Diskussion:Stuxnet/Archiv/1

Diese Seite ist ein Archiv abgeschlossener Diskussionen. Ihr Inhalt sollte daher nicht mehr verändert werden. Benutze bitte die aktuelle Diskussionsseite, auch um eine archivierte Diskussion weiterzuführen.

Um einen Abschnitt dieser Seite zu verlinken, klicke im Inhaltsverzeichnis auf den Abschnitt und kopiere dann Seitenname und Abschnittsüberschrift aus der Adresszeile deines Browsers, beispielsweise

[[Diskussion:Stuxnet/Archiv/1#Thema 1]]

oder als Weblink zur Verlinkung außerhalb der Wikipedia

https://de.wikipedia.org/wiki/Diskussion:Stuxnet/Archiv/1#Thema_1

Schon den Spiegel-Artikel gelesen?

Erst erklärte Iran, die Atomanlagen des Landes seien vom Computerwurm Stuxnet attackiert worden - jetzt folgt die Wende: Berichte über den Cyber-Angriff seien ein Propaganda-Trick des Westens, erklärte das Außenamt.

Müsste auch in einer Form in den Artikel. -- KurtR 17:31, 29. Sep. 2010 (CEST)

Vorsicht, auch ein Propagandatrick des Iran (es darf nicht sein, dass unsere überlegenen Rechner ...) möglich. Mal auf weitere Infos warten. Gruss Beademung

Noch ein Artikel auf spiegel.de:

Das erste iranische Atomkraftwerk sollte eigentlich im November ans Netz gehen. Doch nun verzögert sich die Inbetriebnahme der Anlage Buschehr um zwei bis drei Monate - möglicherweise eine Folge des Computerschädlings Stuxnet. -- KurtR 03:38, 30. Sep. 2010 (CEST)

Gerade schöne FAQ zum Thema gefunden:

Mikko Hyppönen: Stuxnet Questions and Answers. In: F-Secure - News from the Lab. 1. Oktober 2010, abgerufen am 1. Oktober 2010. 

--Eorhim 08:47, 1. Okt. 2010 (CEST)

Ein 3-seitiger Artikel auf Spiegel Online. Davon kann man sicher einiges gebrauchen.

Stuxnet ist angeblich die erste Software, die zur Sabotage von Industrieanlagen eingesetzt werden kann. Auf einer Konferenz in Vancouver zeigen Forscher nun erstmals, wie der Virus Maschinen manipuliert - und geben neue Hinweise auf das Ziel seiner Attacke. -- KurtR 14:08, 1. Okt. 2010 (CEST)Und der ursprüngliche Post

Im Artikel wird mal die Groß-, mal die Kleinschreibung verwendet. Bei einem Begriff sollte man nach meinem Verständnis von Großschreibung ausgehen. Teilweise gibt es aber auch deutsche Quellen, die konsequent die Kleinschreibung im Deutschen verwenden (siehe bspw. Einzelnachweis 1). Wie dem auch sei, auf was eignet man sich in der WP? -- GT-Schorsch 06:18, 2. Okt. 2010 (CEST)

Eine so fachfernes Blatt (FAZ, drittklassige Quelle) ist wohl keine Relevanz und (wohl) nur die FAZ schreibt dies so, selbst englischsprachige Allgemeinquellen und Fachquellen (Symantec, Computerworld) sowie Siemens, Heise etc. benutzen die korrekte Großschreibung. Es ist ein Eigenname mit Großschreibuing. --WikiMax - 13:45, 2. Okt. 2010 (CEST)

Muss dieser Abschnitt unbedingt sein? Fakt ist doch, dass zur Zeit niemand genau weiß, woher der Virus kam und was er für Ziele er hat. Indizien anzugegeben ist ja vollkommen ok, aber diese sollten doch zumindest einigermassen nachvollziehbar sein. Meinungen nicht näher genannter "Experten" ohne belastbare Belege haben meiner Ansicht nach in einer Enzyklopädie nichts verloren. Auch die genannten Quellen geben keine Belege für die Behauptung, sondern bleiben äußerst vage. Wäre dafür, den Abschnitt komplett zu löschen.--KMic 15:36, 2. Okt. 2010 (CEST)

Ich stimme Dir zu, dass der Abschnitt nur Vermutungen kolportiert. Ich bin ebenfalls dafür, ihn zu entfernen oder zumindest deutlich zu kürzen. Insbesondere den Zusammenhang mit dem Alten Testament und die daraus gezogenen Schlussfolgerungen halte ich für völlig übertrieben.

Darüber hinaus würde ich eine bessere Gliederung vorschlagen. Vielleicht ähnlich zu Code Red (Computerwurm):

1. Schadfunktion/Technik
2. Geschichte
3. Verursachter Schaden

--Eorhim 16:12, 2. Okt. 2010 (CEST)

Und noch eine VT. [1] -- Gruss Beademung 01:00, 3. Okt. 2010 (CEST)

Danke an Spitzl fürs Umschreiben/Ergänzen, viel besser so.--KMic 13:39, 3. Okt. 2010 (CEST)

spiegel.de:

Sabotage-Software trifft deutsche Unternehmen

Der Stuxnet-Virus hat deutsche Firmen befallen. Laut "Süddeutscher Zeitung" haben 15 Kunden von Siemens den Schädling in ihren Anlagen entdeckt. Der Konzern bemüht sich, seine Auftraggeber zu beruhigen - mittlerweile sei die Sicherheitslücke geschlossen.-- KurtR 08:41, 3. Okt. 2010 (CEST)

Wenn 30000 befallene iranische Rechner 60% aller befallenen Rechner sind, wie koennen dann in China Millionen Rechner befallen sein? (nicht signierter Beitrag von 129.132.4.154 (Diskussion) 03:27, 15. Okt. 2010 (CEST))

Vermutlich bezieht sich die 60.000 auf die Anzahl der infizierten Unternehmensrechner und das waren in China lediglich 1.000 Stück. Außerdem ist der Artikel, der die chnisischen Infektionszahlen veröffentlich später verfasst worden, so dass allein dadurch höhere Infektionszahlen vorliegen könnten. --Morgul 01:17, 24. Okt. 2010 (CEST)

Gibt es Berichte darüber, ob man mit einem solchen Virus ein Kernkraftwerk zur Kernschmelze bringen kann? Ich hoffe, die Abschaltmechanismen sind Hardwareseitig so integriert, dass sie nicht umgangen werden können.

