Patscherkofel: Gondelbahn mit Sicherheitslücken

... alle Berichte aus Fernsehen, Rundfunk, Presse und anderen Medien hinein.
Forumsregeln
Benutzeravatar
br403
Jungfrau (4161m)
Beiträge: 4445
Registriert: 04.03.2005 - 09:24
Skitage 23/24: 8
Ski: ja
Snowboard: nein
Ort: München
Hat sich bedankt: 773 Mal
Danksagung erhalten: 361 Mal

Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von br403 »


Benutzeravatar
stephezapo
Großer Müggelberg (115m)
Beiträge: 456
Registriert: 07.10.2013 - 10:19
Skitage 23/24: 0
Ski: nein
Snowboard: nein
Hat sich bedankt: 5 Mal
Danksagung erhalten: 29 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von stephezapo »

Aus dem Artikel geht nicht ganz hervor, welcher Teil der Software die Lücken aufweist. Ist es die Seilbahnsteuerung selbst? Da ist die Rede davon, dass dieselbe Software verwendet wurde wie für den Prime Tower. Der wird ja wohl keine Seilbahnsteuerung eingebaut haben. Da gehts also eher um irdenein Gateway, dass zu offen ist.
Benutzeravatar
br403
Jungfrau (4161m)
Beiträge: 4445
Registriert: 04.03.2005 - 09:24
Skitage 23/24: 8
Ski: ja
Snowboard: nein
Ort: München
Hat sich bedankt: 773 Mal
Danksagung erhalten: 361 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von br403 »

Ich denke auch, fraglich wer den installiert hat.
Benutzeravatar
HBB
Vogelsberg (520m)
Beiträge: 719
Registriert: 15.02.2006 - 18:16
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Ort: Schilda
Hat sich bedankt: 140 Mal
Danksagung erhalten: 411 Mal
Kontaktdaten:

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von HBB »

Soweit ich es verstanden habe, geht es um die Fernwartungsschnittstelle, über die man auch Zugriff auf die Steuerung bekommt. (Fernzugriff ist ja oftmals eine beliebte Achillesferse - vom Router bis zum Kraftwerk...)
Und hier kommt jetzt der Prime Tower ins Spiel:
Die entsprechenden Schwachstellen meldeten Neef und Schäfers nach eigenen Angaben bereits im Jahr 2016 an den Systemintegrator Certec, der die Komponenten entwickelt hat.[...]Für die Steuerung der Gondelanlagen nutzte das Unternehmen die Software Doppelmayr Connect. Diese basiert auf Technik der Firma Certec/Atvise
Also kein seilbahnspezifisches Problem!
Hummelbergbahn - die Seilbahn im Nordschwarzwald

www.hummelbergbahn.de / www.wedelkasperl.de
↓ Mehr anzeigen... ↓
stavro_
Fichtelberg (1214,6m)
Beiträge: 1446
Registriert: 06.10.2005 - 16:48
Skitage 23/24: 0
Ski: nein
Snowboard: nein
Hat sich bedankt: 134 Mal
Danksagung erhalten: 62 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von stavro_ »

Benutzeravatar
Ram-Brand
Ski to the Max
Beiträge: 12391
Registriert: 05.07.2002 - 20:04
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Ort: Hannover (Germany)
Hat sich bedankt: 148 Mal
Danksagung erhalten: 293 Mal
Kontaktdaten:

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Ram-Brand »

Sowas sollte man auch "Abstellen".
Man braucht nicht überall Fernwartung.
Bild Bild
Lift-World.info :: Entdecke die Welt der Seilbahntechnik - Liftdatenbank, Fotos & Videos von Liftanlagen, sowie Informationen über Seilbahntechnik und vieles mehr ...
Benutzeravatar
br403
Jungfrau (4161m)
Beiträge: 4445
Registriert: 04.03.2005 - 09:24
Skitage 23/24: 8
Ski: ja
Snowboard: nein
Ort: München
Hat sich bedankt: 773 Mal
Danksagung erhalten: 361 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von br403 »

Na du als DM Spezialist solltest aber wissen das da ganz viel darüber gemacht wird:)
Benutzeravatar
margau
Moderator a.D.
Beiträge: 881
Registriert: 03.02.2012 - 21:49
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Hat sich bedankt: 54 Mal
Danksagung erhalten: 206 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von margau »

Hallo,
das ganze ist schon leicht peinlich. Überhaupt die Möglichkeit, die Anlage so zu konfigurieren, dass Sie offen erreichbar ist, sollte von DM/dem Integrator softwareseitig verboten werden.
Fernzugriff von mir aus ja, aber dann richtig. Wie das ganze wirklich sicher geht, liest man in jedem zweiten IT-Blog.

Aber ich fürchte es wird noch einige Zeit vergehen, bis die Absicherung von Internet of Things-Geräten in allen Köpfen ist. Wobei das für große "Things" besonders gelten sollte.

Viele Grüße
margau
Lagorce
Feldberg (1493m)
Beiträge: 1690
Registriert: 20.12.2006 - 09:16
Skitage 23/24: 0
Hat sich bedankt: 5 Mal
Danksagung erhalten: 178 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Lagorce »

Problematik bzgl. Fernzugriffe auf Anlagen ist schon lange bekannt und mit Internet Anbindung ist es lediglich um ein vielfaches heikler geworden.

Da ich mich beruflich seit langem mit Steuerungs- und Prozessleittechnik befasse, könnte ich da eigentlich einiges dazu schreiben; meine persönlichiche Beurteilung ist jedoch ganz einfach: Sobald physikalisch (also hier auch via Funkstrecke gemeint) ein System irgendwie am Internet angeschlossen ist (egal über welche Firewalls, usw.), entsteht de facto eine Sicherheitslücke.

Für mich ist Internetsicherheit eine trügerische Illusion. Die allermeisten Angriffe werden entweder gar nie entdeckt oder werden nicht bekanntgegeben. M.E. ist der Umfang der Eindringungen in allen Bereichen weitaus höher als angenommen.

Insbes. im Bereiche der Prozessleittechnik bestehen massive Sicherherheitslücken, dabei ist das rettende Glück die Tatsache, dass Hacker keine Ahnung von der Steuerungs- und spezifischen Anlagentechnik haben und die Steuerungsspezialisten verfügen ihrerseits kaum über Hacker Know-How (interessiert die auch kaum).

Bestes Beispiel für das Zusammenspiel auf höchster ebene war der Stuxnet Fall, den kenn ich einigermassen, da ich selbst die betroffenen Versionen des involvierten Prozessleitsystem recht gut kenne, sowie die entsprechenden Steuerungen (die involvierten FU etwas weniger, da ich die ABB FU besser kenne als die von Siemens). Stuxnet war ein absolutes Meisterwerk in Sachen Software-Engineering (verlässliche Infos darüber sind relativ selten, es wurde viel Unsinn darüber geschrieben).

Zwar ist Internet Security zu einem prioritären Punkt u.a. in Sachen Versorgungssicherheit geworden, in den entsprechenden Gremien gehen die Ansichten z.T. weit auseinander, insbes. zwischen denen die aus der industriellen Elektrotechnik kommen und den Informatikern.

Übrigens ist Fernwartung nicht nur bei Doppelmayr Steuerungen vorhanden, fragwürdige Internet Security ist ein herstellerübergreifendes Problem, ob es sich um Siemens, ABB oder auch kleinere Hersteller handelt und betrifft sowohl Komponenten (z.B. SPS, Rechner, digitale Schutzerlais, Erregersysteme, usw.) wie auch deren Integration in Anlagen.

Wie gesagt, für mich ist Internet Security eine Illusion. Allerlei Überraschungen sind im wörtlichsten Sinne vorprogrammiert.
Zuletzt geändert von Lagorce am 20.04.2018 - 02:06, insgesamt 1-mal geändert.

Lagorce
Feldberg (1493m)
Beiträge: 1690
Registriert: 20.12.2006 - 09:16
Skitage 23/24: 0
Hat sich bedankt: 5 Mal
Danksagung erhalten: 178 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Lagorce »

Bei Seilbahnen ist der ganze Zauber für Hacker dennoch recht heikel, denn auf den heikelsten Teil, d.h. die Anwenderprogramme der verschiedenen Sicherheits-SPS, ist es sehr schwierig zurückzugreifen und Progamme zu editieren. Zwar theoretisch nicht ganz unmöglich, insbes. neuere Steuerungen sind da zwar recht gut geschützt.

