====== A Stuxnet sztori ======
Na, ez a bejegyzés most hosszú lesz. Ráadásul, sok esetben a tényeket nélkülözve, találgatásokat is beleépítek ebbe a bejegyzésbe, ami – így talán – egy kerek történetté áll össze. Tények ugyanis nincsenek, hivatalosan ennek az akciónak sem végrehajtója, sem áldozata sincs.

Csak egy kósza vírus, ami bár szanaszét fertőzte a világ hálózatait, alapvetően semmit nem csinált, csak terjedt. Ha esetleg valaki rendelkezik a teljes történettel, kérem jelentkezzen, hogy korrigálhassam a bejegyzést.

Azaz.. ne, mégse; tartsa csak meg magának.
===== Izrael =====
Izrael léte a környező országok számára mindig is szálka volt, azaz annál azért több. Többször próbálták már lerohanni, megsemmisíteni; sikertelenül. Az izraeliek is árgus szemekkel vizslatják a szomszédaikat, és amikor **Irán atomfegyver-fejlesztési program**ba kezdett, komoly fenyegetésként élték meg. A nyílt odacsapás szinte azonnali háborúval fenyeget mind a mai napig a térségben, így inkább titkosszolgálati akciókkal próbálták – és vélhetően próbálják – elszabotálni és ellehetetleníteni az efféle törekvéseket.

Az első, valóban sikeres cyber-támadást is __szinte biztos__, hogy ők hajtották végre egy iráni urándúsító üzemmel szemben. Emlékeztetőül; nem ez volt vélhetően az első cyber-attack, például már itt a blogon is írtam már a [[hu:main:blog:trans_sziberia_robbanas|Trans-Szibéria vezeték 1983-as robbanásá]]ról.

===== Az urándúsítás =====

Az atombombák építéséhez szükséges uránt dúsítással lehet létrehozni. Az uránnak a természetben a 234-es, 235-ös és 238-as tömegszámú izotópjai fordulnak elő, de ezek közül csak egy, az ún. **235U** használható a bombához.

Ez meglehetősen ritka a természetes környezetben, az uránérc eleve csak 0,7%-nyi 235U izotópot tartalmaz. Ezt atomfegyverek esetén ideális esetben 90%-ra kell dúsítani.

Ez tényleg valami olyasmi, mint hogy egy nagy zsák mákban keresünk egy kiskanálnyi olyan mákot, melynek a tömege egy nagyon kicsit eltér a többitől. A dúsításnak többféle módszere létezik, de a legelterjedtebb a gázcentrifugázás.

{{:wiki:blog:stux02.png|Az urándúsítás}}

A szobahőmérsékleten szilárd uránt melegítve és adalékolva gáz halmazállapotú vegyületté (//urán-hexafluoriddá//, **UF6**) alakítják át, s a két izotópot többnyire gázcentrifugákkal, több lépcsőben választják szét.

A centrifugák nagy fordulatszámon (kerületi sebességük a 600 m/s-ot is elérheti) a nagyobb tömegű U238-at a palást felé „préselik”, míg a könnyebb U235-ös lépésről lépésre nagyobb koncentrációban a tengelyhez közel lesz kinyerhető. Ehhez természetesen rendkívül precíz hűtés és nagyon stabil fordulatszám szükséges, ugyanis a fordulatszám változásával (lesz még ennek szerepe a későbbiekben) a rétegződés felkeveredik, mint a sunshine koktél, ha megforgatjuk a poharat vagy egy kiskanállal összekavarjuk azt.

A centrifugák vezérléséről speciális kontrollerek – nevezzük ezeket [[hu:main:dict#plc|PLC]]-knek – gondoskodnak. Ezek veszik át a kezelőktől a [[hu:main:dict#scada|SCADA]] nevű PC-ken keresztül a parancsokat és továbbítják oda a működési paramétereiket.

