Stuxnet Einstellungen

[cons]

Das könnte historisch der erste Fall sein, in dem ein Computerschädling direkt
als Waffe oder zur Sabotage eingesetzt werden sollte. Der Wurm befällt industrielle
Steuerungen (WinCC/PC7 von Siemens) und ist in der Lage, Steuerprozesse direkt zu
manipulieren.

Symantec und Kaspersky gehen davon aus, dass Stuxnet nicht von einer
Cybercrime-Gang entwickelt worden sein kann. Finanzieller Aufwand, Komplexität
und Vorgehensweise sprechen dagegen.

http://www.infoworld.com/print/137598

The Stuxnet worm is a "groundbreaking" piece of malware so devious in its use of
unpatched vulnerabilities, so sophisticated in its multipronged approach, that the
security researchers who tore it apart believe it may be the work of state-backed
professionals.

Der Wurm nutzt fünf verschiedene Sicherheitslücken, darunter vier bisher
unbekannte Zero-Day-Exploits. Die Entwickler haben zwei elektronische Zertifikate
von unverdächtigen Hardwareherstellern gestohlen und müssen Zugang zu den Siemens
Steuerungen gehabt haben. Der Wurm befällt selektiv nur Steuerungsrechner.
Windows-PCs auf denen die Siemens-Software nicht installiert ist, werden nicht
infiziert.

Es gibt Vermutungen (oder Verschwörungstheorien), die dahinter den israelischen
Geheimdienst sehen, um iranische Nuklearanlagen zu sabotieren.

Die mit Abstand höchste Zahl von Infektionen kommmt laut Symantec aus dem Iran.
Für den Bushehr Nuklearkomplex gibt es von Siemens eine eigene Softwareversion.
Im analysierten Objektcode wurde der String b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb
gefunden. Myrte hat Bedeutung im alten Testament und in der jüdischen Mythologie.

Der Beitrag wurde von cons bearbeitet: 18. Sep 2010, 15:52

[kato]

Siehe auch
http://www.symantec.com/connect/blogs/stux...t-scada-devices
http://www.symantec.com/connect/de/symante...all/all/all/all
(ohne Verschwörungstheorien)

Der Wurm befällt nicht nur Steuerungsrechner sondern alles. Er sucht allerdings explizit nach Rechnern, die Programmier-Zugriff auf Industrie-SPS haben; er ist dahingehend gestaltet auf solche SPS Code zu laden, und nutzt hierzu anscheinend Siemens SIMATIC als Transfersystem (spezifisch: S7-Plattform).

Aufgrund einiger Bugs in Stuxnet im Zusammenhang mit der Siemens-Software konnte dessen genaues Verhalten ziemlich gut studiert werden. Hierzu siehe auch:
http://www.digitalbond.com/index.php/2010/...pecific-target/

Der Beitrag wurde von kato bearbeitet: 18. Sep 2010, 16:16

[Palatin]

Siehe auch
http://www.symantec.com/connect/blogs/stux...t-scada-devices
http://www.symantec.com/connect/de/symante...all/all/all/all
(ohne Verschwörungstheorien)

Hervorhebung von mir.
Hm, nennt mich einen paranoiden tin-foil-hat, aber die Programmierung und Verbreitung eines Schadprogramms ist immer eine Verschwörung:

Eine Verschwörung (Lehnübersetzung von lat. coniuratio; auch: Konspiration) ist eine heimliche Verbündung mit dem Zweck, einen Plan auszuführen, der eine selbstsüchtiges, verwerfliches Ziel verfolgt und dessen Umsetzung zum Schaden anderer geschieht oder der die Beseitigung tatsächlicher oder vermeintlicher Missstände anstrebt. Eine Verschwörung beruht also nicht immer auf niederen Motiven, sie basiert jedoch stets auf Täuschung.

[Wirbelschlepper]

Außer mit häufigen Vorkommen im Iran (was sich mit wenigen Experten die viele Maschinen in eher restriktiv zugänglichen Netzwerken warten erklären lässt) gibt es aber keine Hinweise auf die "Nuklearprogramm Theorie". Die S7-Familie ist eine, wenn nicht die, verbreitetste Steuerungsarchitektur für Automatisierungen im letzten Jahrzehnt.

Der Beitrag wurde von Wirbelschlepper bearbeitet: 23. Sep 2010, 18:16

[tommy1808]

Ausgehend von Anfang 2009 als Aktionsdatum, ergibt sich eine faszinierende Kette von Indizien. Mitte Juli 2009 publizierte Wikileaks eine kryptische Notiz mit dem Hinweis eines Informanten aus Iran auf einen nuklearen Unfall in Natanz, der sich kurz zuvor ereignet haben soll. In Natanz wird ein Großteil des iranischen Urans mit Hilfe von Zentrifugen angereichert. Die BBC meldete zur gleichen Zeit, dass der Leiter der iranischen Atombehörde, Gholam Reza Aghazadeh, zurückgetreten sei. Schon damals gab es Spekulationen über ein Einwirken im Rahmen des klandestinen Antiproliferationsprogrammes, das westliche Geheimdienste seit Jahren gegen den Iran betreiben. Die Dienste versuchen durch allerlei Methoden, das iranische Atomprogramm zu behindern und zu verzögern. Statistiken, die aus Daten der Internationalen Atomenergiebehörde erstellt wurden, legen nahe, dass nach dem Frühjahr 2009 die Zahl der tatsächlich betriebenen Anreicherungszentrifugen in Iran deutlich abgenommen hat, trotz Installation von immer mehr Zentrifugen. Ereignisse im Frühjahr 2009 haben die Kapazität des iranischen Anreicherungsprogrammes offenbar nachhaltig beschränkt. War stuxnet womöglich der Auslöser?

Anreicherungszentrifugen sind komplexe Präzisionsmaschinen, die eine sehr genaue Steuerung von Vakuum, Drehzahl und Gasfluss erfordern. Tausende Zentrifugen müssen in Serie geschaltet werden, um am Ende die nötige Anreicherung des spaltbaren Atommaterials zu erreichen. Ohne entsprechende Computersteuerung ist eine solche Anlage effektiv nicht zu betreiben. Die Analyse von stuxnet weist nun ein faszinierendes Detail auf: Ein Teil der Schadsoftware, die in die Steuerungsprozesse eingreift, scheint darauf ausgelegt, sich auf viele einzelne Steuercomputer in einem Netz zu verbreiten und die Schadensroutinen zeitlich zu synchronisieren. Der logische Weg zur Steuerung von vielen tausend Anreicherungszentrifugen ist es, jede mit einem kleinen separaten Steuercomputer zu versehen, der seine aktuellen Parameter über das Netz an die zentrale Überwachungseinheit meldet und von dort Kommandos empfängt. Das, was den Experten bisher über die Struktur der eigentlichen Schadenskomponente in stuxnet - der innersten Matroschka - bekannt ist, würde perfekt dazu passen.

von hier: http://www.faz.net/s/RubCEB3712D41B64C3094...n~Scontent.html

Gruß
Thomas

[Palatin]

Außer mit häufigen Vorkommen im Iran (was sich mit wenigen Experten die viele Maschinen in eher restriktiv zugänglichen Netzwerken warten erklären lässt) gibt es aber keine Hinweise auf die "Nuklearprogramm Theorie". Die S7-Familie ist eine, wenn nicht die, verbreitetste Steuerungsarchitektur für Automatisierungen im letzten Jahrzehnt.

Oh, ich wußte nicht dass eine Verschwörungstheorie nur dann eine Verschwörungstheorie ist, wenn der Übeltäter der israelische bzw us-amerikanische Geheimdienst ist. Ich bin halt altmodisch, für mich wäre es auch eine Verschwörung wenn der chinesische Geheimdienst Industriespionage betreibt oder eine Mafia-Organisation Firmen erpressen will. Was immer hinter Stuxnet steckt, irgendjemand hat sich verschworen um eine Missetat zum eigenen Vorteil zu begehen.

[LeoOffz]

Außer mit häufigen Vorkommen im Iran (was sich mit wenigen Experten die viele Maschinen in eher restriktiv zugänglichen Netzwerken warten erklären lässt) gibt es aber keine Hinweise auf die "Nuklearprogramm Theorie". Die S7-Familie ist eine, wenn nicht die, verbreitetste Steuerungsarchitektur für Automatisierungen im letzten Jahrzehnt.

Eben - und der Iran ist guter Siemens Kunde der hier einige Arbeitsplätze unterstützt. S7 hat aber so ziemlich jeder Industriebetrieb.

Abgesehen davon - als ITler bin ich froh das so etwas endlich mal bekannt wird. Ich flippe fast aus wenn dieser oder jener Manager meint er müsse jede Drehbank an das Internet hängen. VÖLLIGE TRENNUNG ist da angesagt. Diese Steuerungen sind nicht virenfest zu machen und gehören isoliert.

Und welcher Idiot hat eigentlich Windows für die PZH 2000 Feuerleitanlage eingeführt. Wenn der Feind halbwegs clever ist kriegt das Ding im Ernstfall keinen Schuss los.

[Kreuz As]

Ich flippe fast aus wenn dieser oder jener Manager meint er müsse jede Drehbank an das Internet hängen. VÖLLIGE TRENNUNG ist da angesagt.

Wer macht denn sowas??

[tommy1808]

Ich flippe fast aus wenn dieser oder jener Manager meint er müsse jede Drehbank an das Internet hängen. VÖLLIGE TRENNUNG ist da angesagt.

Wer macht denn sowas??

viele, Stichwort "Fernwartung". Der "gute" Maschinenbauer unterscheidet sich eigentlich nur dadurch ob er die Fernwartungsfunktion direkt mit in den Steuerrechner einbaut, dafür einen separaten Rechner vorsieht und/oder die Fernwartungsfunktion nur über ein eigenes physikalisches oder wenigstens logisches Netz an das Internet angeschlossen wird.

Viel größere Probleme beim zwanghaften "alles vernetzten" in der Werkhalle entstehen dadurch, dass industrielle Steuerrechner und automatische Updates nicht so gut zusammen passen. Bei uns werden Rechner nach wie vor häufig mit Windows XP Pro SP1 oder 2 bestellt. Mit SP3+KBxxxxx ist die Steuersoftware nicht validiert und freigegeben....

Und ich habe noch den Vorteil in einem IT Teilbereich zu arbeiten in dem sorgfältige Validierung, Redundanzen, Revisionskontrolle etc. pp. bei den meisten Verantwortlichen noch positiv besetzte Begriffe sind. In meinem früheren Leben als Admin in einer Büroumgebung sah das noch anders aus.

Wer nicht mit Industrie IT zu tun kann sich nicht vorstellen wie altmodisch (und damit virenemfänglich) die EDV Landschaft in einer Werkhalle sein kann. Letztes Jahr haben wir die letzten Rechner mit 386sx CPUs verkauft (40MHz), das Jahr davor die letzten mit Windows 3.11. Und ich rede nicht von Gebrauchtware.

Gruß
Thomas

Der Beitrag wurde von tommy1808 bearbeitet: 23. Sep 2010, 20:42

[Warhammer]

Die PzH2000 ist zwar auf Windows aufgebaut, aber die Kiste schließt man doch an kein Netz an (Vom Diagnosegerät der Inst mal abgesehen).

Sind nicht die neuen Virginia Klasse SSNs der Amis auch teilweise mit ziviler IT-Architektur bestückt?

[Xizor]

Sind nicht die neuen Virginia Klasse SSNs der Amis auch teilweise mit ziviler IT-Architektur bestückt?

Virginia weiß ich nicht, aber die Briten betreiben ihre gesamte U-Boot Flotte mit einem modifizierten Win XP. http://news.cnet.com/8301-13639_3-10129373-42.html

[Kreuz As]

viele, Stichwort "Fernwartung". Der "gute" Maschinenbauer unterscheidet sich eigentlich nur dadurch ob er die Fernwartungsfunktion direkt mit in den Steuerrechner einbaut, dafür einen separaten Rechner vorsieht und/oder die Fernwartungsfunktion nur über ein eigenes physikalisches oder wenigstens logisches Netz an das Internet angeschlossen wird.

Gibts bei uns grundsätzlich nicht. Aus genau den oben angeführten Gründen.

[Wirbelschlepper]

Außer mit häufigen Vorkommen im Iran (was sich mit wenigen Experten die viele Maschinen in eher restriktiv zugänglichen Netzwerken warten erklären lässt) gibt es aber keine Hinweise auf die "Nuklearprogramm Theorie". Die S7-Familie ist eine, wenn nicht die, verbreitetste Steuerungsarchitektur für Automatisierungen im letzten Jahrzehnt.

Oh, ich wußte nicht dass eine Verschwörungstheorie nur dann eine Verschwörungstheorie ist, wenn der Übeltäter der israelische bzw us-amerikanische Geheimdienst ist. Ich bin halt altmodisch, für mich wäre es auch eine Verschwörung wenn der chinesische Geheimdienst Industriespionage betreibt oder eine Mafia-Organisation Firmen erpressen will. Was immer hinter Stuxnet steckt, irgendjemand hat sich verschworen um eine Missetat zum eigenen Vorteil zu begehen.

Das es kein Geschenk an die Menschheit ist, liegt auf der Hand. den rest deines Postings verstehe ich nicht.

Was ich sagen möchte, ist dass es keine harten Indizien gibt die auf den Iran als Ziel hinweisen. In der Zeit in der der Wurm aktiv war, haben sicherlich tausend Industrieanlagen nicht so funktioniert wie sie sollten.

Zum Thema Fernwartung: Es ist heute oftmals nicht möglich es anders zu lösen. Ein Sondermaschine ist nicht vollständig ausgereift wenn sie in Betrieb genommen wird. Jedes mal da den Hersteller, der auch mal am anderen ende der Republik sitzt) antanzen zu lassen kann sich ein Wirtschaftsunternehmen nicht leisten (zeitlich und finanziell nicht). Das heist nicht das jede Drehbank ständig am Netz sein muss, aber ganz ohne geht es bei vielen Anlagen nicht. Das Problem ist eher das der "normale ITler" nichts von Maschinensteuerungen versteht und gerne mal Pauschalaussagen macht. Eine (wenn notwendig auch physische) Kapselung mit vernünftigen IT-Regeln (USB-Sticks, Rechner sperren bei Nichtanwesenheit, Disziplin bei der Dateiablage, Passwörter bei sich behalten, Zugriffsrechte etc.) reduziert die Risiken deutlich.

[bill kilgore]

Von Symantec gibt es ein Whitepaper zu Stuxnet, PDF-Link: http://www.symantec.com/content/en/us/ente...net_dossier.pdf

[Reservist]

Wer nicht mit Industrie IT zu tun kann sich nicht vorstellen wie altmodisch (und damit virenemfänglich) die EDV Landschaft in einer Werkhalle sein kann. Letztes Jahr haben wir die letzten Rechner mit 386sx CPUs verkauft (40MHz), das Jahr davor die letzten mit Windows 3.11. Und ich rede nicht von Gebrauchtware.

Schönes Beispiel ist ja auch der ICE 3, wo die Sitzplatzreservierung über eine Diskette eingespielt wird.

[PzBrig15]

Stuxnet hin oder her,
ich will mal nachfragen wer in den letzten Wochen / Monaten mit extrem langsamem privaten Rechner zu kämpfen hat ???
ich will ja keine nichts beschreien , aber viele mir bekannten User in verschiedensten Internet-Foren haben mit Rechnerproblemen zu kämpfen .
Das da ein Zusammenhang mit Interesse an Militär und Bildern besteht kann auch rein zufällig sein, aber vielleicht auch nicht . Hat jemand von euch
auch momentane Rechnerprobleme ?

[Wodka]

Also ich kenne viele Leute aus der "Szene", die auch mit Verbindungsproblemen zu kämpfen haben.

[Minfun]

Bei mir passiert das nur temporär beschränkt. Aber jetzt wo ihr das erwähnt, meist nachdem ich auf WHQ war. :/

[goschi]

wir haben wenig damit zu tun, alles andere ist OPSEC

[PzBrig15]

wir haben wenig damit zu tun, alles andere ist OPSEC

Das ist schon OK . Vielleicht sind wir ja nur Teil eines Planspieles......
Vielleicht sind bald auch die dicken Insekten die in einigen Jahren bei uns durch
die Zimmer fliegen mit XXXX bestückt...... (kleines Späßle über Mikrodrohnen)
Aber auffällig ist es schon.....,oder ?

[Pilgrim]

Stuxnet hin oder her,
ich will mal nachfragen wer in den letzten Wochen / Monaten mit extrem langsamem privaten Rechner zu kämpfen hat ???
ich will ja keine nichts beschreien , aber viele mir bekannten User in verschiedensten Internet-Foren haben mit Rechnerproblemen zu kämpfen .
Das da ein Zusammenhang mit Interesse an Militär und Bildern besteht kann auch rein zufällig sein, aber vielleicht auch nicht . Hat jemand von euch
auch momentane Rechnerprobleme ?

Ich hoffe das du beim Surfen auf solchen speziellen Seiten wenigstens einen Alu-Hut auf hast.

[PzBrig15]

[Ich hoffe das du beim Surfen auf solchen speziellen Seiten wenigstens einen Alu-Hut auf hast.

na klar , und eine rosarote Brille ......

[Reservist]

Stuxnet hin oder her,
ich will mal nachfragen wer in den letzten Wochen / Monaten mit extrem langsamem privaten Rechner zu kämpfen hat ???
ich will ja keine nichts beschreien , aber viele mir bekannten User in verschiedensten Internet-Foren haben mit Rechnerproblemen zu kämpfen .
Das da ein Zusammenhang mit Interesse an Militär und Bildern besteht kann auch rein zufällig sein, aber vielleicht auch nicht . Hat jemand von euch
auch momentane Rechnerprobleme ?

Nö, nie. Aber ich hab auch Ahnung. Die meisten Internetnutzer aber nicht, was dann "extrem langsame private Rechner" zur Folge hat.

[Elliot]

Aus aktuellem Anlass weise ich auf Recherchen eines französischen Journalisten (nouvel Observateur, Vincent Jauvert) zu Stuxnet hin. Dieser berichtet in seinem Blog, dass der DGSE, der CIA, der Mossad, der SIS und der BND in ungewohnt enger ("sans precedent") Kooperation versuchen das iranische Atomprogramm zu sabotieren. Ein Mittel dazu: Stuxnet.

Link zum Blog (französisch)

Der Beitrag wurde von Elliot bearbeitet: 14. Dec 2010, 18:07

[nobody]

Ich habs nicht gelesen und kann es auch nicht aber wieso sollte er unrecht haben?
Was denkst du was die Geheimdienste den ganzen Tag machen? James Bond Autos bauen?

[Schwabo Elite]

Ich kann praktisch kein Französisch, was listet er als Quellen auf?

[Elliot]

Ich habs nicht gelesen und kann es auch nicht aber wieso sollte er unrecht haben?
Was denkst du was die Geheimdienste den ganzen Tag machen? James Bond Autos bauen?

Ich denke nicht, dass er Unrecht hat. (Ich habe die Stelle, an der du vermutlich "gestolperst" bist inzwischen entfernt.) Der Post ist halt nur Futter für die User, die hinter dem Herunterfallen ihres Marmeladenbrots eine Geheimdienstaktion sehen.

Im Gegenteil er listet diverse Aktionen diverser Geheimdienste gegen das iranische Atomprogramm auf. Eine davon Stuxnet.

Der Beitrag wurde von Elliot bearbeitet: 14. Dec 2010, 18:16

[nobody]

Alles Klar. Hatte mich an deinem Smilie missverstanden

[Herki]

Ein deutscher Blogger der eben diesem Artikel einen Blogeintrag gewidmet hat ist Zettel

Der Beitrag wurde von Herki bearbeitet: 14. Dec 2010, 19:08

[revolution]

Die Internationale Atomenergiebehöre, die den Output der Urananreichung im Iran regelmäßig überprüft, hat im relevanten Zeitraum eine stabile Zunahme des angereichterten Urans festgestellt, allerdings bei zunehmender Gesamtzahl an Zentrifugen. Sprich es gab offenbar tatsächlich Probleme durch Stuxnet oder fehlerhafte Bauteile. Ich frage mich allerdings, was das großartig gebracht hat, außer die Kosten für das Atomprogramm zu erhöhen. Wenn ein paar hundert Zentrifugen in Natanz eine Weile ausfallen, hindert das den Iran nicht daran, sich die Fähigkeit und ausreichend Material für Atombomben zu beschaffen. Mit Anschlägen auf iranische Uni-Professoren hört der Spaß dann auch irgendwo auf. Solche Aktionen dienen allenfalls dazu den Iran dazu zu provozieren, auf gleiche Weise zu anworten. Dass bisher lediglich die enttarnten Spione im Iran hingerichtet wurden, ist wohl eher mit vorsichtiger Zurückhaltung und dem mangelnden Interesse an schlecter PR zu erklären, als mit Mangel an Mitteln. Wenn nun auch die Dozenten am MIT nur noch mit Personenschützer aus dem Haus können, hat man auch da wenig gewonnen.