Category Archives: General

Stuxnet update

The public analysis of the stuxnet PLC-code has made some progress in the last weeks. Today Symantec postet their update, they identified components that the payload is targeting.

It turns out, that it is aimed at frequency converter motor drives, specifically modules that contain many of these drivers.


(Picture from Symantecs analysis)

So we can conclude that the target system is running lots and lots of fast motors. There are not that many industrial processes that require many fast motors with precision rotation speed control, except for an enrichment centrifuge plant.

A variable frequency drive is commonly used to adjust the rotation speed of an AC motor. The higher the maximum frequency, the more precise the rotation speed control.

The little I know about how an gas centrifuge enrichment plant really works points to correct motor speed control being one of the key elements for achieving high enrichment effectiveness. The geometry of the gas vortex developing in the rotor of the centrifuge seems to be a critical element, and varying rotation speed will cause it to be disturbed. Playing with this parameter certainly will affect the quality of the result and also may cause accelerated wear and tear at components like the bearings that hold the centrifuge.

So in essence, the Symantec result can be seen as another datapoint that suports my theory that the target of stuxnet was an centrifuge enrichment plant.

Alternativlos 8 & ein kleiner Technikteil

Bei Alternativlos Folge 8 (grad frisch online) haben wir zum ersten Mal einen Gast dazugeholt. Wir haben uns mit Markus Kompa hingesetzt und mal eine Runde über Geheimdienst-Geschichte und -Geschichten geklönt. Das war äusserst unterhaltsam, auch wenn ich an dem Tag reisebedingt etwas durch war. Gerade die Stories über den Illusionskünstler in CIA-Diensten nochmal mit einem Zauberer zu debattieren fand ich sehr interessant und lehrreich.

Da das mit Markus sehr spassig war werden wir zukünftig immer mal wieder einen Gast als Gesprächsteilnehmer zu Alternativlos einladen.

Technisch wurde das möglich durch ein Upgrade der Aufnahmehardware. Dank der reichlichen Flattr-Spenden konnten wir ein Zoom R24 erwerben, das sich nach umfänglicher Recherche geradezu als Traumgerät für unsere Bedürfnisse herausgestellt hat. Zuvor hatten wir ein altes Zoom H4 benutzt (gibts nicht mehr, der Nachfolger heisst Zoom H4n). Mit dem internen Micro davon hatten wir die ersten Folgen aufgenommen (mit den allseits bekannten Akustikproblemen). Hörbare Besserung brachte dann die Anschaffung von Beyerdynamic DT297 Kopfhörer/Micro-Headsets. Damit waren wir aber weiterhin auf zwei Aufnahmekanäle beschränkt, es sei denn wir hätten uns mit einem Gast wieder um das interne Micro des H4 gedrängelt.

Die Zielvorgaben fürs Upgrade waren also recht einfach, aber nicht ganz einfach zu erfüllen: mindestens 4 Kanäle Aufnahme mit Phantomspeisung für vernünftige Mikrofone, Betrieb unabhängig von einem Computer und wenn möglich auch unabhängig von einer Steckdose, rucksackkompatible Größe damit wir den Ort der Aufzeichnung ohne allzu viele Beschränkungen wählen können, 24bit-Recording und natürlich ein Flattr-kompatibler Preis unterhalb eines kleinen Verteidigungshaushaltes. Das Zoom R24 ist erst seit ziemlich kurzer Zeit auf dem Markt und erfüllte nicht nur unsere Kriterien, er bringt sogar bis zu 6 Kanäle mit Phantomspeisung mit und lässt sich wahlweise auch als Audio- und Controlinterface an einen Rechner per USB hängen. Für unsere Bedürnisse sind wir damit hochzufrieden.

Das nächste Upgrade sind nun noch zwei Beyerdynamik-Headsets für Gäste, damit wir nicht wie bei Markus Kompa mit einem von der Raumfahrtagentur geborgten Großmembran-Mikro hantieren müssen, was doch sehr heterogene Klangeindrücke für die verschiedenen Teilnehmer ergibt.

Einziges Manko, daß aber derzeit kein portables Gerät auf dem Markt lösen kann, ist die mangelnde Anzahl Kopfhöreranschlüsse am R24. Wie auch schon am H4 verwenden wir da einen preiswerten Kopfhörerverstärker, der das Signal auf bis zu vier Ausgänge verstärkt abliefert.

Mit der präzisen Aussteuerung und dem korrekten Nachbearbeiten sind wir noch ein wenig am basteln, aber das wird schon noch.

Rohre verlegen

Ich wunderte mich seit einigen Monaten über die Berge großer Pipeline-Rohre, die hier und da in der Landschaft eines von mir häufig besuchten Landstrichs in Nordostdeutschland anzutreffen waren. Wie es sich begab war am Wochenende schönes Wetter und es ergab sich die Gelegenheit zu einer kleinen Expedition zu einer nahegelegenen Verlegestelle.

Die Rohre gehören zur OPAL-Pipeline, die wiederum an der hinlänglich bekannt-umstrittenen NorthStream-Pipeline hängt. Durch das Rohrsystem wird Erdgas aus Rußland unter der Ostsee – also unter Umgehung der Ukraine und Polens – nach Deutschland gepumpt.

Der Druck in den Rohren beträgt bis zu 100 Bar, also so etwa das 20-fache von dem was man so in einem prall gepumpten Fahrradschlauch hat. Die Rohre haben 140 cm Durchmesser. Dementsprechend dick muss auch der Stahl sein. Hier mal der Vergleich zu einem Euro-Stück.

An dieser Baustelle liegt das Rohr schon provisorisch im Graben.

Um so massive Metallmengen zu handhaben braucht es auch recht massige Maschinen. Um die finalen Schweissungen und Dichtigkeitsprüfungen zu machen wird es dann segmentweise nochmal angehoben.

Unter einem kleinen Zelt finden dann die finalen Arbeiten statt. Es hatte in den letzten Tagen ziemlich umfangreich geregnet, da schweisst es sich nicht so toll ohne Witterungsschutz.

In unmittelbarer Nähe kreuzt hier ein Telefonkabel die Rohrtrasse, vermutlich der Grund für die Anbringung von etwas das wie ein Sensorkopf aussieht am Rohr. Die Telemetriedaten des Sensors können so relativ stressfrei übertragen werden. Denkbar ist natürlich auch, daß es parallel zur Rohrtrasse noch einen Schacht für Kabel gibt und der Anbringungsort des Sensors nur Zufall ist. Aus Redundanz- und Sicherheitserwägungen würde es aber schon eher sinnvoll sein, vorhandene Telecom-Infrastruktur zu nutzen.

Das Rohr selbst ist mit einer ziemlich soliden Plasteschicht ummantelt, die jeweils an den Enden aufhört, wo dann das nächste Segment angeschweisst wird. Die Schweissnaht sieht so massiv aus, wie der kleinbusgroße Schweisstrafo, der auf einem eigenen Kettenfahrzeug montiert ist, vermuten ließ.

Alternativlos Folge 5 – Sondersendung

Alternativlos Folge 5 ist draussen , aus aktuellem Anlass eine Sondersendung zum Thema Stuxnet, Risiken für hiesige AKWs, Exploit-Märkte und SSL-Zertifikate.

Dieses mal haben wir mit den neuen tollen Headsets aufgenommen (Beyerdynamic DT-297), die durch die freundlichen Flattr-Spenden ermöglicht wurden. Die Audioqualität sollte nun weitestgehend zufriedenstellend sein. Nächste angepeilte Stufe des Equipment-Ausbaus ist ein Setup, bei dem wir auch Gäste mit dazuholen können, also mehr Eingänge am Recorder, Mikrofone etc. Für die Neugierigen: derzeit nehmen wir einen Zoom H4 als Recorder, weil wir gerne portabel und rechnerunabhängig bleiben wollen, um die Aufnahme-Location frei wählen zu können (dieses mal übrigens die c-base). Das mit der Portabilität soll auch zukünftig so bleiben.

Udate: Der plötzliche Abbruch am Schluss ist repariert.

Some comments and an invitation re: stuxnet

After my FAZ piece came out, I got some messages and comments from people in the industry, telling me that nuclear power stations are generally run by better protected variants of S7, that fulfill a higher security level known as SIL-4.

That may very well be the case, but it does not say anything about the standards used in Iran. As far as I know (please correct me if I am wrong) at least some SIL-4 graded components are subject to even tighter export controls, are sold by fewer vendors and are much more expensive – all adding to the already bad procurement problem. If you run a nuclear program on a budget, you take what you can get to do the job, which in Irans case seem to be second-hand and older systems they just could find on the worlds markets, which most probably would be S7 300-series components.

As for the security of german nuclear power plants and industrial systems, I would find it very reassuring if the operators would explain in detail why they think their systems are secure. Claiming “this could never happen here” is the inscription on many security systems tombstones… So here is the invitation: please submit your technical detailed talk to the Chaos Communication Congress and explain to the hacker community why the industrial control systems here are immune against a stuxnet-grade attack. We would all sleep better if you can convince us.

stuxnet: targeting the iranian enrichment centrifuges in Natanz?

