/ / Wie sich Stuxnet (SPS-Virus) ausbreitet - Teil 1

Wie sich Stuxnet (SPS-Virus) ausbreitet - Teil 1

Wie sich Stuxnet (SPS-Virus) ausbreitet
Das Stuxnet-Wurm ist ein hochentwickelter Computer-Schadcode, der industrielle Prozesse sabotiert, die von Siemens SIMATIC WinCC und PCS 7-Steuerungssystemen gesteuert werden. Der Wurm verwendete sowohl bekannte als auch bisher unbekannte Schwachstellen zu installieren, zu infizieren und zu verbreiten und war mächtig genug, um modernste Sicherheitstechnologien und -verfahren zu umgehen.

Seit seiner Entdeckung wurde die interne Funktionsweise von Stuxnet umfassend analysiert. Was nicht besprochen wurde, ist, wie der Wurm von der Außenwelt zu angeblich isoliertem Wurm migriert sein könnte sichere industrielle Steuerungssysteme (ICS). Das Verständnis der Routen, die ein gerichteter Wurm nimmt, wenn er auf ein ICS zielt, ist entscheidend, wenn diese anfälligen Pfade für zukünftige Würmer gesperrt werden sollen.

Um diesem Wissensunterschied zu begegnen, hilft dieses WhiteIn diesem Artikel wird ein hypothetischer Industriestandort beschrieben, der der in Sicherheitsdokumenten definierten Hochsicherheitsarchitektur und Best Practices folgt. Anschließend wird gezeigt, auf welche Weise der Stuxnet-Wurm sich durch die Verteidigungsanlagen des Standorts bewegen kann, um die Kontrolle über den Prozess zu übernehmen und physischen Schaden zu verursachen.

Es ist wichtig zu beachten, dass die AnalyseDas vorliegende Dokument basiert auf einem Sicherheitsmodell, das, obwohl es in der Industrie als Best Practice akzeptiert wird, häufig nicht in die Praxis umgesetzt wird. Systemarchitekturen in der realen Welt sind in der Regel viel weniger sicher als die in diesem Dokument vorgestellten. Das Papier schließt mit einer Diskussion darüber, was aus der Analyse der Pfade gelernt werden kann, um eine Infektion durch zukünftige ICS-Würmer zu verhindern. Zu den wichtigsten Erkenntnissen gehören:

Ein modernes ICS- oder SCADA-System ist hochkomplex und miteinander verbunden, so dass sich mehrere mögliche Wege von der Außenwelt zu den Prozesssteuerungen ergeben.

  • Die Annahme, dass ein Luftspalt zwischen ICS und Unternehmensnetzwerken besteht, ist unrealistisch, da Informationsaustausch für ein effektives Funktionieren von Prozess- und Geschäftsabläufen unerlässlich ist.
  • Alle Mechanismen für die Übertragung von elektronischenInformationen (in irgendeiner Form) zu oder von einem IKS müssen hinsichtlich des Sicherheitsrisikos bewertet werden. Sich auf wenige offensichtliche Pfade zu konzentrieren (z. B. USB-Speicherlaufwerke oder die Enterprise / ICS-Firewall), ist eine fehlerhafte Verteidigung.
  • Die Industrie muss akzeptieren, dass die vollständige Präventioneiner ICS-Infektion ist wahrscheinlich unmöglich, und statt einer vollständigen Prävention muss die Industrie eine Sicherheitsarchitektur schaffen, die auf den gesamten Lebenszyklus eines Cyberbruchs reagieren kann.
  • Die Industrie muss die Eindämmung von Anschläge wenn Prävention versagt und aggressiv segmentiertKontrollnetze, um die Folgen von Kompromissen zu begrenzen. Insbesondere die Sicherung kritischer Systeme der letzten Verteidigungslinie, wie etwa integrierte Sicherheitssysteme (Safety Integrated Systems, SIS), ist unerlässlich.
  • Durch die Kombination von Steuerungs- und Sicherheitsfunktionen in hochintegrierten ICS-Geräten können Systeme häufigen Sicherheitsfehlern ausgesetzt werden. Für kritische Systeme ist Vielfalt wichtig.
  • Sicherheit durch einfaches Sperren oder Zulassenganze Protokollklassen zwischen Fertigungsbereichen reichen nicht mehr aus. Stuxnet betont die Notwendigkeit der Deep Packet Inspection (DPI) der wichtigsten SCADA- und ICS-Protokolle.
  • Das Remote Procedure Call (RPC) -Protokoll ist ein idealer Vektor für SCADA- und ICS-Angriffe, da es in modernen Steuersystemen für so viele legitime Zwecke verwendet wird.
  • Die Industrie sollte beginnen, Sicherheitsbewertungen und -tests als Teil der Systementwicklungs- und Wartungsprozesse in alle IKS einzubeziehen.
  • Sowohl im Management als auch in den technischen Teams muss die Kultur der industriellen Sicherheit verbessert werden.

