Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 1 von 15 12311 ... LetzteLetzte
Ergebnis 1 bis 10 von 142

Thema: Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern

  1. #1
    Registriert seit
    14.01.2005
    Beiträge
    137
    Danke
    59
    Erhielt 6 Danke für 3 Beiträge

    Ausrufezeichen


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    US-Medienberichten zufolge hat der in Zusammenhang mit der LNK-Lücke bekannt gewordene Stuxnet-Wurm weltweit 14 Industrieanlagen in den USA, Südkorea, UK und dem Iran befallen, auf denen die zur Anlagensteuerung eingesetzte SCADA-Software WinCC von Siemens läuft. Stuxnet ist speziell darauf ausgerichtet, Systeme mit dieser Software zu manipulieren. Laut Symantec ist der Wurm sogar in der Lage, die etwa zur Pumpen- oder Ventilsteuerung vor Ort eingesetzten speicherprogrammierbaren Steuerungen (SPS) über das WinCC-System zu infizieren.

    Der Analyse zufolge kann Stuxnet einzelne Codeblöcke in den SPS gegen neue austauschen oder hinzufügen – insgesamt soll er 70 solcher (verschlüsselter) Blöcke mitbringen, um neue Funktionen zu implementieren. Der Schädling macht sich sogar die Mühe, seine Manipulationen auf der SPS zu verschleiern: Ruft ein WinCC-Anwender die Codeblöcke ab, so sollen die vom Wurm hinzugefügten Blöcke des Wurms nicht sichbar sein. Symantec spricht in diesem Zusammenhang vom weltweit ersten bekannten Rootkit für SPS.
    Stuxnet agiert allerdings nicht autonom, vielmehr verschafft er seinen Schöpfern einen Fernzugriff auf WinCC-Systeme, die dann einzelne SPS selektieren und deren Verhalten ändern können. Unklar ist bislang aber, welche Funktionen der neue Code enthält und ob er nur zur Überwachung durch gegnerische Kräfte dient oder gar Störungen verursachen soll. Symantec erwähnt in seinem Blog einen historischen Fall, bei dem durch eine trojanisierte Ventilsteuerung der Druck in einer Pipeline bis zum Bersten erhöht worden sein soll. Selbst wenn Anlagenbetreiber ihre WincCC-Systeme vom Stuxnet-Wurm gesäubert haben, können Teile der speicherprogrammierbaren Steuerung noch betroffen sein.

    Bei den Analysen des Wurms war man auch auf weitere, bis dato unbekannte Sicherheitslücken in Windows gestoßen, die der Wurm zu Weiterverbreitung über das Netz und zur Erhöhung der Rechte auf infizierten Systemen ausnutze. Eine der Lücken hat Microsoft am vergangenen Patchday geschlossen.
    Der Wurm macht sich zudem die von Siemens fest programmierten Zugangsdaten für die zugrundeliegene MS-SQL-Datenbank zunutze, um Zugriff auf Daten des SCADA-Systems zu erhalten. (dab)
    vollständiger artikel:
    http://www.heise.de/newsticker/meldu...n-1080584.html
    Zitieren Zitieren Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern  

  2. #2
    Registriert seit
    06.01.2005
    Ort
    im schönen Lipperland
    Beiträge
    4.472
    Danke
    498
    Erhielt 1.143 Danke für 736 Beiträge

    Standard

    Ist das das selbe Ding was schon vor ein paar Wochen hier rumgeisterte oder einen Neues Insekt ?
    Früher gab es Peitschen .... heute Terminkalender

  3. #3
    DennisBerger ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    14.01.2005
    Beiträge
    137
    Danke
    59
    Erhielt 6 Danke für 3 Beiträge

    Standard

    keine ahnung was vor ein wochen hier rumgeisterte, die suche nach wurm oder stuxnet fand keine treffer, deshalb gepostet,
    auch weil es neue erkenntnisse gibt zu dem wurm (z.b. steuern von Anlagen usw)

  4. #4
    Registriert seit
    11.10.2006
    Ort
    Verden (Aller)
    Beiträge
    532
    Danke
    31
    Erhielt 58 Danke für 49 Beiträge

    Standard

    Weia.......ich dachte das wäre ein Hoax, wirkt aber ganz schön echt.

    Na toll....Das Ding kann doch nur von Rockwell, Schneider, oder Fanuc sein.
    "Ein lahmer Drecksplanet ist das, ich habe nicht das geringste Mitleid" (Prostetnik Vogon Jeltz)

  5. #5
    Registriert seit
    08.10.2005
    Ort
    Iffezheim
    Beiträge
    1.103
    Danke
    408
    Erhielt 327 Danke für 261 Beiträge

    Standard

    Tja, der schrei nach Profinet, wlan und Ethernet...
    Wie sicher war und ist doch Profibus...

    Gruß
    Timo
    TOHISPARTS




  6. #6
    Registriert seit
    29.03.2004
    Beiträge
    5.735
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Wobei der Begriff "Rootkit für SPS" schon etwas irreführend ist. Vor allem da nicht erwähnt wird um welche Steuerungstypen es sich handelt soll.

    Geht man bei WinCC mal davon aus dass es sich um S7 Steuerungen handelt, heißt es für mich, der Wurm installiert eine Art Tunnel um externen Programmierern Zugriff auf die internen SPS zu geben.
    Oder der Wurm schiebt seine mitgelieferten Bausteine in die SPS, dessen Adressen er über das WinCC-Projekt herausfinden kann.
    Wobei es ohne Kenntnis des aktuellen Online-Projektes über ein automatisches Skript schon eines gehörigen Aufwandes benötigt, um eigene Bausteine in das Programm einzubauen ohne dass das die Steuerung in Stop geht.
    Und etwas anderes als etwas kaputt machen kann ich ohne Kenntnis der Funktion der Steuerung auch nicht, aber vielleicht ist das ja auch der Gedanke bei der Sache (Stichwort Terrorismus).

    In dem im heise Artikel verlinkten Artikel von Symantec:

    http://www.symantec.com/connect/de/b...-scada-devices

    steht auch noch, dass diese Bausteine für den normalen Bediener nicht sichtbar sein sollen.
    Da frage ich mich, wie das bei einer S7 funktionieren soll. Mit den bekannten Mitteln ist das soweit ich weiß nicht möglich.
    Also entweder es handelt sich um andere Steuerungstypen als S7, oder die Hacker haben irgendeine Lücke im SPS Betriebssystem entdeckt, oder kennen irgendwelche Backdoors aus Siemens internas die man für sowas nutzen kann.

  7. #7
    Registriert seit
    23.03.2006
    Ort
    Thüringen
    Beiträge
    2.005
    Danke
    162
    Erhielt 278 Danke für 199 Beiträge

    Standard

    Hallo,
    hier:
    http://www.heise.de/newsticker/meldu...n-1080584.html

    Sind das S7 Spsen, die befallen werden oder (auch) andere? Klingt irgendwie weit hergeholt....

    Gruß
    Mario
    Zitieren Zitieren Welche Systeme sind betroffen?  

  8. #8
    Registriert seit
    27.05.2004
    Ort
    Thüringen/Berlin
    Beiträge
    12.222
    Danke
    533
    Erhielt 2.698 Danke für 1.950 Beiträge

    Standard

    Na ja steht ja alles im Artikel. Das haben die Wurm-Progger aber wirklich tiefere Kenntnisse bewiesen, SPS-Code austauschen in einer S7, das fällt ja schon vielen SPS-Programierern schwer. Ja waldy, viele Grüße auch an dich! Wenn sowas in ein AKW gerät, dann gute Nacht ...

    PS: @mariob
    Hab die Themen mal zusammengelegt.
    Geändert von Ralle (16.09.2010 um 20:38 Uhr)
    Gruß
    Ralle

    ... there\'re 10 kinds of people ... those who understand binaries and those who don\'t …
    and the third kinds of people … those who love TIA-Portal

  9. #9
    Registriert seit
    07.06.2008
    Beiträge
    40
    Danke
    0
    Erhielt 8 Danke für 7 Beiträge

    Standard

    Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm

    Der Schädling hängt sich in den S7-Stack 'rein und stellt anhand von DB890 sicher, dass er an der richtigen S7-Projektierung hängt. Ein Wert im DB890 wird manipuliert (vermutlich für Handbetrieb) sowie OB35 (Bausteinende unter bestimmten Bedingungen statt Ablauf wie projektiert). Der Projekteur erkennt nichts, wenn sein PG verseucht ist (Stuxnet manipuliert ebenfalls die Leseoperationen), daher nennt man es Rootkit.

    Laut Verschwörungstheoretikern ist es ein Sabotageangriff von Geheimdiensten auf den Bushehr-AKW in Iran. Der Aufwand des Angriffs wird auf über 1M$ geschätzt, da mehrere 0-day Windows-Exploits sowie insider-Wissen über die angegriffene Anlagen benutzt wurden.

  10. Folgende 2 Benutzer sagen Danke zu Verkohlte Leiche für den nützlichen Beitrag:

    DEGO (01.10.2010),Thomas_v2.1 (16.09.2010)

  11. #10
    Registriert seit
    27.05.2004
    Ort
    Thüringen/Berlin
    Beiträge
    12.222
    Danke
    533
    Erhielt 2.698 Danke für 1.950 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von Verkohlte Leiche Beitrag anzeigen
    Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm

    Der Schädling hängt sich in den S7-Stack 'rein und stellt anhand von DB890 sicher, dass er an der richtigen S7-Projektierung hängt. Ein Wert im DB890 wird manipuliert (vermutlich für Handbetrieb) sowie OB35 (Bausteinende unter bestimmten Bedingungen statt Ablauf wie projektiert). Der Projekteur erkennt nichts, wenn sein PG verseucht ist (Stuxnet manipuliert ebenfalls die Leseoperationen), daher nennt man es Rootkit.

    Laut Verschwörungstheoretikern ist es ein Sabotageangriff von Geheimdiensten auf den Bushehr-AKW in Iran. Der Aufwand des Angriffs wird auf über 1M$ geschätzt, da mehrere 0-day Windows-Exploits sowie insider-Wissen über die angegriffene Anlagen benutzt wurden.
    Wobei ich diese Meldung (ungültige License auf WinCC-Server) auch kenne und zwar von einem WinCC-Server mit korrekter License. Wir mußten die damals mit Siemens per Telefon reparieren. Da es so leicht ist, Siemens-Licensen zu kopieren, glaube ich kaum, daß Iraner, die ein AKW bauen bzw. Uran anreichern, dazu zu dämlich sind. Aber der Rest ist schon sehr spannend.
    Gruß
    Ralle

    ... there\'re 10 kinds of people ... those who understand binaries and those who don\'t …
    and the third kinds of people … those who love TIA-Portal

Ähnliche Themen

  1. Stuxnet
    Von abasi im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 28.10.2010, 15:26
  2. WURM auf Step7 CPU`s (kein Scherz)
    Von AndreK im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 18.09.2010, 18:35
  3. Fünf realistische Industrieanlagen in 3D für die SPS-Ausbildung
    Von WeissT im Forum Werbung und Produktneuheiten
    Antworten: 6
    Letzter Beitrag: 06.04.2010, 08:27
  4. Kann Merker nicht steuern...
    Von 817Christoph im Forum Simatic
    Antworten: 2
    Letzter Beitrag: 01.04.2010, 11:19
  5. Antworten: 8
    Letzter Beitrag: 16.08.2006, 13:54

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •