Bittimaailma ja fyysinen todellisuus voivat kohdata rankalla tavalla. Paljon puhuttu Stuxnet-haittaohjelma on levinnyt ainakin satoihin tuhansiin tietokoneisiin. Se alkaa tehdä pahojaan vain löytäessään oikeanlaisen tehdasympäristön. Silloin seuraukset voivat olla vakavia.

F-Securen tutkimusjohtaja Mikko Hyppönen on koostanut erikoisen madon ominaisuuksia pitkään kysymys ja vastaus -artikkeliin. Stuxnet tekee monimutkaisia muutoksia järjestelmään oikean kohteen havaitessaan. Muutoksia ei voi huomata näkemättä todellista ympäristöä, joten madon kyvyt ovat arvailun varassa.

– Teoriassa mato voisi säätää moottoreita, liukuhihnoja tai pumppuja. Se voisi seisauttaa tehtaan. Sopivin muutoksin se voisi saada asioita räjähtämään, Hyppönen kirjoittaa.

Asiantuntijat ovat muuallakin pitäneet mahdollisena, että Stuxnet voisi periaatteessa saada jopa ydinvoimalan epäkuntoon. Hyppösen mukaan Stuxnet voisi teoriassa myös päästää rikolliset huippusalaisiin paikkoihin ovia avaamalla ja hälytysjärjestelmiä sulkemalla.

Ei ole kuitenkaan syytä epäillä, että Stuxnet olisi aiheuttanut Meksikonlahden öljynporauslautan uppoamisen ja sitä seuranneen valtavan öljyvuodon. Lautalla tosin oli ilmeisesti käytössä joitakin Siemensin PLC-järjestelmiä, jollaisiin Stuxnetin tiedetään yrittäneen ja päässeenkin joissakin tehtaissa.

Yhteys
teloitukseen?

Avoimia kysymyksiä on paljon. Ei ole tietoa, mihin nimenomaisiin tehtaisiin Stuxnet on suunnattu tai onko se päässyt haluttuun kohteeseen.

On myös epäselvää, mistä maasta harvinaisen monimutkainen haittaohjelma on kotoisin. Hyppösen mukaan näyttää kuitenkin siltä, että Stuxnetin takana on jokin valtio. Tekijöiksi on muualla epäilty esimerkiksi israelilaisia ja maalitauluksi on veikattu iranilaista ydinvoimalaa.

Mikko Hyppönen pohtii myös viruksen raamatullista vihjettä, sanaa "myrtus" eli myrtti. Sitä ei ollut piilotettu koodiin. Kyseessä lienee koodiin vahingossa jäänyt viite, joka kertoo missä hakemistossa lähdekoodi sijaitsi tekijän tietokoneella. Hyppösen mukaan on siten epäselvää, missä mielessä myrtti on raamatullinen viittaus.

Mato jättää saastuttamaansa tietokoneeseen rekisteriavaimen arvolla 19790509. Se voi olla viittaus päivämäärään 09.05.1979, jolloin juutalais-iranilainen liikemies Habib Elghanian teloitettiin Iranissa syytettynä vakoilusta Israelille.

Stuxnet toimii
vielä vuosia

Mikko Hyppönen pitää mahdollisena, että Stuxnetillä on yhteys valtavasti levinneeseen Conficker-matoon. Stuxnet alkoi levitä itse asiassa jo kesäkuussa 2009 tai ehkä jo aikaisemmin. Conficker ilmaantui vuosien 2008 ja 2009 vaihteessa.

Hyppösestä on hyvä kysymys, kuinka Stuxnetin havaitsemiseen kului kokonainen vuosi. Mato löydettiin viime kesäkuussa. Nykyiset versiot lakkaavat toimimasta 24.06.2012.

Yksi Stuxnetin leviämiskeinoista oli Windowsin pikakuvakehaavoittuvuus, joka on korjattu. Osa muista aukoista on yhä Microsoftilta paikkaamatta.