News Stuxnet war nur der Anfang

heikosch

Grand Admiral Special
Mitglied seit
06.02.2008
Beiträge
4.700
Renomée
2.096
Standort
Hagenow
  • BOINC Pentathlon 2011
Vor einiger Zeit berichteten wir über Stuxnet, einen Virus, der Speicherprogrammierbare Steuerungen (SPS) manipulieren und somit weitreichende Schäden anrichten konnte. Publik wurde dieser durch die Einschleusung in iranische Fabriken, wo man Uran anreicherte. Die Prozesse wurden so manipuliert, dass die Endprodukte qualitativ schlechter wurden, so hieß es. Der Angriff machte aber einen entscheidenden Punkt klar: Industrieanlagen sind nicht nur Ziel von Hackern, sie werden als eben jenes auch populärer. Ein Ausfall in einem Kraftwerk und nicht nur die Haushalte, sondern auch die gesamte Wirtschaft steht. Die Abhängigkeit vom Strom ist unbestreitbar. Ein Mitarbeiter der amerikanischen Sicherheitsfirma NSS Labs hat nun eine Möglichkeit gefunden, direkt auf die Steuerungen zuzugreifen.

<center><a href="http://www.planet3dnow.de/photoplog/index.php?n=16108"><img src="http://www.planet3dnow.de/photoplog/images/49616/1_nss_monkeys_338.jpg" border="1" alt="NSS_Monkeys"></a>
<b>Bildquelle:</b> computerworld</center>
Stuxnet nutzte seinerzeit die Lücke, dass die SPS in einem Netzwerk mit Windows-PCs arbeiten und so ihre Befehle erhalten. Dillon Beresford, der die Lücke entdeckte, hat sich dabei die wohl bekannteste Serie von SPSen vorgenommen: Siemens S7. Diese steuern weltweit zehntausende Fabriken. Schieber in Chemiebetrieben, Generatoren in Kraftwerken... die Palette der Einsatzzwecke ist schlichtweg unendlich. Auf einer Präsentation im Zuge der Black Hat Hackerkonferenz in Las Vegas sprach Dillon Beresford über seine Ergebnisse und hat sogar eine komplette Open-Source-Software geschrieben, mit der es jedem möglich wäre, auf einfachste Art in die Steuerungen einzudringen und diese zu manipulieren. Fertige Module sollen die Bedienung untergliedern und erleichtern. Dabei sind alle Formen des Eingriffs möglich. Trotz Passwortschutz von Seiten der Techniker können Daten im Speicher gelesen und geschrieben werden. Im Falle von fertigenden Betrieben könnten somit theoretisch alle Prozessschritte nachvollzogen werden. Der Nachbau wäre so ein Leichtes. In der S7 300 fand der Hacker eine von Siemens-Entwicklern zurückgelassene Konsole, die den Zugriff erst möglich macht. Nach einigem Probieren soll es Dillon Beresford dann gelungen sein, einen Benutzernamen und ein Passwort herauszufinden, dass ihm weitere Schritte erlaubte. Tanzende Äffchen als Easter Egg in der Firmware beweisen zwar den Humor der Siemens-Mitarbeiter, aber anhand der Brisanz einer solchen Lücke dürfte wohl einigen das Lachen vergehen.
Im engen Kreis zeigte der Hacker, wie die S7 300 durch seine Software abgeschaltet wird. Anwesende Vertreter des Heimatschutzes der USA wollten keinen Kommentar abgeben, sollen aber die Vorgänge mit Interesse verfolgt haben. Dillon Beresford kündigte an, seine Ergebnisse mit einer 6-Monats-Frist zu veröffentlichen. In dieser Zeit sollen Siemens und die betreffenden Unternehmen ihre Anlagen einem Update unterziehen. Dabei besteht nur ein Problem, denn das Abschalten eines Kraftwerkes für einen Tag zu Gunsten eines Updates kann in den USA schnell eine Million US-Dollar kosten. Wer trägt diese Kosten? Ralph Langner, ein Kollege von Dillon Beresford, glaubt nicht daran, dass alle Unternehmen reagieren werden. Er rät seinem Kollegen auch, seine Arbeit nicht zu veröffentlichen. Dieser ist aber der Meinung, dass er nur das publiziert, was insgeheim schon andere bereits wissen. Beresfords Meinung nach ist seine Arbeit keine Meisterleistung. Jeder durchschnittliche Mensch dort draußen mit den wichtigsten Grundkenntnissen könnte ähnliches erreichen.
Man darf gespannt sein, welche Wellen diese Entwicklung schlägt. Sie offenbart katastrophale Zustände.

<b>Quelle:</b> <a href="http://www.computerworld.com/s/article/9218892/A_power_plant_hack_that_anybody_could_use?taxonomyId=17&pageNumber=1" target="b">computerworld - A power plant hack that anybody could use</a>

<b>Links zum Thema:</b>
<ul><li><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1311022738">Toshiba ebenfalls Opfer einer Hacker-Attacke</a></li><li><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1309604382">Microsoft mit Schnüffeltechnik für Skype?</a></li>
<li><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?category=1&id=1290540969" target="b">Neuer Artikel: Das Leiben und Leben des Computerwurms Stuxnet</a></li></ul>
 
Kann ja noch interessant werden....
 
wäre es da für die betreiber nicht einfacher die SPSen nur dann ans netz anzuschließen wenn die steuerungssoftware geändert wird? - wenn ich mich recht erinnere, wird doch das steuerprogramm z.b. in Step 7 zusammengestellt und dann auf die SPS geladen, die hat also eigenen speicher.
Wozu ständig kontakt zum Rechner halten? *noahnung*
 
Ich kenne das so aus der Fertigung, dass du zum Beispiel automatisierten Fräsmaschinen problemlos Änderungen schicken kannst. Das sind entweder Tempoänderungen für Spindeln oder auch mal ganz neue Modelle. Dafür ist halt das Netzwerk da. Ein infiziertes Gerät im Netzwerk reicht aus, um es zu verteilen. Da gab es mal einen schönen Werbespot von Cisco, dass eine Firewall einer Firma ja gut was bringt, wenn der Angriff von außen kommt, aber nicht wenn ein Gerät intern etwas verteilt.
 
Dennoch stellt sich die Frage, ob das Intra mit dem Internet verbunden sein muss. Mein Dad als Maschinenbauer baut solche Anlagen, unter anderem mit besagter Steuerung.


Damit werden hier aus Köln auch in Holland die Maschinen wieder neugestartet und mit neuer Software versorgt, wenn nötig. Dennoch sollte man den direkten Anschluss ans Web der Sicherheit wegen einsparen, und Verbindungen über das Firmengelände hinaus über einen VPN Tunnel oder sowas anstellen, mit gutem Wille kann man auch solche Dinge sicher hinbekommen....
 
Dann geht einmal ein Firmennotebook auf eine Messe, ein anderer bringt einen USB-Stick mit usw usw.... und ratzfatz ist ein Virus im Intranet. Siemens scheint sich lange Zeit nicht mit diesem Problem beschäftigt zu haben.
 
Dabei besteht nur ein Problem, denn das Abschalten eines Kraftwerkes für einen Tag zu Gunsten eines Updates kann in den USA schnell eine Million US-Dollar kosten.
Und wenn nichts unternommen wird, und die Lücke offenbleibt und sich dann Kriminelle daran zu schaffen machen, wird es richtig teuer. Und wer trägt dann die Kosten? Die gesamte Wirtschaft bzw. letztlich jeder Bürger. Hier spielt man mit Wahrscheinlichkeiten: entweder Lücke stopfen und in jedem Fall Kosten haben, oder Lücke offen lassen und hoffen, nicht zahlen zu müssen, wenn keiner einsteigt. Klar, "Never touch a running system" ist auch schon zu oft missverstanden worden, wie Benedikt Stockebrand bereits 2003 schrieb.

Er rät seinem Kollegen auch, seine Arbeit nicht zu veröffentlichen.
Mit welcher Begründung? Ist Totschweigen besser? Security by Obscurity hat noch nie (gut) funktioniert, auf keinen Fall auf Dauer.

Bitte nicht falsch verstehen, Heiko, ich kritisiere nicht dich, sondern den Inhalt.

MfG Dalai
 
Der Grund steht in der Quelle mit drin... bloß alles noch einmal aufzukochen, ist mir auch immer zu viel. Bei Computerworld kann es manchmal vorkommen, dass die Texte über mehrere Seiten gehen. :)
Ralph Langner beschreibt es so, dass mit der Veröffentlichung jedem ein komplettes Tool in die Hand gegeben wird. Damit könnte jeder Normalo hohe Schäden anrichten.
 
Aber es ist ja richtig: Wenn was funktioniert, dann werden es auch andere rausfinden, und bestimmt dauert das nicht lange. Ohne Veröffentlichung wäre die Motivation der Firmen für Gegenmaßnahmen nicht so hoch. Am besten ist wirklich diese Vorwarnzeit, machen andere bei z.B. Windows-Lücken ja auch so.
 
Vor kurzem gab es doch die news Schadsoftware per manipulierter USB Maus einzuschleusen, auch nett^^
 
Hallo

Zitat von heikosch :
Ich kenne das so aus der Fertigung, dass du zum Beispiel automatisierten Fräsmaschinen problemlos Änderungen schicken kannst. Das sind entweder Tempoänderungen für Spindeln oder auch mal ganz neue Modelle. Dafür ist halt das Netzwerk da. Ein infiziertes Gerät im Netzwerk reicht aus, um es zu verteilen. Da gab es mal einen schönen Werbespot von Cisco, dass eine Firewall einer Firma ja gut was bringt, wenn der Angriff von außen kommt, aber nicht wenn ein Gerät intern etwas verteilt.

Bei unsere Produktionsanlage hängen über 1000 SPS an einem Bus, und das ganze auch nochmal an ein SAP System verbunden, da will ich gar nicht weiter über Einzelheiten nachdenken...

Es wäre bestimmt gut zu wissen ob das ganze auch Hersteller von SPS wie Kloeckner-Moeller, Alen Bradley oder Mitsubishi betrifft.

MfG
RedBaron
 
Aber es ist ja richtig: Wenn was funktioniert, dann werden es auch andere rausfinden, und bestimmt dauert das nicht lange. Ohne Veröffentlichung wäre die Motivation der Firmen für Gegenmaßnahmen nicht so hoch. Am besten ist wirklich diese Vorwarnzeit, machen andere bei z.B. Windows-Lücken ja auch so.

Ich habe neulich von einem Fall gelesen, wo eine Firma einen Hacker wegen Erpressung verklagt hat, weil er angekündigt hat seine Arbeit zu veröffentlichen. Ich glaub sein Fehler an der Sache war, dass er dem Hersteller angeboten hatte bei dem Problem zu helfen, für Geld vermutlich. Der Hersteller hat hingegen Argumentiert, dass seine Kunden nicht unbedingt alle Updates einspielen und somit auch mit einem Update der Software mit entsprechendem Fix, eine Gefahr für das Unternehmen bestünde. Es ist also aktuell echt schwierig jemanden auf einen Fehler hinzuweisen, wenn man Angst haben muss verklagt zu werden.
 
Ralph Langner beschreibt es so, dass mit der Veröffentlichung jedem ein komplettes Tool in die Hand gegeben wird. Damit könnte jeder Normalo hohe Schäden anrichten.
OK, sowas ist Dynamit, wie in der Quelle zu lesen ist. Eine ungepatchte (und entdeckte/bekannte) Lücke ist eine tickende Zeitbombe. Was ist nun besser? Ich sage: keins von beiden. Die Lücke muss entfernt werden, und zwar möglichst zeitnah, Punkt aus. Vielleicht braucht man andere Konzepte für die Softwareentwicklung, um solche Fehler gar nicht erst entstehen zu lassen.

MfG Dalai
 
Zurück
Oben Unten