Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 11 von 15 ErsteErste ... 910111213 ... LetzteLetzte
Ergebnis 101 bis 110 von 142

Thema: Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern

  1. #101
    DennisBerger ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    14.01.2005
    Beiträge
    137
    Danke
    59
    Erhielt 6 Danke für 3 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    http://www.spiegel.de/netzwelt/netzp...736604,00.html

    Angriff auf Irans Atomprogramm

    Stuxnet-Virus könnte tausend Uran-Zentrifugen zerstört haben



    Neue Erkenntnisse über den hinterhältigen Stuxnet-Wurm: Möglicherweise hat die Schad-Software in der iranischen Anreicherungsanlage Natans größere Schäden angerichtet, als das Regime in Teheran eingestehen will. Bis zu tausend Uran-Zentrifugen hat der Virus womöglich auf dem Gewissen.

    Das komplexe Schadprogramm, so viel ist mittlerweile klar, hatte mindestens eine konkrete Aufgabe: Die Frequenzen, mit denen die Zentrifugen rotieren, zu manipulieren. Normalerweise müssen die Uranschleudern mit möglichst genau 1064 Hertz laufen, doch Stuxnet schraubte die Umdrehungszahl zunächst auf bis zu 1410 Hertz hinauf und anschließend auf bis zu zwei Hertz hinunter. Wieder und wieder, jeweils im Abstand eines knappen Monats.

  2. #102
    Registriert seit
    22.11.2007
    Beiträge
    731
    Danke
    6
    Erhielt 89 Danke für 62 Beiträge

    Standard

    ist echt nett das die ein IDA Prozessor/Loader Modul für MC7 Code geschrieben haben - hoffe das Modul wir noch öffentlich verfügbar - dann kann der Jochen K. noch eine S5 Erweiterung schreiben
    Zitieren Zitieren ein Ida Prozessor Modul?  

  3. #103
    Registriert seit
    17.07.2009
    Ort
    Am Rande der Ostalb
    Beiträge
    5.476
    Danke
    1.138
    Erhielt 1.238 Danke für 971 Beiträge

    Standard

    Zitat Zitat von LowLevelMahn Beitrag anzeigen
    IDA Prozessor/Loader Modul
    Was verbirgt sich denn hinter diesem Begriff?

    Gruß
    Dieter

  4. #104
    Registriert seit
    22.11.2007
    Beiträge
    731
    Danke
    6
    Erhielt 89 Danke für 62 Beiträge

    Standard

    falls nicht bekannt:

    der IDA ist eine Disassembler/Code-Analyse-Umgebung welche mit weitreichender Unterstützung für Prozessor-Architekturem x86,ARM,... und Executable-Formaten EXE,ELF, für X Betriebssysteme und der Rest daherkommt

    seine primäre Stärke: Erweiterbar über Plugins welche in IDA-eigner Scriptsprache, C/C++, Python usw. geschrieben werden können

    eine Prozessor- oder Loader-Modul ist eine Plugin mit dessen Hilfe man IDA neue Architekturen beibringen kann - also z.B. den Python oder Java-Bytecode, hier wurde ein Plugin entwickelt das dem IDA ein tiefes Verständnis für MC7-Code vermittelt - somit als Analyse-Umgebung für Stuxnet-Code verwendet werden kann
    Zitieren Zitieren Was verbirgt sich dahinter...  

  5. #105
    Registriert seit
    29.03.2004
    Beiträge
    5.731
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von LowLevelMahn Beitrag anzeigen
    eine Prozessor- oder Loader-Modul ist eine Plugin mit dessen Hilfe man IDA neue Architekturen beibringen kann - also z.B. den Python oder Java-Bytecode, hier wurde ein Plugin entwickelt das dem IDA ein tiefes Verständnis für MC7-Code vermittelt - somit als Analyse-Umgebung für Stuxnet-Code verwendet werden kann
    Ich kenne den IDA auch nur von Screenshots oder Bildern her, darum würde mich mal interessieren was für einen Mehrwert gegenüber einem Step7 er mir in diesem Falle - Analyse Stuxnet - bringt?
    Der Stuxnet Code scheint ja keinerlei dirty tricks anzuwenden und "normal" in AWL programmiert zu sein. Und selbst wenn, lässt sich der Step7 Editor mit dem Trick immer noch dazu bewegen den MC7 anstatt AWL (die Unterschiede sind ja nur marginal) anzuzeigen. Einen nicht infiziertes PG sei vorrausgesetzt
    Da er Stuxnet sogar in PLCSIM geladen hatte, hätte er sich sogar das Programm bei seiner Arbeit im Einzelschritt ansehen können.

    Aber wie der Titel "Building Custom Disassemblers" schon sagte, ging es hier primär um ein anderes Thema als Stuxnet. Interessant fand ich es auf alle Fälle.

  6. #106
    DennisBerger ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    14.01.2005
    Beiträge
    137
    Danke
    59
    Erhielt 6 Danke für 3 Beiträge

    Standard

    27C3: Hacker analysieren Stuxnet-Maschinencode



    Auf dem 27. Chaos Communication Congress in Berlin (27C3) hat Felix "FX" Lindner von den Recurity Labs ein Analysewerkzeug für die Codebestandteile von Stuxnet vorgestellt, die direkt gegen speicherprogrammierbare Steuerungen (SPS) von Siemens-Systemen gerichtet sind. Die für die Programmierung der mit dem Superwurm angreifbaren Industrieanlagen Simatic S7 eingesetzte Entwicklungsumgebung STEP7 ("STeuerungen Einfach Programmieren") lasse sich auch zum Erstellen eines entsprechenden Disassemblers verwenden, führte der Sicherheitstester aus. Mit der selbstgebauten Software lasse sich der auf den Siemens-Steuerungen laufende Maschinencode MC7 lesen, was zu interessanten Entdeckungen geführt habe.


    Zunächst konnte Lindner die bereits bekannten Ergebnisse bestätigen, wonach Stuxnet drei S7-spezifische Code-Blöcke enthält, deren Teile A und B ziemlich identisch aussehen, wohingegen Teil C besonders umfangreich ausfällt. Gesucht werde damit nach einer speziellen Profibus-Kontrollschnittstelle, die als Hintertür zur Installation von Schadcode benötigt werde. Verifizierbar gewesen sei ferner, dass der Wurm eine interne Einrichtung zur Beschreibung seines aktuellen Zustands enthalte. Diese könne für Prüfungen zur Befallenheit einer Steuereinheit genutzt werden. Im Gegensatz zu bisherigen Annahmen gebe die Zustandsbeschreibung aber nur in zwei von fünf möglichen Statusinformationsmeldungen einen Wert zurück, der bislang als Zeichen für eine Infektion angesehen worden sei. Dies sei nur der Fall, wenn Stuxnet gerade am Arbeiten sei. Demnach sei durchaus möglich, dass deutlich mehr Maschinen den Wurm noch in sich tragen als bisher ausgemacht.




    kompletter artikel:
    http://www.heise.de/newsticker/meldu...e-1159659.html

  7. #107
    Registriert seit
    22.11.2007
    Beiträge
    731
    Danke
    6
    Erhielt 89 Danke für 62 Beiträge

    Standard

    Zitat Zitat von Thomas_v2.1 Beitrag anzeigen
    Ich kenne den IDA auch nur von Screenshots oder Bildern her, darum würde mich mal interessieren was für einen Mehrwert gegenüber einem Step7 er mir in diesem Falle - Analyse Stuxnet - bringt?
    Der Stuxnet Code scheint ja keinerlei dirty tricks anzuwenden und "normal" in AWL programmiert zu sein. Und selbst wenn, lässt sich der Step7 Editor mit dem Trick immer noch dazu bewegen den MC7 anstatt AWL (die Unterschiede sind ja nur marginal) anzuzeigen. Einen nicht infiziertes PG sei vorrausgesetzt
    Da er Stuxnet sogar in PLCSIM geladen hatte, hätte er sich sogar das Programm bei seiner Arbeit im Einzelschritt ansehen können.

    Aber wie der Titel "Building Custom Disassemblers" schon sagte, ging es hier primär um ein anderes Thema als Stuxnet. Interessant fand ich es auf alle Fälle.
    Folgende Vermutungen dazu:

    Warum im IDA:
    weils Spass macht, es sehr viele Tools in dieser Umgebung gibt die bei statischer Analyse helfen - also z.B. Crossreferenzen usw. hin/her-gespringe im Code, auto-Kommentierung (wenn sein Prozessormodul das liefert) - und sofortige scriptbarkeit falls
    Stuxnet fiese Tricks verwendet hätte - um darauf weitere Analysetools bauen zu können, ich denke das er einfach davon ausgegangen ist das Stuxnet tief in die Das-hat-sich-Siemens-so-nicht-gedacht-Kiste greift
    und was noch entscheident ist - für die Analysten in dem Umfeld ist IDA die Standardumgebung - und genau für diese Aufgabe ist er ja Konzipiert

    Warum nicht mit Step7:
    den Bytecode ausserhalb von Step7 (und sonstigen Tools) zu verstehen erlaubt es alle komischen Tricks "besser" wahrzunehmen (oder besser gesagt der Disassembler fängt an zu maulen wenn unbekannte Konstrukte auftauchen) -> hat sich ja erst später rausgestellt das keine Tricks verwendet werden

    Warum keine Schrittweise Analyse:
    Kannst dir ja vorstellen was einfacher ist, erst mal das "ganze" Bild sehen und dann darin herumwandern - oder nur einen kleinen Schlitz des Programmes erkennen

    was noch fehlt - oder was ich nicht gesehen haben, er könnte mit dem IDA auch noch die DB-Struktur zuordnen - d.h. Variablenbezug herstellen

    Interessant ist dabei wie skurill einen eher in der x86 Architektur heimischen Programmierers die S7-Eigenheiten erscheinen. Vor allem hatte er wohl seine Probleme mit den Makros für die Funktionsaufrufe
    finde ich gar nicht so skuril - man merkt einfach das die Havard-Architektur da ein bisschen störend gewirkt hat, und die Siemensler gezwungen war so eine Art lokalen Stack zu faken - wenn ich das richtig gesehen habe
    Geändert von LowLevelMahn (31.12.2010 um 11:17 Uhr)
    Zitieren Zitieren warum IDA  

  8. #108
    Registriert seit
    14.08.2004
    Beiträge
    824
    Danke
    45
    Erhielt 73 Danke für 66 Beiträge

  9. #109
    Registriert seit
    23.03.2006
    Ort
    Thüringen
    Beiträge
    2.005
    Danke
    162
    Erhielt 278 Danke für 199 Beiträge

    Standard

    Hallo,
    ich weiß nicht so recht, ob das alles nicht wieder mal Opium fürs Volk ist, zwar jetzt ein wenig OT, gehört aber auch irgendwie dazu.
    Man stelle sich mal vor:
    Die Amis, die es z.B. bisher nicht geschafft haben Bin Laden zu kriegen (wenn es den überhaupt gibt), haben Kenntnis über die verwendete Hardware und -zumindest in den Grundzügen- der Steuerungsarchitektur der dort verwendeten Zentrifugenanlagen.
    Und dann merken die doofen Iraner nicht mal das Ihre S7 Büchsen im Internet stehen oder mit mit Schadcode von einem Datenträger gefüttert werden?
    Wer nur annähernd Zonenverhältnisse kennt, weiß das es dort genügend Bekloppte gab, auch in Entscheidungspositionen, aber bei systemrelevanten Sachen immer Könner beteiligt waren, auf die im allgemeinen auch gehört wurde. Und da war EDV sowas von sensibel abgesichert und auch abgeschottet, schon wegen der Gefahr Informationen preiszugeben, ich weiß nicht. Ich denke die Situationen Zone - Iran sind diesbezüglich vergleichbar.
    Meine Meinung kann auch falsch sein, sie ist aber keinesfalls mehr spekulativ als solche Meldungen.
    Kleine Kinder und Rentner erschrecken, was anderes geht nicht mehr - das sind unsere Medien.....

    Mußte mal raus
    Mario

  10. #110
    Registriert seit
    08.08.2007
    Ort
    Dresden
    Beiträge
    9.648
    Danke
    1.059
    Erhielt 2.046 Danke für 1.627 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Stuxnet: Iran erhebt Vorwürfe gegen Siemens

    Angeblich sei der deutsche Konzern den Vereinigten Staaten und Israel beim Angriff auf das iranische Atomprogramm behilflich gewesen, schreibt das Blatt. Dieser Auffassung ist jedenfalls der Militärkommandeur Gholamresa Dschalali.
    Q: http://goo.gl/Z5zJ8 (http://winfuture.de)
    [SIGNATUR]
    Ironie setzt Intelligenz beim Empfänger voraus.
    [/SIGNATUR]

Ähnliche Themen

  1. Stuxnet
    Von abasi im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 28.10.2010, 15:26
  2. WURM auf Step7 CPU`s (kein Scherz)
    Von AndreK im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 18.09.2010, 18:35
  3. Fünf realistische Industrieanlagen in 3D für die SPS-Ausbildung
    Von WeissT im Forum Werbung und Produktneuheiten
    Antworten: 6
    Letzter Beitrag: 06.04.2010, 08:27
  4. Kann Merker nicht steuern...
    Von 817Christoph im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 01.04.2010, 11:19
  5. Antworten: 8
    Letzter Beitrag: 16.08.2006, 13:54

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •