[digidigi]

genau das erklärt warum er so viele pezehs in Indien und anderen aisatischen Ländern infiziert hat!!! die Geheimdienstler haben zur Täuschung millionen von USB sticks mit dem stuss direkt beim Hersteller in China infiziert :-)))))

Ich kann bei dem stuxx der hier geschrieben wird nur noch einmal auf die iranische Propaganda hinweisen...

...die nicht nur 5 PC's haben. Von Millionen PCs zu reden ist Schwachfug, sogar der gelbe Riese spricht nur von ungefähr 100.000 PCs.

[digidigi]

Über 4 Zero Day Exploits in Windows z.B. und die zu finden ist nicht so einfach. Sprich es können nur Profis gewesen sein.

Ja, Leute die programmieren können, keine Script-Kiddies, weil die benutzen auch nur das was andere (Profis) früher schon rausgefunden haben.

Tut man es allerdings über die normalen Wege, wird dies oft sehr schnell durch Software entdeckt, was hier nicht der Fall war.

Oiwei, das haben Viren, Trojaner und Rootkits so an sich wenn sie nicht gerade von einem VB-Heini zusammengeschustert werden.

Dazu kommt noch, dass die Steuersysteme nicht direkt im Netz waren, was wiederrum sehr viel Wissen benötigt.

Nicht im Internet, aber im Unternehmensnetz, in dem sich bereits befallene ... Bürocomputer befanden. Sonst wären sie ja wohl nicht über den Print-Spooler erreichbar gewesen.

Es ist bei weitem nicth so einfach wie die Möchtegernprofis hier weismachen wollen.

Ich verneige mich in Ehrfurcht vor so geballter Kompetenz. Klar ist es nicht so einfach, aber was sollen Details wie Keyboard-Hooks, Exports und Ressources wo sich nur 1% der Spiegel-Leser was drunter vorstellen können?

[mitbürger]

Dann haben Sie, mit Verlaub, sicher etwas falsch gemacht!

Sicher, aber früher habe ich mir keinen Kopf gemacht über die Sicherheit, ich musste mit dem Firmenrechner auch nicht ins Internet. Seit neuestem leider schon, weil die Softwareaktualisierung nicht mehr über CD sonder gleich online geht. Ich habe mich dagegen gewehrt, aber ohne Erfolg. Heute wird scheinbar die zusätzliche Rechnerleistung für diverse Schutzprogramme gebraucht. Ist auch wichtig, nachdem wir einmal einen conficker virus im Netzwerk hatten, weil ich mit dem Laptop eine Sicherungskopie vom Server gezogen habe. Leider haben meine Kinder vorher eine DVD unseres Au-pair-Madchen darauf angeguckt. Gut, war jetzt nicht das große Drama, aber wenn 90 % der Kapazität in den Virenschutz geht, dann sind wir auf einem falschen Weg.

[digidigi]

Ihrer Argumentation zufolge ist jedes Virus ein Virus und jeder Trojaner ein Trojaner und deswegen nichts besonderes.

Ich habe nicht nach dem Grad der "Schädlichkeit" gewertet, nur die Klassifikation Virus und Trojaner benutzt.

"Nur eine PLC/SPS" ist ein wilde Untertreibung, nach bisherigem Informationsstand.

Warum eine wilde Untertreibung? Ich spreche von der Entwicklungsumgebung, nicht von den "befallenen" Systemen.

[digidigi]

Seit neuestem leider schon, weil die Softwareaktualisierung nicht mehr über CD sonder gleich online geht.

Welche Aktualisierung denn? Die vom Virenscanner? Geht immer noch Offline wenn jemand die Dateien runterlädt und auf CD brennt.

Aber stimmt schon, was waren das für wundervolle Zeiten, wo es kein Netzwerk (nicht das Internet) gab, und jeder seinen eigenen Drucker hatte, und Daten per Diskette ausgetauscht wurden. Himmel hilf!

[problematix]

Ich habe nicht nach dem Grad der "Schädlichkeit" gewertet, nur die Klassifikation Virus und Trojaner benutzt.

Warum eine wilde Untertreibung? Ich spreche von der Entwicklungsumgebung, nicht von den "befallenen" Systemen.

Ja eben, was wollten Sie also über Stuxnet sagen?

Natürlich kann man mit einem C-Compiler für das entsprechende System und ein bischen Wissen einen Virus schreiben, aber das sagt nichts über die Schwierigkeit aus, etwas wie Stuxnet zu schaffen.

"Stuxnet kann man nicht so einfach schreiben", ist in diesem Falle das Urteil von echten Experten.
Jedes einzelne Zeichen des Source-Codes ist ganz einfach einzutippen, wenn man eine Tastatur und das Wissen dazu hat und vieleicht einen Hex-Editor. Aber es ist eben doch die konkrete Zusammenstellung dieser trivialen Aktionen, die das ganze so schwierig macht, falls man mir folgen kann.

[adamsh]

Also nur auf dem Steuerungsrechner (Visualisierung). Vielleicht sollte man da ergänzen, das dieser Treiber ja ein gültig signierter Treiber ist.

und warum hat es sie erlaubt? Weil der Treiber signiert und damit valide war. Das ist keine Sicherheitslücke von Windows.

Dürfen Sie als "eingeschränkter Benutzer" einen Treiber installieren --- und sei er signiert?

Nein, natürlich nicht! Schon das hätte nicht passieren dürfen.

Das ist aber auch nicht die Schuld von Windows, sondern von Siemens, die diese Umgebung bereitstellen, welche "so bequem" zu programmieren ist. Kann Windows was dafür das es dafür eingesetzt wird?

Nein --- Es ist ganz klar die Schuld des Betreibers, vgl.:
http://www.heise.de/security/news/fo...19162051/read/

In wieweit der Betreiber irgendeinen Regressanspruch ggue. Siemens haben könnte hängt entzieht sich meiner Kenntnis --- in der Praxis ist ein solcher Regressanspruch wohl auszuschliessen.

Also werfen wir alles weg und switchen zu Linux oder Apple, weil die haben ja die Vertrauenswürdigkeit ... oder etwa auch nicht?

Soweit das Produkt nicht geeignet ist, das zu fordernde Schutzprofil sicherzustellen, muss es entsorgt und gegen ein geeignetes Produkt ausgetauscht werden.

Linux kann im übrigen das geforderte Schutzprofil auch nicht erfüllen. Da müssen Sie schon professionelle Systeme bemühen wie AIX, MVS/zOS (mit RACF) (!), Solaris mit Security Extensions und OpenVMS.

Vielleicht gar eine PDP 11. Gebaut anno 1970. Aber hey, dafür gibts ganz bestimmt keine Viren! Und auch keinen Virenscanner von Symantec.

Auf PDP11 laufen immer noch Steuerungen von großen Zerspanungsmaschinen ;->

PDP11 konnten bis neu 1990 gekauft werden ....(vgl.: http://www.hampage.hu/pdp-11/), für Hardware-Emulation/-Ersatz siehe Strobe Data Inc.

Aber im Enst:

Systeme auf Alphas unter Itannium, als Nachfolger der 11/780, unter OpenVMS absoluter Standard, auch heute noch.

Beispiel aus http://www.openvms.org/: http://www.openvms.org/stories.php?s.../09/30/8017693

BTW: Siemens hat -- in Zusammenarbeit mit Fujitsu ---- selbstverständlich auch SPARC-Systeme als Leitrechner verkauft, damals unter Trusted Solaris. Siemens war das Problem und Risiko BESTENS bekannt!

HDCP für alle, oder wie? Da freut sich Intel :-)

Obwohl, was interessiert eine kryptografische Sicherung der Kommunikation wenn der Sender und der Empfänger komprommitiert sind?

Warum wurde der Sender kompromittiert???? Obiger Schadensmechanismus ist unabhängig davon strikt zu unterbinden.

Ein Kanal ist kryptrografisch zu sichern, um vorzubeugen, dass die übertragenen Nachricht auf dem Weg vom Sender zum Empfänger kompromittiert wird.


klärt HA Sie auf.....

[adamsh]

Systeme auf Alphas unter Itannium, als Nachfolger der 11/780, unter OpenVMS absoluter Standard, auch heute noch.

... Systeme auf Alphas und Itannium, als Nachfolger der 11/780, unter OpenVMS .....

berichtigt HA

[digidigi]

Ja eben, was wollten Sie also über Stuxnet sagen?

