Security Neues vom Cyberkrieg

Tarantoga

Tarantoga

0
Wie heise online meldet hat der Wurm "Stuxnet" mindestens 30.000 Rechner im Iran infiziert, darunter auch die Rechner des Atomkraftwerks in Buschehr - genau das war, nach einem Bericht von SpiegelOnline, dass Ziel des Wurms:
Auszug aus einem Artikel von SpiegelOnline:
Genau das hatte der deutsche Sicherheitsfachmann Ralph Langner aufgrund diverser Indizien als eigentlichen Zweck des Wurms vermutet.
Zum Vergrößern anklicken....
Vor dem Hintergrund finde ich diese Aussage aus dem gleichen Artikel sehr alamierend:
Auszug aus einem Artikel von SpiegelOnline:
Besonders diesen Aspekt finden Liam O'Murchu und seine Kollegen vom IT-Sicherheitsunternehmen Symantec bedrohlich: Die Fähigkeit des Stuxnet-Wurms, "physische Anlagen zu kontrollieren", sei beunruhigend, so die Ankündigung von O'Murchus Vortrag in Vancouver. Dieser Aspekt "unterscheidet diese Bedrohung von jeder anderen, die wir bis heute kennen".
Zum Vergrößern anklicken....
Nicht weniger beunruhigend ist die Tatsache das der Iran den Wurm-Angriff mittlerweile als "kriegerischen Akt" eingestuft hat.

Links:
http://www.heise.de/security/meldung/Iran-bestaetigt-Cyber-Angriff-durch-Stuxnet-Update-1096365.html
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,719662,00.html
 
Der von xblax verlinkte Audio-Beitrag ist wirklich extrem spannend und behandelt das Thema äußerst vielschichtig...:thumb_up:

Nachdem ich mir diesen Bericht angehört habe, muss ich sagen das es wohl kaum noch Zweifel geben kann, dass ein Staat / Geheimdienst hinter "Stuxnet" steckt. Und die Vorstellung das Staaten gezielt sensible Industrie-Anlagen wie Urananreicherungsanlagen - die laut dem Beitrag ja extrem anfällig sind - mit Malware angreifen, lässt mich nicht gerade besser schlafen. Wenn schon ein Handabdruck auf einer Seite des Rotationskörpers einer Uran-Zentrifuge ausreicht um zu einer Unwucht und damit zu einem Störfall zu führen, möchte ich gar nicht wissen was böswilliger Code anrichten kann, der in der Steuerungssoftware der Anlage herumpfuscht...:rolleyes:

Allerdings bringt einen der Beitrag auch auf gute Ideen: Eine industrial-control -Kaffeemaschine zu basteln klingt wirklich reizvoll...:D
 
So wie ich das verstanden hab wird ja davon ausgegangen, dass man die Anlagen eher lahmlegen möchte und nicht unbedingt darauf aus ist einen Nuklearen Störfall zu erzeugen.

Jedenfalls waren mir die (möglichen) Zusammenhänge vorher nicht so klar. Man darf gespannt bleiben.
Vorallem eins ist mir jetzt nochmal richtig bewusst geworden: Wenn man genügend Geld auf den Tisch legt kommt man vermutlich in ALLE Systeme rein.

Das mit der Kaffeemaschine ist in der Tat so ne Sache ... vielleicht auch als Stuxnet Honeypot geeignet :D
 
xblax hat gesagt.:
Das mit der Kaffeemaschine ist in der Tat so ne Sache ... vielleicht auch als Stuxnet Honeypot geeignet :D
Zum Vergrößern anklicken....

demnächst Realität, auch in Ihrem Stamm-Café:
Kunde: einen Kaffee bitte.
Bedienung: geht heute leider nicht.
Kunde: wieso?
Bedienung: auf dem Kaffeevollautomat wütet der Stuxnet-Wurm - der spuckt nur noch kalten Espresso und Milch aus...
Zum Vergrößern anklicken....
:D

Spaß beiseite - echt beängstigend, was da so alles an Angriffsszenarien möglich ist...
 
xblax:
So wie ich das verstanden hab wird ja davon ausgegangen, dass man die Anlagen eher lahmlegen möchte und nicht unbedingt darauf aus ist einen Nuklearen Störfall zu erzeugen.
Zum Vergrößern anklicken....
Das habe ich auch so verstanden. Aber das Problem ist doch das die Urheber dieses Wurms die Büchse der Pandora geöffnet haben - der Code wird derzeit überall auf der Welt analysiert und das bedeutet das es schon bald Leute geben wird, die den Code nachbauen oder zumindest modifizieren können... Was ist wenn die nicht so sorgsam darauf bedacht sind keine "Kollateralschäden" anzurichten oder einfach schlampig arbeiten? Ausserdem analysieren ja nicht nur IT-Security Firmen den Code, sondern auch Geheimdienste, Terroristen & Cracker... Das finde ich wirklich beunruhigend...:rolleyes:

beavisbee:
Spaß beiseite - echt beängstigend, was da so alles an Angriffsszenarien möglich ist...
Zum Vergrößern anklicken....
FullACK!
 
Zuletzt bearbeitet:
Aber das Problem ist doch das die Urheber dieses Wurms die Büchse der Pandora geöffnet haben - der Code wird derzeit überall auf der Welt analysiert und das bedeutet das es schon bald Leute geben wird, die den Code nachbauen oder zumindest modifizieren können...
Zum Vergrößern anklicken....

Wieso erinnert mich das ganze An Terminator und Skynet...?

Ich find es echt schon heftig das nun mit Hilfe von solchen Würmern schon physische Anlagen befallen und auch evt. kontrollieren können..
 
Skynet ist doch eher ein Großcomputer, der die Macht übernimmt und somit den "Krieg" zwischen Maschine und Menschen lostritt...ähnlich wie in I Robot oder Matrix.

Hier versuchen aber noch Menschen anderen Menschen zu schaden, nur anstatt einer Rohrzange, einer Pistole, einem Gewehr oder größeren Dingen ist das Mittel hier eben Einsen und Nullen.

Was mich eher beschäftigt ist, dass der Schadcode über einen USB-Stick in die Anlage gekommen ist (natürlich noch mit ein paar Zwischenstationen). Und dazu noch, dass man über einen (scheinbar) normalen PC Zugriff auf eine Industrieanlage hat - sei es für einen normalen User vllt nur beschränkte Sachen, aber dennoch - man sieht was passiert. Kann mir jemand erklären, warum solche Sachen eine doch recht triviale Anbindung an die Außenwelt haben? Ich meine: Eigentlich sollte man wissen, dass eigentlich kein gängiges System fehlerfrei/lückenfrei ist - zuminderst lese ich immer "Patch-Day bei Windows - 12 kritische Lücken geschlossen" oder "Linux-Kernel-Update - Kritische Lücke geschlossen", auch bei OSX "Apple schließt Lücke im QT-Player". Warum werden dort nicht externe USB-Sticks verboten? Oder nur ein Intranet betrieben, ohne Kontakt zum Internet?

Die Industrie hadert mit Spionage, aber will komischerweise keine Einschnitte machen...
 
@Scutus:
In Alternativlos gehen Fefe und Frank davon aus, dass die Anlage offenbar eben kein Internet hatte, und der Wurm sich deswegen vermutlich über einen Updatestick eingeschlichen hat.

Was mich wundert:
Wenn die da schon jemanden sitzen hatten, der denen ja quasi so eine Art von Dump der Anlage geschickt hat (Die IDs von S7-300-Controllern stehen wohl kaum auf der Homepage des AKW-Bauprojekts :D ), wieso konnte nicht derjenige den Virus einschleusen? Vll. sitzt derjenige da ja immernoch, und man hat den Virus quasi von extern eingeschleust um seine Tarnung nicht angreifbar zu machen.

Der Aufwand für den Virus war ja offenbar auch extrem, vermutlich wurde ja in die Büros von JMicron/Realtek unbemerkt eingebrochen. Der Virus scheint ja auch sehr darauf bedacht zu sein, den Rechner auf keinen Fall zu destabiliseren. Da gibts offenbar viele Fehlerabfragen, etwas, was ich bei vielen Treiber ehrlichgesagt sehr vermisse.

Dieser Matroschkaaufbau scheint ja m.M.n. darauf abzuzielen, dass eben nicht jeder x-beliebige Cracker direkt an den S7-300-Rootkitcode kommt...
 
Scutus hat gesagt.:
you trun my head right round right round...

http://www.heise.de/newsticker/meldung/China-angeblich-von-Stuxnet-Epidemie-heimgesucht-1099327.html
Zum Vergrößern anklicken....

ich will ja um Gottes Willen keinem Land unterstellen, der Urheber des Wurmes zu sein, aber dieser Artikel klingt für mich ehr nach einem konstruierten Alibi.

So nach dem Motto
"Scheiße, wir geraten langsam ins Visier... man verdächtigt uns... was sollen wir machen?"
"Wir erzählen über unsere Nachrichten-Agenturen, dass wir selbst ganz schlimm befallen sind und lenken den Verdacht wieder zurück auf die USA..."

und ich mein... DASS China Zensur- und Desinformationspolitik betreibt ist ja kein Geheimnis... wer weiß, wer weiß... in 2 Stunden wird das HaBo auf Grund dieses meines Posts in China geblockt sein. :D
 
China hat nichts gegen den Iran. Im Gegenteil, die beziehen einen nicht unerheblichen Teil ihres Rohöls (irgendwas um die 30 %) vom Iran. Die werden sich hüten :rolleyes:

M.M.n. finde ich Israel sehr wahrscheinlich. Die haben immerhin schon einmal ein AKW-Bau vom Iran einfach weggebombt...
 
csde_rats hat gesagt.:
China hat nichts gegen den Iran. Im Gegenteil, die beziehen einen nicht unerheblichen Teil ihres Rohöls (irgendwas um die 30 %) vom Iran. Die werden sich hüten :rolleyes:
Zum Vergrößern anklicken....

Aber was, wenn der Iran gar nicht das eigentliche Ziel war:
Kaspersky hat neuere Zahlen veröffentlicht, wonach Indien das Epizentrum der Stuxnet-Aktivitäten war und ist.
Zum Vergrößern anklicken....
( Quelle: http://www.heise.de/security/meldung/Stuxnet-Wurm-weitere-Tricks-im-Cyberwar-1098197.html )
 
Scutus hat gesagt.:
Skynet ist doch eher ein Großcomputer, der die Macht übernimmt und somit den "Krieg" zwischen Maschine und Menschen lostritt...ähnlich wie in I Robot oder Matrix.

Hier versuchen aber noch Menschen anderen Menschen zu schaden, nur anstatt einer Rohrzange, einer Pistole, einem Gewehr oder größeren Dingen ist das Mittel hier eben Einsen und Nullen.

Was mich eher beschäftigt ist, dass der Schadcode über einen USB-Stick in die Anlage gekommen ist (natürlich noch mit ein paar Zwischenstationen). Und dazu noch, dass man über einen (scheinbar) normalen PC Zugriff auf eine Industrieanlage hat - sei es für einen normalen User vllt nur beschränkte Sachen, aber dennoch - man sieht was passiert. Kann mir jemand erklären, warum solche Sachen eine doch recht triviale Anbindung an die Außenwelt haben? Ich meine: Eigentlich sollte man wissen, dass eigentlich kein gängiges System fehlerfrei/lückenfrei ist - zuminderst lese ich immer "Patch-Day bei Windows - 12 kritische Lücken geschlossen" oder "Linux-Kernel-Update - Kritische Lücke geschlossen", auch bei OSX "Apple schließt Lücke im QT-Player". Warum werden dort nicht externe USB-Sticks verboten? Oder nur ein Intranet betrieben, ohne Kontakt zum Internet?

Die Industrie hadert mit Spionage, aber will komischerweise keine Einschnitte machen...
Zum Vergrößern anklicken....

Der Geganke ging mir auch durch den Kopf... In unserer Firma arbeiten wir eben aus solchen Gründen auf SystemI5.
 
Der Wurm scheint großes Interesse zu verbreiten und darum mal eine Analyse von Eugen und seiner Hacker Gang.

Myrte und Guave: Episode 1
http://www.viruslist.com/de/weblog?weblogid=207319245

Myrte und Guave: Episode 2
http://www.viruslist.com/de/weblog?weblogid=207319247

Myrte und Guave: Episode 3
http://www.viruslist.com/de/weblog?weblogid=207319251

Myrte und Guave: Episode 4
http://www.viruslist.com/de/weblog?weblogid=207319254

Myrte und Guave: Episode 5
http://www.viruslist.com/de/weblog?weblogid=207319256

Myrte und Guave: Episode MS10-061
http://www.viruslist.com/de/weblog?weblogid=207319317
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben