Home

Home | Know-How | Portfolio | Presse | News | Sicherheits-Meldungen | Links | Kontakt | Impressum
 
Beschreibung Details
   
DIAdem v8 - Abschlußbericht

Derzeit ist eine Anschaffung des Softwarepaketes DIAdem v8 nicht geplant. Die Aussagen von National Instruments lassen folgende Auslegung zu:

- DIAdem v8 betreibt die VBS-Engine in einer Art 'Sandbox', die vom Grundprinzip auch von Java her bekannt ist. Es sind angeblich keine Durchgriffe auf die System-Registry möglich. Eine direkte Einbindung von VBS-Dateien in Form einer Registrierung entsprechender Dateitypen ist nicht möglich.

Hierauf basierend formulieren wir unsere Empfehlung zur Nutzung von DIAdem v8 wie folgt:

- Wenn möglich, sollte die integrierte VBS-Engine nicht installiert oder genutzt werden
- DIAdem v8 sollte nur unter User-Accounts mit eingeschränkten Rechten genutzt werden
- Eine Vernetzung von DIAdem-PC's sollte nur unter Berücksichtung eines erhöhten Schutzbedarfes des LANs realisiert werden

DIAdem v8 - Update vom 21. Dezember 2001 Nachdem keine neuen Erkenntnisse (außer den Beteuerung der Sicherheit) von National Instruments an uns per Mail übermittelt wurden und eine tiefgreifende Untersuchung nicht beauftragt ist, wird dieser Fall geschlossen. Die (nicht untermauerten) Aussagen von National Instruments zur Sicherheit der VBS-Engine in DIAdem v8 haben wir in unserem Abschlußbericht (s.o.) zusammengefasst.
DIAdem v8 - Update vom 7. Dezember 2001

Wir haben (nach etwa 22 Tagen) eine Mail von National Instruments (Germany) erhalten.

Im wesentlichen wird darin mitgeteilt, daß "sämtliche Vermutungen unhaltbar sind". Einen Abdruck dieser Mail sowie unsere Reaktion darauf lesen Sie hier.

In unserer Antwort haben wir bis 12. Dezember 2001 um Detailinformationen gebeten.

DIAdem v8 (30. November 2001)

Wir untersuchen im Auftrag eines Entwicklungsdienstleisters für die Automobilindustrie vorab die Software 'DIAdem v8' von National Instruments. Diese Software dient sowohl zur Erfassung und Auswertung von Meßdaten wie auch zur Ansteuerung von Motoren bzw. Aktoren bis hin zur Steuerung von Geräten und Anlagen in Echtzeitanwendungen.

Beschreibung der möglichen Sicherheitslücke(n)

Vorwort: Sämtliche Information wird ohne Anspruch auf Vollständigkeit oder Richtigkeit gegeben. Es ist möglich, daß beschriebene mögliche Fehlerquellen später behoben werden.

DIAdem bietet in der Version v8 die Möglichkeit, Prozesse der Meßwerterfassung und Gerätesteuerung automatisch ablaufen zu lassen. Hierzu wird ab v8 auch Visual Basic Scripting verwendet, das in DIAdem als eigene VBS-Engine, unabhängig von der evtl. durch das Betriebssystem bereitgestellten, implementiert ist.

Wer sich noch an den sog 'I-love-You'-Virus und dessen Grundlagen erinnert, weiß bereits, welche Auswirkungen möglich sind.

Die vorliegenden Informationen lassen folgende Schlüsse zu:


- Es sind keine Vorkehrung in DIAdem v8 getroffen worden, um bösartigen VBS-Code an der Ausführung zu hindern

- Es ist nicht möglich, die VBS-Engine zu deaktivieren oder deinstallieren und die aus der Vorgängerversion übernommenen AUT-Sequenzen alleine zu nutzen

- Es kann möglich sein, daß bestimmte VBS-Sequenzen nicht nur DIAdem v8, sondern auch die System-Registry verändern

- Es ist vermutlich möglich, daß DIAdem v8 durch VBS-Viren veranlasst werden kann:
A) diesen Virus eigenständig (ohne Unterstützung durch das Betriebssystem) weiterzuverbreiten
B) ungewollte Änderungen an Meßwerten durchzuführen
C) ungewollte oder sogar gefährliche Aktionen an angeschlossenen Motoren, Aktoren oder sogar Anlagen und Prüfständen ohne Zutun von Außen durchzuführen

Insbesondere der letzte Punkt veranlasst uns daher zu folgender Aussage:

***
Aufgrund zum Zeitpunkt der Veröffentlichung nicht widerlegter Informationen raten wir von der Verwendung von DIAdem v8 wegen der Möglichkeit der Ausführung von bösartigem (viralem) VBS-Code dringend ab.
***

Diese Empfehlung kann bei Bekanntwerden neuer Informationen obsolet sein. Sämtliche Informationen ohne Gewähr. Weitergabe dieser Informationen nur unter Hinweis auf 'Daten-Treuhand.de'!

Unseren Originaltext finden Sie hier.

BACK

Alle Informationen sind (c) 2001 by Daten-Treuhand.de. Verwendung nur unter Verweis auf www.daten-treuhand.de!