I did a writeup of the stuxnet story so far for the large german newspaper Frankfurter Allgemeine Zeitung (FAZ), out in print today (now also online here ). Unfortunatelly the page-one teaser image chosen by the frontpage editor is outright silly, and the picture chosen by the FAZ for the main piece is the reactor in Bushehr, as the facility in Natanz is optically less attractive. But, hey, the story is what counts. I want to comment on some of the more detailed aspects here, that were not fit for the more general audience of the FAZ, and also outline my reasoning, why I think stuxnet might have been targeted at the uranium centrifuges in Natanz, instead of Bushehr as guessed by others.

stuxnet is a so far not seen publicly class of nation-state weapons-grade attack software. It is using four different zero-day exploits, two stolen certificates to get proper insertion into the operating system and a really clever multi-stage propagation mechanism, starting with infected USB-sticks, ending with code insertion into Siemens S7 SPS industrial control systems. One of the Zero-Days is a USB-stick exploit named LNK that works seamlessly to infect the computer the stick is put into, regardless of the Windows operating system version – from the fossile Windows 2000 to the most modern and supposedly secure Windows 7.

The stuxnet software is exceptionally well written, it makes very very sure that nothing crashes, no outward signs of the infection can be seen and, above all, it makes pretty sure that its final payload, which manipulates parameters and code in the SPS computer is only executed if it is very certain to be on the right system. In other words: it is extremly targeted and constructed and build to be as side-effect free as humanly possible. Words used by reverse engineers working on the the thing are “After 10 years of reverse-engineering malware daily, I have never ever seen anything that comes even close to this”, and from another “This is what nation states build, if their only other option would be to go to war”.

Industrial control systems, also called SCADA, are very specific for each factory. They consist of many little nodes, measuring temperature, pressure, flow of fluids or gas, they control valves, motors, whatever is needed to keep the often dangerous industrial processes within their safety and effectiveness limits. So both the hardware module configuration and the software are custom made for each factory. For stuxnet they look like an fingerprint. Only if the right configuration is identified, it does more then just spreading itself. This tells us one crucial thing: the attacker knew very precisely the target configuration. He must have had insider support or otherwise access to the software and configuration of the targeted facility.

I will not dive very much into who may be the author of stuxnet. It is clear that it has been a team effort, that a very well trained and financed team with lots of experience was needed, and that the ressources needed to be alocated to buy or find the vulnerabilities and develop them into the kind of exceptional zero-days used in the exploit. This is a game for nation state-sized entities, only two handful of governments and maybe as many very large corporate entities could manage and sustain such an effort to the achievment level needed to build stuxnet. As to whom of the capable candidates if could be: this is a trip into the Wilderness of Mirrors. False hints are most likely placed all over the place, so it does not make much sense to put much time into this exercise for me.

Regarding the target, things are more interesting. There is currently a lot of speculation that the Iranian reactor at Bushehr may have been the target. I seriouly doubt that, as the reactor will for political reasons only go on-line when Russia wants it to go on-line, which they drag on for many years now, to the frustration of Iran. The political calculations behind this game are complex and involve many things like the situation in Iraq, the US withdrawal plans and Russias unwillingness to let the US actually have free military and political bandwith to cause them trouble in their near abroad.

But there is another theory that fits the available date much better: stuxnet may have been targeted at the centrifuges at the uranium enrichment plant in Natanz. The chain of published indications supporting the theory starts with stuxnet itself. According to people working on the stuxnet-analysis, it was meant to stop spreading in January 2009. Given the multi-stage nature of stuxnet, the attacker must have assumed that it has reached its target by then, ready to strike.

On July 17, 2009 WikiLeaks posted a cryptic notice:

Two weeks ago, a source associated with Iran’s nuclear program confidentially told WikiLeaks of a serious, recent, nuclear accident at Natanz. Natanz is the primary location of Iran’s nuclear enrichment program. WikiLeaks had reason to believe the source was credible however contact with this source was lost. WikiLeaks would not normally mention such an incident without additional confirmation, however according to Iranian media and the BBC, today the head of Iran’s Atomic Energy Organization, Gholam Reza Aghazadeh, has resigned under mysterious circumstances. According to these reports, the resignation was tendered around 20 days ago.

A cross-check with the official Iran Students News Agency archives confirmed the resignation of the head of Iran’s Atomic Energy Organization.

According to official IAEA data, the number of actually operating centrifuges in Natanz shrank around the time of the accident Wikileaks wrote about was reduced substantially .

On 07. July 2009 the israeli news-site ynet-news.com posted a lengthy piece on possibly cyberwar against the Iran nuclear programm. Intriguingly, even contaminated USB-Sticks were mentioned. In retrospect, the piece sounds like an indirect announcement of a covert victory to allies and enemies.

That there are serious anti-proliferation efforts by all available means undertaken by western intelligence is not in doubt. .

There is further indication in the way stuxnet is actually working on the SPS-level. The current state of analysis seems to support the assumption, that the attack was meant to work synchronized and spread over many identical nodes. In a nuclear power plant, there are not many identical SPS-nodes, as there is a wide variety of subsystems of different kind. Compared to this, an enrichment centrifuge plant consists of thousands of identical units, arranged in serial patterns called cascades. Each of them is by necessity the same, as enrichment centrifuges are massively scaled by numbers. stuxnet would have infected each and every one, then triggering subtle of massive failures, depending on the choice of the attacker. To get an impression how the Natanz facility looks from the inside, Iranian President Ahamadinendjad has visited the place in April 2008.

So in summary, my guess is that stuxnet has been targeted at Natanz and that it achieved sucess in reducing the operational enrichment capability sucessfully. We will probably never be able to find out what really happened for sure, unless Iran comes forward with a post-mortem. Stuxnet will go down in history as the first example of a news class of malware, that has been engineered to weapons-grade performance with nearly no side-effects and pinpoint accuracy in delivering its sabotage payload.

Alternativlos Folge 4

Alternativlos Folge Nr. 4 ist draussen. Themen sind dieses mal u.a. Die neuen Rechten, Einwanderungspolitik, Peak Oil, Containerschifffahrt, kolumbianische Drogendrohnen, Russlands Pipeline- und Innenpolitik, Rohstoffspekulanten und der Afghanistanausstieg. Viel Spass beim hören (dieses mal mit weniger Hall *hust*)!

Kleines Flattr-Update

Nachdem ich das Flattr-Experiment hier im Blog primär angefangen hatte, um mal ein wenig Fahrgefühl zu sammeln, bin ich zunehmend positiv überrascht. Meine These, das die Abwesenheit eines funktionierenden Micropayment-Systems einer der grundlegenden Geburtsfehler des WWW ist, scheint sich zu bestätigen.

Die Stargardobyl-Reportage hat es tatsächlich auf die Plätze 16 und 20 der deutschen Flattr-Charts im Bereich Text geschafft. Um das mal als Beispiel für das derzeitige finanzielle Niveau heranzuziehen: allein die drei Stargardobyl-Posts spülten unerwartete 50,78 € an direkten Einnahmen (und vermutlich noch einiges an indirekten auf den allgemeinen Blog-Flattr-Button) in die Kasse. Dafür würde sich ein hauptberuflicher Lokalreporter zwar noch nicht den Aufwand geben, da dreimal vorbeizufahren. Aber wir sind zumindest schon mal in einer Größenordnung, wo es durchaus vorstellbar ist, eine angemessene Entlohnung zu erreichen. Da ich das Blog hier zum Spass und nicht zum Gelderwerb mache, war es jedenfalls überraschend viel.

Zwei Faktoren muß man hier betrachten. Zum einen brachte Stargardobyl dank Twitter, Link von Fefe und entsprechender Weiterverlinkung etwa Faktor fünf mehr Visitors ins Haus, als hier normalerweise langgehen. Proportional stieg der Anteil der Leser, die per Browser und nicht per RSS-Reader lasen, an. Ein Flattr-Button, der in den gängigen RSS-Readern funktioniert, wäre also sicher ein echter Fortschritt. Der zweite Faktor ist, daß Flattr noch echt in den Kinderschuhen steckt und ganz am Anfang steht. Das zeigt sich schon in der sehr merkwürdig geballten Akzeptanz im deutschssprachigen Raum. Ein Blick auf die Flattr-Top-10 für alle Sprachen (kann man oben unter Filter Languages umschalten) zeigt, daß 8 von 10 der meistgeflatterten Things aus Deutschland kommen. Offenbar ist die Akzeptanz im angelsächsischen Raum gerade noch eher marginal. Ob sich das nach dem Ende der Beta-Phase ändert bleibt eine spannende Frage.

Wirklich positiv überrascht hat uns die Flattr-Auswertung bei Alternativlos, dem kleinen Boulevardpodcast von Fefe und mir. Wir machen das ja primär weil wir da Bock drauf haben und nicht alles immer in die Fnord News Show auf dem Congress pressen können. Das wir nun schon nach Folge 3 fast in der Lage sind, aus den Flattr-Einnahmen mal ordentliche Mikrofone zu kaufen, hätten wir auch so nicht direkt erwartet. (Sorry für den Hall bei der letzte Folge, wir geloben Besserung!).

Alles in allem jedenfalls bisher eine sehr positive Entwicklung. Viel wird davon abhängen, wie sich Flattr selbst und mögliche Konkurrenzsysteme entwickeln. Wenn Facebook etwa seinen Like-Button mit einem Flattr-artigen Payment verbindet, wäre der Markt schlagartig ein anderer. Dann würden allerdings auch die Privacy-Fragen, die bei einem kleinen Experimental-System wie Flattr noch nicht so wichtig sind, schlagartig in den Mittelpunkt rücken. Wir dürfen jedenfalls gespannt sein.