- Beiträge
- 8.387
- Reaktionspunkte
- 1.927
Ich finde es Schade, das dieses Thema aus "praktischer Erfahrung" einfach so als unrealisierbar dargestellt wird.
Auf die PC Welt umgelegt versuchst du folgendes: Du hast einen Rechner und schaust auf den Inhalt der Datenpakete die über den SATA Bus geschrieben werden und den Inhalt der gelesen wird. Nur das, du weißt nicht welches Programm die Daten schreibt, du weißt nicht welche Programme, welche Zustände am Rechner gerade aktiv sind, ob der Rechner überhaupt eingeschaltet ist, ob ein Benutzer angemeldet ist gar nichts. Nur den Dateninhalt der gelesen und geschrieben wirst. Wie willst du statistisch da eine Aussage treffen ob ein Virus läuft oder nicht?
Und noch mal:norustnotrust schrieb:Auf die PC Welt umgelegt versuchst du folgendes: Du hast einen Rechner und schaust auf den Inhalt der Datenpakete die über den SATA Bus geschrieben werden und den Inhalt der gelesen wird. Nur das, du weißt nicht welches Programm die Daten schreibt, du weißt nicht welche Programme, welche Zustände am Rechner gerade aktiv sind, ob der Rechner überhaupt eingeschaltet ist, ob ein Benutzer angemeldet ist gar nichts. Nur den Dateninhalt der gelesen und geschrieben wirst. Wie willst du statistisch da eine Aussage treffen ob ein Virus läuft oder nicht?
Was ich über Stuxnet verstanden habe:Um nochmal zu Stuxnet zu kommen:
Da wurden nach meinen Informationen Druckverhältnisse in Tanks verfälscht, was letztendlich zum Ausfall und Beschädigung dieser Geräte führte. Wo wäre das Problem, vorher zu definieren, welche Werte da als Normal und welche als Anormal zu sehen sind? Wenn irgendjemand dort doch nur einen einzigen Blick auf die (nicht vorhandenen) PROFIBUS Logs geworfen hätte oder am besten schon ein Tool hätte, das diese übermittelten Daten auf Unregelmäßigkeiten prüft, wäre das sofort aufgefallen.
Dass die Geräte ausgefallen sind konnte man sich nämlich die ersten Male garnicht erklären!
Wo wäre das Problem, vorher zu definieren, welche Werte da als Normal und welche als Anormal zu sehen sind? Wenn irgendjemand dort doch nur einen einzigen Blick auf die (nicht vorhandenen) PROFIBUS Logs geworfen hätte oder am besten schon ein Tool hätte, das diese übermittelten Daten auf Unregelmäßigkeiten prüft, wäre das sofort aufgefallen.
AlexSc schrieb:Wo wäre das Problem, vorher zu definieren, welche Werte da als Normal und welche als Anormal zu sehen sind? Wenn irgendjemand dort doch nur einen einzigen Blick auf die (nicht vorhandenen) PROFIBUS Logs geworfen hätte oder am besten schon ein Tool hätte, das diese übermittelten Daten auf Unregelmäßigkeiten prüft, wäre das sofort aufgefallen.
Kein Wahnsinn. Eine relativ normalen Aufgabe für ein Prozessleitsystem.ducati schrieb:Eine Anlage besteht u.U. aus mehreren zig tausend Signalen. Für die alle Grenzwerte festzulegen ist Wahnsinn.
Kein Wahnsinn. Eine relativ normalen Aufgabe für ein Prozessleitsystem.
Nicht nur Grenzwerte, aber auch mehr komplexe Zusammenhänge können beobachtet werden.
z.B.
Heizelement X startet --> Temperatur Y muss steigen.
Ventil Z öffnet --> Druck W muss fallen.
Usw.
Ich bin der Meinung das dies ist eine Aufgabe für eine Prozessleitsystem, und nicht für eine Profibus (oder Profinet oder...) Busanalysator.
ich habe den thread jetzt auch verfolgt und bin wie die meisten der meinung das dies ehr nicht realisierbar ist.
ich muss aber auch zugeben, dass ich mir über sowas beisher nie gedanken machen musste.
prüfung der prozessdaten werte ich auf der steuerungsebene auf gültigkeit aus.
leichte manipulationen, die ein hack einbringen könnte, kann man nicht wirklich abfangen.
diese könnten aber durchaus die qualität des endproduktes beeinflussen. (ähnlich stuxnet. das hat auch nicht alles lahmgelegt, sondern nur prozesswerte soweit manipuliert, das das endprodukt nicht mehr wirklich ok war)
und warum wurde gerade profibus gewählt? ist zwar noch lange nicht tot aber wird mit sicherheit auf dauer sterben.
pb ist ehr ein system welches nicht über internet oÄ ereicht werden kann.
um hier einzugreifen wären definitiv zusätzliche hardwarebauteile erforderlich die in den bus eingeschleift werden müssten.
dazu müsste der hacker aber erst mal an die anlage.
bei profinet sähe das evtl schon in wenig anders aus.
aber auch hier würde ich sagen kann man nicht die busskommunikation mit fremden daten "überschreben" kann ohne das irgendwelche kommunikationsfehler auftreteten. und eine hard-/software wäre (imho) auch hier erforderlich
als wichtig seh ich hier ehr, dass der zugriff auf die steuerung/hmi geschützt wird.
z.b. http://www.process-informatik.de/produkte/s7-firewall&mt=1
das hab ich zwar noch nicht getestet, hört sich für mich aber recht gut an.
@norustnotrust:
Zu deinem Statement hab ich oben schon was geschrieben. Ich bin des Öfteren in Foren unterwegs und weiß, wie schnell es da mit enthusiastischen Vorschlägen und eben so starker Kritik bis hin zu Spott hin und her geht (wobei hier von Spott nicht die Rede ist, aber das gibt es auch häufig genug).
Zu deiner Frage, da kann ich mich leider wieder nur wiederholen. Es muss doch eine Möglichkeit geben, vorher zu definieren, was Sollwerte für bestimmte Geräte sind. Wenn die SPS irgendein Gerät im Netzwerk anspricht und Sollwerte übermittelt, dass muss es mindestens ein FDL Telegramm verschicken. Darüber kann ich die Adresse filtern und weiß genau, wer wen anspricht. Nun kann entweder jemand vorher das Überwachungssystem einmalig so eingestellt haben, dass für dieses Gerät klar ist, in welcher Situation welche Werte erwartet werden oder noch besser (utopische Vorstellung) die Hersteller der Geräte würden so einen Ansatz selbst unterstützen.
Mal ein genaueres Beispiel (hoffe dass es ungefähr so tatsächlich funktionieren könnte):
Eine SPS steuert einen Greifarm oder ähnliches, der automatisiert nach links fährt, einen Gegenstand von einem Fließband nimmt, nach rechts fährt und den Gegenstand fallen lässt. In dem Moment in dem der Arm nach links fährt, sendet die SPS natürlich völlig einzigartige Signale. Vorher könnte aber eine kleine Ergänzung im Konvertierungsmodul (welches die roh mitgeschnittenen Daten parst und in Pakete umwandelt) kurz vermerken, in welchem Status sich das Gerät befindet (0=nach links, 1=greifen, etc). Das Analysemodul könnte darauf reagieren und Stichproben entsprechend dem Status einzeln verwalten. Wenn dann der Arm 100 mal ordentlich nach links gefahren ist und beim 101. Mal schneller fährt oder nur die Hälfte des Weges zurücklegt würde die Software das (sofern sich das im Datenverkehr zeigt) mitbekommen.
Liebe Grüße und einen schönen Abend,
Alex
Hallo zusammen,
wir hatten schon vor Jahren solche Anfragen. Es ging immer um; wie schon hier mehrmals gesagt; Plausibiltaetspruefung der Prozesswerte, sowie Unterbindung eines evtl. Zugriffes von aussen und (schlimmer) Manipulation des Programms bzw. des Datenstroms. PLT ist auch anfaellig, es musste der direkte PROFIBUS Telegrammverkehr ueberwacht werden.
Es gab interessante Diskussionen. Z.B. Werteaenderung ala Stuxnet; Store and Forward fuer PROFIBUS war auch ein Thema.
Selbstlernende neuronale Netze, die die Prozesszustaende (Ausgangswerte!) auf Gueltigkeit pruefen.
Also nicht so weit hergeholt, das Thema. Auch viel Prozessknowhow steckt evtl. im SPS Programm.
Vg
Tim
Plausibiltaetspruefung der Prozesswerte, sowie Unterbindung eines evtl. Zugriffes von aussen und (schlimmer) Manipulation des Programms bzw. des Datenstroms. PLT ist auch anfaellig, es musste der direkte PROFIBUS Telegrammverkehr ueberwacht werden.
Es gab interessante Diskussionen. Z.B. Werteaenderung ala Stuxnet; Store and Forward fuer PROFIBUS war auch ein Thema.
Selbstlernende neuronale Netze, die die Prozesszustaende (Ausgangswerte!) auf Gueltigkeit pruefen.
Wir reden da aber von zwei verschiedenen Paar Schuhen. Wenn ich auf Basis eines selbstlernenden Systems versuche ein Model meines Anlagenverhaltens zu erlernen dann wäre das ein Ansatz der theoretisch funktionieren könnte. Allerdings auch nur dann wenn zusätzlich zu den Profibus Daten auch die inneren Zustände der SPS (Alle SPS Variablen) erfasst werden. Denn kann kann ich erkennen ob sich die Anlage jetzt anders verhält weil sie z.B. im manuellen Betrieb, andere Sollwert hat oder was auch immer (die inneren Zustände von denen ich gesprochen habe). Das Thema dürfte dennoch ausreichend schwierig sein um einige Doktoranten damit zu beschäftigen aber machbar.
Der Plan hier ist aber STATISTISCH ausschließlich aus dem PB Daten abweichendes Verhalten zu indentifizieren und ich sehe schon in der Theorie kein Licht dafür (mal von den praktischen Problemen abgesehen).
Zusätzlich stellt sich für mich mittlerweile auch die Frage: Was tue ich wenn ich einen Fehler bemerke? Wenn der Virus das Ziel hat meine Anlag zu zerstören dann wird das bei 99% der Anlagen durchführbarsein bevor jemand auf den Alarm adäquat reagieren kann.
Zum ersten Teil Zustimmung, wurde meine ich auch realisiert, aber nur lesend (OPC meine ich mich erinnern zu koennen). Studienarbeit.
Zum zweiten Teil, auch Zustimmung. Delay (dann ja PROFIBUS) wird in Kauf genommen. Ohne extra Massnahmen (Hardware) keine Chance zu unterbinden; nur melden. Traffic muss sofort unterbrochen werden bzw. Slave muss mit alten Werten weiterversorgt werden. Wie ein PA Koppler das macht. Also Hardware Loesung. Machbar in Kombinatio0n mit 1.
VG
Tim
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?