FU Parameter abändern kann je nach technischen Gegebenheiten einfacher sein, zwar könnte man den FU falsch ansteuern (ähnlich wie im Stuxnet Fall für die Zentrifugenantriebe), die übergeordnete Steuerung würde dennoch gewisse Fehlverhalten der Bahn erkennen und eine Notbremsung einleiten (dabei wird FU blockiert und vom Motor galvanisch getrennt oder die PWM Ansteuerung der IGBT des motorseitigen Inverters werden "sicher" (SIL 3 oder PL e) durch redundantes und überwachtes Abschalten der Steuerspannung der IGBT Treiberstufe blockiert (sog. STO, Safe Torque Off Funktion wobei diese nur bei bestimmten FU für Anwendungn bis SIL 3 zertifiziert ist)).

Wäre ein Zugriff auf das Programm der Sicherheitssteuerungen möglich, könnte man die Bahn zerstören (z.B. Kopierwerksdaten verfälschen, Geschwindigkeitsüberwachungen ausser Kraft setzten, Bremsen falsch ansteuern,...). Bahnen mit mechanischer Übergeschwindigkeitsauslösung der Sicherheitsbremse sowie (wo zutreffend) Fangbremsen, die man ebenfalls rein mechanisch von Hand auslösen kann, sind da im Vorteil.

Aber wie gesagt, da bewegen wir uns eher im Action-Film Bereich. Was genau machbar ist und wie vorgegangen werden muss benötigt sehr gute Fachkenntnisse.

Edited:
Fernwartung ist halt so ein Thema, vereinfacht das Leben des Steuerungsherstellers erheblich... solange Security stimmt.
Bin grundsätzlich nicht dagegen, jedoch klar gegen permanente Verbindungen oder solche, die von externer Seite her aktiviert werden können.
Hatte mal einen recht grossen Industrielaser im Betrieb, über dessen Fernwartungszugriffe behielt ich das Sagen in dem ich das (damals noch Dial-Up) Modem nur an die Telefonleitung anschliess wenn ich den Hersteller am Telefon auf einer anderen Linie hatte. Sonst gab's keine Kabelverbindung und Modem blieb ausgeschaltet.

Aufzüge werden übrigens auch oft "ferngewartet", sogar gewisse Baukrane sind mit einem GSM Modem für Hersteller-Fernzugriff ausgestattet.
Zuletzt geändert von Lagorce am 20.04.2018 - 02:05, insgesamt 1-mal geändert.
Benutzeravatar
margau
Moderator a.D.
Beiträge: 881
Registriert: 03.02.2012 - 21:49
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Hat sich bedankt: 54 Mal
Danksagung erhalten: 206 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von margau »

Lagorce hat geschrieben: 19.04.2018 - 19:24 Zwar ist Internet Security zu einem prioritären Punkt u.a. in Sachen Versorgungssicherheit geworden, in den entsprechenden Gremien gehen die Ansichten z.T. weit auseinander, insbes. zwischen denen die aus der industriellen Elektrotechnik kommen und den Informatikern.
Ich habe bisher Elektrotechnik studiert, und wechsle grade in die Informatik, und ja, was man alles sieht, ist wahnsinn.

Das Problem ist: Wenn man alles mal im Worst-Case betrachten würde, und vielleicht auch mal ein Penetrationstest beauftragen würde, gäbe es keins.
Leider ist es oft das Equivalent zum Ausspruch "An sich müsste das halten" (meint: "Unter Normalbedingungen ist das sicher").
Ich empfehle hier einfach mal die Videos vom Chaos Computer Club, da wird einem sehr oft anders.

Vielleicht sollten sich die Verantwortlichen von Doppelmayr diese auch mal anschauen, da bekommt man tiefen Einblick in die möglichen Angriffsvektoren - und den meist sehr trivialen Schutz.

Viele Grüße
margau
Benutzeravatar
br403
Jungfrau (4161m)
Beiträge: 4445
Registriert: 04.03.2005 - 09:24
Skitage 23/24: 8
Ski: ja
Snowboard: nein
Ort: München
Hat sich bedankt: 773 Mal
Danksagung erhalten: 361 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von br403 »

IT Security ist allgemein noch ein großes Thema, da ist noch viel Nachholbedarf bei einigen Firmen.
Benutzeravatar
Ram-Brand
Ski to the Max
Beiträge: 12391
Registriert: 05.07.2002 - 20:04
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Ort: Hannover (Germany)
Hat sich bedankt: 148 Mal
Danksagung erhalten: 293 Mal
Kontaktdaten:

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Ram-Brand »

Ich bin der Meinung, und so wie ich Lagorce Texte verstehe, er auch.

Es gibt nur eine Sicherheit und das ist den Netzwerkstecker bei solchen Anlagen Richtung Internet, auszustecken.

Wenn Updates für die Steuerung anstehen, oder man ein Problem hat, was sich der Techniker aus der Ferne angucken soll, dann
muß man halt erst vorher den Stecker wieder reinstecken.



Und IoT ist der größte Sch... Viele Produkte werden auf den Markt geworfen, die Sicherheitslücken haben. Und dafür gibt es dann keine Updates.
Diese Lücken bestehen dann solange man das Produkt nutzt.
Bild Bild
Lift-World.info :: Entdecke die Welt der Seilbahntechnik - Liftdatenbank, Fotos & Videos von Liftanlagen, sowie Informationen über Seilbahntechnik und vieles mehr ...
Lagorce
Feldberg (1493m)
Beiträge: 1690
Registriert: 20.12.2006 - 09:16
Skitage 23/24: 0
Hat sich bedankt: 5 Mal
Danksagung erhalten: 178 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Lagorce »

Man sollte klar stellen, dass bzgl. Internet Security Steuerungshersteller sich beinahe ausschliesslich auf Drittfirmen verlassen müssen. Zwar kann man mit falschem Design (inkl. Hardware- und Softwareauswahl sowie System-Architektur), Parametrierfehlern, usw. Security negativ beeinflussen, im Wesentlichen arbeitet der Steuerungshersteller jedoch mit Hardware- und Softwarelösungen von Drittanbietern auf deren grundlegende Sicherheitsmerkmale er keinen Einfluss hat (insbes. Softwarefehler jeglicher Art) und diese auch nicht überprüfen kann.

Fernzugriff stellt eine offene Tür für Missbräuche dar, ob die Steuerung von Doppelmayr, Frey, Sisag oder irgendeinem anderen Hersteller spielt hier keine Rolle.
Meist trägt der Steuerungshersteller eigentlich gar keine Schuld, da er sich ja auf Drittprodukte verlassen muss (den Kunden interessiert dies allerdings nicht).
Deshalb wäre es falsch, davon auszugehen, dass ein Steuerungshersteller wegen eines Internet Security Problems schlechter wäre als die Konkurrenz. Der hatte diesmal einfach Pech, das nächste mal kann's jemand anders erwischen und in den meisten Fällen werden Security Probleme gar nie aufgedeckt.

Grundsätzlich bin ich prinzipiell dagegen, dass für kritische Anwendungen bei Industrieanlagen Netzwerke dritter eingesetzt werden. Sicher ist eigentlich nur eine 1:1 (je nach Distanz LWL) "dedicated" Verbindung. Z.B. bei SPS Kommunikation zwischen Antriebs und Gegen- oder Umlenkstation (und ggf. Mittelstation(en)) sollte man aussschlieslich LWL Faserpaare einsetzen, die für nichts anderes eingesetzt werden. Wird in der Praxis eigentlich auch so gehandhabt.

Auch z.B. bei Wasserversorgungen, Abwasseranlagen, Energieverteilung, usw. ist es viel sicherer, wenn man direkte 1:1 LWL Verbindungen hat, sobald etwas über die allgemeine Verwaltungsinformatik läuft ist schnell mal der Teufel los. Kabel kann man zwar teilen aber Fasern sollten für kritische Anwendungen stets getrennt sein, d.h. dass man sich direkt seine eigene Hardware anschliesst.

Ethernet Kommunikation ist als solche kein Problem, auch nicht für Sicherheitskommunikation (SIL 3) da ja Sicherheit durch Protokoll gewährleistet wird. Allerdings würde ich auch hier keinen physikalischen Übergang zu einem anderen System vorsehen. Falls notwendig, wie z.B. für Betriebsdatenerfassung, usw. gibt es Lösungen mit geringem Restrisiko (bei einer Seilbahn würde ich ganz primitiv mit RS-232C in ASCII exportieren, da ist so langsam und einfach, dass kaum was hackbar ist, insbes. wenn noch von der SPS gehandhabt, ggf. auch nur als Passerelle da SPS Betriebssysteme sehr robust sind).

Rein Sicherheitstechnisch gesehen wäre es zwar erlaubt, die Bergstation und die Talstation einer Seilbahn über das öffentliche Internet für die Steuerung zu verbinden (ink. SIL 3 Sicherheitskommunikation für Not-Aus, usw.), gemacht wird es aus einleuchtenden Gründen jedoch nicht.
Benutzeravatar
jojo2
Wurmberg (971m)
Beiträge: 1130
Registriert: 07.03.2004 - 18:58
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Ort: nähe köln (Overath)
Hat sich bedankt: 119 Mal
Danksagung erhalten: 28 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von jojo2 »

Naja grundsätzlich ist das Problem bei Industriesteuerungen etc. schon lange bekannt.

