Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 3 von 15 ErsteErste 1234513 ... LetzteLetzte
Ergebnis 21 bis 30 von 142

Thema: Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern

  1. #21
    Registriert seit
    07.06.2008
    Beiträge
    40
    Danke
    0
    Erhielt 8 Danke für 7 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von Unimog-HeizeR Beitrag anzeigen
    Tja, der schrei nach Profinet, wlan und Ethernet...
    Wie sicher war und ist doch Profibus...
    Schmarrn, der Angriff auf SPS läuft unabhängig vom Medium. Und zum WinCC-Server-Befall wird ein USB-Stick benutzt, unter Ausnutzung mindestens einer bis dato nicht bekannten Windows-Lücke.

  2. #22
    Registriert seit
    22.11.2007
    Beiträge
    731
    Danke
    6
    Erhielt 89 Danke für 62 Beiträge

    Standard

    Zitat Zitat von Verkohlte Leiche Beitrag anzeigen
    Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm
    gestern hab ich mir die Seite angeschau und nur gedacht: was für eine unnötig reißerisch Presseseite mit so gut wie keinen sinnvollen Detailinfos.
    Der Disassemblerauszug ist definitv nichtssagend (ja - auch für x86 Assemblerkenner)
    und das Strukturbild zeigt keine hardcore Hackertechniken (was sollen mir die Wireshark da, und das Debugger hier sagen?)

    leider sind die beiden Bilder seit heute morgen nicht mehr auf der Seite vorhanden - hat die irgendwer noch wo - irgendwie schade

    und wer hat das Ding jetzt wirklich entdeckt?

    btw: ich hab echt darauf gewartet das sowas passiert - bei Siemens ist alles offen wie ein Scheunentor (letzte Woche noch mit einem Bekannten gespäßelt)
    was mich auch noch beunruhig ist der Sinumerik-Bereich - das NCK-Protokoll ist auch nicht besondern "abgesichert"
    Geändert von LowLevelMahn (18.09.2010 um 11:57 Uhr)

  3. #23
    Registriert seit
    29.03.2004
    Beiträge
    5.739
    Danke
    143
    Erhielt 1.686 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von LowLevelMahn Beitrag anzeigen
    gestern hab ich mir die Seite angeschau und nur gedacht: was für eine unnötig reißerisch Presseseite mit so gut wie keinen sinnvollen Detailinfos.
    Der Disassemblerauszug ist definitv nichtssagend (ja - auch für x86 Assemblerkenner)
    und das Strukturbild zeigt keine hardcore Hackertechniken (was sollen mir die Wireshark da, und das Debugger hier sagen?)
    In dem Wireshark Log kann man nur sehen, dass ein Rechner andauernd versucht den DB890 herunterzuladen. Im Nachhinein finde ich das etwas seltsam, weil an anderer Stelle steht dass der Wurm Daten aus dem DB890 abfragt um nachzuprüfen ob er sich aktivieren soll oder nicht
    Die Filterbedingungen sind allerdings auch so gesetzt dass man anderen Verkehr nicht sehen kann.

    Zitat Zitat von LowLevelMahn Beitrag anzeigen
    leider sind die beiden Bilder seit heute morgen nicht mehr auf der Seite vorhanden - hat die irgendwer noch wo - irgendwie schade
    Ein freigegebenes Verzeichnis-browsen ist doch immer eine schöne Sache:

    http://www.langner.com/files/stux/
    Geändert von Thomas_v2.1 (20.09.2010 um 21:55 Uhr) Grund: Mit Upload/Download vertan

  4. Folgender Benutzer sagt Danke zu Thomas_v2.1 für den nützlichen Beitrag:

    DEGO (01.10.2010)

  5. #24
    Registriert seit
    22.11.2007
    Beiträge
    731
    Danke
    6
    Erhielt 89 Danke für 62 Beiträge

    Standard

    aber das Strukturbild ist leider nicht mehr da

    und das Video kannte ich noch gar nicht ~freude~
    Zitieren Zitieren leider leider  

  6. #25
    Registriert seit
    29.03.2004
    Beiträge
    5.739
    Danke
    143
    Erhielt 1.686 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von LowLevelMahn Beitrag anzeigen
    aber das Strukturbild ist leider nicht mehr da

    und das Video kannte ich noch gar nicht ~freude~
    Aber das Strukturbild ist noch im Google Cache

    Für welche Funktionen ist die s7otbxdx.dll denn zuständig? Es scheinen ja alle SPS Zugriffe über Funktionen aus dieser Bibliothek zu laufen.

    Edit:
    Hier gibt es einige Informationen zu Funktionen die in der dll ausgetauscht wurden
    http://findingsfromthefield.com/?p=480#more-480
    Artikel ist von 3. August, also ist wohl schon länger bekannt was da läuft.
    Angehängte Grafiken Angehängte Grafiken
    Geändert von Thomas_v2.1 (18.09.2010 um 12:40 Uhr) Grund: Link eingefügt

  7. #26
    Registriert seit
    22.11.2007
    Beiträge
    731
    Danke
    6
    Erhielt 89 Danke für 62 Beiträge

    Standard

    die s7otbxdx.dll ist ein Aufsatz für die s7onlinx.dll - so ne Art Highlevel Schnittstelle

    ich hab zu meiner s7onlinx.dll-Tracer-Zeiten auch dafür mal einen Tracer
    angefangen aber leider keine Applikation gehabt die direkt damit kommunizieren wollte (war nur im Sinumerik-Bereich unterwegs)
    Zitieren Zitieren danke für das Bild  

  8. #27
    Registriert seit
    03.05.2006
    Beiträge
    491
    Danke
    43
    Erhielt 45 Danke für 42 Beiträge

    Standard

    hi

    also ich lach mir grad ein bisschen ins fäustchen...

    ey leute was isn das für ein schmarrn, und das bringen die so rüber als würde das der virus schlechthin sein.

    siemens sagt dass erst ein bekannter fall aufgetreten sei.
    äusserst ominös auch die geschichte dass sich der wurm per usb stick verbreitet (?).
    glaubt mir, das tut sich heutzutage kein mensch an, einen virus zu coden, der sich nur über einen wechseldatendräger verbreitet, is doch bockmist. ausserdem muss ein wurm ausgeführt werden, was per autorun.ini auf einem usb stick zwar vorstellbar ist, aber aufgrund der erhöhten aufmerksamkeit der heutigen antivirensoftware bei wechseldatenträgern nicht mehr realisierbar ist, vorausgesetzt man hat eine.

    wenn dieser wurm wirklich existiert, müsste da schon länkst das BKA am werkeln sein. ich war einige zeit in der verkehrsleittechnik beschäftigt, und muss euch beichten dass dort für die verkehrsbeeinflussung S7 300er cpu's verwendet werden. siemens müsste eigentlich sofort seine "sensiblen" kunden darüber informieren. aber angriffe auf so ein verkehrsleitsystem würden nicht per wurm stattfinden, der dann auch noch so programmiert wird dass er sich auch noch verbreitet, sondern finden direkt per netzwerk zb. von einer ip aus russland statt.

    ich glaube daher dass siemens eine "sicherheits offensive" einleiten will.

    oder den wurm gibts wirklich, aber dann war das nur ein fall bei einer firma, wo vllt ein gegangenwordener exmitarbeiter sich einen backdoor offen lassen wollte um eventuell schaden anzurichten.

    wie auch immer, ich hab keinen virus gefunden.
    wie siehts bei euch aus?

  9. #28
    Registriert seit
    07.06.2008
    Beiträge
    40
    Danke
    0
    Erhielt 8 Danke für 7 Beiträge

    Standard

    haha,

    [ ] du hast Ahnung

    Schon mal was von der LNK-Lücke gehört? Damit genügt ein Einstecken des Sticks, dann wird ein Treiber installiert (signiert mit einem geklauten RealTek-Schlüssel) und der Windows-Rechner ist pwned. Antivirensoftware dreht währendessen Däumchen, weil keine passenden Signaturen da (wird ja nicht häufig aktualisiert und außerdem ist der Schädling zu neu) und kein auffälliges Verhalten vorliegt.

    Es ist auch nicht das Ziel eines spezialisierten Spionage/Sabotage-Wurms, sich unkontrolliert zu verbreiten, weil er dann eher auffallen würde.

    Und dein Leitsystem sollte so eingerichtet sein (Firewall mit VPN), dass es von einer IP aus Russland nicht erreichbar ist.

    Ein frustrierter Arbeitsloser wäre finanziell nicht dazu in der Lage, so einen Angriff zu fahren.

  10. #29
    Registriert seit
    03.05.2006
    Beiträge
    491
    Danke
    43
    Erhielt 45 Danke für 42 Beiträge

    Standard

    ok, über die LNK lücke wusste ich nicht noch bescheid, ist ja auch ziemlich neu (06/2010).

    Es ist auch nicht das Ziel eines spezialisierten Spionage/Sabotage-Wurms, sich unkontrolliert zu verbreiten, weil er dann eher auffallen würde.
    ja eben, das sehe ich auch so *zweifelzweifel*

    Und dein Leitsystem sollte so eingerichtet sein (Firewall mit VPN), dass es von einer IP aus Russland nicht erreichbar ist.
    schon mal was von ip spoofing oder DNS hacks gehört.
    die ip die man benötigt eignet man sich an. eine durchschnittliche firmen IT ist aber gegen sowas abgesichert.

    Ein frustrierter Arbeitsloser wäre finanziell nicht dazu in der Lage, so einen Angriff zu fahren.
    warum nicht? der finanzielle faktor spielt dabei doch keine rolle

    grüsse

  11. #30
    Registriert seit
    01.10.2007
    Ort
    Waiblingen
    Beiträge
    3.317
    Danke
    767
    Erhielt 536 Danke für 419 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von funkdoc Beitrag anzeigen
    glaubt mir, das tut sich heutzutage kein mensch an, einen virus zu coden, der sich nur über einen wechseldatendräger verbreitet, is doch bockmist. ausserdem muss ein wurm ausgeführt werden, was per autorun.ini auf einem usb stick zwar vorstellbar ist, aber aufgrund der erhöhten aufmerksamkeit der heutigen antivirensoftware bei wechseldatenträgern nicht mehr realisierbar ist, vorausgesetzt man hat eine.
    So ein Ding ist neulich bis zu mir vorgedrungen. Meine Antivierensoftware (visus) hat das Ding zwar sofort entdeckt - aber konnte nicht verhindern, dass das Ding auf meinen und den Chefrechner kletterte. Aber kaum einen Monat später desinfizierte Microsoft das Tierchen (mir blieb derweil nur beobachten wegen IBN, MS war dann schneller). Aber nu ist Schluss mit autorun.inf. Seit V5.5 werkelt Win7. Und das führt keine autoruns mehr von Sticks her aus.

    Fazit: die Antivirus-Landschaft um S7 herum ist löchrig. Und ich verlasse mich auch nur auf mein Gespür (und gelegentliche Probe-Scans). Und es gibt genügend Leute, die weder Antivirussoftware noch das notwendige Gespür haben und somit Würmer durchkommen, die eigentlich ja garnicht durchkommen dürften.

Ähnliche Themen

  1. Stuxnet
    Von abasi im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 28.10.2010, 15:26
  2. WURM auf Step7 CPU`s (kein Scherz)
    Von AndreK im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 18.09.2010, 18:35
  3. Fünf realistische Industrieanlagen in 3D für die SPS-Ausbildung
    Von WeissT im Forum Werbung und Produktneuheiten
    Antworten: 6
    Letzter Beitrag: 06.04.2010, 08:27
  4. Kann Merker nicht steuern...
    Von 817Christoph im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 01.04.2010, 11:19
  5. Antworten: 8
    Letzter Beitrag: 16.08.2006, 13:54

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •