© Liashko/Shutterstock.com
Entwickler Magazin
Von Sicherheitslücken, Würmern und Co.

Angriffsziel Industriesteuerungen

Industriesteuerungen mit Internetanschluss sind eine schlechte Idee. Aber auch ohne Internetanschluss sind sie nicht unbedingt sicher, wie Stuxnet eindrucksvoll bewiesen hat. Wie sieht es also mit der Sicherheit von Industriesteuerungen aus?

Carsten Eilers


Dass es mit der Sicherheit von Industriesteuerungen nicht weit her ist und dass viele Industriesteuerungen mehr oder weniger ungeschützt aus dem Internet erreichbar sind, war eigentlich schon lange bekannt. Aber es musste erst zu Stuxnet kommen, damit die Gefahr auch den Verantwortlichen bewusst wurde. Oder zumindest denen, die den Verantwortlichen auf die Füße treten können, sodass die gezwungenermaßen aus ihrem Dämmerschlaf aufwachen. Ironischerweise galt der Angriff mit Stuxnet dabei gar keiner mit dem Internet verbundenen Anlage.

Stuxnet, der Weckruf für die halbe Wirtschaft

Erstmals aufgefallen ist Stuxnet, als oder besser weil er die so genannte „Shortcut-Lücke“ in Windows ausnutzte. Anfangs sah alles nach einem mehr oder weniger alltäglichen Wurm aus. Am 15. Juli 2010 gab es erste Berichte über eine mögliche neue 0-Day-Schwachstelle in Windows, über die sich ein Wurm über USB-Sticks verbreiten sollte [1], [2]. Die ersten Exemplare dieses Wurms hatte der weißrussische Antivirenhersteller VirusBlokAda am 17. Juni 2010 entdeckt [3]. Am 16. Juli 2010 veröffentlichte Microsoft ein Security Advisory und eine Beschreibung der Stuxnet-Familie [4], [5]. Das Besondere an diesem Wurm: Er wurde nicht wie bis dahin üblich über die Autorun-Funktion installiert, sondern nutzte eine 0-Day-Schwachstelle beim Verarbeiten von Shortcuts (Verknüpfungen, .lnk-Dateien): Bei der Anzeige des dazugehörigen Icons, zum Beispiel im Windows-Explorer, startete ohne weiteres Zutun des Anwenders der Schadcode.

Vom Wurm wurden zwei Treiber mit Rootkit-Eigenschaften installiert, die ebenso wie weitere Komponenten mit einer gültigen digitalen Signatur versehen waren [2], [6], [7]. Das war damals noch ungewöhnlich, inzwischen gibt es immer öfter Schadcode mit gültigen Signaturen. Die verwendeten Zertifikate wurden nach der Entdeckung des Missbrauchs zurückgezogen.

Gezielte Angriffe auf SCADA-Systeme

Ziel der Angriffe waren SCADA-Systeme (Supervisory Control and Data Acquisition) zur Überwachung und Steuerung technischer Prozesse von Siemens; etwas, was bisher ebenfalls noch nicht vorgekommen war. Der Wurm wurde zum Beispiel von Sophos als W32/Stuxnet-B bezeichnet und konnte ein voll gepatchtes Windows-7-System infizieren [8].

Die angegriffenen SCADA-Systeme von Siemens machten es dem Wurm besonders leicht: Sie nutzten fest vorgegebene Benutzernamen und Passwörter für den Administratoraccount der Datenbank, die laut Siemens nicht geändert werden sollten [9], [10]. Laut einem von Siemens ve...

Entwickler Magazin
Von Sicherheitslücken, Würmern und Co.

Angriffsziel Industriesteuerungen

Industriesteuerungen mit Internetanschluss sind eine schlechte Idee. Aber auch ohne Internetanschluss sind sie nicht unbedingt sicher, wie Stuxnet eindrucksvoll bewiesen hat. Wie sieht es also mit der Sicherheit von Industriesteuerungen aus?

Carsten Eilers


Dass es mit der Sicherheit von Industriesteuerungen nicht weit her ist und dass viele Industriesteuerungen mehr oder weniger ungeschützt aus dem Internet erreichbar sind, war eigentlich schon lange bekannt. Aber es musste erst zu Stuxnet kommen, damit die Gefahr auch den Verantwortlichen bewusst wurde. Oder zumindest denen, die den Verantwortlichen auf die Füße treten können, sodass die gezwungenermaßen aus ihrem Dämmerschlaf aufwachen. Ironischerweise galt der Angriff mit Stuxnet dabei gar keiner mit dem Internet verbundenen Anlage.

Stuxnet, der Weckruf für die halbe Wirtschaft

Erstmals aufgefallen ist Stuxnet, als oder besser weil er die so genannte „Shortcut-Lücke“ in Windows ausnutzte. Anfangs sah alles nach einem mehr oder weniger alltäglichen Wurm aus. Am 15. Juli 2010 gab es erste Berichte über eine mögliche neue 0-Day-Schwachstelle in Windows, über die sich ein Wurm über USB-Sticks verbreiten sollte [1], [2]. Die ersten Exemplare dieses Wurms hatte der weißrussische Antivirenhersteller VirusBlokAda am 17. Juni 2010 entdeckt [3]. Am 16. Juli 2010 veröffentlichte Microsoft ein Security Advisory und eine Beschreibung der Stuxnet-Familie [4], [5]. Das Besondere an diesem Wurm: Er wurde nicht wie bis dahin üblich über die Autorun-Funktion installiert, sondern nutzte eine 0-Day-Schwachstelle beim Verarbeiten von Shortcuts (Verknüpfungen, .lnk-Dateien): Bei der Anzeige des dazugehörigen Icons, zum Beispiel im Windows-Explorer, startete ohne weiteres Zutun des Anwenders der Schadcode.

Vom Wurm wurden zwei Treiber mit Rootkit-Eigenschaften installiert, die ebenso wie weitere Komponenten mit einer gültigen digitalen Signatur versehen waren [2], [6], [7]. Das war damals noch ungewöhnlich, inzwischen gibt es immer öfter Schadcode mit gültigen Signaturen. Die verwendeten Zertifikate wurden nach der Entdeckung des Missbrauchs zurückgezogen.

Gezielte Angriffe auf SCADA-Systeme

Ziel der Angriffe waren SCADA-Systeme (Supervisory Control and Data Acquisition) zur Überwachung und Steuerung technischer Prozesse von Siemens; etwas, was bisher ebenfalls noch nicht vorgekommen war. Der Wurm wurde zum Beispiel von Sophos als W32/Stuxnet-B bezeichnet und konnte ein voll gepatchtes Windows-7-System infizieren [8].

Die angegriffenen SCADA-Systeme von Siemens machten es dem Wurm besonders leicht: Sie nutzten fest vorgegebene Benutzernamen und Passwörter für den Administratoraccount der Datenbank, die laut Siemens nicht geändert werden sollten [9], [10]. Laut einem von Siemens ve...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang