
Het zou mij niet verbezen als dit complot veel eenvoudiger is te koppelen aan Iran.
Tegenslagen in de ontwikkeling van een of ander prestigieus project aan je vijand is vrij normaal bij politieke fanatici.
Men heeft ook daar ruim voldoende kennis in huis om een dergelijk stukje software in elkaar te knutselen.

Overigens lijkt Siemens dit verhaal strafbaar bezig te zijn geweest, software die geschikt is om kerncentrales aan te sturen is restricted, zwaar restricted.
Export Control raakt niet alleen de fabrieken binnen de
defensie- en luchtvaartindustrie; het raakt de volledige
bedrijfsketen van kapitaal, kennis, machines en mensen over
verschillende sectoren, bijvoorbeeld de logistieke, telecommunicatie
en chemische sector. Dit houdt in dat bijvoorbeeld
een zogenoemd ‘track & trace’-systeem, voor het vervoer
van de ene partij naar de andere partij, gebruikt kan worden.
Daarnaast wordt het uitwisselen van gegevens (onder
andere door mondelinge communicatie, e-mails, marketingbrochures
en exposities op beurzen) gezien als een export
De straffen in geval van overtreding van de Export Control Regulations zijn niet mals.
Siemens is geen amerikaans bedrijfs. Dus in hoeverre hebben zij iets met amerikaans export regels te maken?
Niet alleen in Iran besmette Stuxnet Siemens systemen. Wereldwijd waren 15 besmettingen, meldt Siemens
Deze worm wordt juist via USB sticks verspreid om machines te bereiken die niet aan internet hangen.
Toch leuk dat de broncode was meegeleverd, scheelt een hoop uitzoekwerk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True