Tajemnice Gaussa: potężna cyberbroń pozostaje zagadką dla kryptografów i specjalistów od bezpieczeństwa
Info:dobreprogramyKilka lat temu agentom Izraela i USA udało się zinfiltrować irański ośrodek badań nuklearnych Natanz, wprowadzając do jego sieci robaka Stuxnet. Uaktywniony szkodnik zniszczył znajdujące się tam wirówki do wzbogacania uranu, powodując znaczące opóźnienie w programie prac nad energią atomową Iranu. Po udanym ataku robak jednak nie przepadł – w 2010 roku wydostał się na zewnątrz, by w ciągu kilku miesięcy zainfekować ponad 100 tysięcy komputerów.
Niewtajemniczeni w działania wywiadów specjaliści od bezpieczeństwa IT byli zdumieni: nigdy wcześniej nie mieli do czynienia z tak zaawansowaną cyberbronią, której celem były już nie obiekty wirtualne, ale fizyczna infrastruktura przemysłowa. Propagujący się poprzez zainfekowane pamięci USB robak nie robił pozornie niczego ciekawego, poza zarażaniem kolejnych maszych – chyba że udałoby mu się wykryć obecność na komputerze oprogramowania Siemens Simatic Step 7 (takich, jak używane w Natanz). Wówczas wyzwalał swój bojowy ładunek i wykorzystując lukę w oprogramowaniu zmuszał sterowane przez to oprogramowanie wirówki do działania z parametrami daleko wykraczającymi poza bezpieczny zakres eksploatacji. Szczęśliwie dla badaczy IT, Stuxnet okazał się całkiem łatwy do analizy – nie miał żadnych zabezpieczeń, które mogłyby utrudnić im dokładne zbadanie działania jego ładunku. Stuxnet stał się bohaterem niezliczonych opracowań, tak naukowych jak i popularnych.
Wywiady nie lubią jednak, gdy ich tajemnice wywlekane są na światło dzienne. Kolejne generacje cyberbroni nie będą już takie łatwe do analizy. Widać było to było już po kolejnych przechwyconych szkodnikach, które najwyraźniej wycelowane były w Iran – Flame i Duqu (w wypadku tego ostatniego eksperci nie byli w stanie powiedzieć nawet, w jakim języku ten szpiegowski trojan był napisany). Od jesieni zeszłego roku branża ma jednak znacznie twardszy orzech do zgryzienia, robaka Gauss wykrytego przez Kaspersky Lab, przede wszystkim w sieciach Libanu. Mimo zaangażowania ogromnych sił i środków, wciąż pozostaje on wielką zagadką.
Tak naprawdę eksperci z Kaspersky Lab (bo to oni prowadzą przede wszystkim badania nad Gaussem) pewni są tylko jednego – autorami tajemniczego trojana są ci sami programiści, którzy stworzyli Stuxneta. Wiadomo też, co Gauss robi na zakażonych maszynach – potrafi włamywać się do kont bankowych i pozyskiwać dane o klientach wielu libańskich banków, gromadząc przy tym ogromną ilość informacji o zainfekowanej maszynie, włącznie ze strukturą katalogów systemu operacyjnego, uruchomionymi procesami czy danymi w pamięci CMOS. Roznosząc się przez zainfekowane urządzenia USB, Gauss robi to samo co Stuxnet: porównuje zgromadzone dane do jakiegoś zakodowanego wzorca. Jeśli trafiłby na zgodne z nim środowisko, uaktywniona zostałaby zawartość ukryta w jego zaszyfrowanym module, o nazwie kodowej Gödel (moduły tego szkodnika noszą wewnętrzne nazwy od nazwisk słynnych matematyków).
Od pół roku trwają próby rozszyfrowania zawartości „bojowego” modułu Gaussa. Zaangażowali się w niej kryptografowie najwyższej klasy (m.in. Jens Steube, autor narzędzia Hashcat), lecz mimo to pudełko pozostaje zamknięte, mimo że użyte narzędzia kryptograficzne nie należały do szczególnie zaawansowanych. Moduł Gödel został zaszyfrowany starym szyfrem RC4, a klucz do niego zostaje wygenerowany funkcją skrótu MD5. Podejrzewa się, że takie, a nie inne kryptosystemy zostały wykorzystane ze względu na możliwości starszych wersji Windows i ich interfejsu kryptograficznego (Microsoft CryptoAPI).
Budowa Gaussa (za Kaspersky Lab)
Wygenerowanie właściwego klucza RC4 jest możliwe tylko na maszynie o wymaganej przez trojana konfiguracji. By utrudnić życie ciekawskim, z danych konfiguracyjnych (m.in. zawartości zmiennej systemowej PATH, czy nazwy pierwszego w kolejności podkatalogu w katalogu Program Files) skrót generowany jest 10 tys. razy, z wykorzystaniem soli. Dopiero ostatni z wyników tego ciągu operacji stanowi klucz RC4 do Gödla, pozwalający otworzyć jedną z zaszyfrowanych sekcji tego modułu (przy deszyfrowaniu każdej sekcji używana jest inna sól). Metoda ta, zdaniem ekspertów, pozwala na zaatakowanie wybranych komputerów, na których znajduje się specyficzny program lub programy.
Do tej pory Kaspersky Lab przetestował miliony kombinacji, wykorzystując specjalnie napisane w tym celu narzędzie ocl-GaussCrack, wykorzystujące do porównywania zgadywanych funkcji skrótu procesory graficzne. Jednak te miliony to kropla w oceanie możliwości. Łamiąc kod trzeba uwzględnić inne alfabety, w których mogą być zapisane nazwy programów. Teoretycznie lista nazw wszystkich programów dla Windows we wszystkich językach jest mniejsza od zbioru wszystkich możliwych ciągów znaków, ale przecież nikt takiej listy nie posiada. Karsten Nohl z Security Research Labs stwierdził, że by złamać hasło Gaussa, potrzebne są dobre heurystyki zgadywania nazw programów dla Windows – bo siłowe przeczesanie przestrzeni alfabetów hebrajskiego czy arabskiego zajęłoby całą wieczność.
To nie koniec zagadek Gaussa. Wciąż nie wiadomo np. dlaczego Gauss instaluje w zainfekowanych systemach font o nazwie Palida Narrow, czy jak rozpowszechnia się dokładnie z maszyny na maszynę. Zagadką jest też jest stosowanie przez serwery C&C Gaussa zaawansowanych loadbalancerów, mimo że liczba zainfekowanych maszyn ma być bardzo mała, nie przekraczać kilku tysięcy. Te wszystkie zabezpieczenia, których stworzenie musiało kosztować niemało, muszą oznaczać tylko jedno: komuś bardzo zależało na tym, by zachować tajemnicę. Póki co, eksperci od bezpieczeństwa mają wyzwanie, jakiego wcześniej nie było, a potencjalne ofiary – spory powód do zmartwień.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
