3. Jetzt fliegt uns Windows um die Ohren

Jetzt fliegt uns Windows um die Ohren

  • F

    Von Winfuture:

    Das auf Automatisierungstechnik spezialisierte Unternehmen Langner hat analysiert, wie der Wurm die SPS-Module manipuliert. Demnach schleust er seinen Code bei der Datenübertragung in die SPS ein. Dazu werden die Daten über eine Wrapper-DLL umgeleitet, bevor sie in SIMATIC weiterverarbeitet werden.

    Interessant wäre auch zu wissen, wohin Stuxnet evtl. gesammelte Daten sendet ...

    0
  • M

    Wie kommst du darauf, dass Stuxnet Daten versendet oder auch nur sammelt?

    0
  • L

    Hier zur Info noch ein aktueller Artikel der SZ:

    Rätselhafte Schadsoftware

    0
  • F

    Morris Szyslak schrieb:

    Wie kommst du darauf, dass Stuxnet Daten versendet oder auch nur sammelt?

    Logischerweise sollte man doch eine gewisse Rückmeldung über das haben, was Stuxnet so treibt, oder?

    Weil, ob nun von Siemens, den Russen oder Amis eingeschleust, stellt sich doch die Frage, was genau bezweckt das Ganze?

    1. Verzögerung des Einsatzes einer Anlage:

    Werden nur Pumpen und Ventile verstellt und die Anlage abgeschaltet und das zyklisch? Irgendwann kriegen selbst die Iraner mit, dass das Problem aus einer SPS kommt und schalten alles ab. Spielen ein Update auf und fertig. Anlage geht in Betrieb. Problem nach ca. 1a behoben.

    2. Fernwartung:

    Manipulation und Monitoring der Anlage durch Dritte -> Kommunikation notwendig.

    3. Terror, Zerstörung:

    Anlage restlos unbrauchbar machen. Ökonomischer Schaden, wirtsch. Rückwurf Irans um 30-40 Jahre.

    Kann durch protokollarische Steuerung geschehen oder durch geregelten Eingriff von Außen.

    4. Desinformation:

    Verwirrung und Heißmachung der Leute. Erzwingen eines bewaffneten Konfliktes über die Medien.

    5. Spieltrieb einzelner:

    Siemens zeigen, wie scheiße ihr 30 Jahre olles System ist. Dagegen spricht der nötige finanzielle Aufwand.

    0
  • F

    likegliss schrieb:

    Hier zur Info noch ein aktueller Artikel der SZ:

    Rätselhafte Schadsoftware

    Opera meldet:

    Die von Ihnen aufgerufene Adresse http://www.sueddeutsche.de/ ist zurzeit nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden.

    0
  • E

    Morris Szyslak schrieb:

    Wie kommst du darauf, dass Stuxnet Daten versendet oder auch nur sammelt?

    Sie nennen ihn Trojaner. Das bedeutet doch genau das.

    0
  • B

    earli schrieb:

    Morris Szyslak schrieb:

    Wie kommst du darauf, dass Stuxnet Daten versendet oder auch nur sammelt?

    Sie nennen ihn Trojaner. Das bedeutet doch genau das.

    Nö, mit Datensammeln hat das nichts zu tun. Was ein Trojanisches Pferd ist, kann man bei Homer nachlesen. 🙂 Bei der Software ist es das gleiche Prinzip: Man installiert sie sich selbst in dem Glauben, es sei etwas ganz anderes, harmloses, dabei ist es in Wirklichkeit Schadsoftware.

    0
  • E

    ..

    0
  • E

    ..

    0
  • M

    Mehr (Iraner) schrieb:

    Stuxnet [...] übermittle dann Daten ins Ausland.

    Gibts dafür noch ne andere Quelle? Von den großen Analysten hab ich bisher nichts dergleichen gehört.

    0
  • E

    ..

    0
  • E

    Alternativlos-Folge zum Thema:

    http://alternativlos.org/5/

    Mit Frank Rieger, der den guten FAZ-Artikel geschrieben hatte.

    0
  • P

    Mit Win CE machte ich das erste mal so Ende der 90er Bekanntschaft, als mir mein Anwalt seinen Psion schenkte und stolz seinen WinCE- PDA vorführte. So schön das auch aussah, bei der Kurzvorführung war das wichtigste Bedienelement eine aufgebogene Büroklammer zur Betätigung des Resets, weil das Ding zweimal mitten in der Synchronisation mit Outlook abgestürzt ist.
    Ein paar Monate später, es war eine Electronica oder Produktronica habe ich die neuen S7 von Siemens gesehen, auf der Basis von Win CE und mein erster Gedanke war "wow, echt mutig!"

    Bitte das nur als ulkige Randnotitz hinnehmen, zu weniger OT:

    Ich weiß jetzt nicht, wieviel aus S7- Code zu reengineeren/decompilieren ist, aber soweit man jetzt weiß, nimmt stuxnet durchaus Kontakt zur Außenwelt auf und das sicherlich nicht ohne Grund. Daß das Vordringen zu einer SPS enorm tricky und aufwendig ist, zeigt uns stuxnet, aber auch, daß die Windows/X86- Monokultur ihre Gefahren birgt. Wer quadratkilometerweise Kartoffeln anbaut, muß mit Kartoffelkäfern rechnen, wehe dem, der das ignoriert hat, schon recht so. 😉

    Aber wie steht es mit deutschen Stahlwerken, AKWs oder auch nur Achterbahnen? Der Cyberwar ist eröffnet, nun wirklich. Ich bin nicht neurotisch, eher noch zu naiv.

    0
  • B

    WinCE? Du verwechselst das nicht gerade zufällig mit WinCC? Oder les ich zuviel in eine "ulkige Randnotiz"? 😉

    0
  • E

    pointercrash() schrieb:

    Daß das Vordringen zu einer SPS enorm tricky und aufwendig ist, zeigt uns stuxnet,

    Ich denke, das Gegenteil ist der Fall. All die Tricks in stuxnet sorgen dafür, dass er nur auf den echten Zielrechnern aktiv wird, also keinen Kollateralschaden verursacht. Das eigentliche Eindringen ist nicht tricky.

    Normale Malware ist das egal, wenn die Hälfte der befallenen Rechner abstürzt, bei stuxnet wäre das fatal, der weltweite Befall war wohl vorhersehbar für die Entwickler.

    Es gibt sogar ein Datum, ab wann er sich nicht mehr verbreiten soll, das war zufällig der letzte Amtstag von George W. Bush.

    0
  • P

    Bashar schrieb:

    WinCE? Du verwechselst das nicht gerade zufällig mit WinCC? Oder les ich zuviel in eine "ulkige Randnotiz"? 😉

    Nö, tu' ich nicht, ich kann schon noch Instrumentierung von OS unterscheiden. Ich fand es nur irre, daß Siemens damals "Windoof und nix anderes" entschieden hat. Dieser ganze S7- Kram ist dermaßen vertikal, der lädt zu Angriffen geradezu ein, vom Server bis zum tiny client Monokultur der Windows- Bruderschaft.

    Eine andere schöne Idee wäre, SAP so anzugreifen. 😃

    earli schrieb:

    Ich denke, das Gegenteil ist der Fall. All die Tricks in stuxnet sorgen dafür, dass er nur auf den echten Zielrechnern aktiv wird, also keinen Kollateralschaden verursacht. Das eigentliche Eindringen ist nicht tricky...

    Öhmm, vier ZeroDayExploits sind also nicht "tricky" genug 😕

    0
  • B

    pointercrash() schrieb:

    Nö, tu' ich nicht, ich kann schon noch Instrumentierung von OS unterscheiden. Ich fand es nur irre, daß Siemens damals "Windoof und nix anderes" entschieden hat. Dieser ganze S7- Kram ist dermaßen vertikal, der lädt zu Angriffen geradezu ein, vom Server bis zum tiny client Monokultur der Windows- Bruderschaft.

    Entscheidet denn irgendwer anders? Meiner Wahrnehmung nach ist das einfach die (traurige) Realität in der Industrie.

    0
  • E

    pointercrash() schrieb:

    Öhmm, vier ZeroDayExploits sind also nicht "tricky" genug 😕

    Nö, nur teuer.

    0
  • P

    Bashar schrieb:

    Entscheidet denn irgendwer anders? Meiner Wahrnehmung nach ist das einfach die (traurige) Realität in der Industrie.

    Gelegentlich schon, aber eher selten. Häufig scheitert man einfach an hausinternen Zertifizierungslisten und wenn der Entscheider- Fuzzi den MSCE plus die Siemens- Schulung hat, kommt nix mehr anderes in den Schaltschrank. Ist halt so, die kaufen nicht mal dann mein Zeug, wenn sie zwei Monate erfolglos versuchen, per SPS ein Modul von mir nachzustellen :(.
    Zuerst, weil es nicht auf der Zertifikatliste stand und dann, weil sie kein Geld mehr hatten, das haben sie ja für den Nachbauversuch ausgegeben. Crazy, was? 🤡

    Ich hatte allerdings auch schon genau das Umgedrehte, wo jemand unbedingt Linux und keine SPS wollte, war aber nur eine andere Abteilung des gleichen Ladens.

    0
  • E

    Welche Gefahr geht von Stuxnet konkret in Deutschland aus für die Industrie, die Privatwirtschaft?

    0
Anmelden zum Antworten