Stuxnet; Virus per SCADA siemens - unita la discussione " Virus Per Plc/scada" di Volutamente A

[gluca2]

Riporto qui un link ad un articolo relativo ad un virus capace di infettare sistemi scada. Secondo l'autore, solitamente molto attento e preparato, il virus sarebbe capace di infettare anche i PLC sostituendo i blocchi di sistema.

http://attivissimo.blogspot.com/2010/09/st...are-contro.html

[Volutamente Anonimo]

E' possibile?

http://www.ilfattoquotidiano.it/2010/09/27...er-liran/65116/

Da questo articolo (se credibile) sembra che esista un virus che possa attaccare i sistemi PLC Siemens.

Ma e' credibile?

[Livio Orsini]

Ma da dove può provenire l'infezione? Se non la inoculi direttamente nel programma è (QUASI) impossibile infettare un PLC.

[gluca2]

Avevo inviato un messaggio nella sezione HMI

http://www.plcforum.it/forums/index.php?showtopic=72126

In pratica si dice che ad essere infettati sono i sistemi windows. Il virus cerca tra i programmi installati WinCC e da li lo infetta. Nell'articolo del link si parla anche della capacità del virus di modificare alcuni blocchi di sistema del PLC.

[Livio Orsini]

Per prima cosa è necessario che il virus entri nel sistema.

Per fare accadere questo, escludendo una inoculazione diretta da parte di un operatore, è necessario che il sistema scada sia connesso permanentemente ad Internet, senza protezioni Hw e Sw.

Già questa situazione è molto criticabile.

Poi un dispositivo SCADA legge e scrive dati nel PLC, non scarica certo programmi. Questo se si sta discutendo di sistemi appena decenti. Se invece si fa riferimento ad immonde ciofeche, non è neanche il caso di discuterne.

[biuly]

Inserisce un FC1874 e lo richiama dall'OB35 qui ci sono molti dettagli

http://www.langner.com/en/index.htm

Io controllando i miei progetti ho trovato il virus in tutti, anche quelli archiviati. Sono stato in Iran qualche mese fa e probabilmente l'ho preso lì.

Modificato: 27 settembre 2010 da biuly

[Livio Orsini]

A parte le considerazioni sulla connessione ad internet senza protezioni, ma chi ha scaricato lo FC nel PLC?

E' il virus stesso che attiva Step7, mette il sistema on line e scarica una nuova versione di programma?

Oppure emula Step7 limitatamente alla funzione on line e scarica il programma?

Passi per l'infezione dei programmi archiviati, cosa che tecnicamente è abbastanza facile se si lavora male, ma è molto meno credibile l'infezione di un programma in funzione nel PLC, a meno di clamorose ...(censura) nella progettazione del sistema Hw w Sw.

[cagliostro]

Salve,

penso valga la pena di leggere anche quanto riportato da Siemens, in modo particolare nella parte informativa denominata:

"Product information dated September 17,2010:"

http://support.automation.siemens.com/WW/l...bjaction=csopen

[biuly]

Altri dettagli sul virus

http://www.symantec.com/connect/blogs/expl...fection-process

[Livio Orsini]

Dall'articolo citato da biuly:

To access a PLC, specific software needs to be installed; Stuxnet specifically targets the WinCC/Step 7 software used for programming particular models of PLC.

Questo è una conferma di quanto sostengo nel messaggio #7. Deve esserci una concomitanza di pessime abituni di sucurezza dell'ambiente di lavoro, altrimenti non si può infettare un programma di PLC.

Certo che se si scarica un programma già infetto...

Ripeto, se si lavora male i risultati possono essere solo pessimi

Modificato: 27 settembre 2010 da Livio Orsini

[mubeta]

A parte la mole di lavoro che c'è dietro ad un simile virus, e la preoccupazione maggiore per il futuro, (la porta è appena socchiusa), sembra che per ora non sia in grado di replicarsi. Mi pare di aver capito che è STEP 7 o WinCC che devono essere infetti, infatti per vivere deve replicare una o più dll dell'ambiente di sviluppo.

