Cyber-Attacken mit Stuxnet

Nein, keine Cyberattacken von mir. Nur hat gerade die FAZ berichtet, daß Obama die Cyberattacken via Stuxnet auf Irans Atomanlage angeordnet hat. Viel interessanter und detailreicher ist allerdings der passende Artikel New York Times. Und letzten Endes ist es auch nur ein Auszug aus dem noch erscheinenden Buch Confront and Conceal.

Wie ist Stuxnet in die Anlage gekommen? Tja:

“That was our holy grail,” one of the architects of the plan said. “It turns out there is always an idiot around who doesn’t think much about the thumb drive in their hand.”

USB-Sticks rumliegen lassen mit dem Virus drauf und darauf rechnen, daß jemand zu neugierig ist (was ja eigentlich nicht schlimm ist, bin ich ja auch) und dann noch zu dämlich, den Stick tatsächlich in einer abgeschotteten Atomanlage in einen Rechner zu stecken.

Wie ist es alles rausgekommen? Das Virus bzw. der Wurm hat sich auf einen Laptop eines Ingenieurs kopiert, der in der Anlage gearbeitet hat. Als der dann den Laptop außerhalb ans Internet angeschlossen hat, hat der Wurm nicht gemerkt, daß er nicht mehr in der Anlage ist, sondern sich weiterverbreitet. Und dann kamen die Analysen des Wurms. Im Nachhinein stellt sich raus, daß auch die damaligen Analysen sehr zutreffend waren, beispielsweise die von Frank Rieger vom CCC in der FAZ. Sowas ist echt spannend. Alles, was Rieger damals spekuliert hat, steht zumindest im NYT-Artikel tatsächlich drin, beispielsweise, daß der Wurm in einer ersten Phase Informationen über die Anlage gesammelt und “nach Hause telefoniert” hat.

Weitere Informationen gibt’s auch über die Zeit verteilt bei dem (nicht nur von mir) hoch geschätzten Bruce Schneier, (siehe hier), dessen aktuelles Buch Liars and Outliers ich gerade zu Ende gelesen habe. Er kommt eigentlich aus der Krytographie-Ecke (mit dem Standardwerk, der sogenannten Kryptographiebibel Applied Cryptography), ging dann immer weiter in Richtung security und erweitert das im aktuellen Buch in Richtung trust (Vertrauen). Es ist deutlich weniger technisch, sondern es geht eher um die soziale, psychologische und wirtschaftliche Komponente von Sicherheit und Vertrauen, häufig um sogenannte social dilemmas in der Gesellschaft und im täglichen Leben, für Firmen, Staaten, Gruppen und Einzelpersonen.

Leave a Reply