Peter Zimmermann hat geschrieben:
Die Fahrkartenautomaten der DB haben auch noch W95 und waren Heute in diversen Regionen "out of order"!
Wundert mich, dass EBuLa funktioniert hat.
Die Frage ist ja, wie diese Systeme jeweils miteinander übers Netzwerk verbunden sind. Da ist durchaus denkbar, dass die Fahrkartenautomaten über ein "LAN" (zumindest aus logischer Sicht) miteinander verbunden sind. Wie das beim Ebula aussieht habe ich ehrlich gesagt keine Ahnung, aber möglicherweise werden hier andere Mechanismen zum Datenaustausch verwendet.
Alwin Meschede hat geschrieben:
Das ist aus meiner Sicht eine hochinteressante und sehr bedenkliche Meldung. Erkenntnis 1: Die IT-Landschaft der Disponenten (dazu rechne ich jetzt mal laienhaft ZÜ und Bereichsdispos) ist offenbar kein vom Internet getrenntes Netz.
Das muss nicht sein, möglicherweise ist man hier eher dem Trugschluss auferlegen, dass ein vom Internet getrenntes Netz von sich aus sicher ist. Das stimmt so aber nicht - solange man Servicelaptops hat, die sowohl im Internet als auch im getrennten Netz verwendet werden, können diese als Boten fungieren, und Viren eben auch in das getrennte Netz transportieren.
Bei der momentan grassierenden Ransomware ist das ja offenkundig möglich - ein Servicelaptop, der über das Internet infiziert wurde, kann den Virus (auch nach Trennung vom Internet) über SMB weitergeben. Da nutzt dann die beste Trennung nichts.
Das ganze ist auch nichts neues, der Angriff auf Siemens-Industriesteuerungen Simatic S7, der vermutlich gegen die Urananreicherung im Iran gerichtet war (aber weltweit Industrieanlagen befallen hatte) hatte genau so funktioniert: Der Virus hat dort initial irgendeinen Rechner im Verwaltungsnetz der Industrieanlage befallen. Über diverse Sicherheitslücken hat sich der Virus dann quer über das Verwaltungsnetz verbreitet und die Entwicklungsumgebungen für die Simatic befallen. Eine so befallene Entwicklungsumgebung hat dann manipulierte Software für die Simatic erstellt, die dann - obwohl in einem abgeschotteten Netz gelegen - auch über die regulären Updates eingespielt werden konnte.
Erkenntnis 2: Sie setzen dort Windows ein, und haben das SMB-Protokoll offenbar nicht gefirewallt.
Ob es gefirewallt wurde oder nicht lässt sich nicht sagen. Mit der oben genannten Methode des Servicelaptops eines Technikers als Boten lassen sich auch Firewalls umschiffen.
Erkenntnis 3: Wenn man als Hacker Zugriff auf die Dispo-Ebene erlangt hat, ist es mit einiger Wahrscheinlichkeit nicht mehr weit bis zum "sicheren Kern" der Leit- und Sicherungstechnik - da gibt es mit Sicherheit dann Schnittstellen. Dieser "sichere Kern" läuft zwar wie wir wissen nicht auf Windows, aber allein die Tatsache dass hier offenbar indirekt eine Verbindung Richtung Internet besteht lässt bei mir alle Alarmglocken klingeln.
Ich bin mir nicht sicher, ob das SIMIS D wirklich frei von Windows ist. Es gibt in der Stellwerkstechnik durchaus SIL4-zertifizierte Systeme, die mit einem System von zwei Rechnern arbeiten, wobei ein Rechner unter Windows, der zweite unter Linux läuft, und die Ergebnisse dann verglichen werden. Nur wenn beide Rechner zum selben Ergebnis kommen, wird ein Kommando umgesetzt.
Interessant ist in dem Zusammenhang allerdings, wie die "Firewall" funktioniert. Wenn die Schnittstelle zur Datenübergabe von Zuglaufinformationen über eine sogenannte "Datendiode" läuft, wird ein Hacker keine Möglichkeit haben, von dem Dispositionsnetz auf das sichere Netz durchzugreifen. Ich würde hier jedenfalls schon mit mehr Abschottung als einer gewöhnlichen Firewall rechnen. Größtes Risiko dürfte auch hier der Laptop von Technikern sein. Wäre mal interessant da genauer zu recherchieren, ob in der Fachpresse dazu was zu finden ist.
So wirklich spannend wird allerdings, was diese Virusepedemie für Folgen haben wird. Gerade im Bereich von industriellen Systemen ist ein regelmäßiges und vorallem auch zeitnahes Softwareupdate nur schwer bis gar nicht umsetzbar. Nehmen wir mal nur die Ebulasoftware - wie soll man in allen Zügen alle Ebulas innerhalb von ein bis zwei Tagen updaten? Eine neue Software kann hier nicht einfach so über Internet ausgerollt werden (schon alleine weil kein sinnvoller Internetzugriff besteht), aber auch ohne dieses Problem wäre ein automatisches Update ein großes Risiko, weil die Folgen bei einem gescheiterten Update massiv wären. Prinzipiell kann man über so ein Update eine komplette Flotte lahmlegen, wenn etwas schiefläuft.
Sehr wahrscheinlich muss ein Update des Ebula aber auch noch vom Eisenbahnbundesamt abgenommen werden - und spätestens wenn diese Voraussetzung noch dazu kommt, hat man mit einem zeitnahen Betriebssystemupdate kaum mehr eine Chance.
In meinen Augen ist eigentlich die einzige Möglichkeit die Systeme wesentlich strikter zu trennen, und auf alle Querverbindungen so weit wie möglich zu verzichten, oder wenigstens über Low-Level-Schnittstellen zu arbeiten. Die sicherheitsrelevanten Systeme müssen perfekt abgeschottet sein (und mit perfekt meine ich keine Firewall, die kann ja auch Sicherheitslücken haben), und für die nicht sicherheitsrelevanten reinen Komfortsysteme (die so geplant werden müssen, dass Softwareänderungen keine Zulassung brauchen) müssen dann tatsächlich reguläre Updates gefahren werden - das ist dann aber trotzdem noch ein großer Aufwand, der viel Geld kosten wird.
Letztendlich geht der Trend momentan auch immer mehr in diese Richtung.