RC schrieb am 29. Oktober 2012 16:01
> des "Eisberges"! Nicht auszudenken, was da alles an Unfug angestellt
> werden kann - von "bösen" Buben und von den "Sicherheitsdiensten"
> verschiedener Staaten.
Du darfst die Sicherheitsarchitektur von SPS-Anlagen pauschal als
"nicht existent" annehmen, egal welcher Hersteller.
Solch Systeme sind entweder gar nicht oder durch Vorhängeschlösser
und Seitenschneider gesichert, sprich, dedizierte Netze ohne
Internetverbindung.
Das ganze Siemens-Geraffel ist kein Deut besser, wie die Analysen von
Stuxnet gezeigt haben.
Selbst wenn die SPS rudimentäre Zugangssicherungen hat, gibt es jede
Menge andere Einfallstore:
- nicht geänderte Standardpassworte
- Hintertüren für Service
- Schnittstellen für Steuerung, Visualisierung und Datenbanken (deren
Passworte fest verdrahtet sind oder vom Anwender nicht geändert
werden)
- ungepatchte Windows-Systeme für Steuerung, Visualisierung oder
Datenbanken
Wenn wir einen Visualisierungsrechner für Simatik aufgesetzt haben,
bestand der erste Schritt darin, die Personal Firewall von Windows
aufzureißen, damit die Schnittstellen mit der SPS liefen. Das war so
verkorkstes Zeug, dass es unmöglich war, selektiv Dienste und Ports
freizuschalten (selbst wenn man hätte herausfinden können, was für
Dienste im Einzelnen hinter dieser Wundersoftware steckten).
Wer behauptet, SPS-Anlagen könnte man irgendwie anders als durch
dedizierte Netze und Schaltschrankschlösser absichern, hat entweder
keine Ahnung oder will Dir was verkaufen.
Gruß
Ugglan
> des "Eisberges"! Nicht auszudenken, was da alles an Unfug angestellt
> werden kann - von "bösen" Buben und von den "Sicherheitsdiensten"
> verschiedener Staaten.
Du darfst die Sicherheitsarchitektur von SPS-Anlagen pauschal als
"nicht existent" annehmen, egal welcher Hersteller.
Solch Systeme sind entweder gar nicht oder durch Vorhängeschlösser
und Seitenschneider gesichert, sprich, dedizierte Netze ohne
Internetverbindung.
Das ganze Siemens-Geraffel ist kein Deut besser, wie die Analysen von
Stuxnet gezeigt haben.
Selbst wenn die SPS rudimentäre Zugangssicherungen hat, gibt es jede
Menge andere Einfallstore:
- nicht geänderte Standardpassworte
- Hintertüren für Service
- Schnittstellen für Steuerung, Visualisierung und Datenbanken (deren
Passworte fest verdrahtet sind oder vom Anwender nicht geändert
werden)
- ungepatchte Windows-Systeme für Steuerung, Visualisierung oder
Datenbanken
Wenn wir einen Visualisierungsrechner für Simatik aufgesetzt haben,
bestand der erste Schritt darin, die Personal Firewall von Windows
aufzureißen, damit die Schnittstellen mit der SPS liefen. Das war so
verkorkstes Zeug, dass es unmöglich war, selektiv Dienste und Ports
freizuschalten (selbst wenn man hätte herausfinden können, was für
Dienste im Einzelnen hinter dieser Wundersoftware steckten).
Wer behauptet, SPS-Anlagen könnte man irgendwie anders als durch
dedizierte Netze und Schaltschrankschlösser absichern, hat entweder
keine Ahnung oder will Dir was verkaufen.
Gruß
Ugglan