Wer hier eine Fernwartung benötigt hat davor ein VPN zu schalten, alles andere ist einfach grob fahrlässig. Meistens interessiert es halt niemanden und die IT-Abteilung ist ja sowieso nur immer gegen alles wenn man auf solche Gefahren hinweist. Dann kommt der Hersteller der sagt das nutzen auch tausende andere Kunden ohne Problem und dann nimmt es seinen lauf...
Benutzeravatar
Theo
Matterhorn (4478m)
Beiträge: 4488
Registriert: 22.08.2003 - 19:37
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Ort: Zermatt
Hat sich bedankt: 174 Mal
Danksagung erhalten: 809 Mal
Kontaktdaten:

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Theo »

Ich kenne mich damit viel zu wenig aus, muss es ja nur einigermassen bedienen können. Es tönt aber doch jetzt eher so dass es ein Problem auf der Seite des Bahnbetreibers gab und nicht eines auf der Herstellerseite, ansonsten hätte ja noch viele Anlagen mehr gefunden werden müssen.
Es ist einem natürlich schon ein bisschen unheimlich wenn man weis dass da einer aus der Ferne was machen kann und dass das zwangsweise ja dann über das Internet geschehen muss. Bei mir hat man letztes Jahr auch vom Werk aus einen Garagierungsmodus umgeändert, es brauchte aber um die Änderung zu aktivieren immerhin noch einen Neustart der SPS.
Praktisch wenn man es bracht und einem schnell geholfen werden kann, den Rest von der Zeit sollte man allerdings wie schon erwähnt den Stecker ziehen..
Lagorce
Feldberg (1493m)
Beiträge: 1690
Registriert: 20.12.2006 - 09:16
Skitage 23/24: 0
Hat sich bedankt: 5 Mal
Danksagung erhalten: 178 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Lagorce »

Irgendwo wurde geschrieben, dass lediglich kein Zugangs-Login parametrierte wurde, oder zumindest kein Passwort gesetzt wurde. Würde dies zutreffen, handelt sich lediglich um einen groben Fehler. Da ich nicht davon aus gehe, dass (bahn-)betreiberseitig sowas parametriert wird (ausser ggf. später wieder Passwort ändern) würde ich eher davon ausgehen, dass jemand vom Hersteller da was falsch gemacht hat.

Ob die Darstellung effektiv stimmt, kann ich nicht beurteilen, wäre dennoch sehr plausibel das recht oft Passwörter entweder nicht gesetzt werden oder das Default Passwort nicht abgeändert wird.

Benutzeravatar
br403
Jungfrau (4161m)
Beiträge: 4445
Registriert: 04.03.2005 - 09:24
Skitage 23/24: 8
Ski: ja
Snowboard: nein
Ort: München
Hat sich bedankt: 773 Mal
Danksagung erhalten: 361 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von br403 »

„Das war ein Fehler unsererseits und wir haben das sofort geändert, als uns der Betreiber darüber informiert hat“, sagte Assmann.
Aus dem Artikel von Futurezone weiter oben. Also hat DM zugegeben das es ihr Verschulden war.

Und lediglich einen groben Fehler...naja, so lediglich finde ich das nicht.
Lagorce
Feldberg (1493m)
Beiträge: 1690
Registriert: 20.12.2006 - 09:16
Skitage 23/24: 0
Hat sich bedankt: 5 Mal
Danksagung erhalten: 178 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Lagorce »

Da mittlerweile webserverbasierte Zugänge bei denen man mit einem gewöhnlichen Browser Prozessbilder darstellen kann, und ggf. auch in den Prozess eingreifen kann, recht gängig geworden sind, sind solche Zwischenfälle zukünftig vermehrt zu erwarten (hier absolut nicht seilbahn-spezifisch gemeint).

Ob beim Anzeigen eines Prozessbildes dann wirklich mit der Steuerung oder Prozessleitsystem weitere Interaktionen möglich sind, hängt von den Zugriffsberechtigungen ab. U.u. sind nicht einmal Schaltflächen aktiv, d.h. man kann lediglich ein evtl. automatisch in Echtzeit aktualisertes Prozessbild anschauen, jedoch ohne Navigations- oder weitere Bedienmöglichkeit.
Je nach Parametrierung muss man sich für die Bedienung je nach Bedienebene noch einloggen und ggf. können für heiklere Funktionen noch zur Bestätigungein gesondertes Passwort erforderlich sein.
Ganz heikle Funktionen würde ich für den Internet Fernzgriff sperren und extrem heikle Funktionen würde ich auch im Kommandoraum (oder Leitwarte) nur über gesonderten Hardware-Quitiertaster (direkt mit der Steuerungshardware verbunden, nicht via PC, usw.) validieren da Maus, Trackball, Tastatur, Touchscreen, usw. zu unsicher sind.

Wie, wann und wer zugriffsberechtigt ist, wird softwareseitig parametriert. Der (End)kunde kann je nach Anlage evtl. selbst gewisse Berechtigungen parametrieren.
Benutzeravatar
Theo
Matterhorn (4478m)
Beiträge: 4488
Registriert: 22.08.2003 - 19:37
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Ort: Zermatt
Hat sich bedankt: 174 Mal
Danksagung erhalten: 809 Mal
Kontaktdaten:

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Theo »

Hoppla, den zweiten Artikel mit der Aussage von DM habe ich überlesen.
Es kann schon sein dass nur das Bild sichtbar war. Ich könnte bei mir im Tal auf den Monitor wo sonst die 4 Kameras sind auch das Bild vom Visualisierungsmonitor der Antriebsstation anzeigen, aber wirklich nur anzeigen und nichts machen. Mir bringt das nichts und darum mache ich es auch nie, ein Kollege wollte es halt damit er die genaue Streckenbelegung sehen kann.

Wenn es hier nur eine Anzeige möglich war dann geht das noch grad so, obwohl auch das schon ein ganz grober Schnitzer war. Falls auch ein eingreifen möglich gewesen wäre so dann wäre die Sache inakzeptabel.

Nötigenfalls müssen die Steuerungshersteller den Bahnbetreibern auch manche Freigaben verweigern. So habe ich auf meinem Sisag Video-PC auch noch die Skidata Drehkreuzüberwachung und das Intranet drauf.

Es ist jetzt jedenfalls ein Warnschuss an alle wo immer alles vernetz haben wollen.
NeusserGletscher
Wildspitze (3774m)
Beiträge: 3900
Registriert: 01.04.2010 - 16:45
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Hat sich bedankt: 635 Mal
Danksagung erhalten: 1245 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von NeusserGletscher »

Theo hat geschrieben: 20.04.2018 - 16:38...den Rest von der Zeit sollte man allerdings wie schon erwähnt den Stecker ziehen..
Und nur so funktioniert es. Solange solche schlecht gewarteten / gemanagten Mickey-Mouse Devices 24 Stunden am Tag und 7 Tage die Woche öffentlich zugänglich sind (z.B. über das Internet) sind Angriffe vorprogrammiert. Alleine in der Software, mit der sich ein solches Device mit dem Internet verbindet, stecken hunderte Mannjahre an Entwicklung. Da hat niemand den kompletten Überblick und Sicherheitslücken sind zu 100% vorhanden. Es ist nur eine Frage der Zeit, wann diese bekannt werden und neue hinzukommen. Da müsste ein Hersteller ständig die Updates der von ihm verwendeten Software-Bibliotheken checken und ggf. binnen weniger Stunden eine neue Software einpflegen, testen und in alle betroffenen Systeme einspielen. Die meisten Hersteller haben aber diese Tragweite in letzter Konsequenz nicht einmal im Ansatz begriffen. Sie wollen Produkte verkaufen und danach möglichst nichts mehr mit dem System zu tun haben. Und so funktioniert IT Sicherheit nun einmal nicht.
Was Du selber richtig machst können andere nicht falsch machen
Chense
Rigi-Kulm (1797m)
Beiträge: 1860
Registriert: 19.08.2010 - 02:42
Skitage 23/24: 0
Ski: ja
Snowboard: nein
Ort: Doren
Hat sich bedankt: 23 Mal
Danksagung erhalten: 440 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Chense »

Lagorce hat geschrieben: 19.04.2018 - 19:47
FU Parameter abändern kann je nach technischen Gegebenheiten einfacher sein, zwar könnte man den FU falsch ansteuern (ähnlich wie im Stuxnet Fall für die Zentrifugenantriebe), die übergeordnete Steuerung würde dennoch gewisse Fehlverhalten der Bahn erkennen und eine Notbremsung einleiten (dabei wird FU blockiert und vom Motor galvanisch getrennt oder die PWM Ansteuerung der IGBT des motorseitigen Inverters werden "sicher" (SIL 3 oder PL e) durch redundantes und überwachtes Abschalten der Steuerspannung der IGBT Treiberstufe blockiert (sog. STO, Safe Torque Off Funktion wobei diese nur bei bestimmten FU für Anwendungn bis SIL 3 zertifiziert ist)).

Wäre ein Zugriff auf das Programm der Sicherheitssteuerungen möglich, könnte man die Bahn zerstören (z.B. Kopierwerksdaten verfälschen, Geschwindigkeitsüberwachungen ausser Kraft setzten, Bremsen falsch ansteuern,...). Bahnen mit mechanischer Übergeschwindigkeitsauslösung der Sicherheitsbremse sowie (wo zutreffend) Fangbremsen, die man ebenfalls rein mechanisch von Hand auslösen kann, sind da im Vorteil.
Ich kann über die Fernwartung aber auch genug zerstören - Einzige Bedingung: Ich brauche dazu noch das Anlagenpasswort, das dürfte aber das geringste Problem sein ... Zmd. bei Leitner kann ich die Bremsparameter, die gesamte Durchfahrsicherung verstellen, im Endeffekt sämtliche Anlagenparameter ändern (ohne, dass es der Nutzer sieht, wenn er ned auf die spezifische Seite geht und vergleicht) + überbrücken (das sieht man allerdings dann als Nutzer)

Allerdings ist die Anlage soweit ich weiss solange die Fernwartung nicht aktiv geschaltet ist auch nicht "am Netz" ... wie das DM regelt, weiss ich nicht.
Erst wenn der letzte SL stillgelegt,
die letzte PB abgebrochen,
und die letzte Piste modelliert ist,
werdet Ihr herausfinden, daß der Skisport tot ist!

:esreicht: Für ein trollfreies Forum - Dummschwätzer und Aluhüte raus! :esreicht:

:bindafür: Für eine Rückkehr zur alten Qualität :bindafür:
↓ Mehr anzeigen... ↓
Lagorce
Feldberg (1493m)
Beiträge: 1690
Registriert: 20.12.2006 - 09:16
Skitage 23/24: 0
Hat sich bedankt: 5 Mal
Danksagung erhalten: 178 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Lagorce »

Theo hat geschrieben: 22.04.2018 - 19:06 Wenn es hier nur eine Anzeige möglich war dann geht das noch grad so, obwohl auch das schon ein ganz grober Schnitzer war. Falls auch ein eingreifen möglich gewesen wäre so dann wäre die Sache inakzeptabel.
Na ja, da sind zwei Punkte zu beachten;
1. Was hat der Steuerungshersteller parametriert, dies liegt weitgehend in seiner Hand.
2. Wo sind die Sicherheitslücken, und bei einer typischen Internet Anbindung weiss dass niemand mit absoluter Sicherheit.

Früher hatte man ganz primitive Anbindungen wie z.B. über sowas wir EIA/TIA RS-232C bei vielleicht mal 9600 Baud (also 9600 bit/s oder etwa 1200 ASCII Zeichen pro Sekunde, entspricht etwa 15 Linien Text pro Sekunde bei 80 (druckbaren) Zeichen pro Sekunde wie's früher mal Stand der Technik war).
Werden ganz primitiv und langsam ASCII Zeichen hin und her geschoben ist es sozusagen unmöglich, dass da waspassiert, zudem kann man die Treiber von A bis Z relativ einfach schreiben und auch in der Steuerung ggf. jedes Zeichen Einzel handhaben und falls notwendig noch ein Proprietary Checksum hinzufügen, usw.

Mit Ethernet usw, ist dies unmöglich weil alles weitaus komplexer und schneller ist und man muss in existierende Software von Drittherstellern vertrauen. Und dazu kommen noch hardware-orientierte Risiken (Ethernet Chipsets, also integrierte Schaltungen, die als Blackbox die niedrigen Ebenen der Kommunikation handhaben). Nebst Hardware kommet eine russische Softwarepuppe hinzu bei der niemand mehr die Durchsicht hat (vom Chipset ROM Code bis zu den high Level Treibern).

Nötigenfalls müssen die Steuerungshersteller den Bahnbetreibern auch manche Freigaben verweigern. So habe ich auf meinem Sisag Video-PC auch noch die Skidata Drehkreuzüberwachung und das Intranet drauf.
Grosse Frage dabei ist, ob auf dem Video PC nur nicht-kritische Software wie z.B. Videoüberwachung, Zugangsmanagement, und evtl. Sprachverbindung über IP (VoIP) läuft, jedoch nichts, was die Sicherheit der Anlage irgendwie tangieren kann.
Dann habe nichts dagegen, ist auch üblich, dies über dasselbe LWL Kabel zur anderen Station zu verbinden, das ebenfalls die sicherheitsorientierte Kommunikation der Sicherheits-SPS der Steuerung überträgt. Absolute Bedingung dabei ist, dass die Glasfaserpaare komplett getrennt sind, d.a. für die Steuerungskommunikation werden Paare absolut exklusiv eingesetzt, von Patch Panel zu Patch Panel (wobei man notfalls auf Reservepaare umstecken kann, massgebend ist, dass Steuerungen exklusive Faserpaare benutzen). Was mit den anderen Glasfasern vom gleichen Kabel passiert spielt dabei keine Rolle, die werden oft für Video, Internet, Telecom, usw. verwendet).

Auf eine Steuerungs-PC würde nur die absolut notwendige Softwarepakete installieren, also auf keinen Fall sowas wie Adobe Acrobat Reader oder irgendein MS Office Produkt, usw.
Zwar Adobe Acrobat zum Anzeigen von Maschinen-Dokumentationen bei Visualisierungen eingesetzt, bin jedoch strikte dagegen, da so genau solche Softwarepakete massenhaft Sicherheitslücken aufweisen.

Es ist jetzt jedenfalls ein Warnschuss an alle wo immer alles vernetz haben wollen.
Habe mich schon immer sehr klar diesbzgl. geäussert, nur wir von der Industrietechnik haben halt etwas andere Ansichten als die üblichen Informatiker. :)
Lagorce
Feldberg (1493m)
Beiträge: 1690
Registriert: 20.12.2006 - 09:16
Skitage 23/24: 0
Hat sich bedankt: 5 Mal
Danksagung erhalten: 178 Mal

Re: Patscherkofel: Gondelbahn mit Sicherheitslücken

Beitrag von Lagorce »

Chense hat geschrieben: 25.04.2018 - 14:11 Ich kann über die Fernwartung aber auch genug zerstören - Einzige Bedingung: Ich brauche dazu noch das Anlagenpasswort, das dürfte aber das geringste Problem sein ... Zmd. bei Leitner kann ich die Bremsparameter, die gesamte Durchfahrsicherung verstellen, im Endeffekt sämtliche Anlagenparameter ändern (ohne, dass es der Nutzer sieht, wenn er ned auf die spezifische Seite geht und vergleicht) + überbrücken (das sieht man allerdings dann als Nutzer)

Allerdings ist die Anlage soweit ich weiss solange die Fernwartung nicht aktiv geschaltet ist auch nicht "am Netz" ... wie das DM regelt, weiss ich nicht.
Auch bei Fernzugriffsmöglichkeit würde ich als Steuerungshersteller den Fernzugriff auf kritische Parameter und Bedienungen niemals freigeben.

Übrigens finde ich auch das Remote-Updaten von Software, obwohl für den Hersteller eigentlich sehr verlockend, doch recht heikel. Wenn was schief geht dann kann u.U. die Anlage stehen bleiben bis jemand vom Hersteller vorort ist.
Demzufolge finde ich es besser, wenn halt doch ein Spezialist vorort ist, der auch alle Steuerungsprogramme, Prozessbilder, Parameter Backups der FU, usw. bei sich hat und auch alle notwendigen Softwaretools.

Software ist doch im allgemeinen recht heimtückisch, mehr oder weniger unerklärbare Seiteneffekte und andere böse Überraschungen sind bei Updates und Umparametrierungen halt doch nicht vollständig ausgeschlossen.

Kenn dies auch von SCADA Software wo man z.T. eigentlich während des Betriebs gewisse Abänderungen machen darf... In der Praxis besteht dennoch ein erhöhtes Risiko; kommt allerdings auf Einzelheiten drauf an, während das Editieren eines Prozessbildes meist noch vertretbar ist, sind z.B. Umparametrierungen der Datenbanken schon wesentlich heikler...

Antworten

Zurück zu „Medienberichte“