SCADA-Systeme und OS/2

[aschn]

Dies ist eine Fortsetzung der Diskussion im Thread Warpstock Europe 2019 in Utrecht - Zusammenfassung

In den Bereichen Prozess- und Gebäudeautomation gibt es noch etliche veraltete Systeme. OS/2 war früher dafür weit verbreitet, wegen des Multitaskings.

Riskantere, noch ältere Systeme gibt es aber auch noch. Häufig laufen solche Systeme heute virtualisiert oder teilvirtualisiert. Dann gilt auch "Security by Obcurity" nicht mehr. Die Hostsysteme sind nämlich extrem gefährdet.

Gründe für die noch nicht erfolgte Migration:

• Etliche Subsysteme (z.B. technische Anlagen) hängen damit zusammen. Ein sofortiger Austausch würde extrem hohe Kosten bedeuten. Außerdem lässt sich das organisatorisch und personell meist nicht schaffen.
• Die Erneuerung geht dann nur in kleineren Schritten. Bis alle Subsysteme erneuert sind, vergehen Jahrzente.
• Die Erneuerung wurde viel zu spät begonnen.
• Auch seitens der Hersteller wurden viel zu spät Ersatzlösungen angeboten. Häufig ist das Bewusstsein dafür auch bei den Herstellern und Dienstleistern noch nicht ausreichend vorhanden. Marge erreicht man am einfachsten über Teileverkauf. Der fällt nach erfolgter Havarie, wenn Komplettsysteme erneuert werden müssen, besser aus.

Gefahren:

• Alle Komponenten der IT veraltern immer schneller. Sie erfordern deshalb eine dementsprechend immer schnellere Erneuerung.
  Beispiel: Konfigurationsprogramm, das auf DOS oder Win16 läuft und direkt auf die serielle Schnittstelle zugreift. -> Dafür geht nur alte Hardware.
  Beispiel: Konfigurationsprogramm, das vom Hersteller nicht mehr unterstützt wird und deshalb auf den Notebooks der Dienstleistungsfirma nicht mehr installiert ist. -> Volles Risiko.
• Besonders bei der Sicherheit hat sich in den letzten Jahren und Jahrzehnten etliches getan. Ältere Systeme sind deshlb meist auch extrem gefährdet für Angriffe von außen. Auch das Trennen von SCADA-Netz und dem Rest birgt die Gefahr, dass über Datenaustausch mit anderen Systemen (z.B. Notebooks der Dienstleistungsfirmen) Schädlinge eindringen. Was noch vor 10 Jahren ziemlich gut funktioniert haben mag, ist heute unsicher. Heute ist die einzige Möglichkeit über ein Paket an Maßnahmen die Kompromittierung möglichst unwahrscheinlich zu machen.
• Fahrlässiges Verhalten und ungenügende Qualifikation der Betreiber und Dienstleister führen zu erhöhter Gefährdung.

Den Betreibern sind diese hohen Anforderungen selten bewusst. Die Mittel für deren Umsetzung fallen meistens viel zu gering aus. In der Gebäudeautomation ist es meist üblich Anlagen über die normale Lebensdauer von ca. 10 - 15 Jahren hinaus zu betreiben. Viele Anlagen laufen 30 Jahre und länger, ohne jegliche Unterstützung der Hersteller.

Das Fehlverhalten fällt meist erst nach einer Havarie auf und führt dann noch nicht einmal zu deutlichen Verhaltensänderungen. Einfacher ist es dann den Mangel zu vertuschen, Schuldige zu benennen oder den Tätigkeitsort zu wechseln.

Die Verantwortlichen müssten weitsichtiger handeln, um diesen Entwicklungen etwas entgegenzusetzen.

[ehemaliger]

Ältere Systeme sind deshlb meist auch extrem gefährdet für Angriffe von außen.

Absolut! Ich kenne hier ein Gebäude aus den 90ern, in dem ein Rechner unter OS-9 werkelt. Inzwischen virtualisiert, da keine für dieses System geeignete Hardware mehr zu bekommen ist. Nachdem es für DDoS-Attacken mißbraucht wurde, mußte es vom Internet genommen werden, was die Wartungsmöglichkeit von außen unmöglich macht. Der alte Betreiber sah aber nicht ein, Geld für ein Update in die Hand zu nehmen. Jetzt gibt es einen neuen und der steht der Sache aufgeschlossener gegenüber...

P.S.: Im Fall des OS/2-Systems ging es übrigens um die Protokollierung der Temperatur bei industriellen Wärmeöfen.

[ak120]

Ältere Systeme sind deshlb meist auch extrem gefährdet für Angriffe von außen.

Absolut! Ich kenne hier ein Gebäude aus den 90ern, in dem ein Rechner unter OS-9 werkelt. Inzwischen virtualisiert, da keine für dieses System geeignete Hardware mehr zu bekommen ist.

Das klingt nicht nachvollziehbar. Wie soll ein OS-9, welches auf 68k-Prozeßrechnern läuft, virtualisiert ablaufen können? Das würde zumindest die Verfügbarkeit von Hardware voraussetzen, auf der es auch nativ ablauffähig wäre. Bei OS-9000 wäre es weniger problematisch.

Nachdem es für DDoS-Attacken mißbraucht wurde, mußte es vom Internet genommen werden, was die Wartungsmöglichkeit von außen unmöglich macht. Der alte Betreiber sah aber nicht ein, Geld für ein Update in die Hand zu nehmen. Jetzt gibt es einen neuen und der steht der Sache aufgeschlossener gegenüber...

Der TCP/IP-Stapel ist aus einer frühen BSD abgeleitet, also mit allen Vor- und Nachteilen.

[aschn]

Wie soll ein OS-9, welches auf 68k-Prozeßrechnern läuft, virtualisiert ablaufen können?

Es geht. Ich hab ständig mit so einem PDP-11-Sytem zu tun, was wohl eine nochmal ganz andere Archtiktur ist. Gibt es nicht auch eine Atari-ST-Virtualisierung, die auch mit OS/2 funktioniert?

Anfangs wurde für so etwas die Teilvirtualisierung eingesetzt. Eine spezielle CPU (oder war es ein Mikrocontroler?) saß auf einer extra Karte. Treiber haben dafür gesorgt, dass ein Teil der Peripherie des Hostsystems durchgereicht wurde. Inzwischen gibt es für PDP-11 nur noch wenige Lösungen, die alle vollvirtualisiert funktionieren.

[aschn]

Nachdem es für DDoS-Attacken mißbraucht wurde, mußte es vom Internet genommen werden, was die Wartungsmöglichkeit von außen unmöglich macht.

VPN gilt noch als sicher.

[ehemaliger]

Das klingt nicht nachvollziehbar. Wie soll ein OS-9, welches auf 68k-Prozeßrechnern läuft

OS-9 gibt es für eine Vielzahl von Prozessorarchitekturen. Auch - wie in diesem Fall - für Intel.