¿La carga útil de Stuxnet S7-417 fue una actualización de firmware?

Question

¿La carga útil de Stuxnet S7-417 fue una actualización de firmware?

#1 de schroeder (2 votos)
#2 de esrange (0 votos)

2

Estoy un poco confundido acerca del ataque de Stuxnet S7-417 . Creo que Stuxnet realizó un ataque de hombre en el medio en el PLC, cerrando varias válvulas en el fondo mientras falsificaba los valores en la imagen de entrada del PLC, dejó la lógica original en ejecución para escribir en la imagen de salida y < a href="http://www.langner.com/2010/11/417-attack-code-doing-the-man-in-the-middle-on-the-plc/"> desasociado las imágenes de entrada y salida de los sensores y actuadores 2 . Sin embargo, no entiendo cómo podría funcionar esto si no se cambiara la lógica en el PLC (lo cual supongo que no fue así, ya que el programa original continuó ejecutándose), pero dudo que se haya producido un cambio de firmware. He leído que cambiar el firmware en los PLC es muy debido a las firmas digitales 3 . Entonces ¿dónde se realizó la modificación?

[Nunca he jugado con los PLC, solo leí sobre ellos, por lo que no puedo ver cómo funciona esto]

2 www.langner.com/2010/11/41717-attack-code-doing-the-man-in-the-middle-on-the-plc/

3 Sección 2.3, enlace

man-in-the-middle scada

pregunta Stuxnewt 27.04.2017 - 12:52

fuente

2 respuestas

Lea otras preguntas en las etiquetas man-in-the-middle scada

¿Windows 10 hackeado? [cerrado] falsificando un GUID

score 2 · Answer 1

De acuerdo con Lagner :

Inmediatamente después de la infección, la carga útil de esta primera variante de Stuxnet toma el control por completo. Se ejecuta lógica de control legítimo. solo mientras el código malicioso lo permita; se pone completamente desacoplado de las señales eléctricas de entrada y salida. El código de ataque se asegura de que cuando el ataque no está activado, Código legítimo tiene acceso a las señales; de hecho es replicando una función del controlador operativo Sistema que normalmente haría esto automáticamente, pero fue deshabilitado durante la infección. En lo que se conoce como escenario de hombre en el medio en seguridad cibernética, la entrada Y las señales de salida se transmiten desde el eléctrico. periféricos a la lógica legítima del programa y el vicio versa por código de ataque que se ha posicionado “en el medio". [Página 8]

Eso parece sugerir que el flujo lógico se cambió a nivel de software.

[Nota] Aparece que el artículo original de Lagner se ha movido. El enlace PacketStorm funciona.

score 0 · Answer 2

Lo que escuché es que Stuxnet buscó computadoras que ejecutan el software de programación para los PLC, luego "infectó" el software de programación permitiéndole cambiar los programas que se crearon para los PLC que luego se cargaron en una tarjeta de memoria que se insertó en El PLC. Los cambios en los programas para los PLC fueron para girar y falsificar la salida mostrada a los operadores.

Los PLC S7 nunca se conectaron a las computadoras ni a Internet de ninguna manera y los creadores de Stuxnet deben haberlo sabido.

Pero esto es solo lo que escuché en una reunión de seguridad.