Natürlich kann man mit einem C-Compiler für das entsprechende System und ein bischen Wissen einen Virus schreiben, aber das sagt nichts über die Schwierigkeit aus, etwas wie Stuxnet zu schaffen.

"Stuxnet kann man nicht so einfach schreiben", ist in diesem Falle das Urteil von echten Experten.
Jedes einzelne Zeichen des Source-Codes ist ganz einfach einzutippen, wenn man eine Tastatur und das Wissen dazu hat und vieleicht einen Hex-Editor. Aber es ist eben doch die konkrete Zusammenstellung dieser trivialen Aktionen, die das ganze so schwierig macht, falls man mir folgen kann.

Stuxnet kann man schreiben wenn man das nötige Wissen und die nötige Umgebung hat - und die nötige kriminelle Energie.

Den Master-Key der HDCP-Verschlüsselung hat sich auch nicht ein Hiwi mit Grundkenntnissen herausgearbeitet, da hatte einer (oder mehrere) auch Ahnung davon was sie machten.

Die konkrete Zusammenstellung ist strukturiert aufgebaut (grob aus dem symantec-dokument entlehnt):
- wie kommt man ins System
- ist man Admin (dann gehts einfach weiter), sonst nutzt man eine Sicherheitslücke um sich Admin-Rechte zu verschaffen
- man sieht nach auf welchem OS man läuft (64bit fiel da schon mal raus)
- speichtre die Dateien schön versteckt
- erstellte einen Scheduler-Task ... damit startet man Programme ...
- prüfte ob die Siemens-Software installiert ist
- etc ...

Wenn man das Betriebssystem und die API kennt, ist das etwas Arbeit, aber nicht unlösbar. Wie an anderer Stelle schon gesagt, ein Virus der sich auf die LNK-Lücke stürzt gabs schon im November 2008.

[problematix]

Stuxnet kann man schreiben wenn man das nötige Wissen und die nötige Umgebung hat - und die nötige kriminelle Energie.
[...]

Wenn man das Betriebssystem und die API kennt, ist das etwas Arbeit, aber nicht unlösbar. Wie an anderer Stelle schon gesagt, ein Virus der sich auf die LNK-Lücke stürzt gabs schon im November 2008.

Sie tun so ab, als ob "man" das mal so eben machen kann. Das ist nicht der Fall, sorry...

Und Sie ignorieren die Komplexität der Zusammenstellung, es geht nicht umsonst. Dabei ist noch nicht einmal eingeschlossen, das spezielle Hardware-Kenntnisse und für die konkrete Funktionsweise konkrete Kenntnisse über den Aufbau von Industrie-Anlagen erforderlich sind, um das zu bauen. Dieser Virus ist kein blinder Fisch, der irgendwo ankommt, es kostet richtig Geld soetwas (für Geld) entwickeln zu lassen.
Mit genug Vitamin B und großem Talent und viel viel Zeit kriegen Sie das vielleicht auch prinzipiell hin, aber dabei ist eine Abschätzung der konkreten nötigen Fachkenntnisse und Kenntnis über den Aufbau von konkreten Anlagen und dem Einfluss bestimmmter Manipulationen noch nicht inbegriffen.

Zudem ist es nicht das Gleiche einen Virus nachzuprogrammieren, als einen zu entwickeln ohne die ganzen Voraus-Kenntnisse. Hier wurde sehr gezielt vorgegangen. Ihre ganzen "kann man" und "mit der/m nötigen" sind alle a) nicht so einfach b) nicht so billig.
Wenn man das alles Insiderwissen geschenkt kriegt, vielleicht noch mit Spezifikation für die ganzen Abläufe, ist es etwas billiger, aber ein funktionierendes Programm der Größe und Komplexität zu bauen ist schon für sich nicht ganz billig, fast egal was es machen soll, und es wird noch schwieriger, wenn man es nicht auf echten Anlagen testen und debuggen kann, welche wiederum teuer wären.

Das Know-How für die Bestandteile gab es schon vorher, der prinzipielle Aufbau erschreckt keinen IT-Menschen wirklich grundsätzlich, aber das alles konkret zusammenzubringen ist weder trivial noch billig, die Entwicklung der funktionsfähigen Software ohne frühzeitig entdeckt zu werden ist mitnichten billig.
Also was sage ich? a) es ist nicht einfach b) es ist (wenn eigenständig entwickelt) teuer, d.h. "man" macht es nicht.