Stuxnet Einstellungen

[cons]

Das könnte historisch der erste Fall sein, in dem ein Computerschädling direkt
als Waffe oder zur Sabotage eingesetzt werden sollte. Der Wurm befällt industrielle
Steuerungen (WinCC/PC7 von Siemens) und ist in der Lage, Steuerprozesse direkt zu
manipulieren.

Symantec und Kaspersky gehen davon aus, dass Stuxnet nicht von einer
Cybercrime-Gang entwickelt worden sein kann. Finanzieller Aufwand, Komplexität
und Vorgehensweise sprechen dagegen.

http://www.infoworld.com/print/137598

The Stuxnet worm is a "groundbreaking" piece of malware so devious in its use of
unpatched vulnerabilities, so sophisticated in its multipronged approach, that the
security researchers who tore it apart believe it may be the work of state-backed
professionals.

Der Wurm nutzt fünf verschiedene Sicherheitslücken, darunter vier bisher
unbekannte Zero-Day-Exploits. Die Entwickler haben zwei elektronische Zertifikate
von unverdächtigen Hardwareherstellern gestohlen und müssen Zugang zu den Siemens
Steuerungen gehabt haben. Der Wurm befällt selektiv nur Steuerungsrechner.
Windows-PCs auf denen die Siemens-Software nicht installiert ist, werden nicht
infiziert.

Es gibt Vermutungen (oder Verschwörungstheorien), die dahinter den israelischen
Geheimdienst sehen, um iranische Nuklearanlagen zu sabotieren.

Die mit Abstand höchste Zahl von Infektionen kommmt laut Symantec aus dem Iran.
Für den Bushehr Nuklearkomplex gibt es von Siemens eine eigene Softwareversion.
Im analysierten Objektcode wurde der String b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb
gefunden. Myrte hat Bedeutung im alten Testament und in der jüdischen Mythologie.

Der Beitrag wurde von cons bearbeitet: 18. Sep 2010, 15:52

[Wirbelschlepper]

Außer mit häufigen Vorkommen im Iran (was sich mit wenigen Experten die viele Maschinen in eher restriktiv zugänglichen Netzwerken warten erklären lässt) gibt es aber keine Hinweise auf die "Nuklearprogramm Theorie". Die S7-Familie ist eine, wenn nicht die, verbreitetste Steuerungsarchitektur für Automatisierungen im letzten Jahrzehnt.

Der Beitrag wurde von Wirbelschlepper bearbeitet: 23. Sep 2010, 18:16

[LeoOffz]

Außer mit häufigen Vorkommen im Iran (was sich mit wenigen Experten die viele Maschinen in eher restriktiv zugänglichen Netzwerken warten erklären lässt) gibt es aber keine Hinweise auf die "Nuklearprogramm Theorie". Die S7-Familie ist eine, wenn nicht die, verbreitetste Steuerungsarchitektur für Automatisierungen im letzten Jahrzehnt.

Eben - und der Iran ist guter Siemens Kunde der hier einige Arbeitsplätze unterstützt. S7 hat aber so ziemlich jeder Industriebetrieb.

Abgesehen davon - als ITler bin ich froh das so etwas endlich mal bekannt wird. Ich flippe fast aus wenn dieser oder jener Manager meint er müsse jede Drehbank an das Internet hängen. VÖLLIGE TRENNUNG ist da angesagt. Diese Steuerungen sind nicht virenfest zu machen und gehören isoliert.

Und welcher Idiot hat eigentlich Windows für die PZH 2000 Feuerleitanlage eingeführt. Wenn der Feind halbwegs clever ist kriegt das Ding im Ernstfall keinen Schuss los.

[Kreuz As]

Ich flippe fast aus wenn dieser oder jener Manager meint er müsse jede Drehbank an das Internet hängen. VÖLLIGE TRENNUNG ist da angesagt.

Wer macht denn sowas??

[tommy1808]

Ich flippe fast aus wenn dieser oder jener Manager meint er müsse jede Drehbank an das Internet hängen. VÖLLIGE TRENNUNG ist da angesagt.

Wer macht denn sowas??

viele, Stichwort "Fernwartung". Der "gute" Maschinenbauer unterscheidet sich eigentlich nur dadurch ob er die Fernwartungsfunktion direkt mit in den Steuerrechner einbaut, dafür einen separaten Rechner vorsieht und/oder die Fernwartungsfunktion nur über ein eigenes physikalisches oder wenigstens logisches Netz an das Internet angeschlossen wird.

Viel größere Probleme beim zwanghaften "alles vernetzten" in der Werkhalle entstehen dadurch, dass industrielle Steuerrechner und automatische Updates nicht so gut zusammen passen. Bei uns werden Rechner nach wie vor häufig mit Windows XP Pro SP1 oder 2 bestellt. Mit SP3+KBxxxxx ist die Steuersoftware nicht validiert und freigegeben....

Und ich habe noch den Vorteil in einem IT Teilbereich zu arbeiten in dem sorgfältige Validierung, Redundanzen, Revisionskontrolle etc. pp. bei den meisten Verantwortlichen noch positiv besetzte Begriffe sind. In meinem früheren Leben als Admin in einer Büroumgebung sah das noch anders aus.

Wer nicht mit Industrie IT zu tun kann sich nicht vorstellen wie altmodisch (und damit virenemfänglich) die EDV Landschaft in einer Werkhalle sein kann. Letztes Jahr haben wir die letzten Rechner mit 386sx CPUs verkauft (40MHz), das Jahr davor die letzten mit Windows 3.11. Und ich rede nicht von Gebrauchtware.

Gruß
Thomas

Der Beitrag wurde von tommy1808 bearbeitet: 23. Sep 2010, 20:42

[Kreuz As]

viele, Stichwort "Fernwartung". Der "gute" Maschinenbauer unterscheidet sich eigentlich nur dadurch ob er die Fernwartungsfunktion direkt mit in den Steuerrechner einbaut, dafür einen separaten Rechner vorsieht und/oder die Fernwartungsfunktion nur über ein eigenes physikalisches oder wenigstens logisches Netz an das Internet angeschlossen wird.

Gibts bei uns grundsätzlich nicht. Aus genau den oben angeführten Gründen.