Cyberwar - Stuxnet

[HERR 2FICKENDEHUNDE]

Der kürzliche Angriff auf das Atomkraftwerk Bushehr wird in als erster grösserer bekanntgewordener digitaler Erstschlag angesehen. Die Methoden, wie dabei vorgangen wurde, ist derart professionell, dass man nur vermuten kann, dass ein Staat oder Geheimdienst dahinter steckt. Hackerangriffe von Staaten sind sicherlich nicht so wahnsinnig ungewöhnlich allerdings die Art und Weise, wie das hier gemacht wurde, überrascht sogar Sicherheitsexperten.

Näheres dazu: http://www.faz.net/s/RubCEB3712D41B...2FBDEE07AF579E893C~ATpl~Ecommon~Scontent.html

http://www.heise.de/security/meldung/Iran-bestaetigt-Cyber-Angriff-durch-Stuxnet-Update-1096365.html

Nur mal zur Information, ich finde die Dimension ziemlich krass und als Ziel auch ausgerechnet ein Atomkraftwerk

 

[Kuma]

Die betreiben Atomkraftwerke mit Windows?

 

[Lore]

Es geht in erster Linie um das Manipulieren der SPS, Kuma.


Zum Thema:
Es ist recht interessant geschrieben, wenn auch ziemlich Mit Fehlern behaftet/schlecht recherchiert.

Ich kann mit WinCC (oder alternativer Programmier-Schnittstelle) auf Feldebene keine S7-Steuerung "deep" programmieren. Ich komm nur in den Data-Memory der Steuerung und nicht in den Programm-Speicher.

Ausserdem "dürfte" nach gängigen Normen keine Siemens S7 in einem Atom-Kraftwerk ("sicherheitsgerichtete Anwedungen") verbaut werden. Höchstens Einheiten der Failsafe Reihe S7-3xx F / 4xx F. Aber auch diese Einheiten haben nur den Sicherheits-Standard SIL3. Kerntechnische Anlagen/Rafinierien/Bunkeranlagen etc. benötigen aber SIL4.
Die wiederum gibt es nur vom Hersteller HIMA und (meines Wissens und nach kurzer Recherche) nicht von Siemens.

Erschwerend kommt noch hinzu, dass man aus der Ferne (selbst bei Siemens SIL3 Steuerungen) nicht aus der Ferne umprogrammieren kann ohne einen Schlüsselschalter zu betätigen. Es ist schlicht und ergreifend unmöglich.
Das ist - simpel umschrieben - als würde ich einen Rechner hacken wollen, bei dem der Strom aus ist.

 

[HERR 2FICKENDEHUNDE]

Naja wenn es so easy gemacht wäre, würde das nicht solche wellen schlagen. fakt ist, dass da ein paar millionen investiert wurden für die entwicklung und die spionage, weil ohne präzise ortskenntnisse über die verwendeten systeme ect ist sowas einfach nicht möglich. das war auf jedenfall kein einzelner hacker sondern eine vermutlich staatliche institution.

 

[Lore]

Selbst dann kann ich eine SIL4 SPS nicht umprogrammieren ohne vorherige Kontaktgabe durch den Schlüsselschalter.

___/ ___ "Strecke unterbrochen - Schlüsselschalter Stellung offen = Ich kann nix programmieren"


_________ "Strecke geschlossen - Schlüsselschalter Stellung geschlossen = Ich kann programmieren"

Das ist eine hardwareseitige Sicherheitsmassnahme die ich NICHT umgehen kann.

 

[Picard]

wie sagt man so schön in der branche: Es war die Putzfrau, die den schalter legte

 

[HERR 2FICKENDEHUNDE]

ich kenne mich mit dem verwendeten Systemen nicht aus. Gravierende Auswirkungen kann es aber nicht gehabt haben, denn der Meiler geht ja ans Netz: http://www.heise.de/newsticker/meld...eht-trotz-Cyber-Attacke-ans-Netz-1097415.html

es wurde glaub ich nur die Anreicherung in den Zentrifugen extrem verlangsamt, von dem was man so hört. aber wo bekommt man schon gesicherte informationen dazu.

 

[iFang]

ich empfehle dazu den podcast von frank rieger (autor des faz artikels) und fefe. sehr interessant was die technischen aspekte betrifft

http://alternativlos.org/5/

@ ogerlore du hast schon recht, in der eu ist es nicht so einfach, weil die Siemens S7 bis zu einem gewissen grad schutz durch solche angriffe bieten, z.b. schlüsselschaltung. man darf aber nicht vergessen, dass im iran nicht technik verwendet wird, die unseren rechtsnormen entsprechen müssen! dort werden die komponenten verbaut, die sie auf dem weltmarkt kriegen können.

 

[Rukk]

Bei Welt Online spricht man vom "Hack des Jahrzehnts".
Prototyp künftiger Cyberwaffen, entwickelt von einem Team sehr gut ausgebildeter Fachkräfte.
http://www.welt.de/wirtschaft/webwe...t-Wurm-befaellt-iranisches-Atomkraftwerk.html

 

[Lore]

ich empfehle dazu den podcast von frank rieger (autor des faz artikels) und fefe. sehr interessant was die technischen aspekte betrifft

http://alternativlos.org/5/

@ ogerlore du hast schon recht, in der eu ist es nicht so einfach, weil die Siemens S7 bis zu einem gewissen grad schutz durch solche angriffe bieten, z.b. schlüsselschaltung. man darf aber nicht vergessen, dass im iran nicht technik verwendet wird, die unseren rechtsnormen entsprechen müssen! dort werden die komponenten verbaut, die sie auf dem weltmarkt kriegen können.

Der Artikel spricht aber von Siemens S7 Steuerungen 8[

 

[LATEX1989]

Afaik wurde ja auch nicht das AKW angegriffen sondern die Anreicherungsanlage die in der Tat normale S7 Steuerungen verwendet in Kombination mit Windows PC's.

Wie Ogerlore auch schon richtig festgestellt hat werden in einem AKW auch keine S7 verwendet sondern nur Sicherheitsoptimierte SPSen(wenn auch nicht nur SIL4 sondern je nach Einbauort auch andere)

 

[iFang]

hmm, im podcast sagt der autor des artikels, dass eher unwahrscheinlich ist, dass S7 Steuerungen angegriffen wurden, da, wie du auch sagtest, es schwer ist mit der schlüsselschaltung

sie sind offensichtlich auch mit der recherche und dem reverse engineering, wohl insgesamt weiter. dadurch ergeben sich auch neue erkenntnisse und neue theroien.

ich würde auch bis zum chaos computer congress auf wirklich handfeste erkenntnisse warten und jetztige aussagen immer noch als theorien und vermutungen verbuchen.

 

[Gelöschtes Mitglied 160054]

Wieso hängen sowelche Einrichtungen am Internet?

 

[iFang]

diese einrichtungen hängen nicht am netz. das programm hat sich über usb-sticks und smb sharings verteilt, wobei es noch nicht bekannte lücken ausnutzt.

 

[wutvolta]

und da die Anlagen nicht am Netz hängen ist eine DIREKTE Sabotage auch garnicht möglich.

Wenn man sich den Aufwand überlegt, den man betreiben müsste, um in die gesicherten Bereiche eines Kernkraftwerkes zu kommen und dort Software zu sabotieren, dann sollte es im Iran wohl einfacher sein, physischen Schaden anzurichten.
Die letzten Sicherheitskreise sind analog, da kann keine Schadsoftware etwas ausrichten.

Also der Wurm war sicherlich eine Meisterleistung, aber garantiert nicht dazu bestimmt das KKW zu sabotieren.

 

[iFang]

das programm ist wohl so ausgerichtet messwerte falsch darzustellen, um den verschleiß der maschinen zu erhöhen oder die output menge von spaltbaren material zu verringern.

das programm war wohl auch nicht darauf ausgelegt, kraftwerke direkt zu sabotieren und vielleicht ein unfall zu provozieren. die sicherheit und stabilität des programms hat scheinbar größeren stellenwert als z.b. nicht entdeckt zu werden

 

[HERR 2FICKENDEHUNDE]

http://www.langner.com/en/index.htm

3. The attack combines an awful lot of skills -- just think about the multiple 0day vulnerabilities, the stolen certificates etc. This was assembled by a highly qualified team of experts, involving some with specific control system expertise. This is not some hacker sitting in the basement of his parents house. To me, it seems that the resources needed to stage this attack point to a nation state.

 

[iFang]

http://www.langner.com/en/index.htm

das ja nichts neues. ziemlich offensichtlich, dass da ein staat dran war. zur zeit wird wohl israel favorisiert.

 

[paSChaDaHur]

Ich sehe schon einen Fallout auf uns zu kommen.
Ich bunker schonmal Essen und Muni, damit ich über die Runden komme

@Thread

Ich glaub es wird nie Nachweißbar sein, ob und welcher Staat dahinter steckt D:

 

[HERR 2FICKENDEHUNDE]

wer solche tools bauen kann, der legt ganz sicher auch falsche fährten. das ist nicht die arbeit von 0815 scriptkiddies sondern von experten.