Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 2 von 7 ErsteErste 1234 ... LetzteLetzte
Ergebnis 11 bis 20 von 63

Thema: Verstädnisfragen zu PROFIBUS

  1. #11
    Registriert seit
    16.03.2006
    Ort
    Franken
    Beiträge
    3.843
    Danke
    30
    Erhielt 942 Danke für 819 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hi,

    damit verlässt du bei diesem konstruierten Beispiel die PROFIBUS Feldebene.
    Um die Telegramme mitzulauschen oder auch nur alle Teilnehmeradressen mal auszuprobieren musst du auf den Profibus ASIC der Baugruppe aufschalten und den CODE der diesen steuert modifizieren, das wiederrum stellt einen Eingriff in die FW der SPS dar, dürfte schwierig bis werden das unbemerkt zu tun.

    Wenn M1 die Rolle von M2 übernehmen würde dann würde zum einen M2 ausfallen was bemerkt werden würde und gleichzeitig würden alle Slaves die bisher von M1 angesprochen würden ausfallen da M1 nicht mehr existiert.

    Und außerdem würde kaum einer ein solches Konstrukt wie du beschreibst realisieren

    Gruß
    Christoph

  2. #12
    AlexSc ist offline Benutzer
    Themenstarter
    Registriert seit
    10.07.2015
    Beiträge
    35
    Danke
    27
    Erhielt 0 Danke für 0 Beiträge

    Standard

    Da haben wir doch schonmal ein grundsätzliches Verständnisproblem meinerseits. Ich bin bis dato davon ausgegangen, dass die SPSen via Profibus quasi 'direkt' an die Feldgeräte angeschlossen sind und auch eigenen Code tragen. Was ein ASIC ist weiß ich leider noch nicht.
    Die Tatsache, dass bei einer falschen Nutzung des Profibusses alle beteiligten Geräte einfach ausfallen ist ganz sicher? Vielleicht ist das Verhalten ja nicht eindeutig definiert.

  3. #13
    Registriert seit
    29.03.2004
    Beiträge
    5.792
    Danke
    144
    Erhielt 1.706 Danke für 1.238 Beiträge

    Standard

    Wenn ich das im Zusammenhang mit IT-Security lese, stellen sich mir ein paar generelle Fragen:
    Für Hobby-Hacker ist Profibus uninteressant, weil spezielle und entsprechend teure Hardware dafür notwendig ist. Wer sollte also ein solches Netzwerk manipulieren wollen? Das können nur staatliche Organisationen sein, wie z.B. die USA/NSA mit quasi unendlichem finanziellen Potenzial, bei denen auch ein Menschenleben nichts wert ist.

    Man könnte einen Angriff wie Stuxnet im Iran ja mal auf Profibus-Ebene durchspielen. D.h. das Steuerungsprogramm bekommt manipulierte Daten der Profibusteilnehmer zu Gesicht. Im Fall Stuxnet wurde das über eine Manipulation des Steuerungsprogramms realisiert. Mit einer entsprechenden Person mit Zugriff auf die Hardware ließe sich durchaus hinter dem Master ein Gerät zwischenschalten, dass ggf. dem Master die gesamten Slaves vortäuscht oder zumindest dessen Daten manipuliert (an Datenmanimpulation wurde beim Design von Profibus nicht gedacht). Dazu könne man beispielsweise einen Repeater oder LWL-Konverter ge(miss)brauchen. Technisch ist das mit entsprechendem finanziellen Aufwand kein Problem. Bei allen Ethernet-Geräten aus den USA kann man mittlerweile von entsprechenden Backdoors ausgehen die Funktionen beinhalten um den Datenverkehr abzuhören und ggf. zu manipulieren. Das würde dein Analyse-Gerät nicht mitbekommen, dass dort so ein Gerät verbaut ist.
    Ich habe von anderen universitären Einrichtungen aus dem Ausland (Frankreich, Israel) mitbekomen, die das gleiche wie du vorhaben, allerdings auf Ethernet-Ebene. Da gibt es auch entsprechende Vorlesungen im Internet.

    Das Problem ist eigentlich kein technisches, sondern ein politisches. Bei uns werden höchste Regierungsstellen vollständig abgehört ohne dass etwas dagegen unternommen wird.

  4. Folgende 3 Benutzer sagen Danke zu Thomas_v2.1 für den nützlichen Beitrag:

    AlexSc (12.07.2015),ducati (13.07.2015),rostiger Nagel (17.07.2015)

  5. #14
    AlexSc ist offline Benutzer
    Themenstarter
    Registriert seit
    10.07.2015
    Beiträge
    35
    Danke
    27
    Erhielt 0 Danke für 0 Beiträge

    Standard

    Guten Morgen,

    genau, an solche Sachen habe ich auch gedacht. Dass ein Skriptkiddie was besseres zu tun hat, als ein Profibus Netz anzugreifen ist klar, da braucht es schon größere Organisationen.
    Der Kontext meiner Arbeit ist ein Forschungsprojekt des IT Security Unternehmens in dem ich die Arbeit anfertige. Da dieses Projekt hier relativ neu ist und ich quasi Pionierarbeit leisten darf, sind wir uns alle noch nicht ganz sicher in welche Richtung das laufen wird. Hinzukommt die Nichtverfügbarkeit eines echten Netzes.

    Wo genau hast du Informationen zu den Projekten aus Frankreich und Israel her? Kannst du mir da evtl. ein paar Links geben?

    Da die Art von Software die ich entwickeln möchte ja prinzipiell immer davon ausgeht, dass Angriffe auf das System sich durch signifikant abweichenden Datenverkehr detektieren lassen (andere kann ja selbst das beste IDS beim besten Willen nicht aufspüren), ist mein Vorgehen bisher die mitgelesenen Pakete bestmöglich zu 'entpacken' (also möglichst viele enthaltene Daten für den Anwender aufzubereiten) und verschiedene statistische Tests darüber laufen zu lassen. Als Beispiel sei mal der Chi Quadrat Homogenitätstest genannt. Der ermittelt für zwei Stichproben, ob sich die die Verteilungsfunktion der beiden Stichproben signifikant verändert hat. Sowas könnte man dann ja als Anomalie werten. Weitere Möglichkeiten wären Mittelwert und Standardabweichung verschiedener numerischer Größen.
    Auch hier bin ich natürlich immer für Ratschläge offen!

    Liebe Grüße und einen schönen Sonntag,
    Alex

  6. #15
    Registriert seit
    29.03.2004
    Beiträge
    5.792
    Danke
    144
    Erhielt 1.706 Danke für 1.238 Beiträge

    Standard

    Du kannst dir diese beiden Sachen ja mal ansehen, dürfte so ungefähr dem entsprechen was du auf Profibus-Seite vorhast, wenn ich das richtig verstanden habe.

    Accurate Modeling of The Siemens S7 SCADA Protocol For Intrusion
    Detection And Digital Forensic, Amit Kleinmann, Avishai Wool
    http://ojs.jdfsl.org/index.php/jdfsl/article/view/262

    Vorlesung dazu:
    https://www.youtube.com/watch?v=qRuIspqnl_Q

  7. #16
    Registriert seit
    28.03.2014
    Ort
    Schweiz
    Beiträge
    112
    Danke
    34
    Erhielt 15 Danke für 12 Beiträge

    Standard

    Nebst Profibus gibt es ja noch andere Bussysteme, z.B. Can-Bus (wird häufig in Autos verwendet). Dieser Bus wurde / wird häufig "gehacked" und im Internet findest du mit Begriffen "can-bus" und "hack" viele Tutorials, wie dies gemacht wird. Evenutell kannst du Methoden, die dort verwendet werden, auf Profibus übertragen.


    Gruss

  8. Folgender Benutzer sagt Danke zu manseluk für den nützlichen Beitrag:

    ducati (13.07.2015)

  9. #17
    Registriert seit
    09.08.2006
    Beiträge
    3.638
    Danke
    912
    Erhielt 661 Danke für 543 Beiträge

    Standard

    Zitat Zitat von AlexSc Beitrag anzeigen
    Dass ein Skriptkiddie was besseres zu tun hat, als ein Profibus Netz anzugreifen ist klar, da braucht es schon größere Organisationen.
    Wie immer hat Thomas hier schon mal alles richtige erwähnt
    Genau wie eine Firewall am PC könnte m.M. nach ein PB-IDS-System höchstens Scriptkiddies abhalten...
    Einen hochqualifizierten Angreifer mit unbegrenzten Mitteln und Insiderwissen wird das nicht aufhalten können.

    Zu Eurem theoretischen Ansatz am Schreibtisch würde ich sagen: Baut Euch mal ein SPS-System auf. Das kostet nicht die Welt und Ihr werdet leicht erkennen, an welcher Stelle der Kette Programmiersystem-SPS-Profibus-DP-Feldgerät realistische Angriffsmöglichkiten bestehen. (Für mich hört sich das hier so ähnlich an wie: Ich hab eigentlich keine Ahnung von nem PC und hab auch noch nie einen gesehen. Im Buch hab ich jetzt aber gelesen, wie ein PC funktioniert und möchte jetzt mal einen Virenscanner mit Firewall programmieren...) Aber das ist leider (zu) oft bei Abschlussarbeiten so.

    Das Beispiel mit den zwei Mastern M1 und M2 welche sich ein PB-Netz teilen finde ich ziemlich konstruiert und unrealistisch. In der Praxis hat jede SPS in der Regel sein eigenes physikalisches PB-Netz, u.U. noch mit nem PG/OP dran.

    Die Idee von Christoph, die Firmware der SPS zu manipulieren (bzw. werksseitig vorhandene Backdoors?) um unerkannt die Anlage zu stören hört sich allerdings gar nicht so abwegig an.

    Gruß.
    Geändert von ducati (13.07.2015 um 09:39 Uhr)

  10. Folgender Benutzer sagt Danke zu ducati für den nützlichen Beitrag:

    AlexSc (13.07.2015)

  11. #18
    AlexSc ist offline Benutzer
    Themenstarter
    Registriert seit
    10.07.2015
    Beiträge
    35
    Danke
    27
    Erhielt 0 Danke für 0 Beiträge

    Standard

    Guten Morgen und vielen Dank für die ausführliche Antwort!

    hier ein SPS System aufzubauen wird leider nicht möglich sein. Dies liegt vor allem daran, dass ich nur als Praktikant angestellt bin (und in diesem Rahmen die BA schreibe) und der Umfang den es braucht, so ein System vollständig zu verstehen, die Teile zu beschaffen und ein korrekt funktionierendes Profibus Netz aufzubauen quasi selbst schon als (kleine) BA gewertet werden könnte.
    Dazu kommt dann noch, dass ich zwar noch nicht in Verzug bin, jetzt aber noch ein SPS System aufzubauen leider zeitlich einfach nicht mehr passt.

    Ich sehe meinen Vorteil momentan noch darin, dass ich ja von vorne herein nicht angestrebt habe, jeden Angriff von tatsächlich professionellen Hackern aufzudecken (und ich denke, nicht mal die meisten Dissertationen in diese Richtung würden das schaffen) sondern lediglich die Angriffe, welche eine statistisch signifikante Änderung im Datenverkehr hinterlassen.
    Wie nun ein Angreifer Zugriff zum System erhält ist ja "erstmal" unwichtig für mich. Fängt er aber an, den Datenverkehr zu stören, könnte sich das in Übertragungsfehlern, insgesamt höherem Datenverkehr oder Rekonfigurationsvorgängen äußern.
    Beobachtet man die Häufigkeiten solcher Ereignisse über einen längeren Zeitraum, ließe sich mit den richtigen Tests so etwas aufdecken.
    Zumindest ist das meine Hoffnung
    Außerdem ist ein weiterer großer Vorteil meiner Software, dass sie extrem leicht zu erweitern sein wird, was eventuellen Anwendern später die Wahl lässt, selbst statistische Module für das System zu schreiben und ala Plug and Play sofort zu erweitern.

    Leider hast du Recht, mit deinem Beispiel zum PC und dem Virenscanner/Firewall Konnte mir das Thema nicht aussuchen und versuche nun, das Beste daraus zu machen!
    Vielen Dank an alle nochmal für die Hilfe!

    Liebe Grüße,
    Alex

  12. #19
    Registriert seit
    16.03.2006
    Ort
    Franken
    Beiträge
    3.843
    Danke
    30
    Erhielt 942 Danke für 819 Beiträge

    Standard

    Hi,

    1) bisher dachte ich ja das es am Ende ein in der Praxis verwendbares Endprodukt werden sollte
    2) Datenverkehr stören ist die mit Abstand seltenste Angriffsmethode bei SPS, sobald das passiert wird die Anlage abgestellt und isoliert, Störungen sind heute schon diagnostizierbar !
    3) Hauptproblem ist nicht die Störung sondern die Verfälschung von Daten, sprich das Datenvolumen selber ändert sich nicht aber die Werte z.B, werden modifiziert, so das z.B. Stellgrößen geändert werden ,
    Das betrachtest du aber wohl gar nicht, zumindest lese ich immer nur heraus das du nur eine Abweichung der Datenströme an sich analysierst, also wie viele Daten innerhalb einer bestimmten Zeit zwischen 2 Teilnehmern ausgetauscht
    werden. Nur wird das wohl eher selten der Fall sein bei einem SPS Feldbus, siehe auch Stuxnet.

    Eventuell verstehe ich auch einfach den theoretischen Ansatz für das ganze Thema nicht, aber ich finde es falsch einfach die IT Security von Ethernet auf einen SPS Feldbus runterbrechen zu wollen.
    Aber wie willst du alle eventuell gefunden Theorien und Erkenntnisse den ohne einen Aufbau überhaupt prüfen? Und in der ganzen Firma ist kein Profibus- Aufbau vorhanden bei dem Du z.B. die Telegramm erfassen und auswerten kannst?
    Alleine die erwähnten reconfigurations würden schon für ein Alarmsignal beim Anlagenbetreiber sorgen da sie in der Regel mit Stations und Bus ausfällen einhergehen die auch mitgeloggt werde in der SPS, eventuell sogar zu einem SPS Stop führen wenn dieser Fall nicht über FehlerOB's abgefangen wird in der Programmierung.

    Gruß
    Christoph
    Geändert von ChristophD (13.07.2015 um 11:47 Uhr)

  13. Folgender Benutzer sagt Danke zu ChristophD für den nützlichen Beitrag:

    PN/DP (13.07.2015)

  14. #20
    Registriert seit
    27.07.2012
    Ort
    AUT
    Beiträge
    480
    Danke
    84
    Erhielt 160 Danke für 90 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Es gibt ja solche Heuristiken die auf PC Ebene versuchen gewünschtes von unerwünschtem Verhalten zu trennen und zu identifizieren. Meiner Erfahrung nach für das eher zu mehr Störungen als das es einem hilft und endet damit dass man bestimmte Programme (oft die mit denen man als Automatisierer arbeitet) von der Suchfunktion ausnehmen muss da diese Dinge machen die für einen Office PC per se verdächtig sind (Direktzugriffe auf Peripherie, etc..) Ich frage mich also generell ob das funktionieren kann.

    Aber abgesehen davon folender Gedanke: Das Einfallstor für deinen "Hacker" wird nicht der Profibus selbst sein. Will der "Hacker" deinen Datenstrom auf dem Bus manipulieren bräuchte er ein Gerät das er physisch im Schaltschrank anbringt was A.) einen enormen Aufwand bedeutet und B.) für die genannten staatlichen Stellen das Risiko einer Entdeckung ungleich steigern würde. Bleibt also der Weg (wie Stuxnet) einen PC zu infizieren der Pakete an den Bus sendet. Wenn diese Software manipuliert wird, wird sie per se keinen verdächtigen Traffic produzieren bzw. keinen den du als solchen erkennen wirst können. Wieso auch?

    Es bleibt also der einzige Weg (siehe Versiondog) die PLC Programme und die PC auf geänderte Softwarestände von dritter Stelle abzufragen.

    Zusammengefasst also: halte diese "Hacker" Detection Heuristik auf dem Profibus für vergebene Liebesmühe.

    EDT: Tippfehler
    Geändert von norustnotrust (13.07.2015 um 15:37 Uhr)
    Regards NRNT

  15. Folgende 2 Benutzer sagen Danke zu norustnotrust für den nützlichen Beitrag:

    ChristophD (13.07.2015),PN/DP (13.07.2015)

Ähnliche Themen

  1. Step 7 Profibus DP - Profibus Standard Profil
    Von SPS_NEU im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 08.01.2014, 10:51
  2. Antworten: 4
    Letzter Beitrag: 30.04.2013, 08:41
  3. Antworten: 1
    Letzter Beitrag: 18.04.2012, 10:35
  4. Antworten: 3
    Letzter Beitrag: 16.02.2012, 14:59
  5. Profibus Abhören (Profibus-Sniffer)
    Von tomi_wunder im Forum Feldbusse
    Antworten: 9
    Letzter Beitrag: 17.09.2007, 21:35

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •