[adamsh]

Das Sommerloch ist tief dieses Jahr.
Diese Anti-Virus-Experten hören sich am liebsten selbst reden.
Mächtig viel Wirbel um ein bisschen heiße Luft.

Sie haben das Problem nicht verstanden --- oder wollen es nicht zur Kenntnis nehmen.
Die genannten SPSen sind in D-Land defacto die wichtigsten, und sind auch verfügbar für den sicherheitsgerichteten Einsatz, die F-Varianten.
1) Stuxnet war in der Lage, fremden Code in eine speicherprogrammierbare Steuerung (SPS, engl. PLC [programmable logic controller]) einzubringen und zur Ausführung zu bringen.

2) Stuxnet war in der Lage, Schadcode so einzubringen, dass die Betriebsmannschaft getäuscht werden konnte.

3) wegen 1) und 2) würden in D-Land Anlagen mit diesem Problem ihre Betriebserlaubniss sofort verlieren, vgl.: http://www.heise.de/security/news/fo...19162051/read/

Nachdenken! fordert HA

[jcecoke]

Ein Programm schreiben was Abläufe in der Bibliothek von Siemens Step7 ändert kann jeder Elektrotechniker.
Die Frage ist doch wie konnte es alle Sicherheitsvorkehrungen umgehen und auf die Rechner von Bushehr kommen?

Hallo,
wie wäre es sich erst einmal über das Thema zu informieren, bevor man irgendwelche Behauptungen aufstellt. Meinen Sie wirklich, dass dieser Wurm so diskutiert würde, wenn er ein wenig am Library-Code ändern würde oder gar (wie in einem anderen Beitrag vermutet) die Visualisierung verbiegen würde?
Einfach mal hier lesen und dann wieder antworten:
http://www.symantec.com/connect/blog...ection-process

Was der Wurm da so treibt ist vom Können eines Elektrotechnikers und durchschnittlichen Softwareprogrammierers Lichtjahre entfernt.

Gruss,
jce

[digidigi]

es wurde in einem früheren Artikel bereits darauf hingewiesen, dass das Virus sich über einen USB Stick verbreitet hat.

in dem von mir beantworteten Beitrag ging es NICHT um diesen Stuxnet-Virus sondern um Anlagen, die an das Internet angebunden sind (E-Werke usw.).

Andererseits, auch Stuxnet wollte nach Hause telefonieren, wenn er aber keine Verbindung ins Internet hat, wirds damit nichts.

[Falkoholiker]

Hallo,
wie wäre es sich erst einmal über das Thema zu informieren, bevor man irgendwelche Behauptungen aufstellt. Meinen ....

Ok es waren keine Menschen. Es waren Ausserirdische Lebensformen die versuchen ihren Ausweichplaneten vor der Nuklearen Verseuchung zu retten.

[tristanx]

Ok es waren keine Menschen. Es waren Ausserirdische Lebensformen die versuchen ihren Ausweichplaneten vor der Nuklearen Verseuchung zu retten.

...dann bitte hier entlang - Die Freiheit - hier das Mitgliedsformular , hier der Kuli, ihr könnts doch schreiben ? `-)

[adamsh]

Siemens hat ein Add-On in der Simatic Mall welches Steuerungen, PC's (WinCC & PCS7) und auch andere Automatisierungsgeräte gegen unbefugte Eingriffe überwacht. http://krz.ch/vnU4 Für alle die mit S7 und PCS7 bzw. WinCC zu tun haben sicherlich ein Tipp ... Übrigens auch zur Vorbeuge gegen zukünftige Virenbefälle!

Rekapitulieren wir doch ein paar vorbereitende Massnahmen:

1) Stuxnet hat eine Laufzeitbibliothek von WinCC ausgetauscht.
2) Stuxnet hat sich über USB-Sgticks weiterverteilt.
3) Stuxnet konnte den LP-Spooler missbrauchen, und sich darüber weiterzuverbreiten.
4) Stuxnet konnte Schadcode mit der Beretchtigung "System" als Treiber einschleusen, welche dann im Ring 0 des Intel-Proz. abgearbeitet wurde.
5) Stuxnet nutzte schwache Identifikation über im vorhinein bekannte Passwörter.

Zur Analyse:

A) Die Punkte 1) mit 4) waren möglich, weil das darunterliegende System, hier Windows NT *, sie ERLAUBT hatte!

Das darunterliegende System hat kein ausreichendes Schutzprofil, hier mindestens RBAC/MAC, für diese "heikle" Aufgaben besessen. Unter RBAC/MAC wären die Punkte 1) mit 4) schlichtweg nicht möglich gewesen.
Da für Windows NT keine funktionstüchtige Konfiguration, welche RBAC/MAC sicherstellt, verfügbar ist, konnte Stuxnet PROBLEMLOS Windows NT als Plattform (miss-)brauchen.

Um dieses Problem zu unterbinden, bedarf es nicht weiteren Flickwerks. Die Plattformen müssen einfach eine ausreichend hohe Vertrauenswürdigkeit besitzen, dementsprechend nach meiner Kenntnis mindestens RBAC/MAC sicherstellen, ggf. sogar LSPP.

Diese Tatsache wird zwar selten diskutiert, ist aber BESTENS bekannt. Auch deshalb trennen sich große Betreiber um keinen Preis von ihren alten VAXen und SPARCs als Frontends bzw. Leitrechner. Prominentes Beispiel ist die Gepäckabfertigung des Flughafens Frankfurt.

B) Punkt A) zusammen mit Punkt 5) beschreiben ein weiteres Problem: Nicht ausreichende Identifikation der Prozessbeteiligten (Quelle und Ziel, Programmierer, Bedienmannschaft und SPS), sowie Sicherstellung der Authentizität der Nachrichten, welche zwischen beiden ausgetauscht werden.

Nach Stand der Technik ist dieser Kanal zwingend kryptografisch zu sichern, dazu im Widerspruch stellt ein festgelegtes und voreingestelltes Kennwort eine vorsätzlich implementierte Schadensmöglichkeit dar.


mfg HA

[digidigi]

Hallo,
wie wäre es sich erst einmal über das Thema zu informieren, bevor man irgendwelche Behauptungen aufstellt. Meinen Sie wirklich, dass dieser Wurm so diskutiert würde, wenn er ein wenig am Library-Code....

Ok, dann ergänze ich insoweit das einerseits eine DLL ersetzt wird (die mit der PLC kommuniziert) und andererseits die PLC selbst mit modifiziert wird. Ergebnis, der Steuerrechner ist für sich selber schon mal blind, weil er nicht mehr die korrekten Werte anzeigen kann (die modifizierte DLL kann ja jeden Wert von der PLC abfangen) und im zweiten Schritt wird die PLC blind gemacht, weil sie von Stuxnet kontrolliert, nur das zurückgibt, was Stuxnet will.

Die Lichtjahre reduzieren sich trotzdem einfach auf das verstehen und anwenden von MC7 (grob gesagt eine Assemblersprache für PLCs).

[digidigi]

4) Stuxnet konnte Schadcode mit der Beretchtigung "System" als Treiber einschleusen, welche dann im Ring 0 des Intel-Proz. abgearbeitet wurde.

Also nur auf dem Steuerungsrechner (Visualisierung). Vielleicht sollte man da ergängzen, das dieser Treiber ja ein gültig signierter Treiber ist.

A) Die Punkte 1) mit 4) waren möglich, weil das darunterliegende System, hier Windows NT *, sie ERLAUBT hatte!

und warum hat es sie erlaubt? Weil der Treiber signiert und damit valide war. Das ist keine Sicherheitslücke von Windows.

4) schlichtweg nicht möglich gewesen.
Da für Windows NT keine funktionstüchtige Konfiguration, welche RBAC/MAC sicherstellt, verfügbar ist, konnte Stuxnet PROBLEMLOS Windows NT als Plattform (miss-)brauchen.

Das ist aber auch nicht die Schuld von Windows, sondern von Siemens, die diese Umgebung bereitstellen, welche "so bequem" zu programmieren ist. Kann Windows was dafür das es dafür eingesetzt wird?

Um dieses Problem zu unterbinden, bedarf es nicht weiteren Flickwerks. Die Plattformen müssen einfach eine ausreichend hohe Vertrauenswürdigkeit besitzen, dementsprechend nach meiner Kenntnis mindestens RBAC/MAC sicherstellen, ggf. sogar LSPP.

Also werfen wir alles weg und switchen zu Linux oder Apple, weil die haben ja die Vertrauenswürdigkeit ... oder etwa auch nicht?

Diese Tatsache wird zwar selten diskutiert, ist aber BESTENS bekannt. Auch deshalb trennen sich große Betreiber um keinen Preis von ihren alten VAXen und SPARCs als Frontends bzw. Leitrechner. Prominentes Beispiel ist die Gepäckabfertigung des Flughafens Frankfurt.

Vielleicht gar eine PDP 11. Gebaut anno 1970. Aber hey, dafür gibts ganz bestimmt keine Viren! Und auch keinen Virenscanner von Symantec.

B) Punkt A) zusammen mit Punkt 5) beschreiben ein weiteres Problem: Nicht ausreichende Identifikation der Prozessbeteiligten (Quelle und Ziel, Programmierer, Bedienmannschaft und SPS), sowie Sicherstellung der Authentizität der Nachrichten, welche zwischen beiden ausgetauscht werden.

Nach Stand der Technik ist dieser Kanal zwingend kryptografisch zu sichern, dazu im Widerspruch stellt ein festgelegtes und voreingestelltes Kennwort eine vorsätzlich implementierte Schadensmöglichkeit dar.

HDCP für alle, oder wie? Da freut sich Intel :-)

Obwohl, was interessiert eine kryptografische Sicherung der Kommunikation wenn der Sender und der Empfänger komprommitiert sind?

[digidigi]

Hallo,
wie wäre es sich erst einmal über das Thema zu informieren, bevor man irgendwelche Behauptungen aufstellt. Meinen Sie wirklich, dass dieser Wurm so diskutiert würde, wenn er ein wenig am Library-Code ändern würde oder gar (wie in einem anderen Beitrag vermutet) die Visualisierung verbiegen würde?
Einfach mal hier lesen und dann wieder antworten:
http://www.symantec.com/connect/blog...ection-process

Was der Wurm da so treibt ist vom Können eines Elektrotechnikers und durchschnittlichen Softwareprogrammierers Lichtjahre entfernt.

Gruss,
jce

Ergänzung: Ich kann keine PLC programmieren, aber ich kann das was im Symantec-Blog geschrieben wurde lesen und verstehen. Und da lese ich nichts von Hexenwerk oder Wissenschaft, nur von nicht dumm programmierter Logik.

Zu einer anderen Dummheit:
So ist das eben hetzutage bei der "Intelligenz" in der Steuerungstechnik, die PLC ist dumm, die nimmt alles an, was ihr übertragen wird und führt das brav Schritt für Schritt aus.

[PeterPan2008]

Was fuer ein Hype. Das einzige Einzigartige an dieser Attacke ist dass sie auf ein bestimmtest Kontrollsystem (besser SPS Projekt) abzielt und scheinbar aus Regierungshaenden kommt. Vielleicht auch noch das Niveau des Wurms, aber das war es auch schon (jaja, 4 0-Day Exploits sind schon was --- aber man kann die ja auch kaufen).

Mit einem frei runterladbaren "Worm Construction Kit" kann man ohne weiteres einen Wurm erstellen der als "Payload" eine SPS nach der anderen ausschaltet (wenn man fair ist) oder die Datenbausteine modifiziert (wenn man nicht fair ist). Das geht mit einigen SPS auf dem Markt. Ich habe schon seid 5 Jahren darauf gewartet. Und nun ist Stuxnet da und greift nur eine bestimmte SPS von vielen an....

Mal sehen wann Stuxnet 2.0 kommt und das Licht ausgeht.