پرسش و پاسخ در باره ی کرم استاکس نت
هنوز موضوعات مربوط به استاکس نت داغ است. اما اینکه این کرم چه می کند را f-secure با همراهی محققان مایکروسافت، کاسپرسکی، سیمانتک و دیگر صاحب نظران به صورت پرسش و پاسخ بیان کرده است. انصافا خواندنش خالی از لطف نیست !پرسش: استاکس نت چیست؟
پاسخ: کرم ویندوز است که توسط USB پخش می شود. این کرم می تواند در داخل یک سازمان خودش را در منابع به اشتراک گذاشته شده ی شبکه (در صورت انتخاب کلمات عبور ضعیف) پخش کند.
پرسش: این کرم می تواند خودش را از طریق دستگاه های USB دار پخش کند؟
پاسخ: البته. استاکس نت می تواند خودش را از طریق هر چیزی
که شما آن را به عنوان یک درایو نصب می کنید، پخش کند. مثلا، گوشی تلفن
همراه، هارد اکسترنال، فریم عکس و غیره.
پرسش: کارش چیست؟
پاسخ: سیستم را آلوده کرده و خودش را با یک روت کیت مخفی
می کند و به نظاره می نشیند تا اینکه سیستم آلوده به یک سیستم کارخانه ایی
زیمنس متصل شود.
پرسش: با سیستم کارخانه ایی زیمنس چه می کند؟
پاسخ: استاکس نت دستورات ارسال شده از کامپیوتر ویندوز دار به PLC (کنترل کننده) را تغییر می دهد.
پرسش: چه کار با کارخانه مورد نظرش می تواند انجام دهد؟
پاسخ: تغییرات پیچیده ایی برای سیستم ایجاد می کند. نتیجه ی تغییرات بدون مشاهده ی محیط واقعی قابل کشف نیست.
پرسش: چه کاری از این کرم بر می آید؟
پاسخ: می تواند موتورها، حمل کننده های تسمه ای و پمپ ها
را تعدیل کند. استاکس نت می تواند یک کارخانه را از کار بیاندازد. با یک
تغییرات درست و حسابی قدرت انفجار اجزا را دارد.
پرسش: چرا استاکس نت تا به این حد، پیچیده عنوان می شود؟
پاسخ: به این دلیل که از چندین حفره ی امنیتی استفاده کرده و به عنوان درایور خود بر روی سیستم قرار می گیرد.
پرسش: چطور امکان پذیر است که یک کرم درایور متعلق به خودش را نصب کند؟ مگر نباید درایورها برای استفاده در ویندوز امضا شده باشند؟
پاسخ: درایور استاکس نت با یک گواهی نامه دزدیده شده از Realtek امضا می شود.
پرسش: آیا این گواهی نامه دزدیده شده لغو شده است؟
پاسخ: بله. VeriSign در ۱۶ جولای آن را لغو کرد. اما در ۱۷ جولای یک گونه ی اصلاح شده با گواهینامه دزدیده شده از JMicron یافت شد.
پرسش: ارتباط بین JMicron و Realtek چیست؟
پاسخ: ارتباطی ندارند. اما اداره مرکزی هر دو کمپانی در یک شهرک صنعتی در تایوان واقع شده است.
پرسش: چرا تحلیل جزییات استاکس نت تا به این حد کند است؟
پاسخ: به این دلیل که به شکل فوق العاده ایی پیچیده و بزرگ است. حجم استاکس نت بیش از ۱٫۵ مگابایت است.
پرسش: از چه زمانی کرم استاکس نت شروع به پخش شدن کرد؟
پاسخ: در ماه ژون ۲۰۰۹ و یا حتی پیش تر. یکی از اجزا تاریخ کامپایلِ ژانویه ۲۰۰۹ دارد.
پرسش: چه زمانی کشف شد؟
پاسخ: یک سال بعد در ژون ۲۰۱۰
پرسش: چطور چنین چیزی امکان دارد؟
پاسخ: سوال خوبیست!
پرسش: استاکس نت توسط یک دولت نوشته شده است؟
پاسخ: اینطور به نظر می رسد.
پرسش: چگونه استاکس نت متوجه می شود که یک دستگاه پیش از این آلوده شده است؟
پاسخ: یک کلید رجیستری با مقدار ۱۹۷۹۰۵۰۹ برای علامت زدن دستگاه آلوده ایجاد می کند.
پرسش: معنای ۱۹۷۹۰۵۰۹ چیست؟
پاسخ: تاریخ است. ۹ می ۱۹۷۹٫
پرسش: در ۹ می ۱۹۷۹ چه اتفاقی افتاد؟
پاسخ: شاید تاریخ تولد نویسنده ی این کرم باشد. علاوه بر
این، ۹ می ۱۹۷۹ زمانی است که تاجر مشهور ایرانی – یهودی، حبیب القانیان
اعدام شد.
پرسش: آیا استاکس نت خودش را تا ابد منتشر می کند؟
پاسخ: نسخه ی فعلی تاریخ انقضای ۲۴ ژون ۲۰۱۲ دارد. روند پخش استاکس نت در این تاریخ متوقف خواهد شد.
پرسش: چند کامپیوتر آلوده به این کرم شدند؟
پاسخ: صدها هزار.
پرسش: چگونه مهاجمان تروجانی مانند این را به تاسیسات امن انتقال دادند؟
پاسخ: برای مثال، یافتن و آلوده کردن دستگاه USB یکی از
کارمندان. سپس منتظر کارمند مانده تا دستگاه USB را به محل کارش برده و
کامپیوتر محل کار را آلوده کند. در نتیجه، آلودگی از طریق دستگاه USB در
تاسیسات امن پخش می شود.
پرسش: در تئوری چه کارهای دیگری از استاکس نت بر می آید؟
پاسخ: سال پیش، زیمنس اعلام کرده بود که سیستم Simatic می
تواند سیستم های اعلام خطر، کنترل های دسترسی و درب ها را کنترل کند. در
تئوری، استاکس نت می تواند به مکان های فوق محرمانه دسترسی بیابد.
گردآوری : آلامتو
کامل تر از f-secure