Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 3 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 21 bis 30 von 35

Thema: Heise Security: Schwachstelle in hunderten Industrieanlagen

  1. #21
    Registriert seit
    15.01.2005
    Ort
    In der Mitte zwischen Bayreuth/Weiden
    Beiträge
    6.734
    Danke
    321
    Erhielt 1.522 Danke für 1.283 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von KingHelmer Beitrag anzeigen
    PS: Ich würde mich noch nicht einmal auf eine Vernetzung verlassen, wenn diese zu 100% nach Hersteller versichert wird.
    Es gibt ja genug Beispiele bekannter Softwarehersteller..........
    Darf ich fragen in welcher Branche du dich mit solchen Argumenten (welche Argumente eigentlich?) drücken kannst?

    Fernwirkanlagen: Wasser/Abwasser etc. hängen heute aus verschiedensten Gründen im Internet, Anbindung von Außenstellen sehr oft über GPRS, UMTS, DSL, natürlich gibt es auch hier von Portforwarding bis VPN alle Varianten. Und selbst wenn man das Internet mal außen vor lässt, dann gibts halt irgend ein Modem welches natürlich irgendeine Telefonnummer hat.
    Industrieanlage: Es gibt im Prinzip immer eine mehr oder weniger ausgeprägte Form von MES, welches naturgemäß an mindestens einer Stelle eine Verbindung mit dem Hausnetz erfordert, alternativ USB-Sticks, seit Stuxnet wissen wir aber, das das auch weit entfernt von "sicher" ist
    Werkzeugmaschinen: Das NC Programm kommt direkt vom CAM-Rechner auf die NC, auch hier sehr oft wegen der ohnehin vorhandenen Infrastrucktur übers Ethernet.

    Mfg
    Manuel
    Warum denn einfach, wenn man auch Siemens einsetzen kann!

    Wer die grundlegenden Freiheiten aufgibt, um vorübergehend ein wenig Sicherheit zu bekommen, verdient weder Freiheit noch Sicherheit (B. Franklin).

  2. #22
    Registriert seit
    16.06.2003
    Ort
    88356 Ostrach
    Beiträge
    4.812
    Danke
    1.231
    Erhielt 1.101 Danke für 527 Beiträge

    Standard

    Also ich kann den quatsch bei Heisse langsam nicht mehr lesen.
    Wirkliche Fakten und konkrete Daten gibt's im Artikel nicht.
    stattdessen wird mit Eigenlob und Superlative nur so um sich geworfen...

    Ist die CT jetzt endgültig auf Computer-Bild Niveau angekommen?
    Das angesprochene Thema ist sicher nicht ohne, aber der Artikel ist Schwachsinn.

    Den Artikel den ein paar tage vorher hier jemand zum Thema Heizungen hacken gepostet hat fand ich eine ebenso peinliche journalistische selbstverherrlichende Meisterleistung von Heisse...

    Selbst wenn einen solche Heizungssteuerung ein solches Sicherheitsloch hat, das unter Laborbedingungen gehackt werden kann...
    Wie hoch ist die Wahrscheinlichkeit das er deine Heizung findet?
    Was kann passieren, bzw. was kann passieren ohne das es jemand zeitnah merkt?
    Warum soll das jemand tun?
    Vergesst bitte diese alte Hackerromantik von den Nerds die sich was bewiesen wollen - das ist Geschichte.
    Die Leute die das können, die arbeiten für Bitcoins und Bares.

    Sachen wie Stuxnet, sind da sicher eine andere Liga, aber Heizungssteuerung beim Häuslebauer...
    "Es ist weit besser, große Dinge zu wagen, ruhmreiche Triumphe zu erringen, auch wenn es manchmal bedeutet, Niederlagen einzustecken, als sich zu den Krämerseelen zu gesellen, die weder große Freude noch großen Schmerz empfinden, weil sie im grauen Zwielicht leben, das weder Sieg noch Niederlage kennt." Theodore Roosevelt - President of the United States (1901-1909)

  3. #23
    Registriert seit
    29.03.2004
    Beiträge
    5.741
    Danke
    143
    Erhielt 1.686 Danke für 1.225 Beiträge

    Standard

    Zitat Zitat von Markus Beitrag anzeigen
    Ist die CT jetzt endgültig auf Computer-Bild Niveau angekommen?
    Das angesprochene Thema ist sicher nicht ohne, aber der Artikel ist Schwachsinn.
    Die Zeitschrift mit dem Artikel enthält hoffentlich etwas mehr Infos, kommt aber erst heute bzw. Montag raus.

    Zitat Zitat von Markus Beitrag anzeigen
    Wie hoch ist die Wahrscheinlichkeit das er deine Heizung findet?
    Findet man sogar über google. Guck dir einfach mal an wie die Startseite des Webservers einer SPS, oder des Webportals einer WinCCflexible Visu heißt.
    Und darüber gibt es ganze Listen für die verschiedenen Hersteller, welche Ports genutzt werden usw.

    Wobei ich bei Seiten bei denen VNC einer WinCCflex Visu erreichbar ist schon fast als Honeypot ansehen würde, bei dem der Betreiber darauf hofft dass da ein Spezi drauf reinfällt und für den Zugriff sein verbuggtes Java in seinem Webbrowser aktiviert

    Zitat Zitat von Markus Beitrag anzeigen
    Warum soll das jemand tun?
    Wie schrieb jemand im Heise Forum: Warum schlitzt jemand in Bus oder Bahn die Sitze auf?

  4. #24
    Registriert seit
    21.02.2011
    Ort
    Deutschland, Baden-Würtemberg
    Beiträge
    990
    Danke
    115
    Erhielt 125 Danke für 100 Beiträge

    Standard

    Zitat Zitat von MSB Beitrag anzeigen
    Darf ich fragen in welcher Branche du dich mit solchen Argumenten (welche Argumente eigentlich?) drücken kannst? l
    Wie schon angesprochen, in der medizintechnik!

    Wenn mich mein unwissender chef frägt ob wir die anlage bedenkenlos vernetzen können werde ich ihm immer ein "nein" als antwort geben da ich meine unterschrift niemals darunter setzen werde.
    Es gibt einen unterschied ob man wirtschaftliche schäden ohne mit der wimper zu zucken verantworten kann oder ob man menschenleben riskieren kann.

  5. #25
    Registriert seit
    20.10.2003
    Ort
    Biberach
    Beiträge
    5.068
    Danke
    959
    Erhielt 1.459 Danke für 922 Beiträge

    Standard

    Zitat Zitat von MSB Beitrag anzeigen
    Warum hast du da jetzt gerade meinen Beitrag hervorgezaubert?
    In der Schule würde ich jetzt wohl sagen: Setzen, Sechs, wg. Themaverfehlung.
    Da stand was von obskuren Portalen und Drittanbietern, unser
    Sohn würde jetzt sagen" Du hast damit angefangen"

    Zitat Zitat von MSB Beitrag anzeigen
    Wenn es in der Praxis scheinbar eine beträchtliche Anzahl an Anwendern gibt, für die ein Fernzugriff auf dem weiterleiten von irgendwelchen Ports besteht, dann ist das halt auch deren Problem.

    Jeder, und selbst jeder zweifelhaft eingerichtete, jedoch bestimmungsgemäß verwendete VPN-Router würde den von Heise und Co.
    immer wieder beschriebenen Zugriff zumindestens schon mal deutlich erschweren, definitiv wäre google und Co. dann auf die Art Außen vor.
    Anwender der obskuren Portale und der zugehörigen
    Router haben diese Thematik nicht und damit eine
    Fehlerquelle weniger.

    Zitat Zitat von MSB Beitrag anzeigen
    Ob man dafür jetzt dann proprietäre Miet-VPN-Lösungen braucht, welche alleine aufgrund der vergleichsweise hohen Gerätedichte ein geniales Ziel abgeben würden, lasse ich aber desweiteren dahingestellt (obendrein bleibt dies auch jedem selbst überlassen).
    Die Wahrschenlichkeit, dass bei einer proprietären Lösung
    eine Sicherheitslücke gefunden wird, ist doch viel niedriger
    als bei Standardsystemen.

    Unter dem Strich ist nicht die Technik ausschlaggebend,
    sondern der Anwender. Und die Fehlerquellen sind bei der
    Portallösung eines kompetenten Anbieters siginifikant
    niedriger, als wenn ich das Netzwerk von Hand komfiguriere
    und womöglich meine Firewall für Zugriffe von außen öffnen
    muss.
    Beste Grüße Gerhard Bäurle
    _________________________________________________________________
    Hardware: the parts of a computer that can be kicked. – Jeff Pesis

  6. #26
    Registriert seit
    20.10.2003
    Ort
    Biberach
    Beiträge
    5.068
    Danke
    959
    Erhielt 1.459 Danke für 922 Beiträge