Se uso quindi un PC non infetto ...

Tuttavia è preoccupante, Siemens, come molti altri, hanno già ora schede di comunicazione ethernet. Gli m pianti di un certo livello non vivrebbero senza una certa forma di comunicazione verso l'esterno, quindi aspettiamoci di tutto pure su questo fronte.

[Livio Orsini]

Se uso quindi un PC non infetto ...

Teoricamente sarebbe possibile saltare lo stadio di compilazione, anche se è indispensabile una connessione del PLC con l'esterno. Sarebe comunque un lavoro molto pesante ma, in alcuni casi, potrebbe valerne la pena. E' anche indispensabile che nel PLC ci sia una quantità di memoria libera sufficiente ad installare il nucleo virale.

Basti pensare cosa può significare il blocco di alcune ore di un grande impianto, di una grande fabbrica. Qui non si tratta più dell'attacco solo per il gusto di far confusione, in questo caso ci sarebbero di mezzo molti dananri.

Ecco perchè la connessione di un PLC verso una rete esterna all'impianto, ha senso solo se si assumono delle precauzioni elevate e si fissano limiti ben precisi alla connettività.

[Colonial54]

Salve a tutti

Non mi sembra un gran problema; le centrali nucleari NON usano Windows, almeno non nei controlli critici, come non lo fanno le petrolchimiche, percio' niente s7/300, niente WinCCFlexible ne tantomeno WinCC. I S.O. utilizzati sono Unix o alcuni suoi dialetti proprietari, o in alternativa alcuni S.O. realtime sempre proprietari; Le apparecchiature Siemens in questione non sono quasi certamente i normali plc commerciali; La branca nucleare di Siemens e' un settore a se.

[gluca2]

Colonial54

Per saperne di più, che fonti hai per le tue affermazioni?

Modificato: 28 settembre 2010 da gluca2

[acquaman]

Colonial54 non mi risulta, almeno nelle centrali tradizionali e nel petrolchimico usano plc, nel nucleare non sò.

La cosa che mi preoccupa di più è che è stata aperta una strada che fin'ora nessuno aveva mai percorso, ma che è in grado di colpire interessi enormi, quindi molto appetitosa.

[Livio Orsini]

La cosa che mi preoccupa di più è che è stata aperta una strada che fin'ora nessuno aveva mai percorso, ma che è in grado di colpire interessi enormi, quindi molto appetitosa.

Attualmente non è una nuova strada, ma è solo una nuova applicazione del vecchio metodo.

Dal webb si infetta un PC con un software che va a colpire determinate applicazioni.

Sino a poco tempo addietro il bersaglio preferito, come applicazioni, era la suite di Office con macro di Excell, Word e Access. Questi programmi sono molto diffusi e molto utilizzati, quindi sono un bersaglio ideale.

Ora si punta ad un nuovo bersaglio: Step7. Perchè?

Per due ragioni, a mio parere.

Primo è un ambiente di sviluppo molto diffuso, almeno in europa.

Secondo l'utilizzatore medio di step7, almeno attualmente, non ha ancora un'elevata sensibilità informatica.

Terzo è un ambiente realtivamente facile da infettare, basta fare un paragone con Word ed Execel. Se word o Excel riconoscono una Macro chiedono l'autorizzazione prima di aprirla. Non è una protezione a prova di virus, ma è già un primo filtro. Step7 invece non ha alcun filtro. Inoltre è talmente farraginoso, per ogni applicazione apre tantissimi files ed archivi che è molto difficile effettuare un controllo manuale.

Una volta installato il virus è relativamente facile aggiungere ad ogni nuova apllicazione una funzione che, una volta scaricata nel PLC, esegua qualche cosa di non previsto.

Potrebbe addirittura sfruttarene l'eventuale connessione intranet-internet per trasmettere all'esterno dati di produzione. Perchè un virus non è necesariamente volto al sabotaggio, ma anche allo spinaggio.

I rimedi, allo stato attuale dell'arte, sono semplicissimi: basta adottare le normali precauzioni anti infezione per i PC dedicati allo sviluppo di Sw.

A mio parere un PC dedicato allo sviluppo dovrebbe lavorare solo ed esclusivamente a quello scopo. le eventuali connessioni ad internet devono avvenire solo in ambiente super protetto da firewall Hw w Sw.

Poi, come sempre, c'è chi lavora più o meno bene. Se usi il PC su cui sviluppi Step7 per giocare in rete, chattare e visitare siti a luci rosse senza alcuna precauzione, poi non ti puoi lamentare di quello che ti capita.

E' un po come chi pratica sesso occasionale senza protezione e poi si lamenta delle eventuali infezioni veneree o peggio.

Modificato: 28 settembre 2010 da Livio Orsini

[biuly]

X Livio

Non dire che le persone lavorano male a priori.

Stuxnet si trasmette tramite chiave usb a causa di 4 falle 0 days in windows, quindi non è possibile accorgersene, basta inserire la chiave usb, puoi lavorare bene finchè vuoi, ma non si può certo lavorare in team all'estero senza scambiarsi qualche file. Una volta entrato, infetta i progetti S7 e lo step 7, non te ne puoi accorgere perchè lo step 7 non ti visualizza i blocchi del virus nè online nè offline.

Considera che di questo tipo di virus se ne parla solo da qualche giorno, e da pochissimo ci sono gli antivirus in grado di monitorarlo.

Quindi lavorare bene limita molti virus, non questo fino a qualche giorno fà quando sono stati sviluppati antivirus ad hoc.

[Livio Orsini]

Lo dico e lo ripeto: se infetti l'ambiente di sviluppo stai lavorando male!

Tu puoi anche credere di lavorare bene ma ti sbagli.

Un'azienda ben organizzata, dove la qualità non è solo un certificato da appendere alla parete, deve avere delle procedure operative molto rigorose; queste procedure si devono e si possono rispettare sempre, anche durante il commissioning e la manutenzione d'impianti. Te lo posso dire perchè ho lavorato su parecchi impianti, in svariate aree geografiche, quindi posso parlare con cognizione di causa.

I problemi che hai ora con le chiavi USB li avevi qualche anno fa con i floppies; cambiano i supporti ma rimangono i problemi e le contromisure per prevenirli.

Da qualche parte il virus è entrato, non si è autogenerato e nemmeno può essere stato scaricato da una chiave vergine, quindi la prima falla non è in Windows ma nelle procedure di sicurezza; procedure inesistenti o inapplicate.

La prima regola di sicurezza prevede la tassativa esclusione di scambio di files con sistemi non certificati secondo le procedure di sicurezza.

Spero per te che questa brutta esperienza ti abbia insegnato qualche cosa in ordine alle metodologie di lavoro.

Modificato: 28 settembre 2010 da Livio Orsini

[biuly]

Quindi secondo te che procedura dovevo usare in Iran quando mi serviva il software di una loro linea da interfacciare alla mia ?

Come dovevo scambiarlo il software a febbraio visto che l'antivirus aveva dato esito positivo ?

Che procedure dovevo usare in un posto con 80 km di deserto attorno senza internet ?

Dimmi pure la procedura rigorosa e sicura per non prendere virus ignoti e per lavorare all'estero che così la seguo anch'io.

Le procedure di sicurezza sono belle parole ma in molti posti inattuabili.

Modificato: 29 settembre 2010 da biuly

[Livio Orsini]

Le procedure di sicurezza sono belle parole ma in molti posti inattuabili.

Questa è una delle tante scuse che si accampano dopo.

Quando non si ha la certezza della sicurezza dei dati, e un comune antivirus non da nessuna certezza, si evita lo scambio dei dati. Questa è la prima regola da seguire.

Se fai i conti avresti risolto molto più velocemente digitando le istruzioni. Avresti speso qualche ora in dattilografia, però avresti evitato l'infezione ed i guai che ne sono seguiti; inoltre nel riscrivere il programma compi anche un'azione di verifica del programma stesso, facilitandone la comprensione, visto che è un lavoro fatto da altri.

Quindi secondo te che procedura.....

In ultima analisi, non è un problema mio ma tuo.

Io lavoro con sistemi programmabili dal 1975 e non mi sono mai trovato con problemi dovuti a virus.

Sarò stato fortunato, ma buona parte della fortuna me la sono costruita.

Ho scaricato anche programmi usando il mulo, però per queste operazioni uso un PC isolato, prima di trasferire eventualmente il software faccio tutte le verifiche in loco. Solo quando ho la certezza che il software è esente da virus, worm, trojan et similia mi azzardo a trasferirlo.

Idem quando uso software proveniente da altri; se non ho la certezza che il software, oggetto del trasferimento, provenga da un ambiente dove si osservano rigorosi standard di sicurezza, ne faccio uso solo dopo averlo verificato su di una macchina isolata.

Meglio spendere qualche ora in prove e verifiche piuttosto che passare giornate cercando di riparare i guasti.

Modificato: 29 settembre 2010 da Livio Orsini
correzione errori di dattilografia

[mubeta]

A mio parere un PC dedicato allo sviluppo dovrebbe lavorare solo ed esclusivamente a quello scopo.

Sono belle parole che però contrastano in generale con il nostro essere artigiani o piccoli imprenditori. Nulla da dire per una azienda medio grande, ma, mi sembra, che i committenti siano parecchio corti di denari e, te lo scordi di avare parecchi PC. Forse, semmai, diverse partizioni. (Tutti libri già letti anche questi, ma che lasciano il tempo che trovano. Alla fin fine ti ritrovi col tuo bel PC con sopra tutto, altrimenti avresti le mani legate).

La soluzione è semplice: non ci si collega ad una intranet quando non si è nel proprio ufficio, se non si sa regolare bene le protezioni del caso; non si scambia nulla, che non siano i sorgenti con cui si lavora, con il solo proprio supporto, da controllare prima di copiare qualunque cosa.

Certo, è bello andare in questi paesi "poveri" e scopiazzare programmi craccati e chiavi varie ... se ne trovano a vagoni ... chissà come mai?

[Livio Orsini]

O così (autocitandomi):

A mio parere un PC dedicato allo sviluppo dovrebbe lavorare solo ed esclusivamente a quello scopo.

Oppure così:

La soluzione è semplice: non ci si collega ad una intranet quando non si è nel proprio ufficio, se non si sa regolare bene le protezioni del caso; non si scambia nulla, che non siano i sorgenti con cui si lavora, con il solo proprio supporto, da controllare prima di copiare qualunque cosa.

Non c'è niente di esoterico nella sicurezza dei dati e dell'ambiente di lavoro, solo il comune buon senso.

Certo, è bello andare in questi paesi "poveri" e scopiazzare programmi craccati e chiavi varie ... se ne trovano a vagoni ... chissà come mai?

Basta poi non lamentarsi delle conseguenze e dei cattivacci che si divertono a creare virus varii.

Sono belle parole che però contrastano in generale con il nostro essere artigiani o piccoli imprenditori.

Oggi un buon portatile con 4 giga di RAM e 300 Giga di HD lo porti a casa con<500€ IVA compresa che, per chi ha la possibilità di scaricare IVA, son <400€. Non è poi un investimento trascendentale, visto che lo puoi anche mettere in ammortamento.

Modificato: 29 settembre 2010 da Livio Orsini

[biuly]

X Livio

Stiamo andando troppo sui principi e poco sulla pratica.

Hai detto che tu scarichi dal mulo e solo se sei sicuro dopo aver testato il software su un'altro pc lo usi.

Come lo testi se lo Stuxnet non da nessun sintomo di infezione e gli antivirus fino a 2 mesi fa non ne conoscevano neanche l'esistenza ?

Hai detto che se non si è sicuri è meglio non copiare software PLC di altri sul proprio PC, ma conviene riscriverli.

Spero tu stia scherzando, perchè copiare software di altre linee già testate comporterebbe qualche settimana di scrittura (nel mio caso) e qualche mese di test poi per verificare se la riscrittura è stata corretta, oltre a fare decadere la garanzia del costruttore.

Non esiste la maniera di essere sicuri totalmente se lavori in team, perchè DEVI scambiare file per forza, e il team non è sempre composto da programmatori della tua ditta, potrebbero essere (sempre nel mio caso) indiani e iraniani, sui quali non puoi avere il controllo delle procedure di sicurezza.

Ben vengano i consigli di Livio se possibile bisogna seguirli, ma ripeto non sempre è possibile, e non sono scuse, sono la vita reale.

Infine contro un virus non ancora scoperto come era lo Stuxnet 6-7 mesi fa c'è poco da fare, a meno di non lavorare da soli su un impianto ma anche lì basta che serva un file GSD qualunque e tramite usb o la rete lo becchi.

[Livio Orsini]

Infine contro un virus non ancora scoperto come era lo Stuxnet 6-7 mesi fa c'è poco da fare, a meno di non lavorare da soli su un impianto ma anche lì basta che serva un file GSD qualunque e tramite usb o la rete lo becchi.

Questo virus non si è materializzato per opera dello Spirito Santo, ma è stato introdotto dall'esterno, certamente, almeno per la prima volta, tramite internet. Non è un virus molto diffuso, tanto che da poco è conosciuto ed è a lenta diffusione. Per entrare nel sistema devono essere state compiute, necessariamente, operazioni non sicure.

Questo è un fatto incontrovertibile e incontestabile.

Non entro nel merito della copiatura dei files perchè, non conoscendo le condizioni al contorno, non posso giudicare se fosse indispensabile e se l'operazione sia stata eseguita con le dovute precauzioni.

Rimane il fatto che non si è lavorato bene dal punto di vista della sicurezza.

Per me la discussione, da questo punto di vista, finisce qui.

E' inutile girare attorno al cespuglio. Se in un ambiente di sviluppo entra un software malefico che attacca il sistema finale è evidente, di un'evidenza solare, che qaulità e sicurezza sono pessime. Sono quasi certo che, nel caso di specie, non essitono procedure e protocolli relativi alla sicurezza.

Immagina se in gruppo di sviluppo di software per banche, o per telecomunicazioni, si lavorasse con la medesima leggerezza! Anche per queste applicazioni si lavora in team, si effettuano scambi di files, trasferimenti di programmi e via elencando.

Come ho scritto nel #20 a me, ed ai gruppi che ho diretto, non è mai capitato di avere i sistemi di sviluppo infettati. Tutti i virus quando sono nuovi son sconusciuti, l'importante è che non possano far danni.

Da ultimo. Esistono esperti che fanno della sicurezza informatica una professione. Si fanno pagare perchè chi lavora deve essere pagato. Se non si è capaci di fare sicurezza in proprio meglio rivolgersi ad un esperto, alla fine costa meno.

Modificato: 30 settembre 2010 da Livio Orsini

[biuly]

Hai detto che visto che ho beccato il virus la sicurezza è pessima mentre tu che segui le procedure di sicurezza e scarichi i file da emule li usi solo quando sei sicuro.

Devi ancora rispondere a questa domanda:

come accerti la sicurezza dei file se il virus è sconosciuto ?

Vorrei saperlo così adotto lo stesso metodo e apro pure una ditta di sicurezza software perchè a sentirti il tuo sistema è inattaccabile.

Non basta dire la sicurezza non è efficiente devi spiegare come affrontare queste situazioni perchè riscrivere software di intere linee di produzione è una cosa che non sta nè in cielo nè in terra.