Forensic Investigations / Fi Blog / Bericht vom 27C3 (2) - Stuxnet SPS-Code weiter analysiert


Bericht vom 27C3 (2) - Stuxnet SPS-Code weiter analysiert

27. Chaos Communication Congress (27C3) - "We come in peace"

Ebenfalls interessant war der Vortrag "Building Custom Disassemblers" von Felix 'FX' Lindner, der sich mit der Analyse des SPS-Codes von Stuxnet beschäftigte. Hierzu entwickelte er einen eigenen Disassembler, der Code auf den Steuerungen wieder in lesbare Anweisungslisten (kurz: AWL) gemäß IEC 61131-3 zurückverwandelt. Im Vorjahr hatte er sich den Mängeln des SWF -Formats von Adobe gewidmet, welche durch die AWL-Implementierung von SIEMENS aber nochmals übertroffen würden ("ridiculous design").

Er fand hierbei auch weitere Wege, um Code in SPSen zu verstecken. Einige Hacks mit der 'BLD'-Instruktion seien ohne Weiteres in der Lage, die GUI-Tools von STEP7 vollkommen aus dem Takt zu bringen, diese würden aber bisher nicht von Stuxnet genutzt.

Weiterhin stellte er fest, dass Teile des SPS-Codes von Stuxnet entweder nicht mit den SIEMENS-Tools erstellt oder nachträglich 'gereinigt' worden seien. Das Datum des Codes gehe teilweise bis 1996 zurück, die letzte Änderung des SPS-Codes sei offenbar am 24. September 2007 erfolgt. Zu besagtem Datum hatte Achmadinedschad eine aufsehenerregende Rede an der Columbia University gehalten , und zwei Tage zuvor eine potentiell gegen Israel/USA einsetzbare Langstreckenrakete vorgestellt. FX hielt das Datum für womöglich echt, da keine offensichtliche Manipulation vorläge, ich möchte dennoch darauf hinweisen, dass es sich hier dennoch um ein simples Täuschungsmanöver handeln könnte, um die Urheberschaft zu verschleiern.

FX hält die Incident Response Strategien in der Industrie für unterentwickelt und sieht die Gefahr der Infektion von SPSen als unterschätzt an, vor allem angesichts der Tatsachen, wie leicht es geht und wie 'gut' es erledigt werden kann. Er sieht Staaten, die nicht schon vor 10 Jahren begonnen haben, sich auf Angriffe gegen kritische Infrastrukturen zu schützen, für mindestens die nächsten 5 Jahre als gefährdet an und wünscht diesen "good luck".

Die Anstrengungen von SIEMENS beurteilt er ebenfalls als zu gering und bemängelt, dass der 'schwarze Peter' hier dem Kunden zugeschoben werde.

Siehe dazu auch:

Kommentare

Bitte melden Sie sich Logan oder registrieren Sie sich um kommentieren zu können.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30