    Standard

    Zitat Zitat von Zottel Beitrag anzeigen
    ... Aber zur Fernwartung kann man ja die Verbindung zum Netz bei Bedarf herstellen und danach wieder kappen. Oft ist es ja ohnehin nötig, dass jemand vor Ort assistiert.
    ...
    So ist es. Die Verbindung zum Internet/Portal wird nur bei
    Bedarf herstellt, per Knopftdruck oder Schlüsselschalter.
    Vernünftige Fernwartungsrouter haben dazu einen digitalen
    Eingang.
    Beste Grüße Gerhard Bäurle
    _________________________________________________________________
    Hardware: the parts of a computer that can be kicked. – Jeff Pesis

  7. #27
    Registriert seit
    20.10.2003
    Ort
    Biberach
    Beiträge
    5.068
    Danke
    959
    Erhielt 1.459 Danke für 922 Beiträge

    Standard

    Zitat Zitat von bike Beitrag anzeigen
    Mir kann man über das Netz nichts abbuchen, ich habe kein Onlinebanking.
    Bist Du Dir sicher, dass die Bank Dein Konto mit Papier und Stift führt?

    Zitat Zitat von bike Beitrag anzeigen
    Mir ist die Sicherheit wichtiger als 500 km zu fahren.
    Während der Gewährleistung kannst Du das zu gewissen
    Grad noch selbst entscheiden.

    Aber allgemein kenne ich das so, dass der Kunde relativ
    deutlich sagt, was er hinsichtlich Reaktionszeiten und
    Kosten erwartet.

    Mit einer gewissen Marktmacht kannst Du ihm Fernwartung
    noch ausreden, aber ob das eine Zukunftsstrategie ist?
    Geändert von Gerhard Bäurle (04.05.2013 um 08:33 Uhr) Grund: falsch zitiert
    Beste Grüße Gerhard Bäurle
    _________________________________________________________________
    Hardware: the parts of a computer that can be kicked. – Jeff Pesis

  8. #28
    Registriert seit
    03.04.2008
    Beiträge
    6.200
    Danke
    237
    Erhielt 815 Danke für 689 Beiträge

    Standard

    Zitat Zitat von Gerhard Bäurle Beitrag anzeigen

    Mit einer gewissen Marktmacht kannst Du ihm Fernwartung
    noch ausreden, aber ob das eine Zukunftsstrategie ist?
    Nicht alles was technisch möglich ist, ist sinnvoll und muss immer und überall eingesetzt werden.
    Das hat nichts mit Marktmacht zu tun, sondern mit Verantwortung.
    Solange immer mehr damit Werbung machen, dass vor Ort kein qualifiziertes Personal mehr vorhanden sein muss, da alles über Fernwartung gelöst wird, fährt der Zug in die falsche Richtung.

    Wir bieten auch Fernwartung an, doch nicht über das Internet, sondern über Wählleitungen und das ist auch gut so.

    Nicht jedes Gimmick muss sein.
    Oftmals ist besser und effektiver konservativ zu sein.
    Da ist BigS, die bestimmt nicht alles gut richtig machen, vielleicht auf dem richtigen Weg.
    Warum C## oder ähnliches in eine PLC reinbuttern, wenn es auch ohne geht?


    bike
    "Any fool can write code that a computer can understand.
    Good programmers write code that humans can understand."
    --Martin Fowler

  9. Folgender Benutzer sagt Danke zu bike für den nützlichen Beitrag:

    Blockmove (04.05.2013)

  10. #29
    Registriert seit
    17.07.2009
    Ort
    Am Rande der Ostalb
    Beiträge
    5.491
    Danke
    1.141
    Erhielt 1.243 Danke für 974 Beiträge

    Standard

    Zitat Zitat von bike Beitrag anzeigen
    Wir bieten auch Fernwartung an, doch nicht über das Internet, sondern über Wählleitungen und das ist auch gut so.

    Nicht jedes Gimmick muss sein.
    Oftmals ist besser und effektiver konservativ zu sein.
    Da ist BigS, die bestimmt nicht alles gut richtig machen, vielleicht auf dem richtigen Weg.
    Warum C## oder ähnliches in eine PLC reinbuttern, wenn es auch ohne geht?
    Wählverbindung oder DSL-Anschluß an der Maschine ist uns (als Kunden) auch liebsten.
    Das Telefonkabel steckt der Instandhalter bei Bedarf ein.

    Big S auf dem richtigen Weg in Richtung Netzwerk-Sicherheit ... hmmm
    Solange Siemens auf seine "Steinzeit"-Protokolle setzt, liegt der Netzwerker in der Pflicht.
    Du hast keine Möglichkeit Verbindungen zwischen Anlagen zu verschlüsseln oder mit vernünftigen Authentifizierungen zu versehen.
    Eine CP343 bietet gerade mal Zugriffsschutz auf IP-Ebene.
    Im Panel hab ich die Möglichkeit bestimmte Berechtigungstufen zu vergeben ... Aber auf der Steuerung? Nix dergleichen ...
    Wenn ich bei WinCC einen Tippfehler in der Variablen-Adressierung drin hab, dann kracht es unter Umständen ganz heftig an der Anlage.
    Schliesslich gibt kann ich alle Bereiche auf der Steuerung lesen und schreiben.

    Fazit: IT-Sicherheit Fehlanzeige ... Und nicht nur bei Siemens!

    Gruß
    Dieter

  11. Folgender Benutzer sagt Danke zu Blockmove für den nützlichen Beitrag:

    Gerhard Bäurle (04.05.2013)

  12. #30
    Registriert seit
    29.03.2004
    Beiträge
    5.741
    Danke
    143
    Erhielt 1.686 Danke für 1.225 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von Blockmove Beitrag anzeigen
    Wählverbindung oder DSL-Anschluß an der Maschine ist uns (als Kunden) auch liebsten.
    Das Telefonkabel steckt der Instandhalter bei Bedarf ein.
    Wobei Teleservice an sich auch offen wie ein Scheunentor ist, und das seit Jahrzehnten. Bei Wählleitungen ist aber wohl abschreckend dass Versuche sich dort einzuwählen Geld kosten. Außerdem gibt es keine Suchmaschinen für solche Nummern. Und wenn man nicht genau weiß was da für eine Anlage hintersteckt, kann man nicht mehr als nur kaputtmachen. Da ist eine Visualisierung wo man sehen kann was für eine Anlage da läuft schon verlockender.
    Im Bereich Wasser/Abwasser gibt es etliche kleine Anlagen wie Pumpstationen, die über Wählverbindungen zwecks Fernwirktechnik von außen erreichbar sind. Bei Siemens Sinaut gibt es dort z.B. überhaupt keinen Zugriffschutz. Aber ohne zu wissen wie die Anlage projektiert wurde, kann man dort nur durch Probieren versuchen irgendwo Daten hineinzuschreiben.

    Zitat Zitat von Blockmove Beitrag anzeigen
    Im Panel hab ich die Möglichkeit bestimmte Berechtigungstufen zu vergeben ... Aber auf der Steuerung? Nix dergleichen ...
    Wenn ich bei WinCC einen Tippfehler in der Variablen-Adressierung drin hab, dann kracht es unter Umständen ganz heftig an der Anlage.
    Schliesslich gibt kann ich alle Bereiche auf der Steuerung lesen und schreiben.
    Bei der 1200 ist ja zumindest eine Option "Erreichbar aus HMI" vorhanden. Nur hat diese überhaupt keine Funktion, zumindest per Absolutadress-Zugriff lässt sich trotz entferntem Haken auf alle Werte schreiben. Der Wille ist da, nur an der Umsetzung hapert es.

    Auch wenn es mal funktioniert wird sich darum wohl niemand kümmern wenn die Voreinstellung immer "alles erreichbar" ist. Vergleichbar mit der Zeit in der die ersten DSL-Router mit aktiviertem und unverschlüsseltem WLAN an Kunden übergeben wurden. Da konnte man durch die Stadt fahren und sich überall einwählen. Das hat sich erst geändert seitdem per Voreinstellung WLAN aus ist und der Benutzer es nur mit Verschlüsselung aktivieren kann.

  13. Folgender Benutzer sagt Danke zu Thomas_v2.1 für den nützlichen Beitrag:

    Blockmove (04.05.2013)

Ähnliche Themen

  1. Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern
    Von DennisBerger im Forum Stammtisch
    Antworten: 141
    Letzter Beitrag: 07.08.2013, 08:38
  2. Antworten: 5
    Letzter Beitrag: 30.01.2013, 16:40
  3. Security DP/DP Koppler
    Von klemme12 im Forum Simatic
    Antworten: 1
    Letzter Beitrag: 02.08.2011, 02:26
  4. Fünf realistische Industrieanlagen in 3D für die SPS-Ausbildung
    Von WeissT im Forum Werbung und Produktneuheiten
    Antworten: 6
    Letzter Beitrag: 06.04.2010, 08:27
  5. Antworten: 1
    Letzter Beitrag: 20.03.2006, 21:19

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •