Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 2 von 15 ErsteErste 123412 ... LetzteLetzte
Ergebnis 11 bis 20 von 142

Thema: Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern

  1. #11
    Registriert seit
    29.03.2004
    Beiträge
    5.735
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von Verkohlte Leiche Beitrag anzeigen
    Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm
    Danke für den Link. Das ist ja mal Futter für die Verschwörungstheoretiker.

    Aber was seh' ich, da hat mein Wireshark-Plugin für das S7-Protokoll wohl bei der Diagnose geholfen. Im Video das es auf der Langner Seite gibt ist es in Aktion zu sehen

    Bin ja echt drauf und dran mir den Stuxnet-Wurm auch mal "einzufangen". Und ich wundere mich schon immer, wieso mein Virenscanner gerne mal die Programme aus dem Siemens Ordner in Quarantäne verschiebt...

  2. #12
    Registriert seit
    13.04.2009
    Beiträge
    503
    Danke
    101
    Erhielt 118 Danke für 74 Beiträge

    Standard

    Zitat Zitat von Ralle Beitrag anzeigen
    Wenn sowas in ein AKW gerät, dann gute Nacht ...

    Ich hoffe, das die im AKW sowieso keine S7 oder Siemenssteuerungen einsetzten (was aber wohl utopisch sein dürfte). Hoffentlich haben die da nur die geheimen 317FFFFFFFFFFFFFFFF eingesetzt...


    gruß
    MeisterLampe81

  3. #13
    Registriert seit
    27.05.2004
    Ort
    Thüringen/Berlin
    Beiträge
    12.222
    Danke
    533
    Erhielt 2.697 Danke für 1.949 Beiträge

    Standard

    Zitat Zitat von Thomas_v2.1 Beitrag anzeigen
    Danke für den Link. Das ist ja mal Futter für die Verschwörungstheoretiker.

    Aber was seh' ich, da hat mein Wireshark-Plugin für das S7-Protokoll wohl bei der Diagnose geholfen. Im Video das es auf der Langner Seite gibt ist es in Aktion zu sehen

    Bin ja echt drauf und dran mir den Stuxnet-Wurm auch mal "einzufangen". Und ich wundere mich schon immer, wieso mein Virenscanner gerne mal die Programme aus dem Siemens Ordner in Quarantäne verschiebt...
    Ja, es steht ja auch drin, daß der Herr Langner das entdeckt hat und in einem Nebensatz steht dann was von einem Team im Labor. So ist das im Leben, das weißt du ja sicher auch schon, den Ruhm sammeln oft nicht die ein, die ihn wirklich verdient haben. Aber nichts gegen o.g. Person, ich hab da auch nicht wirklich bessere Informationen, ob er das alleine oder im Team geleistet hat. Das Ergebnis kann sich immerhin sehen lassen und wenn das wahr ist, dann ist das schon ein dickes Ding. Ein AKW geziehlt in Gefahr bringen, so was nenne ich mal Geheimdienstterror, denn aus einer anderen Ecke käme das ehe nicht, bei den Infos, die nötig sind.
    Gruß
    Ralle

    ... there\'re 10 kinds of people ... those who understand binaries and those who don\'t …
    and the third kinds of people … those who love TIA-Portal

  4. #14
    DennisBerger ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    14.01.2005
    Beiträge
    137
    Danke
    59
    Erhielt 6 Danke für 3 Beiträge

    Standard

    weitere neuigkeiten:
    Stuxnet in deutschen Industrieanlagen

    Nach Angaben von Siemens hat der Stuxnet-Wurm auch Industrieanlagen in Deutschland befallen. Rund ein Drittel der 15 dem Hersteller bekannten Infektionen in Anlagen entfallen laut Wieland Simon, Pressesprecher von Siemens, auf deutsche Anlagen in der Prozessindustrie. Siemens-eigene Anlagen sollen nicht betroffen sein.

    Siemens bestätigte, dass Stuxnet laut eigener Analysen theoretisch in der Lage ist, speicherprogrammierbare Steuerungen (SPS) zu manipulieren. Allerdings habe man dieses Verhalten bislang nicht in der Praxis beobachtet. Laut Simon untersucht Stuxnet die Konfiguration eines befallenen WinCC- oder PC7-Systems auf vorhandene Datenbausteine. Findet er die gewünschten, so wird er aktiv und modifiziert den Code in den Steuerungen. Findet er sie nicht, bleibt er inaktiv. Offenbar ist der Wurm auf der Suche nach bestimmten Anlagentypen, um sie zu manipulieren. Angaben dazu, welche Typen betroffen sind, machte Siemens nicht. Konzernangaben zufolge wurde noch kein System beobachtet, auf dem er aktiv wurde.
    kompletter artikel:
    http://www.heise.de/newsticker/meldu...n-1081413.html

  5. #15
    Registriert seit
    29.03.2004
    Beiträge
    5.735
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Ob der Wurm wohl auch so schlau ist, ein ggf. vergebenes CPU Passwort aus dem Offline-Projekt auszulesen um sich damit in die CPU einzuloggen?
    Bei dem Aufwand der dort betrieben wurde, muss man sich schon fast 100% sicher sein dass der Wurm auch unter allen Umständen funktioniert.

    Bei Großanlagen mit vielen CPUs im Netzwerk würde ich zumindest meine Steuerung schon aus Prinzip mit einem Passwort versehen, damit nicht aus Versehen ein anderer Programmierer seine Bausteine in meine SPS schiebt.
    Auch wenn der Passwortschutz bei der S7 nicht sonderlich toll ist, weil einmal das Passwort im Offline-Projekt gespeichert wird (müsste meiner Meinung nach beim Übertragen der HW-Konfig nur einmalig abgefragt werden) und es sich durch Abhören des Netzwerkverkehrs bei PG-Betrieb herausfinden lässt.

    Wer hat denn schonmal nachgesehen ob seine Steuerungen einen DB890 mit "HNS" enthalten?

  6. #16
    Registriert seit
    15.01.2005
    Ort
    In der Mitte zwischen Bayreuth/Weiden
    Beiträge
    6.732
    Danke
    314
    Erhielt 1.520 Danke für 1.282 Beiträge

    Standard

    Ob wir es je erfahren werden, auf welche Art Anlagen es Stuxnet abgesehen hat?
    Es scheint ja wirklich so, als ob Stuxnet trotz einer relativ großen Verbreitung,
    bisher keinerlei (öffentlich bekannt gewordenen) Schaden angerichtet hat.

    Entweder ist das irgend ein branchenspezifisches System von Siemens, ala SPPA o.ä.,
    oder wirklich Anlagen einer bestimmten Firma, bei denen der besagte DB890 mit dem CHARS HNDS am Anfang einen Art Standard darstellt.

    Mfg
    Manuel
    Warum denn einfach, wenn man auch Siemens einsetzen kann!

    Wer die grundlegenden Freiheiten aufgibt, um vorübergehend ein wenig Sicherheit zu bekommen, verdient weder Freiheit noch Sicherheit (B. Franklin).

  7. #17
    DennisBerger ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    14.01.2005
    Beiträge
    137
    Danke
    59
    Erhielt 6 Danke für 3 Beiträge

    Standard

    hier die siemens support seite dazu mit einem Tool zum erkennen und entfernen und einem Simatic security update:
    http://support.automation.siemens.co...83&caller=view
    Geändert von DennisBerger (17.09.2010 um 21:32 Uhr)

  8. #18
    DennisBerger ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    14.01.2005
    Beiträge
    137
    Danke
    59
    Erhielt 6 Danke für 3 Beiträge

    Standard

    hab das das tool mal ausprobiert...funktioniert nicht
    es fehlt eine datei die man bei trendmikro runterladen soll.

    die gibt es hier:
    http://www.trendmicro.com/download/viruspattern.asp

  9. #19
    DennisBerger ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    14.01.2005
    Beiträge
    137
    Danke
    59
    Erhielt 6 Danke für 3 Beiträge

    Standard

    interessant und gut finde ich folgende kommentare bei heise.de zu diesem thema:

    Kollision von Internetzeitalter und Jungsteinzeit

    Graf von Monte Carlo (54 Beiträge seit 05.06.10)
    Man muss leider sehen dass in sehr großen Bereichen die
    Steuerungstechnik für Industrieanlagen in Bezug auf IT-Sicherheit
    einem Niveau entspricht, das z.B. universitäre Rechenzentren
    spätestens Anfang der neunziger Jahre notgedrungen verlassen haben.
    In Bezug auf Rechentechnik also dem Stand der Jungsteinzeit.

    Das Paradigma für Industriesteuerungen sind nicht Internet-Server
    sondern Windows PCs: Aus den alten analogen SPS sind PC-SPS geworden,
    diese sind über diverse Feldbusse und auch Ethernet immer
    weitgehender vernetzt, Systeme wie Windparks und ganze Fabriken
    werden über SCADA ferngewartet. Industrielle Fertigungen laufen
    zunehmend mehr oder weniger mannlos - das heißt ohne jede menschliche
    Überwachung vor Ort.

    Eine klare Trennung dieser Systeme vom Internet dürfte reine Theorie
    sein, da sie ja schließlich auch mit normal vernetzten PCs
    programmiert werden, nicht mit Schraubenzieher und Lötkolben. Dazu
    kommt, dass die Programmiersysteme Jahrzehnte hinter dem liegen, was
    in anderen Bereichen der IT üblich ist. Die Standardsprache der
    entsprechenden IEC 1131-3 Norm ist eine Art Pascal, das keinerlei
    dynamische Speicherverwaltung unterstützt und wo nicht mal
    threadsichere Stringfunktionen garantiert sind. Für solche Systeme
    wurden eigentlich mal Sprachen wie Modula-3 entwickelt, aber die
    Entscheider, die solche Normen beschließen halten den Namen
    wahrscheinlich für ein intelligenzförderndes Brettspiel fürs
    Vorschulalter.

    Weil das nicht reicht, wird jetzt teilweise mit .NET weiter gemacht,
    d.h. diese Landschaft ist dabei sich weiter zu microsoftifizieren.
    Diese Firma aus Redmond nimmt auch einen enorm starken Einfluß auf
    Steuerungshersteller. Diese sind auf den Zugang zu Systemfunktionen
    und rudimentären Echtzeitfähigkeiten angewiesen und tendieren
    deswegen dazu, jenem Betriebssystemhersteller aus der Hand zu
    fressen. Das betrifft also nicht nur Siemens.

    An den Sicherheitsstandards hat sich aber trotz dieser rapiden
    Vernetzung so gut wie nichts getan. Asymmetrisch verschlüsselte
    Verbindungen, definierte Benutzerrechte und -rollen,
    Capability-basierte Systeme, sichere Hardware, BIOS-Passwörter, ein
    Integritäts-Begriff von Daten, Systemen und Zugängen? Fehlanzeige.
    Virenscanner für Windows CE? Gibt's nicht.

    Jetzt gibt es offensichtlich kriminell motivierte Leute, die alle
    diese Scheunentore nutzen - wer so einen Aufwand treibt, will ganz
    sicher Geld sehen. Die Folgen sind absehbar. Komprimittierungen
    werden sich in solchen Netzwerken ausbreiten wie Schimmel in einer
    LKW-Ladung gammeliger Orangen. Da die Hardware Integrität und
    Authentifizierung nicht unterstützt, wird man eine ans Jahr 2015
    angepaßte Infrastruktur mehr oder weniger neu aufbauen müssen. Die
    Katastrophe komplett macht, dass derartige Anlagen und Steuerungen
    eine Lebensdauer von wenigstens 20 Jahren haben und die Systeme auch
    solange gepflegt werden müssen. Das ist ein wesentlicher Grund für
    die extrem langsame Entwicklung in diesem Bereich.

    und diese antwort:

    Sicherheit?
    Früher, in der analog-manuellen Zeit konnte (mußte) jeder
    diensthabende Mechaniker den Drehregler etwas auf- oder zudrehen,
    wenn er am Manometer sah, daß der Zeiger etwas über oder unter der
    Markierung lag.
    Als dann ein PC die Steuerung des Reglers übernahm, ging der selte
    Mechaniker an diesen, drückte mehrmals die Plus oder Minustaste und
    dann Enter - natürlich ohne Passwort, denn man kann von einem
    Mechaniker nicht verlangen, daß dieser vor dem Drücken sich zuerst
    noch anmelden muß, denn außer dem diensthabenden Mechaniker kommt eh
    niemand anderes an diesen Ort im Betriebsgelände.
    Zur Vereinfachung wurde dieser PC dann irgendwann an die Fernwartung
    angeschlossen, zunächst über Token Ring, dann wurde auf Ethernet
    umgerüstet, so daß auch von der Leitwarte schnell mal eingegriffen
    werden kann. Im Zuge weiterer Modernisierungen wird die Leitwarte
    einerseits automatisiert, so daß die Regelung automatisch eingreift,
    wenn eine Abweichung auftritt, allerdings natürlich auch manuell
    eingegriffen werden kann. Im Zuge von Wartungsverträgen bekommt dann
    ein Außendienstmitarbeiter der Herstellerfirma Remotezugriff auf das
    System. Das PW für den Remotezugriff wurde natürlich nie
    eingerichtet, denn es war ja auch in der Vergangenheit nie notwendig,
    somit wird beim Login einfach nur ENTER gedrückt.
    Man beachte, es geht um eine einfache Industrieanlage, nicht um
    Datentechnisch hochbrisante Bank, Versicherungs oder Rüstungsdaten.
    Sicherheit wird dort so verstanden, kein offenes Feuer an bestimmten
    anzuzünden - whhhooouuummmmmmm !

    und diese hier

    Re: Kollision von Internetzeitalter und Jungsteinzeit

    Chonhulio (mehr als 1000 Beiträge seit 25.08.00)
    Ja, die unendliche Geschichte.

    Die von meiner alten Firma entwickelten Steuerungen laufen auch alle
    unter Windows (was übrigens bestens funktioniert, selbst im
    24/7-Betrieb).

    Es war ein ewiger Kampf, den Kunden klar zu machen, dass dieser
    formschöne 19" Industrie-PC dort kein Teil der IT, sondern ein Teil
    der Steuerung ist.
    Niemand schließt ihn an ein Netzwerk an, konfiguriert irgendwas um,
    installiert zusätzliche Software oder irgendwelche gut gemeinten
    Updates. Auch wenn es aussieht wie ein Computer ist es nicht als
    solcher zu betrachten.

    Und dann klingelt das Telefon und jemand kommt mit einer noch nie da
    gewesenen Fehlerbeschreibung.
    Hingefahren, zunächst das Ethernet-Kabel im Schaltschrank bewundert,
    nach Anschalten des Rechners dann auch den Virenscanner, die
    Personal-Firewall und das Remote-Wartungstool, das die
    "firmeninternen IT-Richtlinien vorschreiben" sowie das neueste
    Service Pack für Windows XP. Dummerweise war dieses nicht ganz mit
    unserem Echtzeittoolkit verträglich und der schrottige 50 Cent
    Netzwerkchip mit schrottigem Treiber verursachte bei hoher Last einen
    Interrupt-Sturm, der das Echtzeitverhalten der 600 Euro teuren
    Analog-Output-Karte ruinierte...

    In dem Fall bemerkenswert war, dass das Netzwerk überhaupt nicht
    produktiv genutzt wurde. Der Rechner wurde nur aus Prinzip auf Druck
    der IT-Abteilung angeschlossen.

    So nach dem Prinzip:
    "Jeder Rechner im Haus muss die Firewall-Software haben!"
    "Aber er hängt doch gar nicht am Netz."
    "Oh je...dann muss er erstmal da angeschlossen werden!"

    "Jeder Rechner muss den Virenscanner haben!"
    "Aber dort ist doch gar keine Software außer der Anlagensteuerung
    installiert - und bevor ihr mit eurem Netz da ankamt gab es auch
    keinen Weg welche drauf zu bringen!"
    "Egal - und Sicherheitsupdates müssen auch noch drauf - der Rechner
    hängt ja am Netz!"
    und irgendwie kommt mir das alles sehr bekannt vor..

    netzwerk..alle daten müssen online sein, maschinen daten erfassung, remote zugriff usw

    völlständige diskussion
    http://www.heise.de/security/news/fo...19153162/read/
    sehr lesenswert
    Geändert von DennisBerger (17.09.2010 um 22:06 Uhr)

  10. Folgender Benutzer sagt Danke zu DennisBerger für den nützlichen Beitrag:

    Unimog-HeizeR (17.09.2010)

  11. #20
    Registriert seit
    08.10.2005
    Ort
    Iffezheim
    Beiträge
    1.103
    Danke
    408
    Erhielt 327 Danke für 261 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von Unimog-HeizeR Beitrag anzeigen
    Tja, der schrei nach Profinet, wlan und Ethernet...
    Wie sicher war und ist doch Profibus...

    Gruß
    Timo
    @Dennis Berger:
    Genau das, was die da geschrieben haben, wollte ich mit meinen zwei abgebrochenen sätzen sagen...
    Einfach nur schön zu lesen das ganze!

    Gruß
    Timo
    TOHISPARTS




Ähnliche Themen

  1. Stuxnet
    Von abasi im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 28.10.2010, 15:26
  2. WURM auf Step7 CPU`s (kein Scherz)
    Von AndreK im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 18.09.2010, 18:35
  3. Fünf realistische Industrieanlagen in 3D für die SPS-Ausbildung
    Von WeissT im Forum Werbung und Produktneuheiten
    Antworten: 6
    Letzter Beitrag: 06.04.2010, 08:27
  4. Kann Merker nicht steuern...
    Von 817Christoph im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 01.04.2010, 11:19
  5. Antworten: 8
    Letzter Beitrag: 16.08.2006, 13:54

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •