Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 21

Thema: Scada-Sicherheit: Siemens-PLC wird zum Einbruchswerkzeug

  1. #1
    Registriert seit
    09.03.2011
    Beiträge
    5
    Danke
    0
    Erhielt 0 Danke für 0 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Moin! Ich weiß nicht, ob ich hier Links posten darf (dann bitte löschen), aber vielleicht interessiert dieser Bericht jemanden:

    http://www.heise.de/newsticker/meldu...g-2774812.html


    MFG Teddy
    Zitieren Zitieren Scada-Sicherheit: Siemens-PLC wird zum Einbruchswerkzeug  

  2. #2
    Registriert seit
    30.07.2014
    Ort
    Dahem
    Beiträge
    19
    Danke
    4
    Erhielt 3 Danke für 3 Beiträge

    Standard

    Nicht schlecht. Die Jungs scheinen aber sehr IT lastig zu sein bei der wilden Wortwahl.
    Meine Steuerungen sind definitiv nicht bei den 28000 mit dabei. Und eine beschriebene Zykluszeiterhöhung auf über 80 ms sollte schnell auffallen. Auf jeden Fall in Produktionsanlagen.

    Trotzdem interessant zu sehen was alles so geht.

    Bis denn dann

    Teddy
    Ich liebe die niederschmetternden Tiefs, die berauschenden Hochs und das sahnige dazwischen.

  3. #3
    Registriert seit
    17.07.2009
    Ort
    Am Rande der Ostalb
    Beiträge
    5.476
    Danke
    1.138
    Erhielt 1.238 Danke für 971 Beiträge

    Standard

    Tja, letztlich sind das doch alles bekannte Themen.
    Eine "normale" SPS egal ob Siemens, Codesys oder sonstwas hat nichts OnBoard was als sicher bezeichnet werden könnte.
    Sinnvoller weise packt man die SPS in ein eigenes Netz und versieht die entsprechenden Switche mit entsprechenden Accessregeln.
    Blöd nur, dass jetzt die ganzen Industrie4.0- und IoT-Dampfplauderer aus ihren Marketing-Löchern kriechen und erzählen, dass der Zugriif per Smartphone auf jede SPS, jeden Sensor und Aktor der letzt Hit ist.
    Nur leider hat kaum einer ein vernünftiges Sicherheitskonzept in der Tasche ... Da wird dann was von VPN und VLANs erzählt ohne sich auch nur Gedanken zu machen wie das in ganzen Werk mit hunderten von Maschinen sinnvoll funktionieren soll.

    Gruß
    Dieter

  4. #4
    Registriert seit
    12.04.2006
    Ort
    Bayern/Oberpfalz
    Beiträge
    135
    Danke
    3
    Erhielt 15 Danke für 11 Beiträge

    Standard

    Hallo,

    sehe ich das richtig, dass sich der eigentliche Schadcode in FC_1000 und DB_1000 befindet?

  5. #5
    Registriert seit
    29.03.2004
    Beiträge
    5.731
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von adiemus84 Beitrag anzeigen
    sehe ich das richtig, dass sich der eigentliche Schadcode in FC_1000 und DB_1000 befindet?
    Da ist kein Schadcode vorhanden. Außer du bezeichnest SPS-Programmierung generell als Schadcode verbreiten (kommt ja gelegentlich unbeabsichtigt vor).
    Es wurde dort nichts anderes gemacht als eine SPS zu programmieren.

    Ich habs im Heiseforum schon geschrieben. Das Szenario ist an den Haaren herbeigezogen.

    Die T-Bausteine laufen bekanntlich nur auf einer PN-CPU und nur mit deren Schnittstelle.
    Wenn ich also Zugriff auf die PN-Schnittstelle bekomme, warum sollte ich dann den Umweg über die SPS gehen? Denn dann bin ich schon in der Schatzkammer und kann schalten und walten wie ich will. Besteht keine Notwendigkeit etwas am SPS-Programm zu ändern.

    Das einizge Szenario bei dem das "sinnvoll" sein könnte, ist wenn ich eine PN-CPU mit Ethernet-CP habe, und ich nur Zugriff auf den Ethernet-CP habe. Dann könnte ich mich damit sozusagen ins andere Netzwerk tunneln. Aber wie klein ist die Wahrscheinlichkeit dass man gerade so etwas vorfindet? Also erstmal eine SPS die direkt aus dem Internet erreichbar ist (die Wahrscheinlichkeit ist schon äußerst gering, da sowas schwieriger einzurichten ist als eine VPN-Verbindung), und dann noch in genau dieser Konstellation. Das geht beides gegen Null.

    Und was haben die gemacht: Sie haben die T-Bausteine dazu verwendet wozu sie da sind, nämlich Daten übers Netzwerk zu schicken. Und, oh Wunder, das geht. Voll der Hack! Und damit es nicht ganz so peinlich aussieht was man da gemacht hat, nimmt man nicht das passende Werkzeug für sowas (Step7), sondern lädt das mit Snap7 hoch. So kann man wenigstens noch eine github-Seite erstellen, voll 1337.


    Und jetzt mal eine Anleitung für einen kleinen SPS-Virus:
    Man programmiert mit den T-Bausteinen das S7-Protokoll um Bausteine hoch- und runterzuladen in der SPS. Dann infiziere ich mit diesem Ursprungscode eine Start-SPS, und diese verbreitet einen Schadcode wie auch den Code um sich selber weiterzuberbreiten an alle erreichbaren SPSen. Zyklisch wird geprüft ob der Schadcode in den Partnern noch vorhanden ist, ansonsten wird er erneut nachgeschoben. In einem großen Netzwerk wird das ordentlich aufwändig alle Steuerungen wieder zu säubern.

  6. #6
    Registriert seit
    23.03.2013
    Beiträge
    66
    Danke
    11
    Erhielt 17 Danke für 11 Beiträge

    Standard

    Zitat Zitat von Thomas_v2.1 Beitrag anzeigen
    Und jetzt mal eine Anleitung für einen kleinen SPS-Virus:
    Man programmiert mit den T-Bausteinen das S7-Protokoll um Bausteine hoch- und runterzuladen in der SPS. Dann infiziere ich mit diesem Ursprungscode eine Start-SPS, und diese verbreitet einen Schadcode wie auch den Code um sich selber weiterzuberbreiten an alle erreichbaren SPSen. Zyklisch wird geprüft ob der Schadcode in den Partnern noch vorhanden ist, ansonsten wird er erneut nachgeschoben. In einem großen Netzwerk wird das ordentlich aufwändig alle Steuerungen wieder zu säubern.
    Der Tipp wurde nun doch umgesetzt:
    https://media.ccc.de/v/32c3-7229-plc-blaster

  7. #7
    Registriert seit
    29.03.2004
    Beiträge
    5.731
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von inspectorgadjet Beitrag anzeigen
    Der Tipp wurde nun doch umgesetzt:
    https://media.ccc.de/v/32c3-7229-plc-blaster
    Was mich aber doch etwas verärgert ist, dass er seine Erkenntnisse zum Protokoll der 1200 als seine Idee ausgibt. Den Namen "S7comm-Plus" habe ich mir überlegt, und ist meines Wissens nach in keinem Siemens-Dokument wiederzufinden, und ich bezweifle auch dass es die offizielle Bezeichnung von Siemens ist. Das wäre ja absoluter Zufall, dass jemand genau die gleiche Idee für die Namensgebung hat. Das einzige Suchergebnis ist die Sourceforge Seite zum Wireshark plugin.
    Meinem Verständnis von Open Source entspricht das zumindest nicht, aber das bestätigt meinen Eindruck den ich mittlerweile vom CCC habe.
    Die Genialität einer Konstruktion liegt in ihrer Einfachheit – Kompliziert bauen kann jeder.

    (Sergei Pawlowitsch Koroljow, sowjetischer Konstrukteur von Raketen und Weltraumpionier)

  8. #8
    Registriert seit
    23.03.2013
    Beiträge
    66
    Danke
    11
    Erhielt 17 Danke für 11 Beiträge

    Standard

    Zitat Zitat von Thomas_v2.1 Beitrag anzeigen
    Was mich aber doch etwas verärgert ist, dass er seine Erkenntnisse zum Protokoll der 1200 als seine Idee ausgibt.
    Genau das gleiche habe ich mir auch gedacht, als ich das gesehen habe. Z.B. beim Byte gegen Replay-Attacken: Wireshark Plugin für S7-Protokoll

    Zitat Zitat von Thomas_v2.1 Beitrag anzeigen
    Den Namen "S7comm-Plus" habe ich mir überlegt, und ist meines Wissens nach in keinem Siemens-Dokument wiederzufinden, und ich bezweifle auch dass es die offizielle Bezeichnung von Siemens ist.
    Also S7comm ist mir bei Siemens auch noch nicht untergekommen. Das "PLUS" schon. So werden z.B. auch Funktionen in den TIA-DLLs benannt, wenn es sich um S7-1200/1500 spezifische Dinge handelt (z.B. Siemens.Simatic.Lang.TisPlusServer.dll)

  9. #9
    Registriert seit
    29.03.2004
    Beiträge
    5.731
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von inspectorgadjet Beitrag anzeigen
    Also S7comm ist mir bei Siemens auch noch nicht untergekommen. Das "PLUS" schon. So werden z.B. auch Funktionen in den TIA-DLLs benannt, wenn es sich um S7-1200/1500 spezifische Dinge handelt (z.B. Siemens.Simatic.Lang.TisPlusServer.dll)
    Ja, das "Plus"-Zeug kommt von Siemens, der Bytecode heißt wohl offiziell MC7plus, zumindest hatte das ein ehemaliger Siemens-Mitarbeiter so in seinem Profil stehen.
    Diese Datenablage mit variabler Länge haben wir hier im Forum erarbeitet, glaub Jochen hatte da die Lösung. Es kann mir keiner erzählen, dass die beiden Typen das alles nicht gelesen haben wollen. Finds echt schon dreist, und das von einem Typen der Open Source Schulungen macht.

    Hast du dir schonmal die Telegramme einer 1200 mit Firmware V4 angeschaut? Laut denen da soll das ja komplett anders sein. Ich könnte mir vorstellen, dass die auch einen Integritätsteil wie bei der 1500 bekommen hat. Bzw. bei der 1500 gab es bei FW 1.5 auch noch eine Änderung im Protokoll, bei dem der Integritätsteil vom Ende an den Anfang gewandert ist.
    Die Genialität einer Konstruktion liegt in ihrer Einfachheit – Kompliziert bauen kann jeder.

    (Sergei Pawlowitsch Koroljow, sowjetischer Konstrukteur von Raketen und Weltraumpionier)

  10. #10
    Registriert seit
    23.03.2013
    Beiträge
    66
    Danke
    11
    Erhielt 17 Danke für 11 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von Thomas_v2.1 Beitrag anzeigen
    Hast du dir schonmal die Telegramme einer 1200 mit Firmware V4 angeschaut? Laut denen da soll das ja komplett anders sein. Ich könnte mir vorstellen, dass die auch einen Integritätsteil wie bei der 1500 bekommen hat. Bzw. bei der 1500 gab es bei FW 1.5 auch noch eine Änderung im Protokoll, bei dem der Integritätsteil vom Ende an den Anfang gewandert ist.
    Nein leider noch nicht. Zum Herumspielen habe ich nur eine V2. Die V4 sind immer gleich beim Kunde verbaut. Soweit mir aber ein Siemens Mitarbeiter bei einer Veranstaltung gesagt hat, möchte Siemens auf den 1200/1500/SP CPUs/Softsps den selben Befehlsatz zur Verfügung stellen. Nur die Leistungsfähigkeit wird beschränkt. Deshalb könnte ich mir Vorstellen, dass das Protokoll auch angepasst wurde. Somit müssen auch nicht X-Varianten gepflegt werden.

    Seit kurzem haben wir aber auch eine 1500 im Büro herumhängen und die 1506 Softsps muss ich mal installieren und ein paar Wireshark logs machen. Mir fehlt nur oft die Zeit für das :S

Ähnliche Themen

  1. funktionale Sicherheit, Beispiel Siemens SM 326 DO8xDC24V/2A PM
    Von jora im Forum Maschinensicherheit - Normen und Richtlinien
    Antworten: 12
    Letzter Beitrag: 09.04.2014, 08:05
  2. PLC Verbindung zum PC wird nicht aufgebaut
    Von Hume#19 im Forum Simatic
    Antworten: 0
    Letzter Beitrag: 28.02.2011, 09:33
  3. Antworten: 5
    Letzter Beitrag: 05.08.2009, 09:28
  4. Antworten: 1
    Letzter Beitrag: 06.03.2008, 14:13
  5. Transfer zum OP270 wird abgebrochen
    Von mega_ohm im Forum HMI
    Antworten: 3
    Letzter Beitrag: 04.06.2007, 01:32

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •