Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 6 von 15 ErsteErste ... 45678 ... LetzteLetzte
Ergebnis 51 bis 60 von 142

Thema: Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern

  1. #51
    Registriert seit
    25.06.2007
    Ort
    Dresden
    Beiträge
    3.930
    Danke
    465
    Erhielt 878 Danke für 634 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von 101074 Beitrag anzeigen
    Es mutet schon etwas komisch an, wenn man die Presseveröffentlichung der Fa Langner aus Hamburg liest. Da wurden 3 „Zero Day Exploit“ verwendet, digitale Signaturen in Taiwan oder Korea gestohlen, 7 stellige Summen an Budget verwendet und hinterher winkt das Ding ganz infantil mit der Piratenfahne: Code „DEADF007“. Das passt nicht zusammen. Jedem der Vorredner wäre etwas Besseres eingefallen als den OB35 bedingt zu beenden.

    Das erinnert schon ganz schön an „Independents Day“ als das Ufo infiziert wurde. Irgend etwas passt hier nicht.

    Gruss von Area 51
    @101074
    Registriert seit: 17.10.2008 --- Beiträge: 1

    ... interessanter Beitrag, und das als erstes Post solange Zeit nach der Registrierung.


    Frank
    Grüße Frank

  2. #52
    Registriert seit
    29.08.2007
    Beiträge
    213
    Danke
    42
    Erhielt 34 Danke für 23 Beiträge

    Standard

    Fefe und Frank haben einen Podcast zum Stuxnet Virus gemacht
    http://www.alternativlos.org/5/

    Frank ist der Autor des FAZ Artikels
    http://frank.geekheim.de/

    Und Fefe ist der Typ von
    http://blog.fefe.de/

  3. #53
    Registriert seit
    15.09.2006
    Ort
    Hessen
    Beiträge
    361
    Danke
    38
    Erhielt 36 Danke für 30 Beiträge

    Standard

    Die Verbreitungsart und die Vorgehensweise (USB-Stick, nur 417'er und 315-2 CPU's) spricht eigentlich für ein bestimmtes Ziel. So wie ich gelesen habe, wird er auch nur aktiv, wenn man die entsprechenden FC's geladen hat. Schon komisch, das Teil... Dann würde es auch Sinn machen, nur den OB35 zu beenden. Bei uns würden in so einem Fall u.U. ganz komische Sachen beim Werkzeugwechsel passieren. Wahrscheinlich war das schon auf bestimmte Anlagen gemünzt.

    Aber wisst ihr was? Das Teil ist mir sowas von bums- unsere Anlagen sind nicht vernetzt, wenn, dann kommt eh keiner auf die NCK oder PLC von dem Zugang aus drauf und mein PG hängt nur sehr sporadisch am Netz- nämlich alle zwei Wochen, um die Virendefinitionen neu zu laden. Die liebe IT sollte von den Automatisierungssachen die Finger lassen, wenn die das Teil in die Finger kriegen, machen die das nur wieder kaputt. Das letzte Mal hat man mir mit einer VM-Ware mein HMI abgeschossen.
    Ich bin sowieso dagegen, immer ständig alles am Internet hängen zu haben. Sowas sollte nur bei Bedarf aufgebaut werden, sonst ist das Kabel am Besten ausgesteckt und zur Schlaufe gerollt... Aber bei größeren Anlagen und Prozessleitsystemen geht es halt oft nicht anders.

    Das Problem mit der Infektion über USB-Sticks ist allerdings schon länger bekannt, deswegen scannen wir USB-Sticks, bevor die auf irgendeinen Rechner gesteckt werden, die mit irgendeinem wie auch immer geartetem Automatisierungssystem verbunden sind. Autorun ist beim PG deaktiviert, das geht da nicht. Und das aus gutem Grund.

    Es ist wie mit der Sicherheit bei Industrieanlagen: Letztendlich hängt der Betreiber immer mit drin...

    Gruß, Tobi
    Isn't simulating stimulating?

  4. #54
    Registriert seit
    11.12.2009
    Beiträge
    2.115
    Danke
    388
    Erhielt 390 Danke für 271 Beiträge

    Standard

    Zitat Zitat von IBFS Beitrag anzeigen
    @101074
    Registriert seit: 17.10.2008 --- Beiträge: 1

    ... interessanter Beitrag, und das als erstes Post solange Zeit nach der Registrierung.


    Frank
    Wie der Wurm, seit Jahren bekannt und nun schlägt er zu

    MfG

    Marcel

  5. #55
    Registriert seit
    06.07.2007
    Beiträge
    2.811
    Danke
    174
    Erhielt 274 Danke für 253 Beiträge

    Standard

    A programmer is just a tool which converts caffeine into code.

  6. #56
    Registriert seit
    27.09.2010
    Beiträge
    516
    Danke
    36
    Erhielt 63 Danke für 56 Beiträge

    Standard

    etz berichtet sogar der radio darüber das im iran die atomkraftwerke befallen werden

    "verschwörung riech"


    hmmmm, das ganze gibts seid geraumer zeit für wago und saia auch schon, es sind halt nunmal keine wirklichen spsen mehr, sondern alles probitäre pc-systeme mit mehr oder minder offenen schnittstellen, siehe wago mit linux und saia mit cgi-bin

  7. #57
    Registriert seit
    02.07.2004
    Beiträge
    14
    Danke
    0
    Erhielt 1 Danke für 1 Beitrag

    Standard

    Wenn ich das alles richtig verstanden habe:

    Für seinen Angriff nutzt Stuxnet die Step-7-Software. Step 7 verwendet eine Bibliothek namens s7otbxdx.dll, um mit der SPS zu kommunizieren. Das Virus benennt s7otbxdx.dll in s7otbxsx.dll um und ersetzt die Bibliothek durch eine eigene, mit deren Hilfe er die Kommunikation zwischen der Step7 und der SPS abfangen und manipulieren kann. Insgesamt umfasst s7otbxdx.dll 109 mögliche Exporte, von denen Stuxnet 93 schlicht und einfach auf die Original-DLL umleitet - sie funktionieren also wie gehabt. Die 16 verbleibenden Exporte dienen zum Lesen, Schreiben und Auffinden von Code-Blöcken in der SPS. Nach außen gibt das Virus die zu erwartenden Antworten, während er intern seine eigenen Ziele verfolgt.Der Virus implementiert seinen eigenen Funktionsblock in die Steuerung FC1865,FC1874, FC1876,FC1880 Diese werden dann über den OB35 (Organisationsbaustein) alle 100 ms aufgerufen. Diese FC prüfen, ob es sich um eine der folgenden Steuerungen handelt S7 315-2DP oder S7 417-3DP und ob der Datenbaustein DB888,DB891 vorhanden ist. Des weiteren überprüft das schadhafte SPS Programm die Struktur dieser DB's. Treffen diese Bedingungen zu wird der Virus aktiv und überschreibt die DB mit eigenen Werten und verändert alle 100 ms einen Vergleichs Akkumulator der zur Berechnung z.B.von PID Regeln verwendet wird. Durch das infizieren der Step7 Software werden die schadhaften FC in der SPS verschleiert so das sie nicht angezeigt werden.

    (meine Einschätzung)
    Durch die Veränderung in der SPS kommt es augenscheinlich zu keinem Fehler es wurde wahrscheinlich nur Auswirkungen auf das Endprodukt haben.(Das Produkt hätte ein Qualitäts- Problem) Durch die Verschleierung des SPS Codes kann dieses Problem in der Steuerung nicht identifiziert werden und (z.B.)ein PID Regler kann nie genau eingestellt werden.

    (Quellen)
    http://www.norman.com/security_cente...chive/85143/de
    http://www.spiegel.de/netzwelt/netzp...719654,00.html
    http://www.symantec.com/connect/blog...ection-process
    http://forum.au-ja.de/viewtopic.php?f=2&t=17838&p=56931
    und natürlich das Forum
    Zitieren Zitieren zusammengefasst  

  8. #58
    Registriert seit
    22.11.2007
    Beiträge
    731
    Danke
    6
    Erhielt 89 Danke für 62 Beiträge

    Standard

    aus dem Golem-Bericht "Ralph Langner im Interview"

    http://www.golem.de/1009/78278.html

    ...Das gesamte Team hinter einem solchen Projekt schätzt Langner auf etwa 50 Personen. Den Schadcode für die Anlagen selbst könnten "weltweit vielleicht 10 Leute entwickeln, und drei davon sitzen bei uns im Büro", sage der Security-Experte. Und weiter: "Ich kann Ihnen aber versichern, wir waren's nicht!"...
    alleine für das Hijacking von WinCC und die entsprechenden Schadcodeübermittlung gibt es hier im Forum locker 5 Leute die das problemlos leisten könnten...fehlen noch 2
    wenn da nur nicht die Kosten für die 0day Exploits so hoch wären (da könnte man ja zusammenlegen)

    Die Frage bleibt: Warum soll jemand so viel Geld ausgeben, aber definitv nicht wirklich Schaden anrichten - er hat nur alle Pferde aufgeschreckt und jetzt herscht grosse Vorsicht -> ein zweiter Angriff wird da nicht leichter werden

    hat jemand den Wurm/Trojaner auf Platte? Ich würde den auch gerne mal genauer betrachten...
    Zitieren Zitieren jetzt ist die Spitze erreicht  

  9. #59
    Registriert seit
    27.10.2005
    Ort
    Schwäbisch Gmünd
    Beiträge
    5.224
    Danke
    630
    Erhielt 955 Danke für 769 Beiträge

    Standard

    Zitat Zitat von LowLevelMahn Beitrag anzeigen
    aus dem Golem-Bericht "Ralph Langner im Interview"

    http://www.golem.de/1009/78278.html

    alleine für das Hijacking von WinCC und die entsprechenden Schadcodeübermittlung gibt es hier im Forum locker 5 Leute die das problemlos leisten könnten...fehlen noch 2
    wenn da nur nicht die Kosten für die 0day Exploits so hoch wären (da könnte man ja zusammenlegen)

    Die Frage bleibt: Warum soll jemand so viel Geld ausgeben, aber definitv nicht wirklich Schaden anrichten - er hat nur alle Pferde aufgeschreckt und jetzt herscht grosse Vorsicht -> ein zweiter Angriff wird da nicht leichter werden

    hat jemand den Wurm/Trojaner auf Platte? Ich würde den auch gerne mal genauer betrachten...
    Also ich halte die Aussage "weltweit vielleicht 10 Personen und 3 davon sitzen hier im Büro" für reine Wichtigtuerei. Nach meiner Einschätzung sind es wesentlich mehr als 10 Leute, die diese Technik beherrschen. Wie LLM schon schreibt, sind einige davon hier im Forum unterwegs. Und der Rest der Welt ist sicher auch nicht zu unterschätzen.
    Rainer Hönle
    DELTA LOGIC GmbH

    Ein Computer kann das menschliche Gehirn nicht ersetzen. Engstirnigkeit kann unmöglich simuliert werden. (Gerd W. Heyse)

  10. #60
    Registriert seit
    14.09.2008
    Beiträge
    25
    Danke
    11
    Erhielt 3 Danke für 3 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    10 Personen auf der ganzen Welt klar, S7-SPS werden ja auch nur jeder 2ten Anlage eingesetzt. Und wenn man genug Geld und einen großen Ehrgeiz hat das zu schaffen...
    Ich finde es nicht so ungewöhnlich dass das jetzt mal passiert ist.
    Ich war schon immer dagegen das Internet mit dem Maschinennetz zu verknüpfen, aber auf mich hört ja keiner

Ähnliche Themen

  1. Stuxnet
    Von abasi im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 28.10.2010, 15:26
  2. WURM auf Step7 CPU`s (kein Scherz)
    Von AndreK im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 18.09.2010, 18:35
  3. Fünf realistische Industrieanlagen in 3D für die SPS-Ausbildung
    Von WeissT im Forum Werbung und Produktneuheiten
    Antworten: 6
    Letzter Beitrag: 06.04.2010, 08:27
  4. Kann Merker nicht steuern...
    Von 817Christoph im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 01.04.2010, 11:19
  5. Antworten: 8
    Letzter Beitrag: 16.08.2006, 13:54

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •