# Stuxnet-(WinCC) Wurm kann Industrieanlagen steuern



## DennisBerger (16 September 2010)

> US-Medienberichten zufolge hat der in Zusammenhang mit der LNK-Lücke bekannt gewordene Stuxnet-Wurm weltweit 14 Industrieanlagen in den USA, Südkorea, UK und dem Iran befallen, auf denen die zur Anlagensteuerung eingesetzte SCADA-Software WinCC von Siemens läuft. Stuxnet ist speziell darauf ausgerichtet, Systeme mit dieser Software zu manipulieren. Laut Symantec ist der Wurm sogar in der Lage, die etwa zur Pumpen- oder Ventilsteuerung vor Ort eingesetzten speicherprogrammierbaren Steuerungen (SPS) über das WinCC-System zu infizieren.
> 
> Der Analyse zufolge kann Stuxnet einzelne Codeblöcke in den SPS gegen neue austauschen oder hinzufügen – insgesamt soll er 70 solcher (verschlüsselter) Blöcke mitbringen, um neue Funktionen zu implementieren. Der Schädling macht sich sogar die Mühe, seine Manipulationen auf der SPS zu verschleiern: Ruft ein WinCC-Anwender die Codeblöcke ab, so sollen die vom Wurm hinzugefügten Blöcke des Wurms nicht sichbar sein. Symantec spricht in diesem Zusammenhang vom weltweit ersten bekannten Rootkit für SPS.
> Stuxnet agiert allerdings nicht autonom, vielmehr verschafft er seinen Schöpfern einen Fernzugriff auf WinCC-Systeme, die dann einzelne SPS selektieren und deren Verhalten ändern können. Unklar ist bislang aber, welche Funktionen der neue Code enthält und ob er nur zur Überwachung durch gegnerische Kräfte dient oder gar Störungen verursachen soll. Symantec erwähnt in seinem Blog einen historischen Fall, bei dem durch eine trojanisierte Ventilsteuerung der Druck in einer Pipeline bis zum Bersten erhöht worden sein soll. Selbst wenn Anlagenbetreiber ihre WincCC-Systeme vom Stuxnet-Wurm gesäubert haben, können Teile der speicherprogrammierbaren Steuerung noch betroffen sein.
> ...


 
vollständiger artikel:
http://www.heise.de/newsticker/meldung/Stuxnet-Wurm-kann-Industrieanlagen-steuern-1080584.html


----------



## Lipperlandstern (16 September 2010)

Ist das das selbe Ding was schon vor ein paar Wochen hier rumgeisterte oder einen Neues Insekt ?


----------



## DennisBerger (16 September 2010)

keine ahnung was vor ein wochen hier rumgeisterte, die suche nach wurm oder stuxnet fand keine treffer, deshalb gepostet,
auch weil es neue erkenntnisse gibt zu dem wurm (z.b. steuern von Anlagen usw)


----------



## derwestermann (16 September 2010)

Weia.......ich dachte das wäre ein Hoax, wirkt aber ganz schön echt.

Na toll....Das Ding kann doch nur von Rockwell, Schneider, oder Fanuc sein.


----------



## Unimog-HeizeR (16 September 2010)

Tja, der schrei nach Profinet, wlan und Ethernet...
Wie sicher war und ist doch Profibus...

Gruß
Timo


----------



## Thomas_v2.1 (16 September 2010)

Wobei der Begriff "Rootkit für SPS" schon etwas irreführend ist. Vor allem da nicht erwähnt wird um welche Steuerungstypen es sich handelt soll.

Geht man bei WinCC mal davon aus dass es sich um S7 Steuerungen handelt, heißt es für mich, der Wurm installiert eine Art Tunnel um externen Programmierern Zugriff auf die internen SPS zu geben.
Oder der Wurm schiebt seine mitgelieferten Bausteine in die SPS, dessen Adressen er über das WinCC-Projekt herausfinden kann.
Wobei es ohne Kenntnis des aktuellen Online-Projektes über ein automatisches Skript schon eines gehörigen Aufwandes benötigt, um eigene Bausteine in das Programm einzubauen ohne dass das die Steuerung in Stop geht.
Und etwas anderes als etwas kaputt machen kann ich ohne Kenntnis der Funktion der Steuerung auch nicht, aber vielleicht ist das ja auch der Gedanke bei der Sache (Stichwort Terrorismus).

In dem im heise Artikel verlinkten Artikel von Symantec:

http://www.symantec.com/connect/de/blogs/stuxnet-introduces-first-known-rootkit-scada-devices

steht auch noch, dass diese Bausteine für den normalen Bediener nicht sichtbar sein sollen.
Da frage ich mich, wie das bei einer S7 funktionieren soll. Mit den bekannten Mitteln ist das soweit ich weiß nicht möglich.
Also entweder es handelt sich um andere Steuerungstypen als S7, oder die Hacker haben irgendeine Lücke im SPS Betriebssystem entdeckt, oder kennen irgendwelche Backdoors aus Siemens internas die man für sowas nutzen kann.


----------



## mariob (16 September 2010)

*Welche Systeme sind betroffen?*

Hallo,
hier:
http://www.heise.de/newsticker/meldung/Stuxnet-Wurm-kann-Industrieanlagen-steuern-1080584.html

Sind das S7 Spsen, die befallen werden oder (auch) andere? Klingt irgendwie weit hergeholt....

Gruß
Mario


----------



## Ralle (16 September 2010)

Na ja steht ja alles im Artikel. Das haben die Wurm-Progger aber wirklich tiefere Kenntnisse bewiesen, SPS-Code austauschen in einer S7, das fällt ja schon vielen SPS-Programierern schwer.  Ja waldy, viele Grüße auch an dich!   Wenn sowas in ein AKW gerät, dann gute Nacht ...

PS: @mariob
Hab die Themen mal zusammengelegt.


----------



## Verkohlte Leiche (16 September 2010)

Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm

Der Schädling hängt sich in den S7-Stack 'rein und stellt anhand von DB890 sicher, dass er an der richtigen S7-Projektierung hängt. Ein Wert im DB890 wird manipuliert (vermutlich für Handbetrieb) sowie OB35 (Bausteinende unter bestimmten Bedingungen statt Ablauf wie projektiert). Der Projekteur erkennt nichts, wenn sein PG verseucht ist (Stuxnet manipuliert ebenfalls die Leseoperationen), daher nennt man es Rootkit.

Laut Verschwörungstheoretikern ist es ein Sabotageangriff von Geheimdiensten auf den Bushehr-AKW in Iran. Der Aufwand des Angriffs wird auf über 1M$ geschätzt, da mehrere 0-day Windows-Exploits sowie insider-Wissen über die angegriffene Anlagen benutzt wurden.


----------



## Ralle (16 September 2010)

Verkohlte Leiche schrieb:


> Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm
> 
> Der Schädling hängt sich in den S7-Stack 'rein und stellt anhand von DB890 sicher, dass er an der richtigen S7-Projektierung hängt. Ein Wert im DB890 wird manipuliert (vermutlich für Handbetrieb) sowie OB35 (Bausteinende unter bestimmten Bedingungen statt Ablauf wie projektiert). Der Projekteur erkennt nichts, wenn sein PG verseucht ist (Stuxnet manipuliert ebenfalls die Leseoperationen), daher nennt man es Rootkit.
> 
> Laut Verschwörungstheoretikern ist es ein Sabotageangriff von Geheimdiensten auf den Bushehr-AKW in Iran. Der Aufwand des Angriffs wird auf über 1M$ geschätzt, da mehrere 0-day Windows-Exploits sowie insider-Wissen über die angegriffene Anlagen benutzt wurden.



Wobei ich diese Meldung (ungültige License auf WinCC-Server) auch kenne und zwar von einem WinCC-Server mit korrekter License. Wir mußten die damals mit Siemens per Telefon reparieren. Da es so leicht ist, Siemens-Licensen zu kopieren, glaube ich kaum, daß Iraner, die ein AKW bauen bzw. Uran anreichern, dazu zu dämlich sind. Aber der Rest ist schon sehr spannend.


----------



## Thomas_v2.1 (16 September 2010)

Verkohlte Leiche schrieb:


> Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm



Danke für den Link. Das ist ja mal Futter für die Verschwörungstheoretiker.

Aber was seh' ich, da hat mein Wireshark-Plugin für das S7-Protokoll wohl bei der Diagnose geholfen. Im Video das es auf der Langner Seite gibt ist es in Aktion zu sehen 

Bin ja echt drauf und dran mir den Stuxnet-Wurm auch mal "einzufangen". Und ich wundere mich schon immer, wieso mein Virenscanner gerne mal die Programme aus dem Siemens Ordner in Quarantäne verschiebt...


----------



## MeisterLampe81 (16 September 2010)

Ralle schrieb:


> Wenn sowas in ein AKW gerät, dann gute Nacht ...




Ich hoffe, das die im AKW sowieso keine S7 oder Siemenssteuerungen einsetzten (was aber wohl utopisch sein dürfte). Hoffentlich haben die da nur die geheimen 317FFFFFFFFFFFFFFFF eingesetzt...


gruß
MeisterLampe81


----------



## Ralle (16 September 2010)

Thomas_v2.1 schrieb:


> Danke für den Link. Das ist ja mal Futter für die Verschwörungstheoretiker.
> 
> Aber was seh' ich, da hat mein Wireshark-Plugin für das S7-Protokoll wohl bei der Diagnose geholfen. Im Video das es auf der Langner Seite gibt ist es in Aktion zu sehen
> 
> Bin ja echt drauf und dran mir den Stuxnet-Wurm auch mal "einzufangen". Und ich wundere mich schon immer, wieso mein Virenscanner gerne mal die Programme aus dem Siemens Ordner in Quarantäne verschiebt...



Ja, es steht ja auch drin, daß der Herr Langner das entdeckt hat und in einem Nebensatz steht dann was von einem Team im Labor. So ist das im Leben, das weißt du ja sicher auch schon, den Ruhm sammeln oft nicht die ein, die ihn wirklich verdient haben. Aber nichts gegen o.g. Person, ich hab da auch nicht wirklich bessere Informationen, ob er das alleine oder im Team geleistet hat. Das Ergebnis kann sich immerhin sehen lassen und wenn das wahr ist, dann ist das schon ein dickes Ding. Ein AKW geziehlt in Gefahr bringen, so was nenne ich mal Geheimdienstterror, denn aus einer anderen Ecke käme das ehe nicht, bei den Infos, die nötig sind.


----------



## DennisBerger (17 September 2010)

weitere neuigkeiten:


> *Stuxnet in deutschen Industrieanlagen*
> http://sps-foren.de/newsticker/meldung/Stuxnet-in-deutschen-Industrieanlagen-1081413.html?view=audio
> Nach Angaben von Siemens hat der Stuxnet-Wurm auch Industrieanlagen in Deutschland befallen. Rund ein Drittel der 15 dem Hersteller bekannten Infektionen in Anlagen entfallen laut Wieland Simon, Pressesprecher von Siemens, auf deutsche Anlagen in der Prozessindustrie. Siemens-eigene Anlagen sollen nicht betroffen sein.
> 
> Siemens bestätigte, dass Stuxnet laut eigener Analysen theoretisch in der Lage ist, speicherprogrammierbare Steuerungen (SPS) zu manipulieren. Allerdings habe man dieses Verhalten bislang nicht in der Praxis beobachtet. Laut Simon untersucht Stuxnet die Konfiguration eines befallenen WinCC- oder PC7-Systems auf vorhandene Datenbausteine. Findet er die gewünschten, so wird er aktiv und modifiziert den Code in den Steuerungen. Findet er sie nicht, bleibt er inaktiv. Offenbar ist der Wurm auf der Suche nach bestimmten Anlagentypen, um sie zu manipulieren. Angaben dazu, welche Typen betroffen sind, machte Siemens nicht. Konzernangaben zufolge wurde noch kein System beobachtet, auf dem er aktiv wurde.


 
kompletter artikel:
http://www.heise.de/newsticker/meldung/Stuxnet-in-deutschen-Industrieanlagen-1081413.html


----------



## Thomas_v2.1 (17 September 2010)

Ob der Wurm wohl auch so schlau ist, ein ggf. vergebenes CPU Passwort aus dem Offline-Projekt auszulesen um sich damit in die CPU einzuloggen?
Bei dem Aufwand der dort betrieben wurde, muss man sich schon fast 100% sicher sein dass der Wurm auch unter allen Umständen funktioniert.

Bei Großanlagen mit vielen CPUs im Netzwerk würde ich zumindest meine Steuerung schon aus Prinzip mit einem Passwort versehen, damit nicht aus Versehen ein anderer Programmierer seine Bausteine in meine SPS schiebt.
Auch wenn der Passwortschutz bei der S7 nicht sonderlich toll ist, weil einmal das Passwort im Offline-Projekt gespeichert wird (müsste meiner Meinung nach beim Übertragen der HW-Konfig nur einmalig abgefragt werden) und es sich durch Abhören des Netzwerkverkehrs bei PG-Betrieb herausfinden lässt.

Wer hat denn schonmal nachgesehen ob seine Steuerungen einen DB890 mit "HNS" enthalten?


----------



## MSB (17 September 2010)

Ob wir es je erfahren werden, auf welche Art Anlagen es Stuxnet abgesehen hat?
Es scheint ja wirklich so, als ob Stuxnet trotz einer relativ großen Verbreitung,
bisher keinerlei (öffentlich bekannt gewordenen) Schaden angerichtet hat.

Entweder ist das irgend ein branchenspezifisches System von Siemens, ala SPPA o.ä.,
oder wirklich Anlagen einer bestimmten Firma, bei denen der besagte DB890 mit dem CHARS HNDS am Anfang einen Art Standard darstellt.

Mfg
Manuel


----------



## DennisBerger (17 September 2010)

hier die siemens support seite dazu mit einem Tool zum erkennen und entfernen und einem Simatic security update:
http://support.automation.siemens.c...lib.csinfo&lang=de&objid=43876783&caller=viewhttp://support.automation.siemens.c...lib.csinfo&lang=en&objid=43876783&caller=view


----------



## DennisBerger (17 September 2010)

hab das das tool mal ausprobiert...funktioniert nicht
es fehlt eine datei die man bei trendmikro runterladen soll.

die gibt es hier:
http://www.trendmicro.com/download/viruspattern.asp


----------



## DennisBerger (17 September 2010)

interessant und gut finde ich folgende kommentare bei heise.de zu diesem thema:



> *Kollision von Internetzeitalter und Jungsteinzeit *
> 
> _Graf von Monte Carlo_ (54 Beiträge seit 05.06.10)
> Man muss leider sehen dass in sehr großen Bereichen die
> ...


 

und diese antwort:



> Sicherheit?
> Früher, in der analog-manuellen Zeit konnte (mußte) jeder
> diensthabende Mechaniker den Drehregler etwas auf- oder zudrehen,
> wenn er am Manometer sah, daß der Zeiger etwas über oder unter der
> ...


 

und diese hier



> *Re: Kollision von Internetzeitalter und Jungsteinzeit *
> 
> _Chonhulio_ (mehr als 1000 Beiträge seit 25.08.00)
> Ja, die unendliche Geschichte.
> ...


 
und irgendwie kommt mir das alles sehr bekannt vor..

netzwerk..alle daten müssen online sein, maschinen daten erfassung, remote zugriff usw

völlständige diskussion
http://www.heise.de/security/news/f...Jungsteinzeit/forum-186004/msg-19153162/read/
sehr lesenswert


----------



## Unimog-HeizeR (17 September 2010)

Unimog-HeizeR schrieb:


> Tja, der schrei nach Profinet, wlan und Ethernet...
> Wie sicher war und ist doch Profibus...
> 
> Gruß
> Timo



@Dennis Berger:
Genau das, was die da geschrieben haben, wollte ich mit meinen zwei abgebrochenen sätzen sagen... 
Einfach nur schön zu lesen das ganze! 

Gruß
Timo


----------



## Verkohlte Leiche (17 September 2010)

Unimog-HeizeR schrieb:


> Tja, der schrei nach Profinet, wlan und Ethernet...
> Wie sicher war und ist doch Profibus...


Schmarrn, der Angriff auf SPS läuft unabhängig vom Medium. Und zum WinCC-Server-Befall wird ein USB-Stick benutzt, unter Ausnutzung mindestens einer bis dato nicht bekannten Windows-Lücke.


----------



## LowLevelMahn (18 September 2010)

Verkohlte Leiche schrieb:


> Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm



gestern hab ich mir die Seite angeschau und nur gedacht: was für eine unnötig reißerisch Presseseite mit so gut wie keinen sinnvollen Detailinfos. 
Der Disassemblerauszug ist definitv nichtssagend (ja - auch für x86 Assemblerkenner) 
und das Strukturbild zeigt keine hardcore Hackertechniken (was sollen mir die Wireshark da, und das Debugger hier sagen?)

leider sind die beiden Bilder seit heute morgen nicht mehr auf der Seite vorhanden - hat die irgendwer noch wo - irgendwie schade

und wer hat das Ding jetzt wirklich entdeckt?

btw: ich hab echt darauf gewartet das sowas passiert - bei Siemens ist alles offen wie ein Scheunentor (letzte Woche noch mit einem Bekannten gespäßelt)
was mich auch noch beunruhig ist der Sinumerik-Bereich - das NCK-Protokoll ist auch nicht besondern "abgesichert"


----------



## Thomas_v2.1 (18 September 2010)

LowLevelMahn schrieb:


> gestern hab ich mir die Seite angeschau und nur gedacht: was für eine unnötig reißerisch Presseseite mit so gut wie keinen sinnvollen Detailinfos.
> Der Disassemblerauszug ist definitv nichtssagend (ja - auch für x86 Assemblerkenner)
> und das Strukturbild zeigt keine hardcore Hackertechniken (was sollen mir die Wireshark da, und das Debugger hier sagen?)



In dem Wireshark Log kann man nur sehen, dass ein Rechner andauernd versucht den DB890 herunterzuladen. Im Nachhinein finde ich das etwas seltsam, weil an anderer Stelle steht dass der Wurm Daten aus dem DB890 abfragt um nachzuprüfen ob er sich aktivieren soll oder nicht 
Die Filterbedingungen sind allerdings auch so gesetzt dass man anderen Verkehr nicht sehen kann.



LowLevelMahn schrieb:


> leider sind die beiden Bilder seit heute morgen nicht mehr auf der Seite vorhanden - hat die irgendwer noch wo - irgendwie schade



Ein freigegebenes Verzeichnis-browsen ist doch immer eine schöne Sache:

http://www.langner.com/files/stux/


----------



## LowLevelMahn (18 September 2010)

*leider leider*

aber das Strukturbild ist leider nicht mehr da 

und das Video kannte ich noch gar nicht ~freude~


----------



## Thomas_v2.1 (18 September 2010)

LowLevelMahn schrieb:


> aber das Strukturbild ist leider nicht mehr da
> 
> und das Video kannte ich noch gar nicht ~freude~



Aber das Strukturbild ist noch im Google Cache 

Für welche Funktionen ist die s7otbxdx.dll denn zuständig? Es scheinen ja alle SPS Zugriffe über Funktionen aus dieser Bibliothek zu laufen.

Edit:
Hier gibt es einige Informationen zu Funktionen die in der dll ausgetauscht wurden
http://findingsfromthefield.com/?p=480#more-480
Artikel ist von 3. August, also ist wohl schon länger bekannt was da läuft.


----------



## LowLevelMahn (18 September 2010)

*danke für das Bild*

die s7otbxdx.dll ist ein Aufsatz für die s7onlinx.dll - so ne Art Highlevel Schnittstelle

ich hab zu meiner s7onlinx.dll-Tracer-Zeiten auch dafür mal einen Tracer
angefangen aber leider keine Applikation gehabt die direkt damit kommunizieren wollte (war nur im Sinumerik-Bereich unterwegs)


----------



## funkdoc (20 September 2010)

hi 

also ich lach mir grad ein bisschen ins fäustchen...

ey leute was isn das für ein schmarrn, und das bringen die so rüber als würde das der virus schlechthin sein.

siemens sagt dass erst *ein bekannter fall* aufgetreten sei.
äusserst ominös auch die geschichte dass sich der wurm per usb stick verbreitet (?).
glaubt mir, das tut sich heutzutage kein mensch an, einen virus zu coden, der sich nur über einen wechseldatendräger verbreitet, is doch bockmist. ausserdem muss ein wurm ausgeführt werden, was per autorun.ini auf einem usb stick zwar vorstellbar ist, aber aufgrund der erhöhten aufmerksamkeit der heutigen antivirensoftware bei wechseldatenträgern nicht mehr realisierbar ist, vorausgesetzt man hat eine.

wenn dieser wurm wirklich existiert, müsste da schon länkst das BKA am werkeln sein. ich war einige zeit in der verkehrsleittechnik beschäftigt, und muss euch beichten dass dort für die verkehrsbeeinflussung S7 300er cpu's verwendet werden. siemens müsste eigentlich sofort seine "sensiblen" kunden darüber informieren. aber angriffe auf so ein verkehrsleitsystem würden nicht per wurm stattfinden, der dann auch noch so programmiert wird dass er sich auch noch verbreitet, sondern finden direkt per netzwerk zb. von einer ip aus russland statt.

ich glaube daher dass siemens eine "sicherheits offensive" einleiten will.

oder den wurm gibts wirklich, aber dann war das nur ein fall bei einer firma, wo vllt ein gegangenwordener exmitarbeiter sich einen backdoor offen lassen wollte um eventuell schaden anzurichten.

wie auch immer, ich hab keinen virus gefunden.
wie siehts bei euch aus?


----------



## Verkohlte Leiche (20 September 2010)

haha,

[ ] du hast Ahnung

Schon mal was von der LNK-Lücke gehört? Damit genügt ein Einstecken des Sticks, dann wird ein Treiber installiert (signiert mit einem geklauten RealTek-Schlüssel) und der Windows-Rechner ist pwned. Antivirensoftware dreht währendessen Däumchen, weil keine passenden Signaturen da (wird ja nicht häufig aktualisiert und außerdem ist der Schädling zu neu) und kein auffälliges Verhalten vorliegt.

Es ist auch nicht das Ziel eines spezialisierten Spionage/Sabotage-Wurms, sich unkontrolliert zu verbreiten, weil er dann eher auffallen würde.

Und dein Leitsystem sollte so eingerichtet sein (Firewall mit VPN), dass es von einer _IP aus Russland_ nicht erreichbar ist.

Ein frustrierter Arbeitsloser wäre finanziell nicht dazu in der Lage, so einen Angriff zu fahren.


----------



## funkdoc (20 September 2010)

ok, über die LNK lücke wusste ich nicht noch bescheid, ist ja auch ziemlich neu (06/2010).



> Es ist auch nicht das Ziel eines spezialisierten  Spionage/Sabotage-Wurms, sich unkontrolliert zu verbreiten, weil er dann  eher auffallen würde.


ja eben, das sehe ich auch so *zweifelzweifel*



> Und dein Leitsystem sollte so eingerichtet sein (Firewall mit VPN), dass es von einer _IP aus Russland_ nicht erreichbar ist.


schon mal was von ip spoofing oder DNS hacks gehört.
die ip die man benötigt eignet man sich an. eine durchschnittliche firmen IT ist aber gegen sowas abgesichert.



> Ein frustrierter Arbeitsloser wäre finanziell nicht dazu in der Lage, so einen Angriff zu fahren.


warum nicht? der finanzielle faktor spielt dabei doch keine rolle

grüsse


----------



## Perfektionist (20 September 2010)

funkdoc schrieb:


> glaubt mir, das tut sich heutzutage kein mensch an, einen virus zu coden, der sich nur über einen wechseldatendräger verbreitet, is doch bockmist. ausserdem muss ein wurm ausgeführt werden, was per autorun.ini auf einem usb stick zwar vorstellbar ist, aber aufgrund der erhöhten aufmerksamkeit der heutigen antivirensoftware bei wechseldatenträgern nicht mehr realisierbar ist, vorausgesetzt man hat eine.


So ein Ding ist neulich bis zu mir vorgedrungen. Meine Antivierensoftware (visus) hat das Ding zwar sofort entdeckt - aber konnte nicht verhindern, dass das Ding auf meinen und den Chefrechner kletterte. Aber kaum einen Monat später desinfizierte Microsoft das Tierchen (mir blieb derweil nur beobachten wegen IBN, MS war dann schneller). Aber nu ist Schluss mit autorun.inf. Seit V5.5 werkelt Win7. Und das führt keine autoruns mehr von Sticks her aus.

Fazit: die Antivirus-Landschaft um S7 herum ist löchrig. Und ich verlasse mich auch nur auf mein Gespür (und gelegentliche Probe-Scans). Und es gibt genügend Leute, die weder Antivirussoftware noch das notwendige Gespür haben und somit Würmer durchkommen, die eigentlich ja garnicht durchkommen dürften.


----------



## funkdoc (21 September 2010)

aha... und du glaubst dir das ding per stick iergendwo eingefangen zu haben?


----------



## Verkohlte Leiche (21 September 2010)

funkdoc schrieb:


> ip spoofing oder DNS hacks


das frisst der VPN-Tunnel zum Früstück, macht ihm sonst nichts aus.





funkdoc schrieb:


> der finanzielle faktor spielt dabei doch keine rolle


Na wenn du dir einen Wurm für eine siebenstellige Summe aus der Portokasse leisten kannst, dann ... solltest du trotzdem nicht von sich auf andere schließen .


----------



## funkdoc (21 September 2010)

der vpn tunnel frisst gar nix. der ist mit 128 bit oder sonst was verschlüsselt aber wer sagt den das der angriff über einen vpn tunnel reinkommt. der kommt eher über die konventionellen kanäle wie zb. port 80. oder wenns ein professioneller angriff ist über die microsoft dienste.

ich glaub ich muss mir den film "23- die illuminati" wieder mal anschauen

gute nacht


----------



## Perfektionist (21 September 2010)

funkdoc schrieb:


> aha... und du glaubst dir das ding per stick iergendwo eingefangen zu haben?


Ich konnte den letzten Stick-Kontakt nachvollziehen und hab das Ding sofort ertappt, als es auf meine Kamera weiterklettern wollte.


----------



## Flinn (21 September 2010)

Perfektionist schrieb:


> So ein Ding ist neulich bis zu mir vorgedrungen. Meine Antivierensoftware (visus) hat das Ding zwar sofort entdeckt - aber konnte nicht verhindern, dass das Ding auf meinen und den Chefrechner kletterte. Aber kaum einen Monat später desinfizierte Microsoft das Tierchen (mir blieb derweil nur beobachten wegen IBN, MS war dann schneller). *Aber nu ist Schluss mit autorun.inf. Seit V5.5 werkelt Win7. Und das führt keine autoruns mehr von Sticks her aus.*
> 
> Fazit: die Antivirus-Landschaft um S7 herum ist löchrig. Und ich verlasse mich auch nur auf mein Gespür (und gelegentliche Probe-Scans). Und es gibt genügend Leute, die weder Antivirussoftware noch das notwendige Gespür haben und somit Würmer durchkommen, die eigentlich ja garnicht durchkommen dürften.


