Forensic Investigations / Fi Blog / Bericht vom 27C3 (1) - Microsoft-Analyse der Stuxnet-Exploits


Bericht vom 27C3 (1) - Microsoft-Analyse der Stuxnet-Exploits

27. Chaos Communication Congress (27C3) - "We come in peace"

Bruce Dang von Microsofts Security Response Center berichtete über die Analysen der in Stuxnet enthaltenen Exploits. Nicht selten musste er dabei über manche Implementierung aus dem eigenen Haus schmunzeln. In "rund 40 Arbeitsstunden" an "drei oder vier Tagen" sei die "grundlegende Analyse der vier großen Fehler" erledigt gewesen.

Bei der Analyse der Sicherheitslücken wurde der Fehler im Druckerwarteschlangendienst zunächst übersehen, da die Testumgebung keinerlei Netzwerk simuliert hätte. Der Hinweis auf diesen Fehler sei dann von den Anti-Viren-Experten bei Kaspersky gekommen. "Schon fünf Minuten" nach diesem Hinweis sei ein erster Fix zur Verfügung gestanden, der aber noch entsprechend abgeändert werden hätte müssen.

Er zeigte sich gleichermaßen überrascht wie beängstigt über die "100-prozentige Zuverlässigkeit" der in Stuxnet enthaltenen Exploits. Ein Zeichen, dass Microsoft offenbar im Gegensatz zu SIEMENS verstanden hat, wie wichtig Sicherheit ist und wie kritisch solche Lücken sind. Letztere reagieren seit Monaten nicht einmal mit einem fünf-minütigen Anruf auf die zwei von uns entdeckten Exploits zum SIMATIC-Paket, welche ebenfalls 100% Zuverlässigkeit erreichen.

Das "Big Picture" blieb bei Dangs Vortrag freilich ausser Betracht, denn die "Minuten", "Stunden" oder "Tage" wurden letztendlich zu Monaten. Er bemerkte, von dem eigentlichen Schadcode in Stuxnet nichts zu verstehen (im Vortrag auch fälschlicher Weise als "SCADA part" bezeichnet).

Soziologische Aspekte des Incident Response wurden ebenso thematisiert: Dang erläuterte, dass sofort entsprechende Fachleute eingebunden wurden, die direkt mit der Entwicklung der jeweiligen Systemteile befasst waren. Er räumte auch ein, dass eine Problemlösung schneller möglich gewesen wäre, wenn er den Feststellungen eines Kollegen früher Glauben geschenkt hätte. Zudem stellte er fest, dass der berüchtigte 'LNK-Bug' offenbar im Hause bereits bekannt war, sich aber scheinbar niemand zuständig gefühlt hatte, die Beseitigung des Fehlers anzustoßen. Ein sehr schönes Beispiel, wie mangelndes Sicherheitsbewusstsein einzelner Mitarbeiter zu großen Problemen führen kann.

In puncto Fakten gab es insgesamt nichts wirklich Neues für alle, die das ESET Papier zu Stuxnet gelesen haben, das m.E. fundierter ist als das wohl häufiger zitierte, aber zum Teil fehlerhafte Symantec Papier . Dennoch ein interessanter und auch unterhaltsamer Vortrag, der nicht nur für Entwickler und Incident Responder lehrreich sein kann.

Siehe dazu auch:

Kommentare

Bitte melden Sie sich Logan oder registrieren Sie sich um kommentieren zu können.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30