4 ngày nhảy vào bí quyết của Stuxnet

A Four-Day Plunge to Stuxnet’s Knowhow

» SPAMfighter News - 06-01-2011

Theo: http://www.spamfighter.com/News-15605-A-Four-Day-Plunge-to-Stuxnets-Knowhow.htm

Bài được đưa lên Internet ngày: 06/01/2011

Lời người dịch: “Ban đầu, vào tháng 06/2010, hãng VirusBlokAda của Belaruss đã nhận thấy sâu này và đã thông báo cho Microsoft bằng việc gửi một vài ảnh chụp màn hình. Tuy nhiên, đội của Microsoft đã không thấy thuyết phục và đã muốn bỏ qua báo cáo này. Cuối cùng, khi báo cáo đã được mở và họ đã bắt đầu nghiên cứu mã nguồn, thì họ đã nhận thấy rằng nó đã là một mối đe dọa có hại”. Đây “quả thực là một sự kiện đáng xấu hổ đối với đội về tính có thể bị tổn thương tại Microsoft, như được nêu bởi Wired Threat Level hôm 27/12/2010”. Liệu có thực sự là như vậy hay còn có sự cố tình bỏ qua nào đó, khi mà nhiều thông tin cho rằng vụ Stuxnet có sự tham gia của Mỹ, Anh và Israel để đánh vào chương trình hạt nhân của Iran. Các quốc gia chắc chắn sẽ cảnh giác hơn với điều này!

Để có được thông tin về sâu máy tính Stuxnet từ một công ty an ninh vô danh của Belaruss quả thực là một sự kiện đáng xấu hổ đối với đội về tính có thể bị tổn thương tại Microsoft, như được nêu bởi Wired Threat Level hôm 27/12/2010.

Sâu máy tính Stuxnet bị nghi ngờ là một hoạt động dưới xú của các quốc gia bao gồm cả Mỹ và Israel. Sâu này có chức năng xác định những mục tiêu bí mật của cuộc tấn công hạt nhân của Iran. Stuxnet đã tấn công các hệ thống kiểm soát đối với việc truy cập các máy li tâm và các động cơ turbin hơi nước của Iran, mà nó làm trễ lại tuyên ngôn về chương trình hạt nhân của Iran.

Trong phiên họp do Hội nghị Câu lạc bộ Máy tính Hỗn mang - CC (Chaos Computer Club Congress) tổ chức, nhà phân tích hàng đầu về tính có thể bị tổn thương của Microsoft đã đưa ra một sự việc về căn nguyên và động cơ tối hậu đằng sau dự án Stuxnet. Một sự việc mà sự trả lời của công ty phần mềm này cũng đã trình bày tại phiên họp.

Bình luận về vấn đề này, Bruce Dang, một kỹ sư phần mềm về an ninh tại Trung tâm Phản ứng về An ninh của Microsoft, người đã tiến hành phân tích, đã lưu ý về tầm quan trọng của việc làm sáng tỏ bí quyết của sâu này trước hết đối với các công ty khác, như được báo cáo bởi Wired Threat Level vào hôm 27/12/2010.

Ban đầu, vào tháng 06/2010, hãng VirusBlokAda của Belaruss đã nhận thấy sâu này và đã thông báo cho Microsoft bằng việc gửi một vài ảnh chụp màn hình. Tuy nhiên, đội của Microsoft đã không thấy thuyết phục và đã muốn bỏ qua báo cáo này. Cuối cùng, khi báo cáo đã được mở và họ đã bắt đầu nghiên cứu mã nguồn, thì họ đã nhận thấy rằng nó đã là một mối đe dọa có hại.

To gain information about the Stuxnet computer worm from an unrecognized Belarusian security company is indeed a shameful event for the vulnerability team at Microsoft, as reported by WIRED THREAT LEVEL on December 27, 2010.

The computer worm Stuxnet is suspected to be an underline operation of states including the US and Israel. The worm is functionalized to determine the secretive aims of nuclear attack by Iran. Stuxnet attacked the control systems for accessing Iranian centrifuges and steam turbine, which delays the manifestation of nuclear program by Iran.

During a session held at the Chaos Computer Club (CC) Congress, top vulnerability analyst of Microsoft laid down an account of the ultimate origin and motive behind the Stuxnet project. An account of the software company's response was also presented at the session.

Commenting on the matter, Bruce Dang, a Security Software Engineer at Microsoft Security Response Center, who conducted the analysis, noted about the importance of ascertaining the knowhow of the worm prior to other companies, as reported by WIRED THREATLEVEL on December 27, 2010.

Initially, during June 2010, Belarusian firm VirusBlokAda recognized the worm and informed Microsoft by sending some screenshots. However, Microsoft team was unconvinced and wanted to dismiss the report. Ultimately, when the report was opened and they began to study the codes, they realized that it was a harmful threat.

Dang sau đó đã nói rằng, mã nguồn đã có vào khoảng 1 MB thông tin và đã khai thác chỗ bị tổn thương trong biểu tượng đặc trưng cho phím tắt của Windows và đã gây lây nhiễm cho đầu USB, mà dẫn những người sử dụng tới sâu đó, nghĩa là các tệp .LNK.

Microsoft đánh giá rằng Stuxnet này là một đầu tư rủi ro gây hại 1 năm tuổi và đã sử dụng các phương pháp tinh vi phức tạp cho việc gây lây nhiễm và tấn công các máy li tâm hạt nhân của Iran.

Theo Dang, vô số điều rõ ràng từ sự làm sáng tỏ của anh ta về mã nguồn này. Mã nguồn này đã được viết bởi nhiều người. Hơn nữa, các lập trình viên viết mã nguồn này đã được cảnh báo để đảm bảo rằng nó chạy được hoàn hảo, với ảnh hưởng lớn và độ tin cậy hoàn toàn. Đó là một mục tiêu, mà thậm chí các lập trình viên phần mềm chuyên nghiệp thường không đáp ứng được.

Đội này tại Microsoft mất khoảng 3-4 ngày hoặc khoảng 40 người - giờ của Microsoft để xác định sâu này mà những ảnh hưởng của sâu này là chắc chắn sẽ còn cộng hưởng lâu hơn nhiều.

Dang further stated that, the code had around 1 MB of information and exploited vulnerability in the Windows icon shortcut featured and the infected USB stick, which directs users to the worm i.e. .LNK files.

Microsoft estimates that this Stuxnet is a year-old harmful venture and used quite sophisticated methods for infecting and attacking Iran's nuclear centrifuges.

According to Dang, numerous things are obvious from his interpretation of the code. The code was written by various people. Moreover, the developers of the code were alert to ensure that it ran flawlessly, with great impact and complete reliability. That's one objective, which even professional software developers usually fail to meet.

The team at Microsoft took about three to four days or an approximation of 40 Microsoft person-hours to determine the worm but the effects of this worm is sure to resonate much longer.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com