 
Wir nutzen XP. Und da haben wir schon seit Jahren die Autorun-Funktion (selbst) ausgeschaltet.

Gruß,
flinn


----------



## Perfektionist (21 September 2010)

Flinn schrieb:


> Wir nutzen XP. Und da haben wir schon seit Jahren die Autorun-Funktion (*selbst*) ausgeschaltet.


Bin ich dafür zuständig, die Löcher in dem von mir benutzen Betriebssystem zu stopfen?

Klar: autorun abschalten ist eine kleine, effektive Maßnahme. Port sowieso in der Firewall zumauern auch. Aber wie viele, kleine, effektive Maßnahmen will man ergreifen? und wer wacht darüber, dass es nicht vergessen wird?

Da sehe ich doch MS ganz klar in der Pflicht - und habe den Eindruck, dass auch MS erkannt hat, dass man nicht auf die bösen Viren-Programmierer verweisen kann und auch noch vom Anwender verlangen kann, Antivirensoftware von Drittanbietern einsetzen zu müssen, wo doch das Problem nicht der Virus, sondern das löchrige Wirtssystem ist. Zumindest bei den Viren, die ohne das bewusst aktive Zutun des Anwenders ihr Unwesen treiben.


----------



## ain (22 September 2010)

Die FAZ hat zum Stuxnet einen schönen Artikel geschrieben:

http://www.faz.net/s/RubCEB3712D41B...2FBDEE07AF579E893C~ATpl~Ecommon~Scontent.html

Nicht so technisch aber inhaltlich schon interessant


----------



## Verkohlte Leiche (22 September 2010)

Weitere technische Details (in der unteren Hälfte) : http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-process


----------



## Thomas_v2.1 (22 September 2010)

Verkohlte Leiche schrieb:


> Weitere technische Details (in der unteren Hälfte) : http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-process



Respekt, alleine in der Entwicklung des SPS Codes und der Manipulation der Step7 Funktionen dürfte eine Menge Arbeit stecken. Außer man hat schon jemanden mit Kenntnis der ganzen Step7/S7 internas - aber wie im Heise-Forum jemand mal schrieb, wurden bei Siemens ja einige alteingediente Ingenieure mit entsprechendem Know-How vor die Tür gesetzt...vielleicht hat sich da der ein oder andere nochmal seine Rente aufgebessert.

Was mich an der Vorgehensweise mal interessiert:
Stand bei den Wurm-Entwicklern/Auftraggebern als erstes die Manipulation der Anlagen im Vordergrund, und wurde dann auf die Suche nach entsprechenden Sicherheitslücken in Windows gegangen um den Wurm auf das Zielsystem zu bekommen? Bei dringenden Fällen dürfte das eine schwierige Sache werden.
Oder liegen bei den entsprechenden Stellen solche Sicherheitslücken (vielleicht ja sogar gewollte) in der Schublade, und können bei entsprechdem Einsatzfall dann genutzt werden?


----------



## Verkohlte Leiche (22 September 2010)

Man braucht Spezialisten, die derartige Lücken finden können. Die wird man in der Regel nicht haben.
Außerdem findet man solche Lücken AFAIK nicht auf Bestellung, sondern mehr "forschungsmäßig".
Die Lücken werden dann an zahlungskräftige Kunden verkauft (über 100000€ soll so eine 0-day bringen, und sie hatten 4 Stück drin).


----------



## Thomas_v2.1 (22 September 2010)

Schon, aber ich spekuliere mir jetzt mal was aus dem FAZ Artikel oben zusammen...
[Verschwörungstheorie=ON]
Jemand hat Wind davon bekommen dass im Iran Urananreicherungsanlagen gebaut werden, und möchte den Wirkungsgrad der Anlage so verschlechtern dass kein waffenfähiges Uran hergestellt werden kann.

So eine Anlage baut sich zwar nicht in einem halben Jahr, aber trotzdem musste man hier schon recht kurzfristig handeln können.

Oder als der Step 7 / S7 Wurm fertig war, hätte man - falls keine Sicherheitslücke in Windows kurzfristig gefunden/gekauft werden konnte - zu Plan B gegriffen. 
Anscheinend hatte man eh physischen Zugriff auf die Anlagen, sonst hätte man keinen USB-Stick stecken können. Und somit hätte man die Software eben anderweitig installieren können (Doppelklick stuxnet.exe oder so).
[Verschwörungstheorie=OFF]


----------



## MW (25 September 2010)

Mittlerweile scheint das Thema auch zu den Fernsehsendern durchgedrungen zusein 

ARD

N24


----------



## funkdoc (26 September 2010)

ohne jetzt die wirkweise dieses wurms vollständig zu kennen, behaupte ich dass es der gefährlichste virus aller zeiten ist.
da hat sich wer mühe gegeben.

ok mittlerweile schliess ich auch aus, dass den irgend ein hacker programmiert hat. ich glaub man kann sogar die siemens konkurrenz hier ausschliessen.

grüsse


----------



## Perfektionist (26 September 2010)

funkdoc schrieb:


> ... der gefährlichste virus aller zeiten ist.
> da hat sich wer mühe gegeben.


Cui Bono?
Hat der, der sich da Mühe gab, Maßnahmen ergriffen, dass der Wurm sich nicht gegen ihn selbst richtet? nicht irgend ein Frickler das Ding missbraucht und somit auch dem Urheber schadet?


----------



## MeisterLampe81 (26 September 2010)

http://computer.t-online.de/iran-be...urch-stuxnet-auf-atomanlage/id_42959162/index


gruß
MeisterLampe81


----------



## Cerberus (27 September 2010)

Nun also doch auch AKWs betroffen:

http://www.zeit.de/digital/2010-09/iran-stuxnet-trojaner


----------



## Zottel (27 September 2010)

Laut Beschreibung verbirgt der Virus ja den manipulierten SPS-Code dadurch, daß er die Kommunikations-DLL austauscht und die neue DLL zeigt dann wohl die entsprechenden Bausteine einfach nicht mehr an bzw. zeigt die vorige Version modifizierter Bausteine an.
Wenn man wissen will, was in der Steuerung steht, kann man auch Libnodave nehmen, um die Bausteine auszulesen. Diese Funktion ist allerdings fehlerbehaft; sie funktioniert nicht bei langen Inhaltsverzeichnissen, langen Bausteinen, hohen Nummern.
Bislang sah ich keine große Notwendigkeit, das in Ordnung zu bringen, jetzt habe ich mich da mal drangesetzt. Das angehängte Archiv enthält die Programme
rdoutISO.exe und rdoutIBH.exe.

Verwendung: Auf der Kommandozeile starten mit: rdoutISO.exe <IP>
Diese Programme lesen alle Bausteine aus der SPS und schreiben sie als einzelne Dateien (FCxxx.mc7) auf die Platte.
Was fehlt ist ein Diassembler, der den Code wieder lesbar macht :-(


----------



## vierlagig (27 September 2010)

Zottel schrieb:


> Was fehlt ist ein Diassembler, der den Code wieder lesbar macht :-(



hat da der Jochen Kühner nich was zu gemacht?

übrigens:
laut DLF soll der Wurm bisher zu 80% Anlagen im Iran befallen, wird also offiziell als Angriff auf die Atompolitik des Iran gewertet ... naja ... sicher nachzulesen auf dradio.de


----------



## Zottel (27 September 2010)

vierlagig schrieb:


> laut DLF soll der Wurm bisher zu 80% Anlagen im Iran befallen, wird also offiziell als Angriff auf die Atompolitik des Iran gewertet ... naja ... sicher nachzulesen auf dradio.de


Dem Iran will ich ganz bestimmt nicht helfen! Aber ich denke das tue ich auch nicht. Seit dem Moment wo sie von der Existenz wissen, werden sie verdächtige Anlagen eh abschalten oder händisch fahren oder was auch immer.


----------



## 101074 (27 September 2010)

*Piratenflagge gehisst*

Es mutet schon etwas komisch an, wenn man die Presseveröffentlichung der Fa Langner aus Hamburg liest. Da wurden 3 „Zero Day Exploit“ verwendet, digitale Signaturen in Taiwan oder Korea gestohlen, 7 stellige Summen an Budget verwendet und hinterher winkt das Ding ganz infantil mit der Piratenfahne: Code „DEADF007“. Das passt nicht zusammen. Jedem der Vorredner wäre etwas Besseres eingefallen als den OB35 bedingt zu beenden.

Das erinnert schon ganz schön an „Independents Day“ als das Ufo infiziert wurde. Irgend etwas passt hier nicht. 


Gruss von Area 51 *ROFL*


----------



## IBFS (27 September 2010)

101074 schrieb:


> Es mutet schon etwas komisch an, wenn man die Presseveröffentlichung der Fa Langner aus Hamburg liest. Da wurden 3 „Zero Day Exploit“ verwendet, digitale Signaturen in Taiwan oder Korea gestohlen, 7 stellige Summen an Budget verwendet und hinterher winkt das Ding ganz infantil mit der Piratenfahne: Code „DEADF007“. Das passt nicht zusammen. Jedem der Vorredner wäre etwas Besseres eingefallen als den OB35 bedingt zu beenden.
> 
> Das erinnert schon ganz schön an „Independents Day“ als das Ufo infiziert wurde. Irgend etwas passt hier nicht.
> 
> Gruss von Area 51 *ROFL*


 
@101074
*Registriert seit: 17.10.2008 --- **Beiträge: 1 *

... interessanter Beitrag, und das als erstes Post solange Zeit nach der Registrierung. 


Frank


----------



## van (27 September 2010)

Fefe und Frank haben einen Podcast zum Stuxnet Virus gemacht
http://www.alternativlos.org/5/

Frank ist der Autor des FAZ Artikels
http://frank.geekheim.de/

Und Fefe ist der Typ von 
http://blog.fefe.de/


----------



## TobiasA (27 September 2010)

Die Verbreitungsart und die Vorgehensweise (USB-Stick, nur 417'er und 315-2 CPU's) spricht eigentlich für ein bestimmtes Ziel. So wie ich gelesen habe, wird er auch nur aktiv, wenn man die entsprechenden FC's geladen hat. Schon komisch, das Teil... Dann würde es auch Sinn machen, nur den OB35 zu beenden. Bei uns würden in so einem Fall u.U. ganz komische Sachen beim Werkzeugwechsel passieren. Wahrscheinlich war das schon auf bestimmte Anlagen gemünzt.

Aber wisst ihr was? Das Teil ist mir sowas von bums- unsere Anlagen sind nicht vernetzt, wenn, dann kommt eh keiner auf die NCK oder PLC von dem Zugang aus drauf und mein PG hängt nur sehr sporadisch am Netz- nämlich alle zwei Wochen, um die Virendefinitionen neu zu laden. Die liebe IT sollte von den Automatisierungssachen die Finger lassen, wenn die das Teil in die Finger kriegen, machen die das nur wieder kaputt. Das letzte Mal hat man mir mit einer VM-Ware mein HMI abgeschossen.
Ich bin sowieso dagegen, immer ständig alles am Internet hängen zu haben. Sowas sollte nur bei Bedarf aufgebaut werden, sonst ist das Kabel am Besten ausgesteckt und zur Schlaufe gerollt... Aber bei größeren Anlagen und Prozessleitsystemen geht es halt oft nicht anders.

Das Problem mit der Infektion über USB-Sticks ist allerdings schon länger bekannt, deswegen scannen wir USB-Sticks, bevor die auf irgendeinen Rechner gesteckt werden, die mit irgendeinem wie auch immer geartetem Automatisierungssystem verbunden sind. Autorun ist beim PG deaktiviert, das geht da nicht. Und das aus gutem Grund.

Es ist wie mit der Sicherheit bei Industrieanlagen: Letztendlich hängt der Betreiber immer mit drin...

Gruß, Tobi


----------



## Matze001 (27 September 2010)

IBFS schrieb:


> @101074
> *Registriert seit: 17.10.2008 --- **Beiträge: 1 *
> 
> ... interessanter Beitrag, und das als erstes Post solange Zeit nach der Registrierung.
> ...



Wie der Wurm, seit Jahren bekannt und nun schlägt er zu *ROFL*

MfG

Marcel


----------



## Cerberus (28 September 2010)

Der etwas andere Stuxnet:

http://www.zeit.de/digital/internet/2010-09/obama-cryptowar


----------



## Markus Rupp (28 September 2010)

etz berichtet sogar der radio darüber das im iran die atomkraftwerke befallen werden

"verschwörung riech" 


hmmmm, das ganze gibts seid geraumer zeit für wago und saia auch schon, es sind halt nunmal keine wirklichen spsen mehr, sondern alles probitäre pc-systeme mit mehr oder minder offenen schnittstellen, siehe wago mit linux und saia mit cgi-bin


----------



## Andi888 (28 September 2010)

*zusammengefasst*

Wenn ich das alles richtig verstanden habe:

Für seinen Angriff nutzt Stuxnet die Step-7-Software. Step 7 verwendet eine Bibliothek namens s7otbxdx.dll, um mit der SPS zu kommunizieren. Das Virus benennt s7otbxdx.dll in s7otbxsx.dll um und ersetzt die Bibliothek durch eine eigene, mit deren Hilfe er die Kommunikation zwischen der Step7 und der SPS abfangen und manipulieren kann. Insgesamt umfasst s7otbxdx.dll 109 mögliche Exporte, von denen Stuxnet 93 schlicht und einfach auf die Original-DLL umleitet - sie funktionieren also wie gehabt. Die 16 verbleibenden Exporte dienen zum Lesen, Schreiben und Auffinden von Code-Blöcken in der SPS. Nach außen gibt das Virus die zu erwartenden Antworten, während er intern seine eigenen Ziele verfolgt.Der Virus implementiert seinen eigenen Funktionsblock in die Steuerung FC1865,FC1874, FC1876,FC1880 Diese werden dann über den OB35 (Organisationsbaustein) alle 100 ms aufgerufen. Diese FC prüfen, ob es sich um eine der folgenden Steuerungen handelt S7 315-2DP oder S7 417-3DP und ob der Datenbaustein DB888,DB891 vorhanden ist. Des weiteren überprüft das schadhafte SPS Programm die Struktur dieser DB's. Treffen diese Bedingungen zu wird der Virus aktiv und überschreibt die DB mit eigenen Werten und verändert alle 100 ms einen Vergleichs Akkumulator der zur Berechnung z.B.von PID Regeln verwendet wird. Durch das infizieren der Step7 Software werden die schadhaften FC in der SPS verschleiert so das sie nicht angezeigt werden.

(meine Einschätzung)
Durch die Veränderung in der SPS kommt es augenscheinlich zu keinem Fehler es wurde wahrscheinlich nur Auswirkungen auf das Endprodukt haben.(Das Produkt hätte ein Qualitäts- Problem) Durch die Verschleierung des SPS Codes kann dieses Problem in der Steuerung nicht identifiziert werden und (z.B.)ein PID Regler kann nie genau eingestellt werden.

(Quellen)
http://www.norman.com/security_center/virus_description_archive/85143/de
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,719654,00.html
http://www.symantec.com/connect/blogs/exploring-stuxnet-s-plc-infection-process
http://forum.au-ja.de/viewtopic.php?f=2&t=17838&p=56931
und natürlich das Forum


----------



## LowLevelMahn (29 September 2010)

*jetzt ist die Spitze erreicht*

aus dem Golem-Bericht "Ralph Langner im Interview"

http://www.golem.de/1009/78278.html




> ...Das gesamte Team hinter einem solchen Projekt schätzt Langner auf etwa  50 Personen. Den Schadcode für die Anlagen selbst könnten _"weltweit vielleicht 10 Leute entwickeln, und drei davon sitzen bei uns im Büro"_, sage der Security-Experte. Und weiter: _"Ich kann Ihnen aber versichern, wir waren's nicht!"_...


alleine für das Hijacking von WinCC und die entsprechenden Schadcodeübermittlung gibt es hier im Forum locker 5 Leute die das problemlos leisten könnten...fehlen noch 2 
wenn da nur nicht die Kosten für die 0day Exploits so hoch wären (da könnte man ja zusammenlegen)

 Die Frage bleibt: Warum soll jemand so viel Geld ausgeben, aber definitv nicht wirklich Schaden anrichten - er hat nur alle Pferde aufgeschreckt und jetzt herscht grosse Vorsicht -> ein zweiter Angriff wird da nicht leichter werden

hat jemand den Wurm/Trojaner auf Platte? Ich würde den auch gerne mal genauer betrachten...


----------



## Rainer Hönle (29 September 2010)

LowLevelMahn schrieb:


> aus dem Golem-Bericht "Ralph Langner im Interview"
> 
> http://www.golem.de/1009/78278.html
> 
> ...


Also ich halte die Aussage "weltweit vielleicht 10 Personen und 3 davon sitzen hier im Büro" für reine Wichtigtuerei. Nach meiner Einschätzung sind es wesentlich mehr als 10 Leute, die diese Technik beherrschen. Wie LLM schon schreibt, sind einige davon hier im Forum unterwegs. Und der Rest der Welt ist sicher auch nicht zu unterschätzen.


----------



## Murdok (29 September 2010)

10 Personen auf der ganzen Welt klar, S7-SPS werden ja auch nur jeder 2ten Anlage eingesetzt. Und wenn man genug Geld und einen großen Ehrgeiz hat das zu schaffen...
Ich finde es nicht so ungewöhnlich dass das jetzt mal passiert ist.
Ich war schon immer dagegen das Internet mit dem Maschinennetz zu verknüpfen, aber auf mich hört ja keiner


----------



## Markus Rupp (29 September 2010)

ich wills mal so sagen, systeme welche pc-basierenden zugriff auf technologien aller art haben, sind anfällig, egal ob das nun siemens wago oder ähnliches ist, gibt es diese probleme.

gerade wago mit seinen linux-gestützen plattformen sind an sich ein perfektes ziel für solche dinge, siemens auch, durch die einsatmasse.


ich finde es liegt in der natur der sache, und um ehrlich zu sein "10 menschen auf der welt die das können und drei hier im büro" ist wohl schwachsinn, soll ich nen entsprechenden virus schreiben??? kein problem, lege ihn zur freien verwendung im forum ab und geb sogar den sourcecode preis.


also ehrlich, macht mal langsam mit verschwörung und ehrgeiz und co.

alles humbuk und für die sache absolut natürlich das über kurz oder lang da solche dinge auftauchen


----------



## Rainer Hönle (29 September 2010)

Murdok schrieb:


> 10 Personen auf der ganzen Welt klar, S7-SPS werden ja auch nur jeder 2ten Anlage eingesetzt. Und wenn man genug Geld und einen großen Ehrgeiz hat das zu schaffen...
> Ich finde es nicht so ungewöhnlich dass das jetzt mal passiert ist.
> Ich war schon immer dagegen das Internet mit dem Maschinennetz zu verknüpfen, aber auf mich hört ja keiner


Es geht hier nicht um die S7-SPS sondern um das KnowHow, die S7-Software zu "infizieren". Und damit beschäftigen sich die wenigsten S7-Programmierer.


----------



## Proxy (30 September 2010)

Nur 10 Leute auf der Welt?
Naja das nenne ich mal untertrieben. Da gibts schon mehr Step 7 programmierer von Siemens, die jeden Tag neue sachen für ihre Software schreiben.
Nicht zu erwähnen Fremdhersteller wie VIPA die auf die Software ihre Hardware abstimmen.

Und eins hab ich in der letzten Zeit gelernt, wenn es ums "Cracken" geht, sind Russen und Chinesen ganz weit vorne dran. Also die haben auch das Wissen darüber.

Frage ist halt nur, wer will sowas machen von den 20000 Leuten die es können?


----------



## Cerberus (30 September 2010)

Proxy schrieb:


> Frage ist halt nur, wer will sowas machen von den 20000 Leuten die es können?


 
Solange die Bezahlung stimmt?!


----------



## waro-msr (1 Oktober 2010)

Wie genau "klettert" der Virus in einem Netzwerk?
Ich überlege ob eine Anlege mit einem Server (nur zugänglich für "ausgewähltes" Personal) und reiner Webnavigator Verwendung über die "Clients" infitiert werden kann.
Auf den Clients ist ja kein WinCC installiert ... also auch kein Futter für den Virus?


----------



## eYe (1 Oktober 2010)

> Auf einem Tisch stehen ein Laptop, eine schwarze Kiste und eine elektrische Luftpumpe, an der ein rosa Luftballon befestigt ist. Die Kiste stellt einen sogenannten Programmable Logic Controller (PLC) dar. Ein solches Gerät überwacht zum Beispiel die Schaltzentrale eines Atomreaktors. Es bekommt an verschiedenen Stellen Inputs, etwa über die Temperatur in einem Teil des Reaktors. Über die Outputs kann der PLC die Anlage steuern. Registriert er etwa einen Temperaturanstieg, kann er einen Output aktivieren, der ein Kühlaggregat in Gang setzt.



http://www.spiegel.de/netzwelt/netzpolitik/0,1518,720681,00.html


----------



## drfunfrock (1 Oktober 2010)

*Windows-Welt*

So manche Anklagen bzgl. Siemens sind etwas problematisch. Ich mag Siemens wegen meiner Erlebnisse und wegen meiner Vorurteile nicht :roll: aber die machen auch nur das, was allgemein üblich ist, nämlich die Kunden mit Tools beliefern, die auf Windows laufen. Man schaue mal zu Beckhoff  . 

Ich würde mir eigentlich eine SPS mit einem dafür gebauten OS wünschen, dass es möglich macht, erstmal alles überflüssige abzuschalten. So wie anno dazumal Sintran auf Rechnern von Norsk Data. Dort durfte man nur etwas, wenn es einem explizit erlaubt wurde. Linux ist übrigens daher auch keine Lösung. 

Und selbst wenn man SPS-PC und Entwickler-PC trennt, wer sagt denn, dass nicht schon das Projekt durch einen Virus manipuliert wird? Offenbar ist hier der Aufwand bei Stuxnet auch nicht zu verachten gewesen.


----------



## vierlagig (1 Oktober 2010)

ist das jetzt eine erfolgsmeldung? 

http://www.zdnet.de/news/wirtschaft...esische_rechner_story-39001024-41538568-1.htm


----------



## Markus Rupp (1 Oktober 2010)

*Verunsicherung wegen Gefahr des Virenbefalls von Automationssystemen - Stuxnet Virus                                                                                                                                              
*  Sehr geehrter Herr XXXXX,

in  der Tagesschau vom 28.09.2010.  in der Fachpresse und auch in der Website des Bundesamt für Sicherheit und Informationstechnik  wurde die Öffentlichkeit aktuell über die gravierenden Probleme  und  Risiken des Virenbefalls von Siemens Automationssystemen durch den  Stuxnet Virus informiert.  

Dies hat generell zur Verunsicherung auch bei unseren  Automatisierungskunden geführt. Aktuell haben wir verstärkt Anfragen  bezüglich der Situation bei SaiaPCD Automatisierungssystemen erhalten.  Mit dieser Information wollen wir nun in einer breiten Form darauf eingehen.

*1. Sind  auch Saia PCD Systeme betroffen ?* 
Nein.  Es gibt weder in der Vergangenheit noch aktuell bekannt ein  Virenbefall von SaiaPCD Systemen. Alle Anlagen laufen wie vorgesehen. 

*2.  Kann auch bei SaiaPCD-Steuerungen über Bediengeräte der Programmcode manipuliert werden?* 
  Nein.  Das Programm der Steuerungen selbst kann im laufenden Betrieb  über das Bediengerät nicht verändert werden.  Dazu ist eine spezielle  Programmiersoftware erforderlich, die nicht Teil des Saia Web-Panels ist.

*Aber Achtung:* Wenn das Bediengerät als Master über die  Steuerungungen konfiguriert ist, so ist der Eingriff auf die  Parameterdaten möglich. Deshalb ist Punkt 3 wichtig.  

*3 . Können SaiaPCD Web-Panels von Viren befallen werden?* 
Nur die Windows basierten Saia Webpanel sind realistisch gesehen  befallbar. Dies sind nur grosse Bedienpanel 12-15" die in relativ  kleinen Stückzahlen laufen.

  Saia-Burgess hat im Gegensatz zu Siemens bei den Panelreihen 3.5" bis  12" nicht auf Windows als Betriebsystem gesetzt.  Hier haben wir ein  dediziertes eigenes Betriebsystem, welches zu 100%  im eigenen Haus entwickelt wurde. Damit laufen 95% aller unserer  Bediengeräte. Fremdprogramme  (Viren)  können im laufenden Betrieb  praktisch nicht eingepflanzt werden.    

Siemens ist übrigens nicht der erste Automatisierer, der solche  gravierenden Probleme mit Viren bzw. Hackern hat. Nur sind die  bisherigen Fälle nicht so in den Medien präsent geworden. Allen diesen Problemfällen gemeinsam ist die zu enge Verknüpfung der Windowswelt mit  vitalen Automationsfunktionen.  

Für Rückfragen stehen wir Ihnen gerne zu Verfügung   

Mit freundlichen Grüßen

Saia-Burgess Controls GmbH & Co. KG




i.A. Stefan Pfützer
Leitung Vertrieb Deutschland


----------



## Markus Rupp (1 Oktober 2010)

jetzt weiß ich auch wieder warum die kollegen von areva nur s5 mit protool-pro einsetzen und die netze redundant, entkoppelt und im 24h-takt selbst-resetend sind !


----------



## Thomas_v2.1 (1 Oktober 2010)

Rupp schrieb:


> jetzt weiß ich auch wieder warum die kollegen von areva nur s5 mit protool-pro einsetzen und die netze redundant, entkoppelt und im 24h-takt selbst-resetend sind !



Warum denn? Was hat das mit S5 und Protool zu tun?

In diesem Fall kann man Windows nicht die alleinige Schuld geben, sondern dieses machte es den Hackern nur leichter. Bei dem Ehrgeiz der in diesem speziellen Fall an den Tag gelegt wurde, wären sicher auch in alternativen Betriebssystemen entsprechende Sicherheitslücken gefunden worden um eigenen Code einzuschleusen.
Und der Wurm wurde über USB-Sticks eingeschleust. Wenn jemand der ein System sabotieren will schon physischen Zugang zu den Rechnern besitzt, hilft auch das beste Betriebssystem nicht mehr viel.

Trotzdem sehe ich die weite Verbreitung von Windows in der Automatisierung (Soft-SPS wie WinAC oder Beckhoff) auch kritisch.


----------



## The Big B. (1 Oktober 2010)

Laut Bild (ich weiss man kann nicht immer alles glauben was die schreiben ) gibts jetzt von Microsoft n Patch was die Sicherheitslücke schließen soll.

http://www.bild.de/BILD/digital/int...er-wurm-israel/nach-iran-china-betroffen.html


----------



## vierlagig (1 Oktober 2010)

The Big B. schrieb:


> Laut Bild (ich weiss man kann nicht immer alles glauben was die schreiben ) gibts jetzt von Microsoft n Patch was die Sicherheitslücke schließen soll.
> 
> http://www.bild.de/BILD/digital/int...er-wurm-israel/nach-iran-china-betroffen.html




haben se fein abgeschrieben, und ja es gibt einen patch gegen eine von drei sicherheitslücken die genutzt werden und die microsoft vorher gar nicht kannte...


----------



## funkdoc (2 Oktober 2010)

> Trotzdem sehe ich die weite Verbreitung von Windows in der Automatisierung (Soft-SPS wie WinAC oder Beckhoff) auch kritisch.



ich versteh sowieso nicht warum Siemens da auf x86er oder auch x64er systeme mit ausschliesslich! einem OS von microsoft da ihre kommunikation zu ihren steuerungen standartisierte, wie etwa wincc oder winac.
vorallem hat ja siemens schon erfahrungen im PC bereich mit siemens-wixdorf...

warum stellt siemens nicht ihre eigenen systeme mit ihren eigen betriebsystem her.
kohle liese sich da ja auch genug machen...unverständlich


----------



## jack911 (2 Oktober 2010)

LowLevelMahn schrieb:


> hat jemand den Wurm/Trojaner auf Platte? Ich würde den auch gerne mal genauer betrachten...



For anyone interested, here’s a sample of Win32/Stuxnet.A  provided by Abysssec for educational purposes only –  Stuxnet_stub_Unpacked.zip (password: abysssec).

http://www.rec-sec.com/code/Stuxnet_stub_Unpacked.zip

Grüße


----------



## TobiasA (3 Oktober 2010)

Auf der Sinumerik gibt es jetzt erste Schritte in Richtung Linux/ Unix (840Dsl mit Thin Client). Ob das alles sicherer ist...?

Die Lücke besteht ja im Programmiergerät selbst, nicht in der SPS. Bei Panels, auf denen Windows Embedded läuft- darüber kann man sich unterhalten, aber das Sicherheitsrisiko bleibt immer in dem PC, mit dem die SPS programmiert wird, denn der hat eine Kommunikation zur SPS und DARF alles ändern (mit entsprechendem Passwort, so denn gesetzt) und oft eine Verbindung zum Internet.
Derjenige, der die Rechner infiziert hat, hatte physischen Zugang zum Rechner (USB reicht nur 5m)!
Theoretisch ist es wahrscheinlich kein großer Akt, die S7- Kommunikation aufzubohren. Das Wissen, wie die Kommunikation läuft, haben Firmen wie z.B. VIPA, MHJ oder Deltalogic auch, die haben ja auch irgendwie herausgefunden, wie das funktioniert. Selbst die könnten Bausteine ändern, der Rest ist doch bloß Sache des IT'lers, dem Step7 vorzugaukeln, dass bestimmte Werte in der SPS vorhanden sind oder nicht.
Jeder, der mit einem nicht infizierten PG an die Anlage geht, würde den Codeschnipsel im OB35 sehen können. Der Wurm kann sich über die SPS auch nicht wieder zurück auf den PC verbreiten. Es wird ja nicht mal die Firmware der SPS verändert.

Ich sehe die Verwendung von Industrie- PC's in dem Zusammenhang sehr viel kritischer als die Infizierung eines PG's. Der hat entsprechende Lücken, besonders, wenn er direkt am Internet hängt. Ein Automatisierungssystem sollte meiner Meinung nach keine direkte und ständige Verbindung ins Internet haben.

Aber im Prinzip ist die Sache nicht so heiß, wie es derzeit aussieht...
Der Wurm befällt nur bestimmte Anlagen und kann auch nur in bestimmten Anlagen Schaden anrichten. Und die meisten (wenn nicht sogar nahezu alle) befallenen Länder sitzen im Fernen und nahen Osten...
Allein die Möglichkeit ist erschreckend und zeigt, dass in der Vergangenheit eigentlich viel zu lasch mit dem Thema umgegangen wurde.

Wenn jetzt angeblich eine Million Rechner in China infiziert sind, kann ich dann eigentlich davon ausgehen, dass die Chinesen kein PG mehr ohne Stuxnet haben? *ROFL*

Gruß, Tobi


----------



## Deltal (3 Oktober 2010)

Ich denke mal das dieser Virus das Bewustsein für IT-Sicherheit auch auf Steuerungs-Netzwerken verschärft.
Einfach zu sagen "PCs haben nichts im Internet zu suchen", finde ich zu pauschal. Wenn solche Viren erstmal im Internet unterwegs sind, dann macht es keinen Unterschied ob der Rechner jetzt 24/7 oder nur im Störungsfall ans Internet angeschossen wird.
Wenn jemand mal eine Demo möchte, kann er ja einen Rechner mit z.B. WinXP ohne Updates direkt ans Netzwerk anschließen. Spätestens nach einer Stunde wird man Sasser oder Blaster was auch immer darauf finden.

Auf der anderen Seite müssen diese Rechner jedoch schnell erreichbar sein, denn jede sekunde Stillstand an einer Anlage kostet Geld. Wer nach Dial-In oder so schreit hat sicherlich noch nie eine Fernwartung durchgeführt wo erstmal 2 Stunden das Fax gesucht wird das die Leitung abnimmt..

Ich wünsche mir eine einfache Firewall (24V, zwei mal Ethernet), CF Karte mit der Konfiguration rein.. fertig. Je kompizierter und schwieriger soetwas einzustellen ist, desto eher gibt es den "Hey wenn ich das Netzwerkkabel direkt an den PC stöpsel läuft es sofort!"-Effekt.


----------



## TobiasA (3 Oktober 2010)

Also ich hatte nicht sofort Sasser drauf, nachdem ich mein niegelnagelneues XP ans Internet gehangen habe, um Updates zu ziehen... Und da ist nicht mal ein Servicepack drauf, das ist von 2004. 

Ich würde trotz alledem den PC nur ans Internet hängen, wenn das wirklich erforderlich ist (Hochregallager mit Datenbankanbindung z.B.).
Es gibt sicherlich Bereiche, in denen das nicht geht, weil es halt im Fehlerfalle ganz besonders schnell sein muss oder die Steuerung eben permanent Daten mit dem Firmennetzwerk abgleicht... In vielen Fällen würde aber -denke ich- ein Dial-in zur Fernwartung reichen. Es sollte eben sinnvoll und verhältnismäßig sein. Eine Anlage, an der ich zwei Mal im Jahr mit Fernwartung rein gehe, kann ich genauso gut zwischendurch vom Internet trennen. Wer sagt mir denn, ob nicht die Konkurrenz, vielleicht auch die aus Fernost, mal "vorbeischaut"? Die haben schon ganze Stahlwerke nachgebaut, sind aber an der Technologie gescheitert...
Und ich hab's schon gesehen, da wurde die Fernwartung verkauft, und drei Jahre später wusste keiner mehr, dass es da was gab... :-D
 Es bleibt die große Frage, ob man das wirklich in den Griff kriegen kann:
- Gleich drei "0-day" Lücken zu nutzen, ist schon ein Kunststück.
- Wer so nahe an eine Anlage heran kommt, um einen USB- Stick einzustecken, kann praktisch alles einschleusen.
- Wer so spezifisch bestimmte Anlagen treffen will (und Geld scheint ja keine wirkliche Rolle zu spielen), der wird immer eine Möglichkeit finden.
- Die größte Sicherheitslücke bleibt immer der Benutzer hinterher. Der USB-Stick scheint ja quer durch den ganzen Iran gereist zu sein, Indien und China sind ebenfalls betroffen... Warum ist der in Europa so selten? Möglicherweise, weil man sich hier um das Thema mehr Gedanken macht...?

Wenigstens stärkt der Wurm jetzt mal das Bewusstsein für das Thema.

Gab es da nicht seit neuestem einen CP mit integrierter Firewall? Oder verwechsle ich das mit der integrierten Datenbankfunktion...? Wurde uns jetzt neulich mal vorgestellt, ich müsste nochmal nachfragen.

Gruß, Tobi


----------



## hausenm (4 Oktober 2010)

Na auch hier scheint ja allerhand durcheinander zu gehen.
Also im KKI (Ohu) habe ich im Steuersystem KEINE SPS gesehen. Waren letztes Jahr (bei der Revision) immer noch die guten alten PID Regler, redundant und diversitär. OK in Müllpressen und im Einlaufbauwerk ngibt es einige SPS (im nicht Sicherheitsrelevanten Bereich).
So und nun zum Wurm, wenn ich teilweise sehe wie lax mit dem Thema IT- Sicherheit umgegangen wird (Aussage eines Kollegen, dessen PC sehr langsam ist und 12 Vieren sowie 3 Trojaner und einige Würmer gefunden wurden "Das ist bei mir normal"), läßt das Schlimmes befürchten.
Die einfachste Variante ist eine Firewall und das Produktionsnetz von Officenetz strikt trennen. Ein PC als Router reicht dann in den meisten Fällen aus.
So long


----------



## TobiasA (4 Oktober 2010)

hausenm schrieb:


> So und nun zum Wurm, wenn ich teilweise sehe wie lax mit dem Thema IT- Sicherheit umgegangen wird (Aussage eines Kollegen, dessen PC sehr langsam ist und 12 Vieren sowie 3 Trojaner und einige Würmer gefunden wurden "Das ist bei mir normal"), läßt das Schlimmes befürchten.
> So long



*ACK*

99% aller Computerprobleme befinden sich zwischen Stuhl und Tastatur.

Gruß, Tobi


----------



## Perfektionist (4 Oktober 2010)

TobiasA schrieb:


> 99% aller Computerprobleme befinden sich zwischen Stuhl und Tastatur.


An der Stelle fühle ich mich genötigt, darauf hinzuweisen, dass bestimmte Betriebssystemschmieden versuchen, von diesen 99% etwa 98% durch so bequeme Mechanismen wie autorun.inf u.a. abzufangen. Was auf der einen Seite die Brauchbarkeit/Verwendbarkeit von sonem OS ja schon steigert. Zumindest im kommerziellen Umfeld von Digitalfotoapparaten, Arbeitsplatztintenstrahldruckern, Camcordern und deren Videobearbeitung, TCP/IP-Telefonie, und, und, und ...

Mich wundert, dass noch keiner den Updateservice von MS geknackt hat. Das ist auch so ein bequemes Teil. Und die Verbreitungsplattform für Malware schlechthin.

Gut - keine Ahnung, warum es noch keiner geschafft hat, weder auf Server-, noch auf Clientseite da was zu etablieren. ABER: das Problem sitzt hier ganz klar zwischen Stuhl und Tastatur: nämlich ein kreativer Kopf, der meint, der Welt beweisen zu müssen, dass es Sicherheitslücken gibt. Und dieser Mensch ist oftmals böse. Weil er ja auch irgendwie ein Geltungsbedürfnis hat. Aber es gibt noch andere Probleme zwischen Tastatur und Stuhl: nämlich die, die meinen, dass Sicherheitsstandards für Homeanwender auch für die Prof-Kunden ausreichen würden. Nun, ich kann auch bei Win7 nicht feststellen, dass mich MS mit irgendwelchen Sicherheitseinstellungen stressen würde. Bei Ultimate jedenfalls nicht mehr, als bei Home ....


----------



## thomass5 (19 Oktober 2010)

http://www.magnus.de/news/falscher-stuxnet-cleaner-loescht-festplatte-1025256.html

Thomas


----------



## ssound1de (2 November 2010)

EDIT: Sorry, hab nicht gemerkt, dass ich hier im Stammtisch bin - verlege die Frage mal ins Software-Forum



TobiasA schrieb:


> 99% aller Computerprobleme befinden sich zwischen Stuhl und Tastatur.


 
Mist, da gehöre wohl ich dazu  

Habe letzten Freitag das zum Wurm veröffentlichte Simatic Security Update ausgeführt.
Heute nach Rechnerstart ... :sb7::sb7::sb7: die meisten Desktop- und Startmenü-Symbole (nur Verknüpfungen) sind durch den Standard Windows Platzhalter ersetzt. Sieht ja echt cool aus in der Schnellstartleiste (Bild).
Das doofe - ich kann den Microsoft Security Patch nicht installieren, da unsere SysAdmins immer noch mit WinXP SP2 durch die Gegend fahren wollen.
Der Patch geht aber erst für SP3. :sw9:
Und laut Anleitung bleiben die Icons vom Simatic Security Update "geschützt", bis der Microsoft Patch installiert ist.

Hat irgendjemand ne Ahnung, wie man das ganze Rückgängig machen kann, so dass die Icons wiederhergestellt werden?

Danke und Gruß.


----------



## bits'bytes (2 November 2010)

Hallo,
vielleicht gehts in diese Richtung ??

http://www.edv-tipp.de/docs/Icon_cache.htm

bg
bb


----------



## Bender25 (10 November 2010)

Vieleicht von interesse

von http://www.langner.com/de/index.htm



> 3. Bei einem infizierten System mit angeschlossener Siemens-Automatisierungstechnik wird Stuxnet FAST nichts machen. Ausnahme: Sollten Sie ZUFÄLLIGERWEISE den Datenbaustein 890 in Ihrem Projekt verwenden, sollte dieser ZUFÄLLIGERWEISE eine bestimmte Länge überschreiten, und sollte ZUFÄLLIGERWEISE an einer bestimmten Position der String "hnds" stehen, dann WIRD Stuxnet bestimmte Prozessvariablen in diesem DB überschreiben, sofern ein infiziertes WinCC mit Zugriff auf die betreffende SPS läuft.


----------



## SinusQuadrat (14 November 2010)

Symantec hat mit Hilfe eines Profibus-Experten neue Erkentnisse gewonnen.


> Das Sicherheitsunternehmen Symantec will herausgefunden haben, dass der Stuxnet-Wurm  auf bestimmte Motoren angesetzt war, die etwa zur Urananreicherung  verwendet werden könnten. Dank der Unterstützung durch einen  niederländischen Profibus-Experten sei es mittlerweile gelungen, den  Zweck des gesamten Stuxnet-Codes zu interpretieren, teilt die Firma auf  ihrer Website mit. Stuxnet sei darauf ausgerichtet, die Steuerung der  Frequenzumrichter zu manipulieren, die die Motordrehzahl vorgeben.
> 
> 
> 
> ...


Quelle : http://www.heise.de/security/meldung/Symantec-Endlich-durchschauen-wir-Stuxnet-1136028.html

Ich dachte bis jetzt es seien die 400'er betroffen....


----------



## Sockenralf (14 November 2010)

Hallo,

also könnte man zusammendfassend sagen:
So wie´s im Moment aussieht sind Systeme gefährdet, die eine CPU300 und eine WinCC-Visu haben?

PS: unsere IT (Konzern mit 26T MA) dreht auf alle Fälle schon kräftig am Rädchen


MfG


----------



## Deltal (14 November 2010)

6 Profibus CPs an einer 300er CPU? Bis zu 180 FUs an einer CPU?

Braucht man 1200Hz nicht eher für Servos?


Und ich dachte immer, dass ich mir komischen Krams zusammen projektiere...


----------



## MSB (14 November 2010)

Also ich finds schon irgendwie geil, man hat keine wirkliche (offizielle) Ahnung für welche Anlagen Stuxnet geschrieben ist,
man kenn aber genau die Umrichter die da verbaut sind, und weiß das die mit >800Hz laufen.

Also jeder der schon mal in einem AG-Abzug weil halt grad nichts anderes da war,
einen Fehler gesucht hat, wird mir beipflichten, das man da ohne Schaltplan oder wenigstens Anlagenkenntnis,
absolut aufgeschmissen ist ... und hier will irgend so ein oller experte anhand von ein paar Codeschnippseln erkennen,
welche Umrichter geschädigt werden sollen ...
Ich glaub auf die Art würde ich meine eigenen Programme noch nicht mal erkennen.

Also wenns nicht irgendwie ernst wäre, dann wärs direkt zum lachen.

Mfg
Manuel


----------



## o.s.t. (16 November 2010)

es gibt wieder News dazu:
http://www.heise.de/newsticker/meldung/Experte-Stuxnet-hat-zwei-digitale-Sprengkoepfe-1137338.html



> Stuxnet hat zwei "digitale Sprengköpfe"



gruss, o.s.t.


----------



## o.s.t. (16 November 2010)

es gibt wieder News dazu:
http://www.heise.de/newsticker/meldung/Experte-Stuxnet-hat-zwei-digitale-Sprengkoepfe-1137338.html



> Stuxnet hat zwei "digitale Sprengköpfe"


gruss, o.s.t.


----------



## Ralle (16 November 2010)

Oh, das macht mir langsam wirklich Angst.
Aber nicht die Tatsache, daß Stuxnet existiert, sondern eher die Tatsache, daß man in AKW's Siemens-Steuerungen einsetzt. 

Na ja ehrlich gesagt, auch andere Steuerungen sind ja nicht besser oder schlechter, aber setzen die nicht mal redundante oder fehlersicher Systeme ein? Wenn ich alleine an die Firmwarebugs denke, die alleine hier im Forum schon vermutet und besprochen wurden, dann wird mir wirklich schlecht. Da gibt es doch wirklich spezialisierte Systeme, selbst in Bahnfahrzeugen setzt man da auf mehr Sicherheit.


----------



## Matze001 (16 November 2010)

Es wird wohl nicht so sein das eine 417 die ganze Turbine steuert.

Selbst in einem Kohlekraftwerk übernimmt das das Siemens TXP, warum also bei nem AKW!!! ne 417? Sind die Iraner doof? Oder sind die 417 nur "günstige E/As" fürs Leitsystem, so kenne ich es auch Nebenanlagen.

MfG

Marcel


----------



## Thomas_v2.1 (16 November 2010)

Habt ihr den heise-Artikel überhaupt gelesen?
Es geht hier nicht um die Steuerung eines AKW sondern um Urananreicherungsanlagen.

Wie das funktioniert steht z.B. hier:
http://de.wikipedia.org/wiki/Uran-Anreicherung#Anreicherung_durch_Gaszentrifugen

Auf den Bildern kann man auch die Zentrifugen sehen. Von diesen Teilen stehen dann wohl mehrere tausend herum. Darum wird wohl auch eine SPS möglichst viele FUs steuern müssen.
Und wenn die Zentrifugen nicht oder nicht 100%ig laufen bekommen die eben in Jahren kein gutes Produkt hin. Und kommen nicht dahinter was denn da nicht klappt, weil die FUs in ihrer Drehzahl wohl immer nur kurz modifiziert werden.


----------



## drfunfrock (16 November 2010)

Nur um mal was kontruktives beizutragen: Twincat ist sicher vor solchem Unfug und ich habe noch nie mit .Net irgendetwas gebaut, das unsicher wäre. Ich schwörs.


----------



## Ralle (17 November 2010)

Thomas_v2.1 schrieb:


> Habt ihr den heise-Artikel überhaupt gelesen?
> Es geht hier nicht um die Steuerung eines AKW sondern um Urananreicherungsanlagen.



Doch Thomas, ich kann schon lesen, ... gerade so jedenfalls. 



> ...bestimmte Steuerungen für Motoren zu manipulieren, sondern offenbar auch die Steuerung für Kraftwerksturbinen zu stören. Demzufolge wäre laut Langner neben der iranischen Urananreicherungsanlage in Natanz auch das iranische Atomkraftwerk Bushehr Ziel der Stuxnet-Angriffe.


----------



## Ralle (17 November 2010)

Matze001 schrieb:


> Es wird wohl nicht so sein das eine 417 die ganze Turbine steuert.
> 
> Selbst in einem Kohlekraftwerk übernimmt das das Siemens TXP, warum also bei nem AKW!!! ne 417? Sind die Iraner doof? Oder sind die 417 nur "günstige E/As" fürs Leitsystem, so kenne ich es auch Nebenanlagen.
> 
> ...



Meist du das hier: http://www.youtube.com/watch?v=6lnl4kdgEzA


----------



## centipede (17 November 2010)

Matze001 schrieb:


> Selbst in einem Kohlekraftwerk übernimmt das das Siemens TXP, warum also bei nem AKW!!! ne 417? Sind die Iraner doof? Oder sind die 417 nur "günstige E/As" fürs Leitsystem, so kenne ich es auch Nebenanlagen.


 
Der Nachfolger von TXP ist T2000 und das läuft auf einer 417!

Schaut euch mal das Video an, hinter Stuxnet steckt vielleicht doch mehr, als bis jetzt bekannt gegeben wurde.
Jedenfalls habe ich von solchen Vorgängen bis jetzt noch nichts gelesen.
http://www.symantec.com/connect/blogs/stuxnet-breakthrough


----------



## Matze001 (17 November 2010)

Achso  So tief ins Leitsystem durfte ich dann nicht schauen.

Dann nehm ich alles zurück und behaupte das Gegenteil !

MfG

Marcel


----------



## Thomas_v2.1 (30 Dezember 2010)

Auf dem 27. Chaos Communication Congress gab es eine Vorlesung welche sich zumindest zum Teil mit Stuxnet beschäftigt:

Artikel bei heise.de:
http://www.heise.de/security/meldung/27C3-Hacker-analysieren-Stuxnet-Maschinencode-1159659.html

Hauptsächlich ging es in der Vorlesung um den Bau eines eigenen Disassemblers, in diesem Falle für AWL/MC7:
http://events.ccc.de/congress/2010/Fahrplan/events/4061.en.html

Einen vorläufigen Streamdump welcher aber noch nicht geschnitten ist gibt es z.B. hier:
http://mirror.informatik.uni-mannhe...ump/mkv/[4061] Building Custom Disassemblers/

Die Vorlesung dauert insgesamt ca. 1 Stunde. Die erste halbe Stunde wird auf die SPS Eingenheiten und der Erstellung des Disassemblers eingegangen.
Interessant ist dabei wie skurill einen eher in der x86 Architektur heimischen Programmierers die S7-Eigenheiten erscheinen. Vor allem hatte er wohl seine Probleme mit den Makros für die Funktionsaufrufe (wobei ich im Gegensatz zu seiner Aussage der Meinung wäre, dass die FC vor den FB vorhanden waren - aus der S5 gewachsene Strukturen die man an anderen Stellen des MC7 Code auch findet).
Kreativ finde ich vor allem, den Code aus dem Temp-File der PLCSIM-Simulation auszulesen, da tun sich einem ganz neue Wege auf 

Die restliche Zeit gibts dann etwas Stuxnet-Code zu sehen. Das einzig neue ist aber wohl nur das willentlich falsch gesetzte Änderungsdatum der Bausteine.


----------



## DennisBerger (30 Dezember 2010)

http://www.spiegel.de/netzwelt/netzpolitik/0,1518,736604,00.html

*Angriff auf Irans Atomprogramm*

*Stuxnet-Virus könnte tausend Uran-Zentrifugen zerstört haben*


 
*Neue Erkenntnisse über den hinterhältigen  Stuxnet-Wurm: Möglicherweise hat die Schad-Software in der iranischen  Anreicherungsanlage Natans größere Schäden angerichtet, als das Regime  in Teheran eingestehen will. Bis zu tausend Uran-Zentrifugen hat der  Virus womöglich auf dem Gewissen.*

Das komplexe Schadprogramm,  so viel ist mittlerweile klar,  hatte mindestens eine konkrete Aufgabe: Die Frequenzen, mit denen die  Zentrifugen rotieren, zu manipulieren. Normalerweise müssen die  Uranschleudern mit möglichst genau 1064 Hertz laufen, doch Stuxnet  schraubte die Umdrehungszahl zunächst auf bis zu 1410 Hertz hinauf und  anschließend auf bis zu zwei Hertz hinunter. Wieder und wieder, jeweils  im Abstand eines knappen Monats.


----------



## LowLevelMahn (30 Dezember 2010)

*ein Ida Prozessor Modul?*

ist echt nett das die ein IDA Prozessor/Loader Modul für MC7 Code geschrieben haben - hoffe das Modul wir noch öffentlich verfügbar - dann kann der Jochen K. noch eine S5 Erweiterung schreiben


----------



## Blockmove (30 Dezember 2010)

LowLevelMahn schrieb:


> IDA Prozessor/Loader Modul



Was verbirgt sich denn hinter diesem Begriff?

Gruß
Dieter


----------



## LowLevelMahn (30 Dezember 2010)

*Was verbirgt sich dahinter...*

falls nicht bekannt: 

der IDA ist eine Disassembler/Code-Analyse-Umgebung welche mit weitreichender Unterstützung für Prozessor-Architekturem x86,ARM,... und Executable-Formaten EXE,ELF, für X Betriebssysteme und der Rest daherkommt

seine primäre Stärke: Erweiterbar über Plugins welche in IDA-eigner Scriptsprache, C/C++, Python usw. geschrieben werden können

eine Prozessor- oder Loader-Modul ist eine Plugin mit dessen Hilfe man IDA neue Architekturen beibringen kann - also z.B. den Python oder Java-Bytecode, hier wurde ein Plugin entwickelt das dem IDA ein tiefes Verständnis für MC7-Code vermittelt - somit als Analyse-Umgebung für Stuxnet-Code verwendet werden kann


----------



## Thomas_v2.1 (30 Dezember 2010)

LowLevelMahn schrieb:


> eine Prozessor- oder Loader-Modul ist eine Plugin mit dessen Hilfe man IDA neue Architekturen beibringen kann - also z.B. den Python oder Java-Bytecode, hier wurde ein Plugin entwickelt das dem IDA ein tiefes Verständnis für MC7-Code vermittelt - somit als Analyse-Umgebung für Stuxnet-Code verwendet werden kann



Ich kenne den IDA auch nur von Screenshots oder Bildern her, darum würde mich mal interessieren was für einen Mehrwert gegenüber einem Step7 er mir in diesem Falle - Analyse Stuxnet - bringt?
Der Stuxnet Code scheint ja keinerlei dirty tricks anzuwenden und "normal" in AWL programmiert zu sein. Und selbst wenn, lässt sich der Step7 Editor mit dem Trick immer noch dazu bewegen den MC7 anstatt AWL (die Unterschiede sind ja nur marginal) anzuzeigen. Einen nicht infiziertes PG sei vorrausgesetzt ;-)
Da er Stuxnet sogar in PLCSIM geladen hatte, hätte er sich sogar das Programm bei seiner Arbeit im Einzelschritt ansehen können.

Aber wie der Titel "Building Custom Disassemblers" schon sagte, ging es hier primär um ein anderes Thema als Stuxnet. Interessant fand ich es auf alle Fälle.


----------



## DennisBerger (30 Dezember 2010)

*27C3: Hacker analysieren Stuxnet-Maschinencode*








 
              Auf dem 27. Chaos Communication Congress in Berlin (27C3) hat Felix "FX" Lindner von den Recurity Labs ein Analysewerkzeug für die Codebestandteile von Stuxnet vorgestellt, die direkt gegen speicherprogrammierbare Steuerungen (SPS) von Siemens-Systemen gerichtet sind. Die für die Programmierung der mit dem Superwurm angreifbaren Industrieanlagen Simatic S7  eingesetzte Entwicklungsumgebung STEP7 ("STeuerungen Einfach  Programmieren") lasse sich auch zum Erstellen eines entsprechenden  Disassemblers verwenden, führte der Sicherheitstester aus. Mit der  selbstgebauten Software lasse sich der auf den Siemens-Steuerungen  laufende Maschinencode MC7 lesen, was zu interessanten Entdeckungen  geführt habe.


