[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[infowar.de] SQL-Slammer beeinträchtigte US-Kraftwerksteuerung
Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
http://www.heise.de/newsticker/data/ju-17.08.03-000/
SQL-Slammer beeinträchtigte US-Kraftwerksteuerung
Bereits im Januar hat es eine mehrere Stunden andauernde Störung des
primären Steuersystems von US-Stromkraftwerken durch eine Wurm-Attacke
gegeben. Das belegt ein Dokument des North American Electric Reliability
Council (NERC[1]).
Das NERC wurde 1968 als Reaktion auf den Stromausfall am 9.11.1965 in
New
York gegründet, um sicherzustellen, "dass das elektrische System in
Nordamerika verlässlich, ausreichend und sicher ist". Am 13. August --
also
am Tag vor dem großen Blackout -- verabschiedete es einen Standard für
Cyber Security[2] (Titel: "Urgent Action - Cyber Security"), der
dringenden
Handlungsbedarf für das US-amerikanische Stromversorgungssystem
attestiert.
In einem begleitenden Schreiben[3] bat Charles E. Noble (CISSP
Information
Security, ISO New England) die abstimmungsberechtigten Mitglieder um
Zustimmung zu dem Standardisierungsvorschlag und begründete dessen
Notwendigkeit mit dem Hinweis auf einen Störfall:
On January 25, 2003 the SQL Slammer Worm was released by an unknown
source. The worm significantly disrupted many Internet services for
several
hours. It also adversely affected the bulk electric system controls of
two
entities for several hours. These events have been studied in detail. No
unintentional control actions and nor service interruptions occured due
to
these events; however, both entities lost their ability to execute bulk
electric system control from their primary control centers for several
hours. Those who have studied these incidents believe that at least one
would have been prevented had these actions set forth in the proposed
standard been taken.
(Am 25. Januar 2003 wurde der SQL-Slammer-Wurm von einer unbekannten
Quelle freigesetzt. Der Wurm unterbrach viele Internet-Dienste für
mehrere
Stunden. Er beeinträchtigte außerdem für mehrere Stunden die
Stromnetz-Systemsteuerung von zwei Einheiten. Diese Vorfälle wurden
genau
untersucht. Es traten infolge dieser Ereignisse weder unbeabsichtigte
Steuerungsaktivitäten noch Dienstunterbrechungen auf; doch beide
Einheiten
verloren für mehrere Stunden die Fähigkeit, die
Stromnetz-Systemsteuerung
über ihre primären Kontrollzentren auszuführen. Diejenigen, die diese
Vorfälle untersucht haben, glauben, dass mindestens einer durch die im
Standard vorgeschlagenen Aktionen hätte verhindert werden können.)
Das Dokument belegt, dass die Steuerungssysteme für die Stromversorgung
in
den USA für Würmer und Viren anfällig sind, und liefert damit ein
weiteres
Indiz für die Vermutung, dass der Wurm W32.Blaster/LovSAN ein Teil der
Ursache für den jüngsten flächendeckenden Blackout[4] gewesen sein
könnte.
Nach bisherigen Verlautbarungen wurde dieser entweder durch den Ausfall
eines einzelnen Kraftwerks oder durch fehlerhafte Leitungen verursacht.
Dieses lokale Problem löste dann eine Art Domino-Effekt aus, in dessen
Folge sich viele andere Kraftwerke zum Schutz vor Überlastung
abschalteten.
Warum die Schutzmechanismen versagt haben, die eigentlich das
ursprünglich
betroffene Versorgungsgebiet vom Netz hätten abkoppeln müssen, ist noch
völlig unklar[5].
Offenbar hatte bereits der SQL-Slammer im Januar genau die Systeme lahm
gelegt, die in besonderen Netzlast-Situationen einen Domino-Effekt
verhindern sollen. Der Störfall blieb ohne Folgen, weil es damals keine
Lage gab, die den sofortigen Eingriff des Control-Centers erfordert
hätte.
Das NERC hält es jedoch für dringend erforderlich, Maßnahmen gegen eine
mögliche Wiederholung zu ergreifen.
Einen Zusammenhang zwischen W32.Blaster und dem großen Blackout[6], wie
ihn heise Security[7] als Möglichkeit zur Diskussion stellte, haben die
befragten Experten und Behörden umgehend verneint. So erklärte das
staatlich geförderte US-Institut für Internet-Sicherheit CERT/CC[8], es
gebe keinerlei Hinweise auf einen Zusammenhang mit einer Aktivität eines
wie auch immer gearteten Virus. Dabei wurde bereits 2001 in Workshops
des
CERT/CC[9] vor den Gefahren von Viren und Würmern für das Stromnetz
gewarnt[10]. Da das CERT/CC weder eine andere plausible Erklärung für
den
Domino-Effekt präsentiert noch in der kurzen Zeit eine vollständige
Untersuchung aller mit dem Netz des National Grid USA verbundenen
Systeme
durchführen konnte, sind die Angaben des CERT/CC vor[11] und nach dem
Ereignis kaum miteinander in Einklang zu bringen.
NERC-Präsident Michehl R. Gent hat versprochen[12], den Vorfall
rückhaltlos aufzuklären. Angesichts der Analysen seiner Experten darf
man
erwarten, dass bei seinen Untersuchungen zum Domino-Effekt ein
Zusammenhang
mit W32.Blaster/LovSAN jedenfalls nicht voreilig ausgeschlossen wird.
(ju[13]/c't)
Links in diesem Artikel:
[1] http://www.nerc.com/
[2] http://www.nerc.com/~filez/standards-cyber.html
[3]
ftp://ftp.nerc.com/pub/sys/all_updl/standards/Chuck-Noble-RBB-Letter.pdf
[4] http://www.heise.de/newsticker/data/jk-14.08.03-012/
[5] http://www.spiegel.de/netzwelt/technologie/0,1518,261620,00.html
[6] http://www.heise.de/security/news/meldung/39451
[7] http://www.heisec.de
[8] http://www.cert.org/
[9] http://www.cert.org/research/isw/isw2001/summary.html
[10]
http://www.cert.org/research/isw/isw2001/slides/IEEE-VancouverBC-3-19-02.pdf
[11]
http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/vulnerable/scada.html
[12]
http://abcnews.go.com/sections/us/GoodMorningAmerica/power_gent_nerc030815.html
[13] mailto:ju -!
- ct -
heise -
de
---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
de-request -!
- infopeace -
de mit "unsubscribe" im Text.