A technológia alapvetően nem boszorkányosan bonyolult, de rendkívül sok centrifugát és vezérlőegységet igényel, no meg mind az urán, mind a HF6 meglehetősen mérgező. A lenti fotó **Mahmoud Ahmadinejad** 2008-as látogatásakor készült. Kétoldalt a centrifugák hosszú sora látható.

{{:wiki:blog:stux06.png|Mahmoud Ahmadinejad 2008-as látogatása; fotó: president.ir}}

===== Natanz =====
Natanz városa körülbelül 225 kilométerre, délkeletre található Teherántól, oázisai híresek az itt termelt körtéről, mellyel egész Iránt innen látják el. Az iráni kormányzat 2001-ben ide telepítette az urándúsító üzemét.

A mindösszesen 100.000 m² alapterületű csarnokokat légvédelmi okokból 8 méterrel a föld alá telepítették, majd a későbbiekben – az izraeli haditechnika fejlődésével szinkronban – még több földet hordtak rá.

2009-ben a berendezés 8000 centrifugájából 5000 működött, és egy újabb telep létesítésébe fogtak Qom közelében. A pakisztáni P–1-es centrifuga iráni változatának a kódneve az IR–1, és ennek a továbbfejlesztett változatai rendre IR–2, IR–3,.. névre hallgatnak.

A telep a Goggle.maps-on [[https://www.google.com/maps/place/Natanz+Nuclear+Facilities/@33.7223167,51.7253888,2239m/data=!3m1!1e3!4m5!3m4!1s0x3f96419eff1700dd:0xfa1cc67ac8db241!8m2!3d33.7244045!4d51.7267085|ide kattintva látható]].

Egy centrifugában viszonylag kis mértékű dúsítás érhető el, ezért ezeket úgynevezett kaszkádokba szervezik. A kaszkádokban a dúsított HF6 egyik irányban való áramoltatásával szemben a csökkentett 235U koncentrációjú HF6 a másik irányban mozog. A kaszkádok párhozamos kötésekkel is rendelkeznek. Feltételezések szerint ebben az üzemben a centrifugákat 164 elemű, 15 fokozatú kaszkádokba szervezték.

Az üzem létezését nem is nagyon titkolták a külvilág elől, bőséges információt szolgáltatva az izraeliek számára, akik egy rendkívül összetett szabotázsakció végrehajtása mellett voksoltak az üzem ellen, és egy addig ismeretlen **három fokozatú vírus** fejlesztésébe kezdtek, mely feladatot az izraeli hadsereg high tech különítményére, a **Unit8200**-ra bíztak.

===== „Myrtus” projekt =====

A tökéletes végrehajtás érdekében egy tesztberendezést is felépítettek Dimonában. Az urándúsító centrifugák technikai adatait azoknak a gyártóitól, a finn Vacon-tól és az iráni Fararo Paya-tól szerezték meg. Ez az „adatszerzés” még a szakértőket is meglepte, hiszen a Fararo Paya-t olyan szinten próbálták elrejteni az iráni hatóságok, hogy az **IAEA** (//International Atomic Energy Agency//: Nemzetközi Atomenergia-ügynökség) se tudott róla.

A fejlesztésbe rendkívül sok energiát és időt öltek, erre utal a kártevő komplexitása és fejlett hatásmechanizmusa, így szinte kizárt a magányos hacker teóriája, aki otthon, hobbiból fejlesztette volna a kódot. Itt egy komoly szakértőkből álló csoportnak kellett állnia a háttérben, a fertőzés jól irányzott volta, és az, hogy a kártevő elérte a célját, profi kivitelezőket és bőséges finanszírozást feltételez.

A fejlesztés a **„Myrtus”** projekt keretein belül történt, erre utal a beforgatott kód path-je: \\
\myrtus\src\objfre_w2k_x86\i386\guava.pdb

A „Myrtus” lehet egy hivatkozás a bibliai Eszterre, aki megmentette a perzsáktól az ókori zsidó államot, de lehet akár a **„My_RTU”** (//remote terminal unit// – távoli elérésű terminál) is.

A fejlesztéshez kiindulásként valószínűleg, egy korábbi kártevő, a **Conficker** kódját használták. A féreg tevékenységéről egy maláj és egy dán szerverre folyamatosan jelentéseket küldött (www.mypremierfutbol.com, www.todaysfutbom.com), majd a natanzi támadás után ezeket a szervereket lekapcsolták üzemeltetőik.

===== Első fokozat =====

A vírus alapvetően egy (nem publikált) Windows hibát (**0-day Windows exploit**) kihasználva pen-drive-ról tud fertőzni, majd a fertőzést követően – további operációs rendszerhibákat kihasználva – a hálózatokon terjedni.

{{:wiki:blog:stux07.png|Stuxnet; az első fokozat}}

Ez a fokozat olyan jól sikerült, hogy a vírus gyakorlatilag letámadta a világot, és bár közvetlen kárt nem okozott, azért nagyon jelentős pánikot generált. A kártevő 2010 júniusában „bukott le” a fehérorosz **„VirusBlokAda”** cég által Iránban, a **Bushehr erőmű** egyik gépén, és azóta bebizonyosodott, hogy több, mint 100.000 számítógépet fertőzött meg, a [[hu:main:dict#simatic|Simatic]] [[hu:main:dict#wincc|WinCC]] [[hu:main:dict#scada|SCADA]]-kat keresve.

Csak Iránban 45.000 felügyeleti számítógép és szerver tartalmazta a vírust.

===== Második fokozat =====

A vírus a fertőzést követően a WinCC jelenlétét kezdte keresni a gépen. Ez egy Siemens SCADA rendszer, melyen keresztül technológiák felügyeletét lehet megvalósítani.

{{:wiki:blog:stux08.png|Stuxnet; a második fokozat}}

Leegyszerűsítve, ezek előtt a gépek előtt ülnek az operátorok, és unott fejjel bambulják a monitorjaikon megjelenített ábrákat, hogy éppen mi történik a rendszeren, illetve adott esetben pár kattintással itt tudnak beavatkozni a technológia működésébe. Ha a vírus rábukkant a WinCC-re, az azon keresztül elérhető PLC-ken megnézte, hogy megtalálható e ott pár speciális, csak a dúsítócentrifugákhoz köthető program. Ha igen, felülírta ezeket.

===== Harmadik fokozat =====

A vírus a PLC program módosításával a centrifugák sebességszabályozásába kétféle módon avatkozott be:

==== Egyrészt ====

A kártevő a natanzi urándúsító létesítményben kb. ezer IR–1 típusú urándúsító centrifugát égetett le. Ezeknek a berendezéseknek a hajtómotorja 1007 cps-nél (cycles per second, másodpercenkénti fordulatszám) is már tönkremegy, a Stuxnet viszont rövidebb fázisokra észrevétlenül 1064 cps-es tempót diktált nekik, ezzel széthajtva őket.

==== Másrészt ====

A centrifugák fordulatszámát időnként szakaszosan manipulálta, először lecsökkentette azt, majd „túlhúzta”. Ezzel olyan hatást váltott ki, mint amikor vasárnap egy botmixerrel nekiugrok a szombati húslevesnek és jól összeturmixolom. (Ínyenceknek: sajtot is keverek hozzá és pirított szikkadt kenyér kockákkal tálalom ezt „sajtleves” fedőnévvel, a kölykeim imádják. Gasztroblog bejegyzés vége).

A módszerrel az urán rétegződését klasszul felkeverte a vírus, és mivel ezt észrevétlenül tette, az üzem fenntartói a program hibájára gyanakodhattak éveken keresztül – ha úgy vesszük, jogosan. Szinte biztos, hogy volt pár keresetlen szavakban bővelkedő beszélgetésük a centifugát gyártó és programozó cégekkel.

==== Harmadrészt ====

A program a SCADA felé meghamisított fordulatszám-adatokat küldött, így a visszamenőleges adatelemzések sem tárhatták fel, hogy mi történik a //„mélyben”//, a [[hu:main:dict#plc|PLC]]-k szintjén. A kezelők meg unottan bámulhatták a monitorjaikat tovább.

===== Eredmény =====

2010. november 16-án Irán leállította az urándúsítóit, miután **a centrifugák legalább 20%-a megsemmisült** a Stuxnet tevékenysége nyomán, azaz a kártevő elérte a célját. Egyes kutatók megkérdőjelezik, hogy az elért siker megérte-e a befektetett hatalmas összegeket, ugyanakkor a támadás új fejezetet nyitott a cyber-hadviselés történelmében.

A telep vezetőjét leváltották, és vele együtt több alkalmazott is nyomtalanul eltűnt az okokat firtató „vizsgálatokat” követően. Persze, ez nem csoda egy olyan helyen, ahol a rossz teljesítés esetén alkalmazható következmények körét kiegészítették a munkaszerződésben pár tétellel, úgymint kínzás, kényszermunka vagy éppen kivégzés.

===== Bizonyítás =====

Sokáig rejtély maradt, hogy a vírus melyik létesítmény szabotálására íródott, miután kiderült, hogy felépítése olyan speciális, hogy csak egy célzott támadásra volt alkalmas. Persze a „gyanúsítottak” között már akkor is ott volt a natanz-i berendezés, de az iráni kormányzat nem sietett a nyomozók segítségére egy beismerő nyilatkozattal – mind a mai napig. Ebben az esetben is egy sajtófotó segített leleplezni a rejtélyt, ez:

{{:wiki:blog:stux03.png|Stuxnet; bizonyítás, forrás: president.ir / Ralph Langner}}

A képen a zöld pontok a működő centrifugákat jelölik, ezek összesen 4, 8, 12, 16, 20, 24, 20 egységet tesznek ki, és vajon hol található meg ez a tagolás? Nos, valóban, a Stuxnet kódjában.

A két fekete pont két kihullott centrifugát jelölhet – nagyon valósínű, hogy ezeket a vírus intézte el. Egyébként is különös dolog a sajtófotó, ahol az elnök, vagy akármelyik fejes tetszeleg, és mutatja önnön nélkülözhetetlenségét a látványos berendezések háttere előtt.

A szakértőknek ezek a fotók jelentik az aranybányát, gyakorlatilag a teljes (egyébként titkos) technológiai rendszert fel tudják térképezni az elejtett részletek alapján; érdemes megnézni a források között feltüntetett **Langner jelentés**t. Sok kérdést vetettek fel például az alábbi képeken látható amerikai gyártmányú, meglehetősen speciális **MKS Baratron** nyomásszenzorok, hogy ugyan már, vajon hogyan kerülhettek tömegével az embargó sújtotta Iránba:

{{:wiki:blog:stux03.png|MKS Baratron nyomásszenzorok}}

Egy régi barátom, mielőtt leadta volna az egyik nagy erőmű villamos áramút-terveit, mind a 15 dossziét, az egyikben elrejtett egy cetlit: „ha valaki olvassa ezt a lapot, hívjon fel ezen a számon, és meghívom egy sörre!”. 6 év múlva csörgött a telefonja. Márminthogy ezügyben.

Sajnos ezt, így nem tudom a műfaji korlátok okán eljátszani, de aki eddig elért az olvasással és van Facebook hozzáférése, kérem, dobjon egy kommentet, vagy akár csak egy akármilyen emoji-t ide, [[https://www.facebook.com/passport.blog.hu/posts/654237514771399|a bejegyzés alá]]!

Köszönöm.

A bejegyzés eredetije a passport.blogon olvasható, [[https://passport.blog.hu/2017/06/30/a_stuxnet_sztori|itt]].

 --- //[[sandor.vamos@web.de|Sandor Vamos]] 2018/11/05 13:03//