In Tschernobyl kam es unter anderem zum Gau, weil Sicherheitsmechanismen deaktiviert waren. Ich weiß aber nicht, ob man daraus auch vernünftige Konsequenzen in anderen Kernkraftwerden gezogen hat. --Morgul 18:48, 1. Okt. 2010 (CEST)

Wie man den diversen Quellen entnehmen kann, ist Stuxnet eine targeted attack und auf eine spezifische Installation zugeschnitten. Wer auch immer den Wurm geschrieben/beauftragt hat, will sich sicherlich nicht den Zorn zuziehen, den ein dadurch verursachter GAU weltweit nach sich ziehen würde. Deswegen vermute ich, dass Stuxnet keinen GAU verursachen wird. Ein Programmierfehler und dadurch verursachte Schäden sind natürlich nicht auszuschließen, aber soweit ich gelesen habe, wurde vom Programmierer großer Wert darauf gelegt, nur die richtige Anlage zu erwischen.

Glücklicherweise mutieren Computerwürmer und -vieren nicht so wie echte Viren (z.B. horizontaler Gentransfer). Andernfalls hätten wir ein Problem. --Eorhim 09:57, 3. Okt. 2010 (CEST)

Es kommt sehr darauf an, wer Stuxnet Programmiert hat. Wenn z.B. die Israelis ihn programmiert haben, wäre ein geplanter SuperGau schon denkbar. Ich wollte aber eigentlich wissen, ob man beim Bau von Atomkraftwerken an solche Gefahren gedacht hat und Sicherheitsmechanismen daher Software-Fehler-Imun sind. --Morgul 01:00, 24. Okt. 2010 (CEST)

Als Fast-Nachbar? Hältst Du sie für so doof? Der Fallout macht an Grenzen schließlich nicht halt. Ich weiß zwar nicht, wie die vorherrschende Windrichtung in diesem Gebiet ist, aber wie man an Tschernobyl sehen konnte, kann es auch mal "die falsche" sein. Allerdings wurden ja Anlagen im Vorfeld und nicht das eigentliche Atomkraftwerk angegriffen.

Etwas anderes wäre es bei religösen/politischen Fanatikern. Denen sind in der Regel die Auswirkungen egal. Wir müssen hoffen, dass sie nie genügend Intelligenz und Geld zusammenbringen.

Zur eigentlichen Frage: Nach den Erzählungen mehrerer Freunde, die bei einem großen deutschen Elektrokonzern arbeiten, würde ich es mit Nein beantworten. Ich weise auch auf die Spekulation hin, dass durch den Computervirus Lovsan als Kollateralschaden Stromausfälle verursacht wurden. --Eorhim 13:05, 24. Okt. 2010 (CEST)

http://www.heise.de/newsticker/meldung/Symantec-Endlich-durchschauen-wir-Stuxnet-1136028.html (nicht signierter Beitrag von 194.138.39.62 (Diskussion) 11:36, 15. Nov. 2010 (CET))

und auch in der Neuen Zürcher Zeitung. Generator 18:23, 16. Nov. 2010 (CET)

Spiegel Online. -- KurtR 05:22, 17. Nov. 2010 (CET)

http://www.heise.de/newsticker/meldung/Experte-Stuxnet-hat-zwei-digitale-Sprengkoepfe-1137338.html --Kirschblut 06:07, 17. Nov. 2010 (CET)

Ich habe nicht die Info gefunden, wann und wie und von wem Stuxnet entdeckt wurde? Diese Info fände ich sehr wichtig/spannend, denn das ist doch DAS Thema bei einem derart aufwendigen Wurm - zu verhindern, daß er schnell entdeckt wird. Wenn er ansonsten so trickreich war, warum "versagte" er dann in diesem Punkt? -- Zopp 15:06, 16. Nov. 2010 (CET)

Schau mal ins Dossier, Kapitel Timeline. Dort kann auch erwähnt werden: 20. November 2008: "Trojan.Zlob variant found to be using the LNK vulnerability only later identified in Stuxnet." (ebd.) vgl. auch en:Zlob trojan. Steht auf meiner TODO-Liste. --grixlkraxl 18:47, 19. Nov. 2010 (CET)

September 2009 gab es massiv Störungen an der Urananreicherungsanlage Natanz, nur die Hälfte aller Zentrifugen waren in Betrieb, September 2010 war auch Buschehr infiziert. -- Gruss Beademung 20:49, 19. Nov. 2010 (CET)

Verstößt der Export von MS-Windows, bzw. von Leitsystemen gegen die Embargos der EU bzw USA??

http://www.bafa.de/ausfuhrkontrolle/de/arbeitshilfen/merkblaetter/merkblatt_iran.pdf (nicht signierter Beitrag von 78.51.206.9 (Diskussion) 00:57, 22. Nov. 2010 (CET))

Microsoft: Rekord-Patchday schließt Stuxnet-Lücken 88.207.255.17 10:21, 28. Nov. 2010 (CET)

Hab ich es überlesen oder fehlen in dem Artikel die Ausführungen über die eigentlichen Schadroutinen.

Meine Fragen:

• Welche Schäden richtet Stuxnet auf Step7 an?
• Welche Manipulationen führt Stuxnet an den Programmen für Step7 aus?
• Enthält Stuxnet Schadcode für die Windows Systeme?

Außerdem wäre interessant, welche Maßnahmen zur Säuberung nötig sind.

--65465798a4654954 11:32, 29. Nov. 2010 (CET)

Der Reihe nach: Installation eines rootkits in Windows, um sich unbemerkt weiterverbreiten zu können, ist doch schadcode genug, oder? (steht schon im Artikel). Die Beeinflussung von Step7-Projekten und das Kontrollieren der s7otbxdx.dll ist noch deutlicher darzustellen (Abschnitt WinCC-Software). Und last but not least, wie oben schon gesagt, die Darstellung der eigentlichen Schadroutinen in der SPS ist noch sehr lückenhaft. Bis einschließlich Abschnitt Verbreitung ist das W32.Stuxnet Dossier eine wahre Fundgrube jenseits aller Spekulationen. Es allerdings nicht einfach, diese über 60 englischen Seiten in etwa genauso viele deutsche Sätze zu fassen ...

Für die "Säuberungsmaßnahmen" verweise ich auf diverse Seiten von Microsoft und Siemens. <sarkasmus>Ich wünsche viel Vergnügen</sarkasmus>. Das ist für den Artikel übrigens nebensächlich. --grixlkraxl 13:01, 29. Nov. 2010 (CET)

Hallo Freunde, ich möchte Euch auf eine ausführliche 64-Seitige Dokumentation der Fa. Symantec aufmerksam machen, in der Stuxnet ausführlich beschrieben wird. Wenn ich Zeit habe, pflege ich die wichtigen Dinge in diesen Artikel ein. Eine super Quelle! http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf --TobiToaster 08:45, 17. Nov. 2010 (CET)

Interessant? heise.de: Experte: Stuxnet hat zwei "digitale Sprengköpfe" -- KurtR 19:51, 17. Nov. 2010 (CET)

@TobiToaster: Das "W32.Stuxnet Dossier" _ist_ die Grundlage der _gesicherten_ Erkenntnisse. Es begann mit Version 1.2. (vgl. Versionsgeschichte und oben ;-) Bis zum Abschnitt "Verbreitung" trägt das Dossier allemal.

@KurtR: Ja, ist zur Zeit nur rudimentär bei Stuxnet#Eingriff_in_die_SPS erwähnt, sozusagen "Dossier 1.2". Sobald die Technik klar ist, sollte der Abschnitt "Spekulationen ..." in Vermutungen über die Urheber und Ziele umbenannt werden. Dann aber mit Quellen, die die am 12. Nov. 2010 veröffentlichten Erkenntnisse berücksichtigen. --grixlkraxl 18:28, 19. Nov. 2010 (CET)

zu meiner Änderung [2]:

• "Vermutungen" ist weniger reißerisch, die technische Funtionsweise ist bekannt, für den Rest gilt Ockhams Rasiermesser
• "die Urheber": Offensichtlich wurde stuxnet von mehreren Leuten programmiert. Über ihre Hintermänner läßt sich nichts sagen, eine wesentliche Eigenschaft von Geheim-Operationen ist, daß sie geheim sind.
• "die Ziele": Über die Varianten A/B ist schon etwas bekannt (siehe weiter unten). Für die Variante C gilt "... more complex then sequences A or B. ... present in both variants, [but] should not be written onto a PLC because of an exception generated ... the code was not completed or it was partially commented out ..." (Dossier, p.37f)

--grixlkraxl 10:07, 30. Nov. 2010 (CET)

Ahmadinedschad räumte bei der Pressekonferenz zugleich ein, dass eine Attacke des Computervirus Stuxnet zu Problemen in einigen Atomanlagen des Landes geführt hatte. Der Virus habe bei Zentrifugen, die zur Uranreicherung eingesetzt würden, begrenzte Schäden angerichtet. Bislang hatte die Regierung in Teheran immer behauptet, Stuxnet habe für keinerlei Unregelmäßigkeiten gesorgt.

Quelle: Spiegel Online vom 29. November 2010: Anschläge auf Nuklear-Experte: Iran vermutet Israel und USA hinter Attentaten -- HAH 22:31, 29. Nov. 2010 (CET)

Endlich mal eine gute Nachricht. --Gary Dee 22:45, 29. Nov. 2010 (CET)

Vielleicht sollte man zusätzlich noch andere Quellen anschauen zum Ganzen, obs übereinstimmt. Auch englischsprachige. -- KurtR 23:49, 29. Nov. 2010 (CET)

1. Bei der "Federation Of American Scientists" http://www.fas.org gibt's ein PDF zum Thema "Will Iran Give Up Twenty Percent Enrichment?" ([3], 22. Juli 2010) und ein Bild [4] zu den installierten und betriebenen Zentrifugen von Nov 2008 bis Nov 2009. Den Artikel zum Bild hab ich aber noch nicht gefunden.
2. In den Stuxnet-Varianten A und B werden übrigens "frequency converter drives" (auch "variable frequencs drives") der Hersteller "Fararo Paya" (Iran) und und "Vacon" (Finnland) Typ "Vacon NX fequency converter drive" angesteuert.

Wie werden solche Bauteile auf Deutsch bezeichnet? --grixlkraxl 09:47, 30. Nov. 2010 (CET)

Spontan hätte ich "Frequenzumrichter" gesagt und Leo stimmt mir zu.--Eorhim 08:08, 1. Dez. 2010 (CET)

Was mir hier fehlt und was ich auch sonst nicht finden kann ist eine Namenserklärung: wieso heisst der Wurm "Stuxnet" --188.23.216.48 21:46, 23. Nov. 2010 (CET)

Tja, weil das ein wohl TOP-SECRET Project ist. Wenn das jemand wüsste....würde er wohl nicht mehr lange leben...Schade. --Gary Dee 22:07, 23. Nov. 2010 (CET)

Witzigkeit kennt keine Grenzen... Der Name scheint wohl von Fragmenten aus dem Sourcecode abgeleitet zu sein. Siehe hier!--Meinungsfreiheit 22:38, 3. Dez. 2010 (CET)

Ich bin zwar grundsätzlich ein großer Fan von Bebilderung aber diese Darstellung ist einfach nur mehr falsch.

1. In bit-reihen steht nicht plötzlich ein Text drinnen (und schon gar nicht auf arabisch? persisch?)
2. Die 0er und 1er sind einfach nur zufällig angereiht.
3. Bin mir nicht sicher aber von wo kommt der Name Stuxnet? Oft steht ja ein Name im Programmcode der dann verwendet wird. Aber in dem Fall bezweifle ich es mal.

Kurz: Das Bild zeigt keine Sinnbildliche Darstellung von Stuxnet sondern einfach nur schräggeschriebene 0er und 1er und dazwischen in anderer Farbe den Namen Stuxnet und etwas in einer fremden Schrift. Generator 18:46, 3. Dez. 2010 (CET)

Ich sagte ja schon mal, wem es nicht passt, soll es entfernen. Gruss (Und keine beleidigte Leberwurst) :D --Gary Dee 19:10, 3. Dez. 2010 (CET)

ok...ich warte dann mal noch ein paar Tage und wenn sich bis dahin niemand meldet schmeiß ich es raus. Generator 19:23, 3. Dez. 2010 (CET)

Erledigt, vergleiche Diskussion hier.--Meinungsfreiheit 22:41, 3. Dez. 2010 (CET)

Wäre es nicht sinnvoll einen Archivbot hier auf der Disk einzuführen, ich denke dass diese Seite zukünftig wachsen wird ? --Gary Dee 19:10, 3. Dez. 2010 (CET)

Die Diskussion wird sich vedrmutlich in ein, zwei Monaten beruhigen. Dann kann man einmal manuell ein Archiv anlegen. --Eorhim 12:46, 5. Dez. 2010 (CET)

Was bedeutet "Command- und Control-Struktur"? --Flogger 14:56, 29. Dez. 2010 (CET)

Diese Zwischenüberschrift war eine "Verlegensheitslösung" meinerseits. Wie (hoffentlich;-) im Textabschnitt deutlich wird, ist das Verfahren ähnlich (aber nicht gleich!) wie es in Botnet#Command and Control Technologien beschrieben ist. Kernpunkt ist, daß sich stuxnet selbsttätig auf eine neuere Version updaten kann und zusätzlich Informationen über jede Infektion nach aussen weitergibt, falls es möglich ist.

Als Alternative hatte ich mir auch "Eigene Konfiguration" o.s.ä. überlegt, aber das trifft den Netzwerkcharakter mMn nicht so gut. --grixlkraxl 16:13, 29. Dez. 2010 (CET)

Ich habe mal versucht, es umzuformulieren. Gruß --Flogger 17:06, 29. Dez. 2010 (CET)

hier mal weitere links zum schökern. Wenn sie relevant genug sind, kann die ja noch einer in den Artikel einbauen.

http://www.faz.net/-01iqfr http://www.wired.com/threatlevel/2010/11/stuxnet-clues/ (nicht signierter Beitrag von 92.201.63.221 (Diskussion) 23:28, 15. Nov. 2010 (CET))

--Morgul 21:58, 13. Okt. 2010 (CEST)

"schäkern" oder "schmökern", was wohl gemeint ist? Ich komm nicht darauf. ;-) --Eorhim 07:30, 14. Okt. 2010 (CEST)

es ist schmökern ;-) --Morgul 22:10, 14. Okt. 2010 (CEST)

Stuxnet eats LEU .....another major goal of the attack seems to be the reduction of LEU (= Low Enriched Uranium) output. http://www.langner.com/en/2011/01/05/stuxnet-eats-leu/ (nicht signierter Beitrag von 84.60.16.173 (Diskussion) 16:12, 5. Jan. 2011 (CET))

Inzwischen habe ich einiges über das Stuxnet-Teil, darunter auch sehr seltsames Zeug, gelesen. Gerade der technische Hintergrund (= das bisher bekannte) ist im Symantec-Dossier plausibel dargestellt. Leider muß ich gerade die Überarbeitung der Infektionsgeschichte unterbrechen. --grixlkraxl 18:12, 9. Nov. 2010 (CET)

Puuh, ich habe den Aufwand deutlich unterschätzt, das Funktionsprinzip kurz und laientauglich darzustellen. Ich bin gerade beim USB-Port. Es ist noch ein weiter Weg bis zur SPS-CPU ;-) --grixlkraxl 00:33, 10. Nov. 2010 (CET)

Ein Nachtrag im Hinblick auf das kommende Wochenende, ich bin _sehr unzufrieden_ damit, aktuell eine Baustelle hinterlassen zu haben! Der Initialvektor betrifft aber alle aufgeführten Windows-Version, was wiederum die große Verbreitung von Stuxnet inklusive der "Kollateralschäden" erklärt:

