Archief - Stuxnet, het eerste industrieël virus

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

Epyon

Legacy Member
dee zei:
Inside information moet er wel zijn. Als je de programma's en architectuur hebt van de plc installatie(s) kan je pas iets schrijven om het te saboteren.
Nee hoor, die architecturen zijn redelijk transparant en goed gedocumenteerd. Wat hardware aankopen volstaat vaak al om de loopholes te vinden. Fabrikanten van low level embedded systemen besteden dan ook niet zoveel aandacht aan mogelijke inbraken van buitenaf. Hun focus ligt op het bouwen van een stabiele en robuuste architectuur. Of Simatic Manager nu wel of niet kraakbaar is gaat hen minder aan. Wie zou nu ook embedded systemen op zo'n schaal aanvallen?

Tot nu dus.

DreaDNoughT

Legacy Member
Binnenkort in de gazet : "Nucleaire centrales van Rusland plat wegens virus" . Ze hebben het al geprobeerd om die van Iran te pakken . De toekomst ziet er goed uit moet ik zeggen .

Ben geen doemdenker maar zo'n worm is weer een perfect middel om via internet landen te terroriseren en industrieën plat te leggen waardoor de hele wereldeconomie ontwricht wordt...
Battlestar Galactica in het echt...zonder de cylons . Alhoewel die ****** ook goed bezig zijn .
De mens is maar een zwak wezen .

Benjamin

Legacy Member
Epyon zei:
Nee hoor, die architecturen zijn redelijk transparant en goed gedocumenteerd. Wat hardware aankopen volstaat vaak al om de loopholes te vinden. Fabrikanten van low level embedded systemen besteden dan ook niet zoveel aandacht aan mogelijke inbraken van buitenaf. Hun focus ligt op het bouwen van een stabiele en robuuste architectuur. Of Simatic Manager nu wel of niet kraakbaar is gaat hen minder aan. Wie zou nu ook embedded systemen op zo'n schaal aanvallen?

Tot nu dus.
De koper van zo'n systeem moet dus maar zien dat hij zijn systeem zelf beveligd door het onmogelijk te maken dat er vreemde software op terecht komt?

denkimi

Legacy Member
zoiets moet toch redelijk gemakkelijk te vermijden zijn door een hardwarematige schrijfbeperking in te voeren, zoals op een sd-kaart.

dee

Legacy Member
Epyon zei:
Nee hoor, die architecturen zijn redelijk transparant en goed gedocumenteerd. Wat hardware aankopen volstaat vaak al om de loopholes te vinden. Fabrikanten van low level embedded systemen besteden dan ook niet zoveel aandacht aan mogelijke inbraken van buitenaf. Hun focus ligt op het bouwen van een stabiele en robuuste architectuur. Of Simatic Manager nu wel of niet kraakbaar is gaat hen minder aan. Wie zou nu ook embedded systemen op zo'n schaal aanvallen?

Tot nu dus.

Ik ben al in een aantal chemische fabrieken geweest in de Antwerpse haven en de PLC installaties daar zijn gewoon onoverzichtelijk en amper gekend. Het is een combinatie van programma's geleverd door fabrikanten, eigen programma's, interfaces tussen programma's en dan natuurlijk de altijd aanwezige "oplossingen" voor problemen. Als je daar een installatie kan ontleden kan je beter ineens solliciteren want de echte volledige kennis is toch altijd verloren gegaan bij het pensioen van persoon X.
Documentatie is dan ook nooit meer als alle programma's afdrukken en een paar technische A4's met de in- en uitgangen.

De enigste manier dat ik zie is als de installatie nieuw is en je programma's kan aanvallen van een hardware fabrikant. Dan is er nog niet teveel aangepast.


Edit: Daar denk ik juist aan. Zelf met de programma's van de fabrikanten weet je daarom nog altijd niet welke merkerwoorden er aan hangen.
Oude programma's waren nog hardcoded maar tegenwoordig is dat 1 en al variabel waar je zelf een geheugenreeks aan geeft.

falc.be

Legacy Member
dee zei:
Er is wel wat onduidelijkheid bij mij over wat dat virus nu doet.
Infecteert het wincc of siemens plc's zelf? Dat is wel een wereld van verschil.
Het specifiek aanvallen van 1 onderdeel is trouwens bs want je kan niet weten wat er achter een variabel zit. Je kan enkel van alle zaken overschrijven en hopen dat het programma blijft werken. Dat is vrij tricky om met een AI te doen. Misschien zelfs onmogelijk.

naar mijn begrijpen gaat het virus setpunten aanpassen in de PLC via wincc. maar het zou ook complete programmatie kunnen aanpassen online.

Bij winCC samen met PCS7 is dit veel makkelijker aangezien winCC dan compleet verbonden is met dePCS7 programmatuur en in vele gevallen zijn dit standaardblokken van siemens.

Een programma ontleden is op zich niet al te moeilijk maar bij gewone S7's is het bijna onmogelijk om te bepalen waar de setpunten bevinden of om te bepalen welke stukken platgelegd moeten worden om de meeste schade te veroorzaken. daar is al inside information voor nodig

Het virus wordt voornamelijk verspreid via usb sticks, ik kom nu al op fabrieken waatr usb sticks verboden of tenminste eerst gescand moeten worden op een lokale pc gescheiden van het industrieel netwerk

Epyon

Legacy Member
Benjamin zei:
De koper van zo'n systeem moet dus maar zien dat hij zijn systeem zelf beveligd door het onmogelijk te maken dat er vreemde software op terecht komt?
Je moet toch je PLC's van nieuwe software voorzien? Zo'n rootkit als Stuxnet is al quasi niet detecteerbaar, laat staan door automateseringsingenieurs die nooit opgeleid zijn om op zo'n zaken te letten. Dergelijke ingenieurs zijn geen IT'ers, en virussen die zich effectief in embedded systemen nestelen zijn nog nooit voorgekomen. Het zou een beetje zijn als een virus dat zich in de MCU (Motor Controller Unit) van een auto nestelt: een garagist zou daar ook nooit op letten.

Dat zal nu wss wel veranderen, maar het kalf is natuurlijk al verdronken :) . Voor de rest is het ook zoals dee zegt: veel automatiseringsinfrastructuur is een ramp om te managen :p .

Rider

Legacy Member
Enneuhm...verspreidt zich dat via Industrial ethernet of Profibus? :p

Rider

Legacy Member
BTw setpunten aanpassen kan toch totaal niet?

Hoe zou dat virus kunnen bepalen welke variabele al dan niet een setpunt is?
Ik weet niet hoe het bij jullie op het bedrijf zit maar ik heb echt al draken van programma's gezien; waar kop nog staart aan te breien valt zonder op zijn minst commentaartekst.

Het lijkt mij logischer dat dit een of andere achterdeur openzet waarlangs een persoon zelf het programma vanop afstand bekijkt en variabelen stuurt.

Gonzo the Great

Legacy Member
dee zei:
De enigste manier dat ik zie is als de installatie nieuw is en je programma's kan aanvallen van een hardware fabrikant.

kHeb zo eens de claxon van een machine ne halve minuut hoog geforceerd van een productiemachine in Mexico, daar is idd niks aan.:p
kMoet wel zeggen, dat was wel al deftig goed beveiligd toen, met een hardware-token-baksken enal. Niks is onkraakbaar, maar ze deden hun best. (voor de duidelijkheid: ik heb niks gekraakt zenne, ik had da token bakske, was gewoon wa aant zeveren met de collega's: we gaan die Mexicanen nekeer wakker schudden!)

En ok, PLC-technici zijn geen IT'ers, maar dat wil niet zeggen dat er in een deftig fabriek geen IT'ers zijn. De PLC technicus moet zien dat zijn machine goe werkt, en spreekt enkel wat woorden af waarin de bovenliggende controlelaag mag lezen, en eventueel schrijven bij een gezamenlijke productwissel. Eens je boven het PLC niveau zit (Proficy of andere data-acquisitie e.d.) heb je toch al met halve IT'ers te maken, want das praktisch 100 percent PC. En een lijn naar buiten om vanop afstand online te gaan met een PLC wordt altijd geregeld door de IT dienst van zo'n fabriek. Zij hebben toen ook die token geregeld voor mij enzo.

Met een USB stick is het altijd mogelijk natuurlijk: als je weet met welk merk ze werken en welke versie ongeveer, kan je zo wel de boel platleggen. Als je die USB stick in de PC krijgt die ze gebruiken om online te gaan met hun PLC's tenminste. Dus wel echt PLC-geheugens wissen enzo, zoals de oldschool PC-virussen, maar subtiel parameters veranderen geloof ik ni echt, of het zou compleet random zijn.

Dat PLC fabrikanten zich niet bezig houden met beveiliging zouk wel ni durven beweren. Althans ni bij Allen Bradley, maar qua software hebben die altijd al voorsprong gehad op de concurrentie.

shiftyke

Legacy Member
Genious zei:
Waarom zou dat de politieke druk op Iran opvoeren?

Dan kunnen ze zeggen dat het onveilige en dus onverantwoorde installaties zijn, al denk ik niet dat Ahmadinijad er zich zeer weinig van zal aantrekken :p

Benjamin

Legacy Member
shiftyke zei:
Dan kunnen ze zeggen dat het onveilige en dus onverantwoorde installaties zijn, al denk ik niet dat Ahmadinijad er zich zeer weinig van zal aantrekken :p
Dat was mijn gedachte, wanneer andere landen bang zouden zijn dat het onveilig is (Duitsland, Engeland, Frankrijk, Nederland, Rusland, China...) dan zou de politieke druk al heel wat groter zijn.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan