Forum


 

Forum: Blogs

Letzter Beitrag

Kampf gegen Computerwürmer: Virenjäger sezieren Sabotage-Software

Stuxnet ist angeblich die erste Software, die zur Sabotage von Industrieanlagen eingesetzt werden kann. Auf einer Konferenz in Vancouver zeigen Forscher nun erstmals, wie der Virus Maschinen manipuliert - und geben neue Hinweise auf das Ziel seiner Attacke.

http://www.spiegel.de/netzwelt/netzp...720681,00.html
  1. #50 01.10.2010 17:34 von
    stuxnet

    Symantec Analyse / Vancouver Conference

    Zitat von PeterPan2008 Beitrag anzeigen
    Was fuer ein Hype. Das einzige Einzigartige an dieser Attacke ist dass sie auf ein bestimmtest Kontrollsystem (besser SPS Projekt) abzielt und scheinbar aus Regierungshaenden kommt. Vielleicht auch noch das Niveau des Wurms, aber das war es auch schon (jaja, 4 0-Day Exploits sind schon was --- aber man kann die ja auch kaufen).
    Guckst Du hier:
    http://www.symantec.com/content/en/u...et_dossier.pdf
  2. #51 01.10.2010 18:06 von
    stuxnet

    Wer immer meint ...

    Zitat von stuxnet Beitrag anzeigen
    Guckst Du hier:
    http://www.symantec.com/content/en/u...et_dossier.pdf
    ... dass das ein Hype wäre oder die Reaktionen der Experten auf diesen völlig neuartigen Bedrohungstyp überzogen, der hat nichts, aber auch gar nichts verstanden.

    Willkommen, schöne neue Welt ...
  3. #52 01.10.2010 18:57 von
    PeterPan2008

    Hype?!

    "... dass das ein Hype wäre oder die Reaktionen der Experten auf diesen völlig neuartigen Bedrohungstyp überzogen, der hat nichts, aber auch gar nichts verstanden."

    Oder arbeitet in dieser neuen Welt schon zu lange...

    Schon mal 'ne SPS programmiert oder eine Rootkit kreiert ? Wie gesagt, nur das Niveau an Raffinesse ist hier neu (und deutet auf etwaige Geheimsdienste hin), der Rest ist so gar gar nicht so schwer.
  4. #53 01.10.2010 18:58 von Karl-Friedrich

    Config Problem?

    Zitat von mitbürger Beitrag anzeigen
    Ich habe mein kleines Netzwerk dieses Jahr erneuert. Obwohl die Computer wesentlich schneller sind als die alten, und ich auf ein 1 Gigabyte-Netzwerk umgestiegen bin, läuft die Software etwas langsamer als vorher. Das nennt man dann Fortschritt.
    Verfluchtes Teaming aber auch.
  5. #54 01.10.2010 23:38 von
    roflem

    ..

    Zitat von 74287 Beitrag anzeigen
    es wurde in einem früheren Artikel bereits darauf hingewiesen, dass das Virus sich über einen USB Stick verbreitet hat.
    genau das erklärt warum er so viele pezehs in Indien und anderen aisatischen Ländern infiziert hat!!! die Geheimdienstler haben zur Täuschung millionen von USB sticks mit dem stuss direkt beim Hersteller in China infiziert :-)))))

    Ich kann bei dem stuxx der hier geschrieben wird nur noch einmal auf die iranische Propaganda hinweisen...
  6. #55 01.10.2010 23:47 von
    mi691207

    Amerikanischer Schreibweise?

    "Der Virus schreibt einen Wert in die Registry: 19790509.

    Nach amerikanischer Schreibweise entspricht das dem Datum 9. Mai 1979."

    Da ist Ihnen ein Grober Fehler unterlaufen.
    In Amerika herrscht die dd-mm-YYYY Schreibweise vor.
    (Nur in USA und Kanada schreibt man mm-dd-YYYY)

    19790509 entspricht der ISO 8601 Schreibweise.
    US-Amerikanisch würde es 05091979 heissen (mm-dd-YYYY)

    Die ISO 8601 schreibt vor: YYYY-mm-dd oder YYYYmmdd
  7. #56 02.10.2010 01:33 von
    GrinderFX

    Kt

    Zitat von Michael Giertz Beitrag anzeigen
    Ohjeohjeohje.

    Wenn Pipelines und Atomanlagen mit einem völlig freien Befehl (3 Sekunden Ventil öffnen) ohne Rückkopplung (Kontrollfunktion) arbeiten, dann ist es wohl kein Wunder, wenn der Virus Erfolg hat.

    Ich seh' hier einen klassischen Library-Virus, der eben DLL-Dateien manipuliert. Irgendwo in diesen Dateien muss ja hinterlegt sein, was z.B. "3s" überhaupt bedeutet, denn per se kann kein Computer und keine SPS das ohne weiteres deuten. Das zu manipulieren ist, wenn man die Datei und deren Inhalt kennt, kinderleicht.

    DLLs zu manipulieren ist aber nun nichts neues ... was also macht Stuxnet gefährlich? Vielleicht sollte man sich fragen, wie der Virus überhaupt dorthin gekommen ist ...
    Über 4 Zero Day Exploits in Windows z.B. und die zu finden ist nicht so einfach. Sprich es können nur Profis gewesen sein. Und natürlich ist es nicht neu Betriebssystemteile zu ersetzen um den virus zu verstecken. Tut man es allerdings über die normalen Wege, wird dies oft sehr schnell durch Software entdeckt, was hier nicht der Fall war.
    Dazu kommt noch, dass die Steuersysteme nicht direkt im Netz waren, was wiederrum sehr viel Wissen benötigt.
    Es ist bei weitem nicth so einfach wie die Möchtegernprofis hier weismachen wollen.
  8. #57 02.10.2010 04:56 von
    digidigi

    Schon klar.

    Zitat von stuxnet Beitrag anzeigen
    Guckst Du hier:
    http://www.symantec.com/content/en/u...et_dossier.pdf
    "However, Stuxnet has highlighted direct-attack attempts on critical infrastructure are possible and not just theory or movie plotlines."

    Ja, das ist echt schlimm. Ganz schlimm. Andererseits hat da wohl nur mal jemand gezeigt, wie einfach PLCs angreifbar sind.

    Nüchtern betrachtet ist es ein Virus, der ohne eine Lücke, die seit November 2008 bekannt ist (LNK-Lücke) wohl nie Verbreitung gefunden hätte (weil irgendwo muss der Virus ja anfangen und in das System eindrigen können). Die anderen Zero-Day-Exploits (Zero-Day, das macht mir sowas von Angst, hat was von Independence day) sind dafür da, das vorhandensein des Virus zu verschleiern, und für seine Vermehrung zu sorgen (eben nicht über die bekannten, überwachten Wege).

    Bei der LNK-Lücke gibts zwei Angriffsszenarien, einer, läuft der angemeldete Benutzer als Admin (fein für Stuxnet) und wenn nicht kommt der von Realtek signierte Treiber (der dann später Admin-Rechte verschafft).

    Und als Payload tauscht er eine Kommunnikations-DLL von WinCC aus (wobei die ausführbare Datei nicht bemerkt/bemerken kann das ihr eine verseuchte DLL vorgelegt wird), welche wiederum die PLCs befällt (sofern sie eine bestimmte "Ausbauform" haben).

    Also ist es ein "normaler Virus", der sich auf furchtbar vielen Rechnern (inkl. simplen Bürorechnern) installiert hat, aber solange die kein WinCC installiert ist, nur ein Virus/Trojaner ist. 67 Prozent dieser Treffer (mit Siemens-Software) stehen in Iran, 5 Prozent in den USA. Wieviele wirkliche Rechner das sind gibt der Report nicht her.

    Das Ziel (PLCs) ist neu, aber sonst ist es ein ganz normaler Trojaner/Virus, der eben nicht übers Internet sondern über den USB-Stick kam.

    "Stuxnet is of such great complexity—requiring significant resources to develop—that few attackers will be capable of producing a similar threat, to such an extent that we would not expect masses of threats of similar in sophistication to suddenly appear"

    Stuxnet ist eben kein Baukasten-Virus von Script-Kiddies, aber es genügt (neben dem befallen, verstecken und verbreiten) nur eine PLC dazu, um Stuxnet zu entwickeln. Und für die Verbreitung über die Presse viel heisse Luft.
  9. #58 02.10.2010 09:25 von
    problematix

    hm

    Zitat von digidigi Beitrag anzeigen
    Stuxnet ist eben kein Baukasten-Virus von Script-Kiddies, aber es genügt (neben dem befallen, verstecken und verbreiten) nur eine PLC dazu, um Stuxnet zu entwickeln. Und für die Verbreitung über die Presse viel heisse Luft.
    Ihrer Argumentation zufolge ist jedes Virus ein Virus und jeder Trojaner ein Trojaner und deswegen nichts besonderes.

    "Nur eine PLC/SPS" ist ein wilde Untertreibung, nach bisherigem Informationsstand.
  10. #59 02.10.2010 09:27 von
    kdshp

    aw

    Zitat von sysop Beitrag anzeigen
    Stuxnet ist angeblich die erste Software, die zur Sabotage von Industrieanlagen eingesetzt werden kann. Auf einer Konferenz in Vancouver zeigen Forscher nun erstmals, wie der Virus Maschinen manipuliert - und geben neue Hinweise auf das Ziel seiner Attacke.

    http://www.spiegel.de/netzwelt/netzp...720681,00.html
    Hallo,

    kommt mir irgendwie alles so bekannt vor.


TOP



TOP