¿La carga útil de Stuxnet S7-417 fue una actualización de firmware?

2

Estoy un poco confundido acerca del ataque de Stuxnet S7-417 . Creo que Stuxnet realizó un ataque de hombre en el medio en el PLC, cerrando varias válvulas en el fondo mientras falsificaba los valores en la imagen de entrada del PLC, dejó la lógica original en ejecución para escribir en la imagen de salida y < a href="http://www.langner.com/2010/11/417-attack-code-doing-the-man-in-the-middle-on-the-plc/"> desasociado las imágenes de entrada y salida de los sensores y actuadores 2 . Sin embargo, no entiendo cómo podría funcionar esto si no se cambiara la lógica en el PLC (lo cual supongo que no fue así, ya que el programa original continuó ejecutándose), pero dudo que se haya producido un cambio de firmware. He leído que cambiar el firmware en los PLC es muy debido a las firmas digitales 3 . Entonces ¿dónde se realizó la modificación?

[Nunca he jugado con los PLC, solo leí sobre ellos, por lo que no puedo ver cómo funciona esto]

2 www.langner.com/2010/11/41717-attack-code-doing-the-man-in-the-middle-on-the-plc/

3 Sección 2.3, enlace

    
pregunta Stuxnewt 27.04.2017 - 12:52
fuente

2 respuestas

2

De acuerdo con Lagner :

  

Inmediatamente después de la infección, la carga útil de esta primera variante de Stuxnet   toma el control por completo. Se ejecuta lógica de control legítimo.   solo mientras el código malicioso lo permita; se pone completamente   desacoplado de las señales eléctricas de entrada y salida. El código de ataque   se asegura de que cuando el ataque no está activado,   Código legítimo tiene acceso a las señales; de hecho es   replicando una función del controlador operativo   Sistema que normalmente haría esto automáticamente, pero   fue deshabilitado durante la infección. En lo que se conoce como   escenario de hombre en el medio en seguridad cibernética, la entrada   Y las señales de salida se transmiten desde el eléctrico.   periféricos a la lógica legítima del programa y el vicio   versa por código de ataque que se ha posicionado “en el   medio".   [Página 8]

Eso parece sugerir que el flujo lógico se cambió a nivel de software.

[Nota] Aparece que el artículo original de Lagner se ha movido. El enlace PacketStorm funciona.

    
respondido por el schroeder 27.04.2017 - 13:09
fuente
0

Lo que escuché es que Stuxnet buscó computadoras que ejecutan el software de programación para los PLC, luego "infectó" el software de programación permitiéndole cambiar los programas que se crearon para los PLC que luego se cargaron en una tarjeta de memoria que se insertó en El PLC. Los cambios en los programas para los PLC fueron para girar y falsificar la salida mostrada a los operadores.

Los PLC S7 nunca se conectaron a las computadoras ni a Internet de ninguna manera y los creadores de Stuxnet deben haberlo sabido.

Pero esto es solo lo que escuché en una reunión de seguridad.

    
respondido por el esrange 27.04.2017 - 13:05
fuente

Lea otras preguntas en las etiquetas