Zunächst konnte Lindner die bereits bekannten Ergebnisse bestätigen,  wonach Stuxnet drei S7-spezifische Code-Blöcke enthält, deren Teile A  und B ziemlich identisch aussehen, wohingegen Teil C besonders  umfangreich ausfällt. Gesucht werde damit nach einer speziellen  Profibus-Kontrollschnittstelle, die als Hintertür zur Installation von  Schadcode benötigt werde. Verifizierbar gewesen sei ferner, dass der  Wurm eine interne Einrichtung zur Beschreibung seines aktuellen Zustands  enthalte. Diese könne für Prüfungen zur Befallenheit einer  Steuereinheit genutzt werden. Im Gegensatz zu bisherigen Annahmen gebe  die Zustandsbeschreibung aber nur in zwei von fünf möglichen  Statusinformationsmeldungen einen Wert zurück, der bislang als Zeichen  für eine Infektion angesehen worden sei. Dies sei nur der Fall, wenn  Stuxnet gerade am Arbeiten sei. Demnach sei durchaus möglich, dass  deutlich mehr Maschinen den Wurm noch in sich tragen als bisher  ausgemacht.




kompletter artikel:
http://www.heise.de/newsticker/meldung/27C3-Hacker-analysieren-Stuxnet-Maschinencode-1159659.html


----------



## LowLevelMahn (31 Dezember 2010)

*warum IDA*



Thomas_v2.1 schrieb:


> Ich kenne den IDA auch nur von Screenshots oder Bildern her, darum würde mich mal interessieren was für einen Mehrwert gegenüber einem Step7 er mir in diesem Falle - Analyse Stuxnet - bringt?
> Der Stuxnet Code scheint ja keinerlei dirty tricks anzuwenden und "normal" in AWL programmiert zu sein. Und selbst wenn, lässt sich der Step7 Editor mit dem Trick immer noch dazu bewegen den MC7 anstatt AWL (die Unterschiede sind ja nur marginal) anzuzeigen. Einen nicht infiziertes PG sei vorrausgesetzt ;-)
> Da er Stuxnet sogar in PLCSIM geladen hatte, hätte er sich sogar das Programm bei seiner Arbeit im Einzelschritt ansehen können.
> 
> Aber wie der Titel "Building Custom Disassemblers" schon sagte, ging es hier primär um ein anderes Thema als Stuxnet. Interessant fand ich es auf alle Fälle.



Folgende Vermutungen dazu:

Warum im IDA: 
weils Spass macht, es sehr viele Tools in dieser Umgebung gibt die bei statischer Analyse helfen - also z.B. Crossreferenzen usw. hin/her-gespringe im Code, auto-Kommentierung (wenn sein Prozessormodul das liefert) - und sofortige scriptbarkeit falls 
Stuxnet fiese Tricks verwendet hätte - um darauf weitere Analysetools bauen zu können, ich denke das er einfach davon ausgegangen ist das Stuxnet tief in die Das-hat-sich-Siemens-so-nicht-gedacht-Kiste greift
und was noch entscheident ist - für die Analysten in dem Umfeld ist IDA die Standardumgebung - und genau für diese Aufgabe ist er ja Konzipiert

Warum nicht mit Step7:
den Bytecode ausserhalb von Step7 (und sonstigen Tools) zu verstehen erlaubt es alle komischen Tricks "besser" wahrzunehmen (oder besser gesagt der Disassembler fängt an zu maulen wenn unbekannte Konstrukte auftauchen) -> hat sich ja erst später rausgestellt das keine Tricks verwendet werden

Warum keine Schrittweise Analyse:
Kannst dir ja vorstellen was einfacher ist, erst mal das "ganze" Bild sehen und dann darin herumwandern - oder nur einen kleinen Schlitz des Programmes erkennen

was noch fehlt - oder was ich nicht gesehen haben, er könnte mit dem IDA auch noch die DB-Struktur zuordnen - d.h. Variablenbezug herstellen



> Interessant ist dabei wie skurill einen eher in der x86 Architektur  heimischen Programmierers die S7-Eigenheiten erscheinen. Vor allem hatte  er wohl seine Probleme mit den Makros für die Funktionsaufrufe



finde ich gar nicht so skuril - man merkt einfach das die Havard-Architektur da ein bisschen störend gewirkt hat, und die Siemensler gezwungen war so eine Art lokalen Stack zu faken - wenn ich das richtig gesehen habe


----------



## drfunfrock (16 Januar 2011)

Neueste Meldung


----------



## mariob (16 Januar 2011)

Hallo,
ich weiß nicht so recht, ob das alles nicht wieder mal Opium fürs Volk ist, zwar jetzt ein wenig OT, gehört aber auch irgendwie dazu.
Man stelle sich mal vor:
Die Amis, die es z.B. bisher nicht geschafft haben Bin Laden zu kriegen (wenn es den überhaupt gibt), haben Kenntnis über die verwendete Hardware und -zumindest in den Grundzügen- der Steuerungsarchitektur der dort verwendeten Zentrifugenanlagen.
Und dann merken die doofen Iraner nicht mal das Ihre S7 Büchsen im Internet stehen oder mit mit Schadcode von einem Datenträger gefüttert werden?
Wer nur annähernd Zonenverhältnisse kennt, weiß das es dort genügend Bekloppte gab, auch in Entscheidungspositionen, aber bei systemrelevanten Sachen immer Könner beteiligt waren, auf die im allgemeinen auch gehört wurde. Und da war EDV sowas von sensibel abgesichert und auch abgeschottet, schon wegen der Gefahr Informationen preiszugeben, ich weiß nicht. Ich denke die Situationen Zone - Iran sind diesbezüglich vergleichbar.
Meine Meinung kann auch falsch sein, sie ist aber keinesfalls mehr spekulativ als solche Meldungen.
Kleine Kinder und Rentner erschrecken, was anderes geht nicht mehr - das sind unsere Medien.....

Mußte mal raus
Mario


----------



## vierlagig (17 April 2011)

*Stuxnet: Iran erhebt Vorwürfe gegen Siemens*



> Angeblich sei der deutsche Konzern den Vereinigten Staaten und Israel beim Angriff auf das iranische Atomprogramm behilflich gewesen, schreibt das Blatt. Dieser Auffassung ist jedenfalls der Militärkommandeur Gholamresa Dschalali.



Q: http://goo.gl/Z5zJ8 (http://winfuture.de)


----------



## Ralle (17 April 2011)

Ich hab heut gelesen, dass Siemens mit Amerikanern zusammengearbeitet hat, zwecks Sicherheit von Industrieanwendungen vor Cyberangriffen und wahrscheinlich dadurch unbeabsichtigt behilflich war. Kann ich durchaus nachvollziehen, eine aktive Mitarbeit würde ich eher ausschließen, aber das werden wir ohnehin eher nie wirklich erfahren.


----------



## vierlagig (17 April 2011)

Ralle schrieb:


> Ich hab heut gelesen,



Q? ...kann doch nicht so schwer sein


----------



## Ralle (17 April 2011)

vierlagig schrieb:


> Q? ...kann doch nicht so schwer sein



Doch ist es, möglicherweise ct 3/11 oder Tagesspiegel dieses WE, ich bin aber zu faul, das alles noch einmal durchzusuchen!


----------



## vierlagig (18 April 2011)

*Studie: Stuxnet befällt deutsche Energieversorger*



> Die Zahl der Stuxnet-Infektionen im Unternehmensbereich ist offenbar höher als bislang angenommen. Im Rahmen einer Studie des Antivirenherstellers McAfee antworteten 59 Prozent der befragten Strom-, Gas- und Wasserversorger aus Deutschland, dass sie den Stuxnet-Wurm in ihren Systemen entdecken konnten.



Q: http://goo.gl/2Bh3h (heise.de)


----------



## Stanzman (19 April 2011)

*Siemens war´s nicht.*

Siemens bestreitet das sie beteiligt waren.

http://business.chip.de/news/Stuxnet-Siemens-bestreitet-quot-Mitschuld-quot_48568287.html


----------



## Markus Rupp (25 April 2011)

Hier noch interessantes aus dem NOF-SCADA-Handbuch von MST-CH:



> *Virus from internet ?*
> 
> Stuxnet is a Windows-specific computer worm first discovered in June 2010 by VirusBlokAda  (a security firm based in Belarus).
> It is notable because it is the first discovered worm that spies on and reprograms industrial systems. It was specifically written to attack Supervisory Control And Data Acquisition (SCADA) systems used to control and monitor industrial processes.
> ...


----------



## fliegender holländer (21 Mai 2011)

mariob schrieb:


> Hallo,
> hier:
> http://www.heise.de/newsticker/meldung/Stuxnet-Wurm-kann-Industrieanlagen-steuern-1080584.html
> 
> ...


NUR bestimmte S7 Systeme!

Das Thema Stuxnet wurde letztes Jahr extrem ausführlich im SPS-Magazin behandelt.Probier doch mal auf denen ihre Webseite aus dem Archiv etwas herauszukriegen (www.sps-magazin.de)
Ich meine das da auch erwähnt wurde das die Hardwarekonfiguration und das Programm beide als "Trigger " für dieses Virus verwendet wurden.Was das Virus genau macht weiss ich nicht, aber es gibt viele Weisen eine SPS in STOP zu bringen.Habe in den Archiv folgender Text gefunden und beigefügt:
Zitat von der Langer-Website: "Bei einem infizierten System mit  angeschlossener Siemens-Automatisierungstechnik wird Stuxnet FAST nichts  machen. Ausnahme: Sollten Sie ZUFÄLLIGERWEISE den Datenbaustein 890 in  Ihrem Projekt verwenden, sollte dieser ZUFÄLLIGERWEISE eine bestimmte  Länge überschreiten, und sollte ZUFÄLLIGERWEISE an einer bestimmten  Position der String "hnds" stehen, dann WIRD Stuxnet bestimmte  Prozessvariablen in diesem DB überschreiben, sofern ein infiziertes  WinCC mit Zugriff auf die betreffende SPS läuft."


----------



## Leitmayr (31 Mai 2011)

Die Prinzipielle Arbeitsweise ist hier erklärt: http://www.langner.com/en/index.htm

der link geht leider nicht.:-(
gruß
sebastian


----------



## fliegender holländer (2 Juni 2011)

Dann probier diesen Link mal:
http://www.sps-magazin.de/?inc=artikel/article_show&nr=57674

Ronald*ACK*


----------



## joergel (18 Juni 2011)

*Stuxnet für Dummies*

Stuxnet: Anatomy of a Computer Virus

Ganz nett gemacht, kann man einen Azubi mal zeigen so das er kappiert worum es geht!

http://vimeo.com/25118844


----------



## thomas_1975 (22 Juni 2011)

da wird es einem echt anders

http://www.youtube.com/watch?v=cf0jlzVCyOI

gruß Thomas


----------



## Zottel (22 Juni 2011)

LowLevelMahn schrieb:


> Warum im IDA:
> 
> Warum nicht mit Step7:


Meine Vermutungen:
1. Kann IDA dieselben Bytes wahlweise als Strings, Zahlen, x86-Code usw. darstellen. Das ist nützlich, wenn man noch garnicht weiß, welche Teile einer Datei Code und welche Daten darstellen.
2. Hätten man, um Step7 zu nutzen, den MC7-Code eventuell erstmal mit einem Baustein-Vorkopf etc. versehen und ihn in ein Step7-Projekt einschleusen müssen, um ihn laden zu können.


----------



## LowLevelMahn (23 Juni 2011)

er kann umschalten - nur nicht alles gleichzeitig und du kannst auch mittendrinn sagen das bei irgendeinem offset code anfängt

3. es war ja nicht klar ob Stuxnet irgendwelche Befehle/Kombinationen nutzt die Step7 nicht richtig anzeigt (oder z.B. garnicht)
4. die IDA Scripting/Plugin-Engine erlaubt es eine Verbiegung,Betrachung des Codes aus allen Richtungen - eben weil sein Featureset für Malware/Trojaner-Analyse gedacht/konzipiert ist
...

schade das der Lindner sein Plugin nicht veröffentlichen will


----------



## Ralle (19 Oktober 2011)

*Es geht weiter*

Wer dachte auch, dass das Alles war ...

http://www.spiegel.de/netzwelt/web/0,1518,792640,00.html#ref=rss


----------



## Air-Wastl (19 Oktober 2011)

Hab es heute Morgen im Radio gehört.

*Ethernetkabel rauszieh* :neutral:

Bin mal gespannt ab wann eswirklich gefährlich
wird und Personenschaden in kauf genommen wird.

Es ist doch unglaublich was sich Organisationen,
Staaten oder einzelne "Verrückte" so ausdenken. 

Krieg 2.0

MFG


----------



## Weschi (23 Oktober 2011)

Also als ich vor 15 Monaten im Iran war um dort eine Anlage in Betrieb zu nehmen habe ich mir diesen Wurm auch durch ein gezpptes Projekt vom Kunden auf meinen Rechner gezogen .... Norton sei dank habe ich diesen auch wieder restlos entfernen können . 
Darauf hin habe ich die CPU´s Urgelöscht und neu geschossen ......, schon krass denn zu diesem Zeitpunkt war diese ganze Geschichte noch nicht in Medien .


----------



## Ralle (2 November 2011)

Neueste Infos zu duqu: http://www.heise.de/newsticker/meld...ekannte-Luecke-im-Windows-Kernel-1370005.html


----------



## Thomas_v2.1 (14 April 2012)

Neue Infos:
http://www.heise.de/security/meldung/Innenangreifer-half-bei-Stuxnet-Infektion-1520408.html

Hab ich eigentlich irgendwas verpasst, oder gabs schonmal eine Meldung dass der Mossad dahintersteckt? Vermutet wurde es ja schon von Anfang an. Bin mal gespannt ob nochmal was kommt dass Siemens Schützenhilfe geleistet hat, sozusagen als Wiedergutmachungsleistung.

Zur Technik:
Einen Agenten mit USB-Stick zum Viren verteilen reinschicken ist ja schon arg lahm ;-)


----------



## funkdoc (3 Mai 2012)

der mossad glaub ich nicht, israel hat zu wenig geld und know how für solch grosse aktionen.

das ganze ist ein mittelding zwischen wirstschaftssabotage, Spionage und Terrorbekämpfung (atomare bedrohung iran und andere).
die einzigen die das machen könnten sind CIA, US-Army und eine andere unbekannte lobby in den usa in kooperation... und so wird es auch sein.
günstig ist natürlich auch, dass Siemens in den usa zum "glück"! im heiklen industrie- und kraftwerksbereich so gut wie gar nicht angewendet wird als im rest der welt.

möglicherweise wird microsoft da auch bald mal hinzugezogen werden (wenn sie es nicht schon sind). nicht vergessen: die us-regierung hat zugriff auf microsofteigene backdoors. die wissen auf anfrage alles, vorallem wissen sie wer hinter welchen rechner sitzt oder können es schnell nachvollziehen. jedes scheiss word-dokument wo iergendwo dein name steht wird von microsoft betriebssystemen gescannt auf inhalt und personenbezogene daten und dann verschlüsselt an microsoft und us-nationalen antiterrorbehörden weitergeleitet. die amis haben ihre hausafgaben in sachen Daten- und Informationskrieg-wettrüsten gemacht. wir europäer schauen da nur blöd aus der wäsche und die meisten begreifen nicht was da eigentlich abgeht.

mich würde es nicht wundern, wenn bald so multifunktionswürmer (ausgerichtet auf privat-PC jedoch auch Industie-PC) die man sich, wie seinerzeit der blaster wurm und andere, über microsftdienste oder os-updates einfängt, die man nicht erkennt, da microsoft betriebsysteme keinen offenen quellcode haben. wir werden schon seit längerem von denen verarscht.

es wird zeit dass mal jemand schadcode für Leitsysteme von Allen Bradley, Rockwell und co programmiert und in die us-wirtschaft schleust...
und siemens sollte mal vom hohen pferd microsoft herunterspringen und eigene systeme vertreiben, darunter können auch x86 und aktuelle mobile architekturen verwendet werden, hauptsache eigenes betriebsystem... oder gleich ein siemens linux derivat

grüsse


----------



## Cassandra (1 Juni 2012)

*"New York Times"-Recherchen zur Cyberattacke auf den Iran*

Hallo Freunde,

 Jetzt ist es raus: Obama hat es befohlen.

 Und weil unsere Amerikanischen Freunde mit S7 nicht so viel Erfahrung haben, waren da unsere Siemens- Entwickler beauftragt.

 Jetzt, da das erledigt ist, wird TIA in 0,nix fertig gestellt!
 Selbstverständlich werden auch alle eure Wünsche und Verbesserungsvorschläge mit eingearbeitet. Das war halt bisher nicht möglich, weil zur Betreuung nur noch die Lehrlinge und Betriebswirtschaftler verfügbar waren... 

 LG Cassandra


----------



## PN/DP (4 Juni 2012)

Antivirensoftware: Keine Chance gegen Stuxnet und Co

Harald


----------



## Deltal (28 Dezember 2012)

*nimmt diesen Thread mal ganz frech*

Gerade läuft der 29. Chaos Communication Congress in Hamburg. Beim durchstöbern des Programmes ist mir dieser Beitrag aufgefallen: http://events.ccc.de/congress/2012/Fahrplan/events/5059.en.html. Die Aufzeichnung des Streams ist z.Z unter Streamdumps zu finden https://events.ccc.de/congress/2012/wiki/Documentation. 

Für uns als Anwender teilweise etwas schwer zu vestehen, aber z.B. die Demo mit dem WinCC Webnavigator war ... übel. Oder das einige Web-Oberflächen von SPS und HMI über Google(!!!!) erreicht werden können.

Naja wer eine Stunde Zeit, 1GB Festplattenspeicher und einen englischsprechenden Russen verstehen kann -> ansehen!


----------



## bike (28 Dezember 2012)

Aber das war doch schon lange bekannt 

Wer glaubt denn immer noch, dass Anwendungen die eine Ausgang zum Netz haben nur lokal laufen?
So blauäugig ist doch hoffe ich niemand.


bike

btw: deshalb brauchen wir ja "Stromautobahnen". Wie sonst kann das Wirtschaftssystem lahm gelegt werden?


----------



## van (28 Dezember 2012)

Der Vortrag war gut

Da kommt noch einiges auf uns zu

Hardcodierte Passwörter und PrivatKey in der Firmware ...


----------



## van (31 Dezember 2012)

Das Video ist mittlerweile online

YouTube
http://youtu.be/XdJ0cgExjPA

Download
http://mirror.fem-net.de/CCC/29C3/mp4-h264-HQ/29c3-5059-en-scada_strangelove_h264.mp4

http://scadastrangelove.org/


----------



## LowLevelMahn (3 Januar 2013)

*ein ARM also...*

im Video gibts auch kurz einen Ausschnitt zur S7-1200 Firmware:

hat jemand einen Ahnung:
-welcher ARM zum Einsatz kommt?
-ob das TIA SCL Code direkt in ARM-Code umwandelt oder ob auf der SPS noch ein Interpreter läuft?


----------



## Thomas_v2.1 (3 Januar 2013)

Wenn dann scheint es eine Sonderanfertigung mit ARM-Kern zu sein.

Drauf steht:
JAPAN
MB87M2230
1129 Q39
A5E01065579 E1

Wenn man nach dem Typ sucht findet man nur eine Seite mit Fotos vom Innenleben. Wahrscheinlich ist der ARM Kern nur einer von mehreren auf dem Chip. Ich weiß nicht ob man anhand der Speicheranbindung, sonstiger Peripherie oder am Pin-Layout erkennen kann was da im Innenleben schlummert. Ich kann dir aber gerne Fotos von der Platine machen wenn dir das weiterhilft.

Jochen Kühner meinte mal die Projektdaten von TIA seien irgendwie verschlüsselt, vielleicht auch nur in altbekannter Art konfus zusammengestellt. Wahrscheinlich kann man den Code einfacher übers Netzwerk abgreifen anstatt in die Tiefen von TIA abzutauchen.


----------



## LowLevelMahn (3 Januar 2013)

> Ich kann dir aber gerne Fotos von der Platine machen wenn dir das weiterhilft.



Klar - aber nur wenn es dich nicht zu viel Zeit kostet 



> Wahrscheinlich kann man den Code einfacher übers Netzwerk abgreifen anstatt in die Tiefen von TIA abzutauchen.



Blöd ist nur das fehlen von AWL, damit wäres es "leichter" ein Reverse Engineering zu machen - aber mit Glück könnte es ja noch MC7 sein

Jemand schon eine Idee wie man kompilierten Code abgreifen könnte? Also so in der Felix Lindner-Art mit PLCSim?


----------



## Thomas_v2.1 (3 Januar 2013)

Ich habe jetzt mal versucht nachzuvollziehen was beim Upload übertragen wird.
Dazu ein Testprogramm nur mit einem OB1:

```
ORGANIZATION_BLOCK "Main"
TITLE =  "Main Program Sweep (Cycle)"
VERSION : 0.1
   VAR_TEMP 
      "tmpVar1" : DWord;
      "tmpVar2" : DWord;
      "tmpVar3" : DWord;
      "i" : Int;
   END_VAR
BEGIN
	#i := 1;
	#tmpVar1 := 16#CAFEBABE;
	#tmpVar2 := 16#BAADF00D;
	#tmpVar3 := 16#DEADC0DE;
	#i := 1234;
END_ORGANIZATION_BLOCK
```
Hochgeladen, mit Wireshark mitgeschnitten und nach den Werten für die Konstanten gesucht.

Da findet man auch etwas passendes:

```
1400f8185802f8185806184001e0
01 9c0c 01e0
02 9c00 23ca feba bee0
02 9c04 23ba adf0 0de0
02 9c08 23de adc0 dee0
01 9c0c 2104 d214
4001a39415000588b8c4a9eac6ebff78a3941840140200169000
```

Vermutung:
Adresse tmpVar1 = 9c00 oder 00	DWORD
Adresse tmpVar2 = 9c04 oder 04	DWORD
Adresse tmpVar3 = 9c08 oder 08	DWORD
Adresse i = 	  9c0c oder 0c	INT

MC7 scheint es demnach nicht zu sein.
Bezüglich ARM Assembler kenne ich mich gar nicht aus. Aber was ich eben gefunden habe ist dass jede Anweisung inkl. Operanden immer 32 Bit lang ist. D.h. es kann keine 32 Bit-Konstante in einem Rutsch geladen werden. Dann dürften die Bytes aber imho nicht hinereinander stehen.
Zwischen jeder Anweisung liegen immer 9 oder 7 Bytes, also muss eines noch irgendeinen anderen Zweck haben. Evtl. eine Länge wie im Intel-Hex Format, würde passen.

Wäre vielleicht besser dazu bei Gelegenheit einen eigenen Thread zu eröffnen.


----------



## Jochen Kühner (3 Januar 2013)

Thomas_v2.1 schrieb:


> Jochen Kühner meinte mal die Projektdaten von TIA seien irgendwie verschlüsselt, vielleicht auch nur in altbekannter Art konfus zusammengestellt. Wahrscheinlich kann man den Code einfacher übers Netzwerk abgreifen anstatt in die Tiefen von TIA abzutauchen.



Ist verschlüsselt, zumindest wenn man das tool,von siemens nimmt um aus einem projekt ein xml file zu erstellen, ob die "plf" files selbst verschlüsselt sind weis ich nicht. Ich hab in meine Toolbox Grundlegenden lesesupport für die Tia Projkete eingebaut, es müssen dazu aber 3 Siemens Dlls verwendet werden!


----------



## Tommi (6 August 2013)

Hallo zusammen,

neuer Artikel zum Thema...

Gruß
Tommi

http://www.spiegel.de/netzwelt/web/...da-industriesteuerung-angelockt-a-914836.html


----------



## ducati (7 August 2013)

Sehr interessant, sieht so aus, als wenn massenhaft nach Anlagen gesucht wird, die dann "im Falle eines Falles" manipuliert werden können... von wem auch immer. Terroristen, Erpresser, Chinesen, NSA, CIA, BND ....

Vielleicht lernen es mal irgendwann alle, dass wichtige Anlagen nichts dauerhaft am Internet zu suchen haben.

Das Buch "Blackout" hab ich gelesen, lohnt sich wirklich


----------



## Ralle (17 Juni 2020)

Hier mal ein neuerer Bericht zum Thema:

https://www.spiegel.de/netzwelt/web...-a0ed08c9-5080-4ac2-8518-ed69347dc147#ref=rss


----------



## Markus (19 Juni 2020)

Entweder hat Langner seinen Verstand oder seine Marketingstrategie erweitert. Seine Komentare klingen nicht mehr so hohl wie das selbstverherrlichende dumme Geschwätz vor 10 Jahren... 

"Weltweit 10 Leute und 3 davon sitzen in meinem Büro" 
So oder so ähnlich war der Spruch doch damals... 

Ich behaupte, dass allein ich mindestens 5 Leute kenne die diese "Payload" bauen könnten. Und meine Welt ist klein...


----------



## Blockmove (19 Juni 2020)

Markus schrieb:


> Seine Komentare klingen nicht mehr so hohl wie das selbstverherrlichende dumme Geschwätz vor 10 Jahren...



Naja die Selbstherrlichkeit ist schon noch ausgeprägt.
Bei uns im Konzern ist er zumindest damit "aufgefallen"


----------



## Markus (19 Juni 2020)

Blockmove schrieb:


> Naja die Selbstherrlichkeit ist schon noch ausgeprägt.
> Bei uns im Konzern ist er zumindest damit "aufgefallen"



Kann ich mir schon vorstellen das sich in größeren Firmen Leute finden die sich von solchen Typen bequatschen lassen bis ein paar Millionen bereitgestellt werden...


----------



## Blockmove (20 Juni 2020)

Markus schrieb:


> Kann ich mir schon vorstellen das sich in größeren Firmen Leute finden die sich von solchen Typen bequatschen lassen bis ein paar Millionen bereitgestellt werden...



Sagen wir mal so:
Es lag nicht am Geld, dass wir uns nicht für Langner entschieden haben.

IT-Sicherheit für die Fertigung in einem Konzern mit ca. 50 Fabriken weltweit kostet Millionen.
Interessant ist wieviele unseriöse Berater auf dem Sektor unterwegs sindd.
Vor 4 Jahren bei einem Workshop zum Thema stellte ich einem dieser Herren die Frage:
"Nachdem Sie uns nun lange die Risiken und Gefahren erklärt haben, nennen Sie uns doch bitte konkrete Schutzmaßnahmen für Siemens-Steuerungen?"
Antwort:
"Primär ist natürlich der Einsatz von aktuellem Virenschutz auf diesen Steuerungen wichtig. Anschliessend lassen Sie von uns das Betriebssystem bzw. die Firmwäre der Steuerungen härten."

Die anwesenden ITler haben zustimmend genickt und die anwesenden SPSler haben sich verwundert angeschaut.


----------



## Mrtain (20 Juni 2020)

Blockmove schrieb:


> "Primär ist natürlich der Einsatz von aktuellem Virenschutz auf diesen Steuerungen wichtig. Anschliessend lassen Sie von uns das Betriebssystem bzw. die Firmwäre der Steuerungen härten."t.



Ab ins Bootcamp mit der Firmware...


----------