• Benutzung von Autorun is a feature not a bug: zur Aktivierung des Wurms brauchts zwei Mausklicks, 1x rechts fürs's Kontext-Menü, dann 1x links für "open" (was "execute" bedeutet)
• für "Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability " (einstecken eines USB-Sticks) gibt es inzwischen einen Patch, außerdem
• "Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability"
• "Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability"
• Copies and executes itself on remote computers through network shares
• other two are escalation of privilege vulnerabilities

Wie gesagt, allein das betrifft sehr viele ... --grixlkraxl 16:09, 11. Nov. 2010 (CET)

Nachtrag: Ich bereite eine Überarbeitung von Stuxnet#Betriebssystem-Ebene (obige Punkte) in meinem BNR vor. Meine folgenden Arbeitshinweise habe ich rausgenommen, um die nachfolgenden Abschnitte nicht "schlechter als vorher" zu machen. Mir ist wichtig, daß die von den Kollegen eingefügten Einzelreferenzen nicht verloren gehen. --grixlkraxl 19:22, 11. Nov. 2010 (CET)

So, soweit ist jetzt auf Betriebssystem-Ebene alles klar, hoffe ich zumindest. Richtig interessant werden ja erst die nächsten drei Abschnitte WinCC, SPS, Command und Control. Gerade letzteres liefert Hinweise zur Verbreitung und welche Systeme betroffen waren oder sind. --grixlkraxl 18:03, 19. Nov. 2010 (CET)

Meines Erachtens fehlt nicht mehr viel zu "lesenswert". Tolle Arbeit! Insbesondere sind die Spekulationen sehr schoen versachlicht. Heise hat übrigens eine Meta-Seite zum Thema eingerichtet. Vielleicht hilft es bei der Recherche. --Eorhim 18:23, 26. Nov. 2010 (CET)

So, die Kopplung zur SPS steht, kommen wir zur "Liste der Anweisungen". Aber vielleicht möchte jemand vorher eine Grafik beisteuern: vgl. Dossier, Fig. 18 "Step7 and PCL communicating vie s7otbxdx.dll" und Fig.19 "Communication with malicious version of s7otbxdx.dll". Das wäre mal eine Auflockerung im Text. --grixlkraxl 13:35, 30. Nov. 2010 (CET)

Erstmal danke für den Zuspruch (besonders CennoxX und Eorhim), so fällt das Weitermachen leichter. Aktuell fehlt noch was zu "command und control" und zur "Verbreitung". Für den SPS-Rootkit habe ich jetzt mal Grafiken gebastelt und eingebaut.

Noch was zur "Sinnbildlichen Darstellung von Stuxnet"[5]: Mir fällt dazu ein "Und allegorisch wie die Lumpen sind, / Sie werden umso mehr behagen." so zitiert "Deutobold Symbolizetti Allegoriowitsch Mystifizinsky" alias Friedrich Theodor Vischer im Faust III Verse aus Faust II. Damit will ich meine Zweifel an der Eignung von File:Stuxnet.jpg ausdrücken. Was soll eine "künstlerische Interpretation" in der Artikeleinleitung? Ist die Übersetzung von stuxnet nach Farsi überhaupt richtig? --grixlkraxl 13:59, 2. Dez. 2010 (CET)

Na dann entferne es, wenn du nur mit den deinigen glaubst deinen persönlichen Stempel aufzudrücken, dann mach doch. Erinnert mich ein wenig an den Hund heut morgen, der beim Laternenmast halt machte... Mir ging es lediglich auch darum dem Artikel einen Farbtupfer aufzutragen, sichtlich. Aber deine Zitierungen und Vergleiche aus 1700 im Schlamm, sind erstens nicht vergleichbar, und noch schlimmer unzutreffend. MfG --Gary Dee 14:09, 2. Dez. 2010 (CET)

@Gary Dee: Jetzt sei doch nicht gleich beleidigt, it's a wiki, von wegen "mein" Artikel" :-) Hab' ich dich ein einziges Mal revertiert? Der "Farbtupfer" ist schon ok, ich wüßte nur gern, ob oder was dieses <selbstironie>seltsame Gekrixel</selbstironie> bedeutet. Und ja, ich finde es gut, daß du mir hinterherschaust. --grixlkraxl 15:23, 2. Dez. 2010 (CET)

Nachtrag: Ich hab dem Ersteller mal eine Nachricht zukommen lassen, commons:User talk:Makki98#Please link images, weil ich Arabisch nicht von Farsi unterscheiden kann. --grixlkraxl 16:27, 2. Dez. 2010 (CET)

Moin :). Sorry, ist schon ok. Wie gesagt, weil ich den Artikel mitverfolge, und ihn ein wenig trocken fand und ihn aufhellen wollt. Wenn aber Probleme in irgenwelcher Hinsicht mit dem Bild besteht, gehört er selbstverständlich raus. Lass mich bitte wissen was der Autor dir mitgeteilt hat, wenn er eine Antwort gibt. ;) Gruss --Gary Dee 16:56, 2. Dez. 2010 (CET)

Hey, finde das Bild auch unpassend. ist halt nicht mehr als ein Schriftzug. wenn man bebildern will, sollte man lieber passende Bilder einfügen. hab mal n bisschen gesucht: Siemens Simatic S7

, die Bilder einer Atomanlage oder ein Bild des iranischen Atomprogramms

(nicht signierter Beitrag von 91.14.169.62 (Diskussion) 16:26, 2. Dez. 2010)

»ستوکسنِت« ist nur die Schreibweise von »Stuksnet« mit arabischen Buchstaben. Und wie normalerweise üblich, wurde der e-Hilfsstrich nicht geschrieben. ich hätte es zwar »ستوجنِت« geschrieben, aber ein Muttersprachler weiß es sicher besser als ich, wie die transliteration von x ist. :-)

Hm, vielleicht finde ich am WE ein bisschen Zeit, mitzuschreiben. Ich würde gerne die ganzen Referenzeinträge am Artikelende sammeln (die <ref></ref> und mit <ref name=""/> referenzieren). Spricht etwas dagegen? --Eorhim 20:35, 2. Dez. 2010 (CET)

(reinquetch)@Eorhim: Nein, da spricht nix dagegen. Im Vergleich zu Anfang Okt. hat sich die Beleglage deutlich geändert. Besser aber in neuem Abschnitt weiter. --grixlkraxl 18:29, 3. Dez. 2010 (CET)

Ich kannte bisher zumindest keine sinnbildlichen Darstellungen zur farbigen Aufheiterung in Wikipedia-Artikeln ohne weiteren Informationswert! Die Siemens Anlage und Konsorten, ist da sicher besser geeignet.--Meinungsfreiheit 15:50, 3. Dez. 2010 (CET)

Gestern abend habe ich das Thema bei einem "nur Leser" zur Sprache gebracht, soz. eine dritte Meinung eingeholt. Mal davon abgesehen, daß meine Äußerung von oben als "ziemlich heftig" bewertet wurde :-( war beim Probanten der optische Eindruck positiv: Das Bild illustriert den Artikel analog zu einem Buchumschlag oder CD-Cover. Angesichts des inzwischen eingefügten "schwarzen Blocks" der S7-300 kann ich mich dem nur anschliessen, manche Leser lassen sich manchmal von trockenen technischen Themen abschrecken. Ich jedenfalls werde das Bild nicht entfernen. --grixlkraxl 16:36, 3. Dez. 2010 (CET)

Das Bild ist anscheinend nur zur Zierde und daher gemäß Richtlinie nicht geeignet. Ich habe es deshalb entfernt.--Meinungsfreiheit 22:07, 3. Dez. 2010 (CET)

Die Lücken in Windows sind inzwischen alle geschlossen, wie man hier ( http://www.heise.de/security/meldung/Microsoft-schliesst-IE-und-Stuxnet-Luecken-1153068.html ) nachlesen kann. Ich würde deshalb vorschlagen, den Satz "Dazu wurden mehrere bisher ungepatchte Sicherheitslücken in Windows verwendet" umzuändern in "Dazu wurden mehrere inzwischen geschlossene Sicherheitslücken in Windows verwendet". Der Satz "Für die letztere Sicherheitslücke liegt noch kein Patch vor." (nach "Lücke im Task-Scheduler") kann ersatzlos gestrichen werden, auch der referenzierten Link (17) wird soweit ich gesehen hab sonst nirgends mehr verwendet. (nicht signierter Beitrag von 84.156.67.229 (Diskussion) 03:03, 27. Dez. 2010 (CET))

Es wäre schön, tatsächlich auf die Microseiten zu den Patches zu verlinken, ms-10-073[6] und ms10-092[7]. Dort steht nähmlich, das Windows Server 2008 R2 sehr wohl betroffen ist. Außerdem steht im Dossier, Seite 12 unten "Stuxnet will only run on the following operating systems: ... Windows 7, Windows Server 2008 R2. If it is not running on one of these operating systems it will exit." Ich bitte nachdrücklich darum, von solchen Änderungen abzusehen. Genau das ist eben nicht der Fall. --grixlkraxl 18:57, 1. Jan. 2011 (CET)

Das ist ein Fehler im Dossier, einen Absatz drüber steht das der Virus überprüft ob es sich um ein 64-Bit System handelt. Sollte dies zutreffen so beendet sich der Thread. Da Windows 2008 R2 nur ein reines 64-Bit Betriebssystem ist fällt dieses natürlich komplett raus. Ich denke der Fehler hat sich eingeschlichen da Windows 7 und 2008 R2 auf dem gleichen Kernel bassieren. Natürlich kann 2008 R2 auch 32-Bit Software ausführen. Jedoch bassiert der Virus ja auf Treibern die in das System eingeschleust werden müssen. Hier kann man natürlich dann keine 32-Bit Treiber nutzen. (nicht signierter Beitrag von 82.149.182.93 (Diskussion) 21:27, 1. Jan. 2011 (CET))

Eins drüber stehen die Links zum deutschsprachigen(!) Microsoft Security Bulletin MS10-073 und MS10-092. In beiden wird Server 2008 R2 unter "Betroffene Software" aufgeführt. Gleichlautend MS10-048 vom 10. August 2010: "Sicherheitsanfälligkeiten in Windows-Kernelmodustreibern können Erhöhung von Berechtigungen ermöglichen". Also nochmal: es waren zero day exploits, Microsoft hat Monate gebraucht, diese zu fixen. Jetzt aus einem (notwendigerweise vereinfachten) Struktogramm das Gegenteil ("ist doch 64bit also nicht 32bit") ableiten zu wollen., ist schon sehr weit hergeholt. --grixlkraxl 22:03, 1. Jan. 2011 (CET)

Ja aber dies beschreibt die Sicherheitslücken und nicht den Virus. Die Lücken existierten auch unter 64-Bit Systemen. Das bestreitet auch niemand. Aber trotztem wurde kein 64 Bit System befallen. Wenn das unbedingt erwähnt werden muss dann doch in einem extra Artikel für diese Sicherheitslücke (Ja wäre idiotisch) aber nicht in diesem Artikel. Denn der Virus lief schlichtweg nicht unter einem 64-Bit System, bzw. er lief schon aktivierte sich jedoch nicht. Mein Problem ist einfach das sich der Artikel so ließt als wären auch 2008 R2 Systeme befallen gewesen. Aber dies stimmt schlichtweg nicht. Deswegen halte ich die erwähnung von 2008 R2 einfach für Überflüssig. Ob die ausgenutzte Sicherheitslücke nun auch unter 2008 R2 funktionierte ist zwar unschön aber in diesem Artikel nicht von Interesse. (nicht signierter Beitrag von 89.166.144.144 (Diskussion) 02:00, 3. Jan. 2011 (CET))

Da liegt anscheinend immer noch ein Verständnisproblem vor: Stuxnet musste sozusagen "verschiedene Stufen" überwinden, um sein Ziel zu erreichen. Vom "beabsichtigten Ende her" waren genau die SPSen von ein bis drei eindeutig bestimmten Anlagen das Ziel von Stuxnet. Genau dafür gab es die Varianten A/B/C. Vorher musste aber das "richtige" Field-PG infiziert werden, und zwar eines, das zur Wartung genau dieser Zielanlagen verwendet wurde. Ein solches PG ist erreichbar, sobald es im Intranet der Software-Entwicklungsabteilung vernetzt wird. Deswegen die Infektion der Step7-Projekte. Diese wiederum werden erst dann erreicht, wenn möglichst jede "übliche Version" jedes Betriebssystems "in der Nähe" infizierbar ist. Und was spricht dagegen, daß eine Entwicklungsfirma ihre Step7-Projekte nicht auf einem "Windows Server 2008 R2" verwaltet?

Wenn initial tatsächlich ein USB-Stick ausreichend für die Infektion war (für diese These spricht einiges), waren im nächste Schritt die Windowssysteme in allen aufgeführten Varianten dran. So erklärt sich auch das Ausmaß der Kollateralschäden, die schließlich zur Entdeckung von Stuxnet führten.

Darum wird Server 2008 R2 auch als betroffenes System aufgeführt: Es läßt sich nicht ausschliessen, daß die ersten Infektionsschritte von Stuxnet auch über Privileg-Eskalation bei Network-Shares, Druckspooler etc solcher Server geschehen sind. Eine solche Möglichkeit wird weder von Symantec noch Microsoft explizit ausgeschlossen.

Zugegebenermaßen könnte der Satz "danach prüft er auf ein passendes 32-Bit-System" im Sinne von "64-bit Systeme trugen keinesfalls zur Verbereitung bei" mißverstanden werden. Aber andererseits: Warum soll im Artikel über diesen Aspekt soviel Text wie hier stehen?

--grixlkraxl 13:41, 7. Jan. 2011 (CET)

Es wird geschätzt das 10%, etwa 1000 Zentrifugen der Anlage zerstört wurden.

vielleicht kann das noch jmnd einbauen? [8] --CennoxX 00:05, 11. Jan. 2011 (CET)

Interessante Reportage: Web-Adresse nach Hackerangriffen gesperrt (nicht signierter Beitrag von Gary Dee (Diskussion | Beiträge) 17:25, 3. Dez. 2010 --grixlkraxl 18:21, 3. Dez. 2010 (CET))

Hinweis, weil es auch diesen Artikel hier betrifft: Artikel von sueddeutsche.de sind nach einer gewissen Zeit nur mehr kostenpflichtig abrufbar! Das spricht zwar nicht gegen die SZ als gültige Einzelreferenz, man sollte sich aber rechtzeitig eine eigene Kopie zum Nachschauen ziehen, um den Gang in die Bibliothek zu vermeiden. Konkret habe ich das Problem bei <ref name="SZ_PaulAntonKrueger_2010-10-02" />: Es ist nicht zu entscheiden, was vor zwei Monaten noch "könnte", "soll", "vermutlich" war, aber inzwischen durch Peer-Review gesicherte Erkenntnis.

Weil von "Cyberschlacht" die Rede ist: Ich halte den Abschnitt "Siehe auch" als Assoziationsblaster für komplett entbehrlich und werde ihn entfernen, sobald ich mit der technischen Beschreibung fertig bin. Dort fehlt noch was zur zeitlichen und räumlichen Verteilung von stuxnet. Unter "Stuxnet#Vermutungen ..." wären ein oder zwei belegte(!) Sätze zu Cyberwar schon drin.

Und noch ein Hinweis in eigener Sache: Fühlt sich jemand berufen, mal das Dossier zu lesen und die Zusammenfassung hier zu kontrollieren? --grixlkraxl 18:21, 3. Dez. 2010 (CET)

Also, du bist hier derjenige mit der grössten Fachkompetenz des Artikels, seh ich mal so. Und wenn jemand das kontrollieren soll, müsste er mit dir auf einem Level stehen oder höher. Dazu gehöre ich momentan noch nicht :) Bin aber sicher dass sich jemand finden wird. Gruss --Gary Dee 18:37, 3. Dez. 2010 (CET)

Ich meine daß der Satz "Laut geheimen Dokumenten, die über die Internetplattform WikiLeaks an die Öffentlichkeit gebracht wurden, gab es in Natanz im Jahr 2009 einen nuklearen Störfall, der die Produktionskapazität der Anlage um 15 Prozent reduzierte.^[1]" gelöscht werden sollte: - es hat nie Dokumente oder Quellen gegeben - reines Hörensagen. Ich bin aber noch nicht solange dabei daß ich das selbst löschen möchte.--Toytoy 12:30, 16. Jan. 2011 (CET) Vergleich mit en.Wikipedia: ebenso unter Vorbehalt. Daher Satz gerade gelöscht.--Toytoy 16:01, 16. Jan. 2011 (CET) Die Löschung ist gerade rückgängig gemacht worden. Zur Klarstellung: ich habe nichts gegen Wikileaks, aber weder hat es jemals ein Leak gegeben noch ist ein Quelle genannt worden. So ist das Stammtisch und zwar seit Juni 2009!--Toytoy 17:11, 16. Jan. 2011 (CET)

Einzelnachweise

1. ↑ Serious nuclear accident may lay behind Iranian nuke chief%27s mystery resignation. wikileaks, abgerufen am 29. Dezember 2010. {{Dead link|date=December 2010}}

Absatz 1 " Die Beurteilungen basieren daher teilweise auf Interpretationen, da weder der Quelltext noch Ziele oder Autoren bekannt sind." Dieser Satz ist seit heute dann wohl eher Geschichte: http://web.de/magazine/digitale-welt/sicher-im-netz/12158882-stuxnet-code-in-freier-wildbahn.html#.A1000109 http://www.spiegel.de/netzwelt/web/0,1518,745347,00.html

Ausserdem ist "mindestens sechs Monate, der Personalaufwand auf mindestens fünf bis zehn Haupt-Entwickler sowie zusätzliches Personal für Qualitätssicherung und Management geschätzt." eine sehr seichte Vermutung Begründung: 1. Theoretisch könnten das 2 Spezialisten zusammen geschrieben haben - die Zahlen wirken aus der Luft gegriffen. 2. SPS veränderte sich in den letzten Jahren sehr wenig daher wäre auch eine langfristige Entwicklung möglich gewesen. 3. Die Teile des Codes (ref. oben) geben gefestigt Auskunft, dass einige Teile von Stuxnet eigentlich keine Kunst sind sondern eher Pfusch und aus bereits bekanntem Material geschrieben wurden - Stichworte: Wiederverwertbarkeit und Objektorientierung. (nicht signierter Beitrag von Benutzername/62.153.157.51 (Diskussion | Beiträge) 13:01, 14. Feb. 2011 (CET))

Wie im Dossier von Symantec angegeben, kontaktierte Stuxnet die Domains www.mypremierfutbol.com und www.todaysfutbol.com per GET index.php?data=[DATA]. Diese waren auf Andy Ruane (Commercial Projects Director at Serco Education and Children's Services) angemeldet.

Die Firma Serco ist hier bei Wikipedia (vermutlich aus gutem Grund) nur sehr lasch beschrieben.

Hier ist eine Zusammenfassung, man kann die dort gemachten Angaben auch selbst leicht überprüfen: http://www.abovetopsecret.com/forum/thread615788/pg1

Ein guter Videobeitrag auf Youtube zu Serco: http://www.youtube.com/watch?v=vyFkXmx8gxc Und auch Serco selbst macht keinen Hehl daraus, welche Aufgaben sie wirklich verfolgen: http://www.youtube.com/watch?v=jo4_dF_Z1q0

Es wäre klasse, wenn das jemand mal entsprechend aktualisieren würde.

-- Genius777 17:35, 26. Feb. 2011 (CET)

Mal davon abgesehen, daß die Videos keine Belege sind, braucht es für "selbst leicht nachprüfbar" (so Genius777) etwas mehr als einen(!) Beitrag in einem(!) Forum über "general conspiracies": Am "30-9-2010 @ 11:11 PM" stellt ein User "JBA2848" eine Verbindung zwischen den Domains mypremierfutbol.com und www.todaysfutbol.com mit der IP-Adresse 193.95.161.220 her und personalisiert die IP-Adresse dann. Diese Verbindung könnte(!) existiert haben oder aber auch nicht! Was läßt sich also "leicht" nachprüfen? Einfach ist nslookup und whois ... diese Idee hatte ich Anfang Nov 2010 auch schon, war aber wohl zu spät :-( Heute stellt sich die Situation so dar:

1. "whois 193.95.161.220" liefert das behauptete:

% This is the RIPE Database query service.
inetnum:      193.95.161.216 - 193.95.161.223
netname:      ANNER-NET
person:       Andy Ruane
... usw.

2. "nslookup 193.95.161.220" liefert heute (das mag am 30. September 2010 anders gewesen sein)

** server can't find 220.161.95.193.in-addr.arpa.: NXDOMAIN

3. Andersrum gesehen, also irgendwer (z.B. ich)oder -was (z.B. stuxnet) frägt nach der passenden IP-Adresse. Also "nslookup mypremierfutbol.com" oder "nslookup todaysfutbol.com":

Non-authoritative answer:
Name:	mypremierfutbol.com
Address: 72.167.202.5

4. Mit "whois 72.167.202.5" kommt man zum derzeitigen Domain-Name-Registrar. Selbst wenn ich noch die Werte von Anfang November 2010 hätte, wären diese original research.

5. Ach ja, mit "whois mypremierfutbol.com" und "whois todaysfutbol.com" (oder eben http://www.internic.net/whois.html) findet man "creation dates" von 2008 und 2009, "updated dates" von 25-dec-2010 und 17-jan-2011.

Zusammenfassung:

Damit ist klar, daß sich der behauptete Zusammenhang zwischen (1) Serco und den stuxnet log domains (3) zwar behaupten, aber nicht "selbst leicht überprüfen" lässt.

Vielleicht hätte ich mir die Mühe auch sparen können und bin selbst einer Verschwörung aufgesessen ... --grixlkraxl 20:04, 26. Feb. 2011 (CET)

"Stuxnet: Zero Victims The identity of the companies targeted by the first known cyber-weapon"

https://securelist.com/analysis/publications/67483/stuxnet-zero-victims/

--2A02:810D:8840:5BC:FE:B5FE:E745:9E42 18:43, 11. Nov. 2014 (CET)

Deutschprachiger Artikel dazu: [9]. --KurtR (Diskussion) 02:01, 14. Nov. 2014 (CET)