211service.com
Hur Obama var farligt naiv om STUXNET och cyberwarfare
Om New York Times' omfattande redogörelse för födelsen av STUXNET-masken som saktade ner Irans ansträngningar att anrika uran säger oss något, det är att Obama-administrationen var anmärkningsvärt naiv när det gäller potentialen för spridning av cybervapen som den höll på att utveckla.

Ralph Lagner knäckte koden för Stuxnet-masken riktad mot Iran. (Foto: Steve Jurvetson )
Faktum är att medan diskussioner om det nya territoriet som USA gick in i uppenbarligen ägde rum i Vita huset, till slut, sa en medhjälpare till Times, ville administrationen inte utveckla en storslagen teori för ett vapen vars möjligheter de fortfarande upptäckte.
Sedan, sommaren 2010, inträffade en händelse som administrationen borde ha förutsett inträffade: STUXNET-masken lossnade och började replikera utanför den iranska anrikningsanläggningen som hade varit dess mål. I det vilda, på Internet, var det exponerat för alla att se.
Och det var tydligen då opportunistiska hackare började lära sig av det.
Som beskrivs av Eric Gallant på Data Center Pro , STUXNET lärde hackare att de industriella kontrollsystemen som används i industriell produktion (tänk högteknologiska fabriker) och datacenter var sårbara för attacker.
[Uppdatering: Ryan Ellis , en postdoc vid Stanford vars forskning fokuserar på samtida debatter om infrastruktursäkerhet, påpekar att sårbarheten hos SCADA- och ICS-system verkligen var välkänd långt innan STUXNETs uppkomst. DHS-, DOE- och NIST-ansträngningar inriktade på ICS- och SCADA-säkerhet har pågått i flera år. Så det är mer korrekt att säga att Stuxnet introducerade en ny kodbas i vad som hade varit en pågående kamp för att säkra dessa system.]
1. Spridning av STUXNET-kod, med okända mål.
I september 2011 upptäcktes en ny STUXNET-liknande mask som heter Duqu. Även om dess mål är oklart, kan det vara utformat för att stjäla data om ett industriellt kontrollsystem, innan en verklig attack. (Sådan övervakning var en integrerad del av den framgångsrika inaktiveringen av Natanz-anrikningsanläggningen under STUXNET-attacken.)
2. Skadlig programvara för kontrollsystem av industriell kvalitet som nästan avslöjades vid en informationssäkerhetskonferens i Dallas.
Forskarna hävdade: Vi kommer att visa hur motiverade angripare kan penetrera även de mest befästa anläggningarna i världen, utan stöd från en nationalstat. SCADA-tillverkaren Siemens och USA:s Department of Homeland Security begärde att forskarna inte skulle fortsätta med demonstrationen med hänvisning till allmän säkerhet.
3. Industrial Control System hacking toolkit släppt.
I mars 2011 erbjöd Gleg, ett ryskt säkerhetsföretag, till försäljning ett mjukvarupaket känt som The Agora SCADA+ Pack. Mjukvaran innehöll 22 moduler som utnyttjade 11 nolldagssårbarheter. Paketet inkluderade data som är tillämpliga på en mängd olika SCADA-systemtillverkares enheter och programvara.
4. STUXNET-kod dök upp i ett oförstörbart zombiebotnät som har infekterat miljontals datorer.
Den här skadliga programvaran, känd som TDL4, använder ett antal smarta knep för att garantera sin egen överlevnad, inklusive ett lånat direkt från världens mest sofistikerade cybervapen, Stuxnet.
Listan över sätt som STUXNET-kod som ursprungligen utvecklades av USA och Israel sprids i stor utsträckning, lärs av och utnyttjas fortsätter, och hela Data Center Pro-inlägget är värt att läsa om du vill förstå hur dessa attacker så småningom kan utföras på de datacenter som Internet och vår finansiella infrastruktur är beroende av.
I allmänhet har den så kallade SCADA-infrastrukturen (Supervisory Control and Data Acquisition) i USA beskrivits som Akilleshäl av kritisk infrastruktur , och Richard Clarke, tidigare Vita husets rådgivare för cybersäkerhet har hävdat det Kina undersöker redan det amerikanska elnätet .
Den goda nyheten är att det finns minst två anledningar till att inte få panik. Den första är att det ännu inte är klart vilken effekt dessa typer av cyberattacker kan ha. Iran, till exempel, var långsammare i sina ansträngningar, men det skiljer sig väsentligt från resultaten av, säg, en konventionell bombning av deras anrikningsanläggningar.
Det andra skälet till att vi bör dämpa vår oro över cyberattacker är att det finns en rolig sorts asymmetri i cyberkrigföring. Precis som fallet är med antivirusprogram, kan bara veta att det finns ett hot tillåta oss att snabbt inokulera våra system mot dessa hot. Huruvida vi gör det eller inte är en helt annan fråga.
Och det är det område där Obama-administrationen framstår som hopplöst naiv i sina konversationer om den potentiella effekten av STUXNET-masken: Förstod det inte någon i rummet att den här typen av attack, när den väl släppts lös, skulle innebära att varje del av kritisk datorstyrd infrastruktur i USA skulle behöva utvärderas och för alltid uppgraderas för att försvara sig mot en sådan attack?
Följ @Mims eller komma i kontakt