Wenn die kritischen Infrastrukturen der Welt sindUm sicher zu sein, müssen Besitzer und Betreiber erkennen, dass ihre Kontrollsysteme jetzt das Ziel komplexer Angriffe sind. Eine verbesserte Tiefenverteidigung für industrielle Steuerungssysteme ist dringend erforderlich. Das Warten auf den nächsten Wurm kann zu spät sein.


Einführung

Der Stuxnet-Wurm ist ein raffiniertes Stück vonComputer-Malware zur Sabotage industrieller Prozesse, die von Siemens-Steuerungssystemen SIMATIC WinCC, S7 und PCS 7 gesteuert werden. Der Wurm nutzte bekannte und bisher unbekannte Sicherheitslücken, um sich auszubreiten, und war mächtig genug, um modernste Sicherheitstechnologien und -verfahren zu umgehen.

Seit der Entdeckung des Stuxnet-Wurms im Juli2010 hat Symantec, ESET, Langner und andere ausführliche Analysen der internen Funktionsweise des Wurms und der verschiedenen Schwachstellen durchgeführt, die er ausnutzt. Aus Sicht des Antivirus ist dies absolut sinnvoll. Wenn Sie wissen, wie der Wurm entwickelt wurde, können Hersteller von Antivirus-Produkten bessere Malware-Erkennungssoftware entwickeln. Was bisher nicht ausführlich besprochen wurde, ist, wie der Wurm möglicherweise von außen in ein angeblich isoliertes und sicheres industrielles Kontrollsystem (IKS) übergegangen ist.

An die Eigentümer und Betreiber industrieller KontrolleSysteme, das ist wichtig. Andere Würmer werden in Stuxnets Fußstapfen folgen und die Wege verstehen, die ein gerichteter Wurm nimmt, da er auf ein ICS zielt, wenn diese anfälligen Pfade geschlossen werden. Nur wenn Sie das gesamte Spektrum an Bedrohungen und Pfaden in ein SCADA- oder Steuerungsnetzwerk kennen, können Sie kritische Prozesse wirklich sicher machen.

Man kann sich leicht ein triviales Szenario und eine entsprechende triviale Lösung vorstellen:

Szenario:

Joe findet einen USB-Stick auf dem Parkplatz und bringt ihn in den Kontrollraum, wo er ihn an die SPS-Programmierstation anschließt.

Lösung:

Verbot aller USB-Sticks im Kontrollraum.

Dies ist zwar möglich, aber weitaus mehrwahrscheinlich, dass Stuxnet einen Umweg zu seinem letzten Opfer zurückgelegt hat. Gewiss erwarteten die Entwickler des Wurms, dass sie es wollten - sie entwickelten mindestens sieben verschiedene Ausbreitungstechniken, die Stuxnet verwenden sollte. Daher ist eine realistischere Analyse der Durchdringungs- und Infektionswege erforderlich.

Dieses Weißbuch soll diese Lücke schließendurch Analyse einer Reihe möglicher "Infektionswege" in einem typischen ICS-System. Einige davon sind offensichtlich, andere weniger. Wir hoffen, dass die Konstrukteure und Betreiber von Industrieanlagen die geeigneten Maßnahmen ergreifen, um die Kontrollsysteme vor allen Bedrohungen sicherer zu machen.


Methodik

Der erste Teil der Analyse beginnt mit einer Einführung in die Siemens-Produktlinie SIMATIC PCS 7, da dies das Ziel des Stuxnet-Wurms war.

Im zweiten Teil geben wir einen Überblick über dieWurm und wie es ein System infiziert. Wir beschreiben, wie es sich zwischen Computern ausbreitet, wenn es versucht, sein letztes Opfer zu finden. Zum Schluss beschreiben wir kurz, wie der Wurm ein Steuersystem mit SIMATIC-Produkten von Siemens beeinflusst.

Im dritten Teil des Papiers schlagen wir Folgendes vor:hypothetische "Hochsicherheitsseite", die das Ziel von Stuxnet oder der nächsten Generation von Stuxnet-ähnlichen Würmern ist. Die in der Arbeit verwendete Architektur geht davon aus, dass diese fiktive Site allen Richtlinien von Siemens SIMATIC „Sicherheitskonzept PCS 7 und WinCC - Basisdokument“ folgt. Aus Sicherheitsgründen ist diese Annahme wahrscheinlich optimistisch, da die Lücke zwischen Führung und System besteht Die Realität in der ICS-Welt ist oft groß. Es ist jedoch aus zwei Gründen ein gutes Modell - es bietet einen konservativen Ausgangspunkt und weist darauf hin, dass derzeitige „Best Practices“ für die Sicherheit von ICS noch einen guten Weg haben.

Teil vier schlägt mehrere Möglichkeiten vor, die Stuxnet könnteBewegen Sie sich von einem infizierten Computer mit geringer Bedeutung im Unternehmensnetzwerk in das Steuerungssystem. Wir untersuchen auch, wie die Peer-to-Peer (P2P) - und Command and Control (CC) -Komponenten von Stuxnet in einer ansonsten isolierten Industrieanlage wirksam sein könnten.

Zum Schluss schließen wir noch eine kurze Analyse von wasDies bedeutet längerfristig die Sicherheit industrieller Steuerungssysteme. Wir diskutieren insbesondere, wie andere "Nicht-Siemens" -Systeme die von Stuxnet in einer Siemens-Architektur ausgenutzten Schwachstellen berücksichtigen und sich auf den Wurm der nächsten Generation vorbereiten müssen, der andere ICS-Plattformen nutzen könnte.

Was ist SIEMENS PCS 7 Industrial Control Systems - eine Grundierung

Um den gerichteten Angriff zu verstehen, den Stuxnet gegen Siemens ICS-Systeme durchgeführt hat, ist ein kurzer Überblick über die Siemens SIMATIC PCS7-Architektur angebracht.

SIMATIC ist ein umfassender Begriff, der von Siemens verwendet wird.Dazu gehört das gesamte Portfolio an industriellen Automatisierungslösungen, die von der Bildverarbeitung über verteilte I / 0-Systeme bis hin zu speicherprogrammierbaren Steuerungen reichen. SIMATIC WinCC ist ein spezialisiertes Prozessvisualisierungssystem, das das zentrale Überwachungs- und Datenerfassungssystem (SCADA) umfasst. Es kann mit Steuergeräten der Marke Siemens, z. B. der S7-Reihe von speicherprogrammierbaren Steuerungen (SPS), oder mit anderen Steuerungsprodukten unabhängig verwendet werden.

Abbildung 1: Einige Produkte der Siemens-SIMATIC-Linie. einschließlich SPS. Bedienplätze mut Engineering Stations

Die Software-Umgebung von SIMATIC STEP 7 wird verwendetspeziell für die Programmierung der Siemens S7-Steuerungsfamilie. Eine integrierte Lösung aus S7-SPS, WinCC-Visualisierungssoftware und STEP 7-Konfigurationssoftware wird als SIMATIC PCS 7 bezeichnet. Alle Computersoftwarekomponenten laufen auf Microsoft Windows-Betriebssystemen, einschließlich XP, Server 2003 und Windows 7.

Zum Verständnis des SIMATIC PCS 7-Systems ist es soEs ist wichtig, die funktionalen Komponenten, die als "Systeme" bezeichnet werden, von ihren Plattformkomponenten zu trennen, die üblicherweise Namen wie "Stationen" oder "Server" tragen.

Die Basis des SIMATIC PCS 7-Steuerungssystems ist in drei Funktionskomponenten unterteilt, wie in Abbildung 2 dargestellt:

  • Operator System (OS)
  • Automatisierungssystem (AS)
  • Engineering System (ES)
Bild 2: Kernfunktionskomponenten des Siemens SIMATIC PCS 7 Control Systems

Bild 2: Kernfunktionskomponenten des Siemens SIMATIC PCS 7 Control Systems


Das Operator System (OS) ermöglicht das sichere Zusammenspiel des BedienersDer Prozess wird von PCS 7 gesteuert. Die Bediener können den Fertigungsprozess mithilfe verschiedener Visualisierungstechniken überwachen, um Daten nach Bedarf zu überwachen, zu analysieren und zu bearbeiten. Die Architektur des Operator-Systems ist äußerst flexibel, besteht jedoch immer aus einer Client- und Serverfunktion, die auf der gleichen oder separaten physischen Plattformen implementiert werden kann.

Das Automatisierungssystem (AS) ist der Name der Klasse programmierbarLogiksteuerungen (SPS), die mit PCS 7 verwendet werden. Dazu gehören sowohl die Microbox-Lösung, die auf einem Software-Controller basiert, der auf einem Standardcomputer ausgeführt wird, als auch die S7-300- und S7-400-Reihen der Hardware-Controller.

Das Engineering System (ES) besteht aus Software, für die verantwortlich istKonfiguration der verschiedenen PCS 7-Systemkomponenten. Das ES wird außerdem in die zur Konfiguration des Operator Systems (OS) oder des Automatisierungssystems (AS) erforderliche Engineering-Software unterteilt, da das Betriebssystem eine andere Engineering-Software zur Konfiguration als der AS benötigt. Das ES ermöglicht die Konfiguration und Verwaltung der folgenden PCS-Komponenten und -Funktionen:

  • Steuerungshardware einschließlich E / A- und Feldgeräte
  • Kommunikationsnetzwerke
  • Automatisierungsfunktionalität für kontinuierliche und Chargenprozesse (Application System Engineering über STEP 7-Software)
  • HMI-Funktionalität (Operator System Engineering über WinCC-Software)
  • Sicherheitsanwendungen (Safety Integrated für die Prozessautomatisierung)
  • Diagnose- und Asset-Management-Funktionalität
  • Chargenprozesse, automatisiert mit SIMATIC BATCH
  • Materialtransport, gesteuert von SIMATIC Route Control
  • Zusammenarbeit mit Host-CAD / CAE-Planungstools (Import und Export von Prozessvariablen und Beispiellösungen)

Da die ES-Funktionen so breit sind und ein so breites Aufgabenspektrum abdecken, hilft Abbildung 3, die einzelnen Komponenten der ES zu verdeutlichen.

Abbildung 3: Komponenten des SIMATIC PCS 7 Engineering Systems

Abbildung 3: Komponenten des SIMATIC PCS 7 Engineering Systems

Einige Siemens SIMATIC PCS 7-Software- oder Plattformkomponenten, die für das Verständnis dieses Dokuments wichtig sind, umfassen Folgendes:


QUELLE: Wie sich Stuxnet ausbreitet - eine Studie über Infektionspfadein Best Practice Systemen von: Eric Byres, P. Eng. ISA-Stipendiat, Andrew Ginter, CISSP, Joel Langill, CEH, CPT, CCNA (www.tofinosecurity.com www.abterra.ca www.scadahacker.com) - Entwickeln Sie Best-Practice-Richtlinien, um die Sicherheit und Zuverlässigkeit Ihrer Infrastruktur und Ihrer Informationsressourcen zu bestätigen [/ Fancy_box]

Bemerkungen: