Disclaimer

De bijdragen aan het maatschappelijke debat, zoals op dit blog gepubliceerd, zijn bedoeld als ondersteuning van het recht op vrije meningsuiting. Mocht u desondanks in uw eer of goede naam aangetast worden, of nog erger dat u door deze teksten gekwetst wordt, lees dan eerst even de bijgaande disclaimer.

Tuesday, November 16, 2010

STUXNet worm werkt alleen in Finland en Iran

De security community verbaast zich al enkele maanden over een heel speciaal virus, dat middels besmette USB-sticks wordt overgedragen. Het virus maakt industriele installaties onklaar. Dat is op zich al opmerkelijk, omdat de meeste virussen zich op PC's richten en deze juist de oude mainframes en sturingsinstallaties aantast. Nog opmerkelijker is dat het virus wel wijd verspreid is, maar alleen de kerncentrales in Iran er last van hebben. 

Wetenschappers hebben berekend, dat een team van 30 programmeurs in goede samenwerking het virus in elkaar moet hebben gezet. De beschuldigende vinger ging al snel richting Verenigde Staten en Israel. Beide landen hebben een groot belang in het remmen van de atomaire intenties van Iran.

Nederlander zorgt voor doorbraak in Stuxnet-zaak
Bron: security.nl

Een Nederlandse Profibus-expert heeft een zeer belangrijk onderdeel van de "Stuxnet-puzzel" opgelost. De niet bij naam genoemde expert reageerde op een oproep van Symantec om met het ontcijferen van de code te helpen. Het lukte de virusbestrijder maar niet om het doel van de worm te achterhalen. Stuxnet wijzigde op besmette systemen de programmable logic controller (PLC), vermoedelijk om het te besturen systeem te saboteren.

Door hulp van de Nederlander staat nu vast dat Stuxnet alleen werkt als de industriële controlesystemen over 'frequency converter drives' van tenminste één van twee specifieke leveranciers beschikken. Eén van deze leveranciers bevindt zich in Finland, de ander in Teheran, Iran. Een frequency converter drive is een voeding die de frequentie van de output kan aanpassen, die weer de snelheid van de motor aastuurt. Hoe hoger de frequentie, hoe hoger de snelheid van de motor.

Sabotage
Stuxnet wijzigt voor korte perioden de output frequenties en dus de snelheid van de motoren. "Het aanpassen van de snelheid van de motoren saboteert de normale werking van het industriële controle proces", zegt Eric Chien van Symantec.

De motoren waar Stuxnet naar zoekt hebben een frequentie van tussen de 807Hz en 1210Hz. De worm verandert de snelheid eerst in 1410Hz, dan naar 2Hz en dan weer naar 1064Hz. Zodoende kan het systeem niet meer naar behoren werken, merkt Chien op. Dankzij de Nederlandse expert is de werking van de worm nu volledig in kaart gebracht.

6 comments:

Ramon Mercader said...

Ik snap er geen zak van.
Is die Nederlander nu een collaborateur of niet?

keesjemaduraatje said...

de Nederlander heeft geholpen het raadsel rond de worm op te lossen

roel said...

Die expert had beter zijn mond kunnen houden. Maar bij dit soort dingen weet je maar nooit. De expert kan ook weer een dubbelspion zijn. Dat die Iraanse atoomcentrales maar duizend jaar lang in de soep mogen blijven lopen...

Laceracion said...

"De beschuldigende vinger ging al snel richting Verenigde Staten en Israel. Beide landen hebben een groot belang in het remmen van de atomaire intenties van Iran."

Lachwekkend voorspelbaar dat je hier niet verder op ingaat. Het zijn namelijk alleen de tegenstanders van Israël welke een grondige, speculatieve analyse verdienen...

Laat ik ook even speculeren: Israël heeft hier vrij zeker wat mee te maken en zij zijn zelf gewoon een nucleaire macht.

Israël en Iran zijn trouwens in deze kwestie op dezelfde manier bezig, beiden hebben niet-vreedzame nucleaire aspiraties maar ontkennen dit zonder uitzondering. Uitermate hypocriet en ergerlijk.

Johan said...

Och heden zeg, dan mag je mij eens uitleggen wanneer Israël gedreigd heeft andere landen uit te roeien met nucleaire wapens of opgeroepen heeft andere mensen af te slachten als beesten.

D. G. Neree said...

Ok, dan is het doel van de worm tenminste duidelijk, hoewel men niet weet of er meerdere doelen waren/zijn. Gepraat wordt er ook over, dat de worm tevens de gegevens van de besmette computers verstuurt naar de makers. Spionage dus. Ik vraag me dan ook af, of het hele raadsel is opgelost en ten tweede: is het nu ook onschadelijk gemaakt? het ontdekken van een ziekteverwekker is nog maar een eerste stap. Een serum ontwikkelen is een tweede.