Das hatte sich angekündigt, aber wie heftig es da wohl aussieht, hatte mich nun schon überrascht. Quintessenz des Vortrags: Industrielle Großanlagen sind quasi nicht geschützt, was gängige Exploits und Angriffsvektoren angeht, die „in the wild“ auf via Internet zugänglichen Systemen gepatcht sein müssen, weil einem sonst die Kiste um die Ohren fliegt. Das ist bedingt verständlich, wenn man bedenkt, dass solche Anlagen eben in der Regel isoliert von anderen Netzen laufen und es keine externen Angriffsvektoren geben sollte.
Faktisch gibts die natürlich auch von innen – in nem Kraftwerk arbeiten dann doch ein paar Leute – und offenbar auch häufig von außen. Da scheinen auch die berühmten „gewachsenen Strukturen“ zu entstehen und als isoliert gedachte Systeme eben irgendwann doch um eine oder zwei Ecken ins Netz zu geraten, Knowhow verlorenzugehen, warum was wann mal wie gemacht wurden (und warum nicht anders), whatever. Ich hätte nicht gedacht, dass ich mal ernsthaft den Satz „Stellt euch vor, jemand steuert ein Kraftwerk via Internet Explorer und nutzt nebenbei sein Lieblings-Soziales-Netzwerk“ hört, zusammen mit Geschichten wie herumstehenden Win95- und 3.11(!)-Kisten, die laufen, weil niemand mehr weiss, was sie tun und wenn man sie abstellt, funktioniert irgendwas eben nicht mehr.
wir hattens im Vorfeld auch schon von dem Dilemma: eine höchst proprietäre Geschichte steuert kritische Infrastruktur und ist beispielsweise eben nur zertifiziert für Windows2000. Ergo läuft das System auf Win2K. Fertig. Selbst bei wohlwollendster Reaktion ist das ein Szenario, wo eben nicht eben mal ein Quickfix in ner Woche gebaut und eingespielt wird. An sich wärs bereits monty-pythonesk, wenn man sich vorstellt, wie man nach nem entdeckten WinCC-Exploit sich wo meldet und sagt, „Heys, nettes Kraftwerk, wär ja schlimm, wenn da was kaputtgehen würde“, aber ich muss zugeben, das fand ich schlicht gruselig. Die ganzen Stuxnet-Geschichten hörten sich an sich immer eher nach ordentlicher Rocket Science an, aber hier wurde mehrfach und explizit gesagt, an sich gehts nur ums Finden der offenen Stellen, der Rest ist „low hanging fruit“, einfach und Securitylevel von ca. Jahr 2000. Und nicht überwiegend in Iran und Konsorten, sondern sehr verbreitet eben in Europa. Wen die Details interessieren: http://scadastrangelove.org/, und der Vortrag folgt.
Carsten Dobschat liked this on Facebook.
Iwan Escobar liked this on Facebook.
Kolja Sagorski liked this on Facebook.
Carsten Dobschat liked this on Facebook.