Security-Lösung für S7-300/400-Steuerungen und kompatible

Beiträge
140
Reaktionspunkte
9
Zuviel Werbung?
-> Hier kostenlos registrieren
Mit der mbSECBOX präsentiert MB Connect Line eine neue
Security-Lösung. Diese erkennt Schadsoftware wie Stuxnet
und andere Manipulationen auf S7-Steuerungen unmittelbar
und alarmiert den Betreiber, bevor ein Schaden entsteht.

Die weit verbreiteten S7-300/400-Steuerungen bieten selbst
keine Schutzmechanismen gegen das Eindringen von Viren
und Malware. Klassische Methoden von Virenscannern mit
Mustererkennung funktionieren hier nicht. Die mbSECBOX
arbeitet daher nach dem Prinzip der Positivliste.

MB_Schema_mbSECBOX_SMS_E-Mail.jpg

Im ersten Schritt wird ein sogenanntes Referenzbackup erstellt.
Hier werden der komplette Programmspeicher (OB, FC, FB, DB,
SFC, SFB, SDB), die Bestellnummer und die Seriennummer aus
der SPS ausgelesen und im Speicher abgelegt. Anhand dieser
Referenzdaten überwacht das Gerät den statischen Speicher-
bereich von S7-300- und S7-400-Steuerungen kontinuierlich. Die
Programmbausteine werden in einem vom Anwender festgelegten
Intervall gelesen und mit dem Referenzbackup verglichen.

Bei Änderungen der Programmdaten wird der Verantwortliche
je nach Einstellung per E-Mail oder SMS alarmiert oder es wird
ein Ausgang gesetzt, der eine Warnleuchte oder Sirene aktiviert.

mbSECBOX-300dpi-mdh874.jpg

Manipulationen durch Malware und Viren werden ebenso erkannt
wie Änderungen am Steuerungsprogramm, die »mal kurz« in der
Nachtschicht durchgeführt wurden. Die Anbindung an die
Steuerung erfolgt per MPI-/Profibus oder über Ethernet. Aus
Sicherheitsgründen ist ein Zugriff über das Firmennetzwerk
oder Internet nicht möglich.


Weitere Informationen finden Sie hier:

http://mbconnectline.com/index.php/de/produkte/mbsecbox
 
Wenn ich jetzt richtig gelesen habe, dann garantieren sie, dass es nicht möglich mit dieser "Blackbox" eingebaut, das Programm unbemerkt zu ändern? :confused:
Wer will eine PLC Programm andern? :rolleyes:
Wenn es sinnvoll ist in einen Fertigungsprozess einzugreifen, doch nicht bei den einzelnen PLC, sondern es ist doch einfacher und effektiver das Leitsystem zu manipulieren.

Ich habe immer wieder Bauchschmerzen, wenn mir so etwas präsentiert wird.
Es werden handy mit Spyware ausgeliefert.
Wer mir erklärt, es gibt eine 100% sicherer Verbindung im Internet gibt, der kennt sich vermutlich nicht mit der Realität aus.

"Ein Programm mit mehr als 10 Zeilen, ist nicht mehr garantiert 100% fehlerfrei" (nicht von mir, aber vom Prof an der Uni)

Die CPU nicht ans Internet anschließen und man kann auch diese Box schwarz lassen.

Nix für ungut


bike
 
Zuviel Werbung?
-> Hier kostenlos registrieren
@Bike

Stuxnet wurde per USB-Stick auf das PG gebracht - und hat dann die S7-Online Kommunikation auf die SPS "mitgenutzt" um Änderungen durchzuführen - sowas fällt dir nicht
auf wenn du keinen Bausteinvergleich an der schon-10-Wochen-nix-drann-gemacht-SPS machst die dann aber plötzlich doch Änderungen aufweist :)

Und jetzt sag mir nicht das du regelmäßig von Hand deine Bausteine auf Veraenderungen prüfst

und noch mehr Öl rein - mit VersionDog würde das auch auffallen :)
 
Zuletzt bearbeitet:
und noch mehr Öl rein - mit VersionDog würde das auch auffallen :)

Solange das Programm nicht S7online als Schnittstelle verwendet.
Einer der Tricks bei Stuxnet war es, die dll der S7online-Schnittstelle auszutauschen und durch die Modifikation die geänderten Bausteine vor dem Benutzer zu verstecken. Mit genügend krimineller Energie lässt sich bestimmt auch live der TCP/IP-Datenstrom analysieren und modifizieren, um dann beispielsweise bei einer Abfrage der Bausteinliste die ungewünschten Bausteine auszublenden.
Man muss bedenken dass bei Stuxnet kriminelle Staaten mit quasi unendlichen finanziellen Möglichkeiten dahinterstecken. Die lassen sich von so einem Kästchen nicht beeindrucken.

Für den Anwendungsfall um Programmänderungen von mehr oder weniger legalen Benutzern zu protokollieren, ist das Teil aber sicher eine interessante Lösung.
 
und noch mehr Öl rein - mit VersionDog würde das auch auffallen :smile:

Liegt nicht da der Fehler?
Warum in Gottesnamen muss an einer laufenden Maschine oder Anlage immer wieder Änderungen durchführt werden?
Und warum müssen die Steuerungen ans Internet angeschlossen sein?
Die Rechner und Steuerungen sollen produzieren und nicht eine email losschicken, wenn das Kühlwasser leer wird.

In Braunschweig und Wolfsburg wird mit dem von dir genannten Produkt gearbeitet.
Also funktionieren tut das nicht wirklich und ist nach unserer Erfahrung nicht wirklich die Lösung für die Änderungswut der Kunden.
Organisation kann das Problem auch ohne teure Produkte lösen.

Ich habe aus Erfahrung nach einer Garantie gefragt.

@Thomas: es geht nicht nur immer um kriminelle Energie. Wenn jemand Schaden zufügen möchte und genug Geld und somit Manpower vorhanden ist, dann geht alles, denke ich.

Frage an alle:
Hat schon jemand erlebt, dass von außen von Unbekannten Änderungen an einem PLC Programm gemacht wurden?


bike
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Eine Änderung muss ja nicht unbedingt von außen oder mit Absicht gemacht werden. Wenn man sich z.B. über MPI direkt an eine CPU anstöpselt, kann es auch mal vorkommen dass man aus Versehen ein falsches Programm / Baustein lädt, wenn die SPS die gleiche MPI-Adresse hat. Das ist mir zumindest schonmal vorgekommen als ich etwas gepennt hab. Aber über TCP/IP ist das doch eher unwahrscheinlich geworden.

Ich kenne einen Kunden bei dem es Vorgabe ist, dass bei Steuerungen mit RUN und RUN-P Schlüsselschalter dieser nach abgeschlossenen Programmierarbeiten auf RUN zu stellen ist - ohne Umgehungsmöglichkeit durch ein Passwort. Leider haben die neuen Steuerungen die Möglichkeit nicht mehr, ich finde die Vorgehensweise aber recht sinnvoll.
 
@Thomas: Klar so kenne ich es auch.

Mich überfordert einfach, wenn immer wieder das Ei des Columbus verkauft wird.
Die wenigsten Kunden können mit dieser Technik etwas anfangen und die Sinnhaftigkeit bewerten.
Dann kommt ein Einkäufer bestellt das, es wird eingebaut und was ist wenn dann etwas schief läuft?

Ein Erlebnis als Beispiel:
Vor knapp 2 Monaten "durfte" ich nach Chile fliegen, da eine Fertigung von einem französischen Autobauer zusammengebrochen war.
Die Ursache war, dass aus Paris auf alle Steuerungen und den Leitrechnern zugegriffen wurde.
Vermutlich war der Rotwein oder das Wetter schlecht und es wurden fatale Änderungen gemacht.

Was hilft gegen die Bediener und die Instandhalter? Bzw muss gegen diese Kollegen wirklich ein Überwachungssystem aufgebaut werden?
Wenn etwas schief läuft, eine Anfrage nach Fort Meade stellen und alles wird gut.


bike
 
@Bike

...

und noch mehr Öl rein - mit VersionDog würde das auch auffallen :smile:

...
In Braunschweig und Wolfsburg wird mit dem von dir genannten Produkt gearbeitet.
Also funktionieren tut das nicht wirklich und ist nach unserer Erfahrung nicht wirklich die Lösung für die Änderungswut der Kunden.
...

Anscheinend hast Du daraus nichts gelernt:

http://www.sps-forum.de/stammtisch/...-und-deren-vertrieb-zu-hassen.html#post491990
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ein Erlebnis als Beispiel:
Vor knapp 2 Monaten "durfte" ich nach Chile fliegen, da eine Fertigung von einem französischen Autobauer zusammengebrochen war.
Die Ursache war, dass aus Paris auf alle Steuerungen und den Leitrechnern zugegriffen wurde.
Vermutlich war der Rotwein oder das Wetter schlecht und es wurden fatale Änderungen gemacht.

bike

Jetzt habe ich verstanden. Wenn die Kunden ihre Anlagen
mit VersionDog, mit der mbSecbox oder anderen Tools
im Griff hätten, kämst Du nicht mehr zu Deinen Fernreisen.
 
Wenn ich jetzt richtig gelesen habe, dann garantieren sie, dass es nicht möglich mit dieser "Blackbox" eingebaut, das Programm unbemerkt zu ändern? :confused:
...

Wie schon geschrieben wurde, 100% Sicherheit gibt
es leider nicht.

Die mbSECBOX ist direkt mit der S7-300/400 verbunden
und überwacht die Steuerung auf der untersten Ebene
permanent.

Im Idealfall ergänzt sie ein bestehendes Security-Konzept.
 
Mit der mbSECBOX präsentiert MB Connect Line eine neue
Security-Lösung. Diese erkennt Schadsoftware wie Stuxnet
und andere Manipulationen auf S7-Steuerungen unmittelbar
und alarmiert den Betreiber, bevor ein Schaden entsteht.
[...]
Aus Sicherheitsgründen ist ein Zugriff über das Firmennetzwerk
oder Internet nicht möglich.
Ja ne, is klar. Beeindruckendes Werbe-Blabla :ROFLMAO:

Fakt ist:
  • Das Kästchen kann Manipulationen der SPS nicht verhindern. Es kann auch keinen Schaden verhindern.
  • Es kann nicht garantieren, daß es jede Manipulation erkennen wird. Manipulationen an der SPS-Firmware werden z.B. garnicht erkannt.
    Weitere Manipulationen können von der Box unerkannt realisiert werden z.B. der Austausch eines übergeordneten Profibus- oder Profinet-Masters oder Prozessleitsystems oder gar der überwachten SPS selber. Oder der Austausch eines DB im Ladespeicher.
    Was soll die Überwachung von DB bringen? Das funktioniert erstens nicht und zweitens kann das Kästchen wohl kaum bemerken, wenn sich die Anlage mit total ungeeigneten Rezepturen kaputtfährt.
    Außerdem wird es zum Kaputtfahren der Anlage oft gar nicht nötig sein, das überwachte SPS-Anwenderprogramm zu manipulieren. Die SPS-Programme sind oft selber schlecht genug, so daß ein geeigneter Daten-"Schubs" schon reicht...
  • Selbst wenn die Box eine ungeschickte "Manipulation" erkennt, dann ist nicht sicher, ob es denn überhaupt irgendjemanden darüber informieren kann.

Die mbSECBOX ist direkt mit der S7-300/400 verbunden
und überwacht die Steuerung auf der untersten Ebene
permanent.
Anhand der Wortwahl aus dem Standard-Worthülsen-Baukasten kann man die Zielgruppe erkennen:
da sollen Einkäufer zum Geld-ausgeben animiert werden, für etwas, wovon sie absolut keine Ahnung haben.
Und das Beste: Jede SPS braucht seine eigene Box "Es können pro Gerät immer nur die Daten einer SPS gesichert werden."

Die "direkte Verbindung" und "permanente Überwachung" ist nur scheinbar. Auch diese Box kann "beschissen" werden.

Im Idealfall ergänzt sie ein bestehendes Security-Konzept.
Ohne ein funktionierendes Security-Konzept hat auch dieses Kästchen kaum eine Chance. Es kann bestenfalls eine Ergänzung gegen allzu stupide Störer sein.


@Gerhard Bäurle
Deine (MB-solidarische?) Hetze gegen bike passt hier irgendwie gar nicht zum Thema

Harald
 
Zuviel Werbung?
-> Hier kostenlos registrieren
PN/DP hat völlig recht.

Die weit verbreiteten S7-300/400-Steuerungen bieten selbst
keine Schutzmechanismen gegen das Eindringen von Viren
und Malware
,weshalb alle weiteren Maßnahmen (egal welcher Hersteller, Siemens inklusive) in Soft- und Hardware nichts weiter als Kosmetik sind.

Die S7 Kommunikation liegt offen auf der Leitung. Anstelle der SPS kann ein Angreifer eine plausible (vorher aufgezeichnetet) Antwort auf den Vergleich liefern.

Gegen die Nachtschicht hilft das vermutlich, sonst eher nicht.
 
Hallo MB-Connect,

die Box hört sich interessant an. Insb. regelmäßige Backups und autom. Vergleiche können nicht schaden.
Zu meinen Vorrednern sei gesagt, dass es über IT-Security immer 1000 verschiedene und vor allem hitzige Meinungen gibt.

2 Fragen habe ich:
a) Wird angestrebt, die Box auch für mehrere SPSn einsetzbar zu machen? Evtl. als Lizenz freischaltbar? Könnte mir vorstellen, bei einem unserer Kunden ca. 20 SPSn zu überwachen.
Ich könnte aber nicht ca. 20 Secboxen platzieren...

b) Listenpreis für eine Box?

Danke u. Gruß,
Flinn
 
Zurück
Oben