Dipl.-Inform. Carsten Eilers

Murphys Gesetz, laut dem alles, was schiefgehen kann, auch schiefgehen wird, wurde im Fall des "Hackerangriffs" auf das Wasserwerk in Springfield in Illinois gleich mehrmals aktiv. Inzwischen stellte sich nämlich heraus, dass der "Hackerangriff" von einer Russischen IP-Adresse aus tatsächlich eine ausdrücklich erwünschte Fernwartung war. Aber der Reihe nach:

Erst mal ist die Pumpe einfach so durchgebrannt, wie es elektrische Geräten nun mal irgendwann zu tun pflegen. Vielleicht hätte man sie öfter warten oder einfach früher austauschen sollen, dann wäre das nicht passiert. Und dann hätte auch niemand nach einer Ursache in der Pumpensteuerung gesucht, die gar nicht da war. Was da war, war ein Zugriff von einer russischen IP-Adresse aus, einige Monate vor dem Ausfall der Pumpe.

Dass der erst mal als möglicher Angriff gewertet wurde, ist verständlich. Warum sollte jemand aus dem Ausland auf die Pumpe zugreifen? Wobei ich die Frage "Wieso konnte man aus dem Ausland darauf zugreifen?" viel interessanter finde. Aber klammern wir den Punkt mal aus. Für den Zugriff aus Russland gibt es eine ganz einfache Erklärung: Der Techniker, der die SCADA-Steuerung installiert hat, hat im Sommer Urlaub in Russland gemacht und wurde dort vom Wasserwerk-Betreiber angerufen, um einige Daten zu prüfen. Das tat er auch - und erzeugte damit den Zugriff aus Russland. Leider vergass er zu erzählen, dass er gerade in Russland ist. Nach dem Ausfall der Pumpe wurde der Zugriff in den Logfiles gefunden, und der Irrtum nahm seinen Lauf. Dabei hätte man nur den Techniker, dessen Benutzername ja auch protokolliert wurde, nach der Ursache des Eintrags fragen müssen. Klarer Fall von "Dumm gelaufen" - und das gleich mehrmals.

Aber wer rechnet auch damit, dass

• ein US-amerikanischer Techniker in Russland Urlaub macht (oder ist das neuerdings ein beliebtes Urlaubsziel und mir ist das bisher nur entgangen?),
• im Urlaub angerufen wird und dann arbeitet, ohne wenigstens auf seinen Urlaub hinzuweisen, vom doch etwas exotischen Aufenthaltsort mal ganz abgesehen,
• und dass das Ganze nicht durch die unterschiedlichen Zeitzonen auffällt?

Ich habe keine Lust, mir die Zeitzonen raus zu suchen, außerdem weiß ich ja nicht, wo in Russland der Techniker seinen Urlaub verbracht hat, aber wie wahrscheinlich ist es, dass jemand von Illinois aus in Russland anruft und es dabei an beiden Orten halbwegs normale Arbeitszeiten sind? Normalerweise ist es ziemlich ungeschickt, einfach so jemanden auf (mehr oder weniger) der anderen Seite der Erde anzurufen und zu erwarten, dass der sich über den Anruf unbedingt freut. Die Wahrscheinlichkeit, einen unpassenden Zeitpunkt zu erwischen, ist doch ziemlich hoch.

Murphy mischt die Medien auf

Da hat Murphy also gewaltig nachgeholfen, damit der Vorfall die größtmögliche Aufmerksamkeit erregt und viel Wind um nichts gemacht wird. Aber auch die Medien haben nachgeholfen, indem sie die nach dem "Hackerangriff" veröffentlichte Schwachstelle im Wasserwerk der City of South Houston in Texas für den Angriff auf das Wasserwerk in Springfield in Illinois hielten. Ist denn niemandem aufgefallen, dass "South Houston" nicht "Springfield" und "Texas" nicht "Illinois" ist? Ich gebe zu, dass ich ohne Blick auf die Karte auch nicht weiß, wo Illinois liegt, aber dass die beiden Staaten nicht identisch sind, sollte man doch auch ohne Karte merken, oder?

Außerdem hat "pr0f", der Hacker, der die Schwachstelle in Texas veröffentlicht hat, doch zumindest indirekt darauf hingewiesen, dass er nichts mit dem Vorfall in Illinois zu tun hat:

"So, early this morning I was linked to an article about SCADA pumps from someone in IRC.
[...]
My eyes were drawn, nary, pulled, to a particular quote.
'[...] At this time there is no credible corroborated data that indicates a risk to critical infrastructure entities or a threat to public safety."'

This was stupid. You know. Insanely stupid. I dislike, immensely, how the DHS tend to downplay how absolutely FUCKED the state of national infrastructure is.
I've also seen various people doubt the possibility an attack like this could be done.

So, y'know.
The city of South Houston has a really insecure system. Wanna see? I know ya do.
[...]

I'm not going to expose the details of the box. No damage was done to any of the machinery; I don't really like mindless vandalism. It's stupid and silly.
[...]"
[Hervorhebungen von mir]

Erstens hat der Hacker die Information veröffentlicht, um zu beweisen, dass auf SCADA-Systeme aus dem Internet zugegriffen werden kann, nach (und weil) die US-Behörden diese Gefahr nach dem "Angriff" in Illinois heruntergespielt hatten, zweites distanziert er sich ausdrücklich von Vandalismus (was auch vom Bürgermeister von South Houston bestätigt wurde). Und vom ersten Angriff (dem in Illinois) hat er aus einem Artikel erfahren.

Ein Bekennerschreiben für einen Hackerangriff, bei dem eine Pumpe zerstört wird, sieht ja wohl anders aus, oder? Vor allem würde das ja wohl einen Hinweis auf das Wasserwerk in Illinois enthalten, oder?

Auch im Threatpost-Artikel, in dem über das Drei-Zeichen-Passwort des texanischen Wasserwerks berichtet wird, steht ausdrücklich drin, dass dieser Vorfall nichts mit dem "Hackerangriff" in Illinois zu tun hat:

"In a public post accompanied by screenshots taken from the HMI software, the hacker said he carried out the attack after becoming frustrated with reports about an unrelated incident in which an Illinois disaster response agency issued a report claiming that a cyber attack damaged a pump used as part of the town's water distribution system."
[Hervorhebungen von mir]

Leider scheinen das einige Redakteure alles überlesen zu haben. Oder einer hat es überlesen, und alle anderen haben bei dem dann abgeschrieben?

SCADA-Systeme sind gefährdet!

Auf Sophos "Naked Security" gibt es ein Interview mit dem Hacker des texanischen Wasserwerks, in dem auf die oft ungeschützten bzw. unzureichend geschützten Fernwartungszugänge hingewiesen wird, und im ISC Diary gibt es eine Übersicht über weitere Veröffentlichungen des Hackers, sowie einen Verweis auf einen nicht mehr öffentlichen Text: "Another paste, showing the (pretty good) password for a spanish water utility has since been removed." Halten wir also mal fest: SCADA-Systeme sind oft mit dem Internet verbunden, aber unzureichend geschützt.

Und wie findet man etwas im Internet? Richtig, über Suchmaschinen. Außer über allgemeine Suchmaschinen lassen sich angreifbare SCADA-Systeme auch über die "SHODAN - Computer Search Engine" finden, wie ja seit einiger Zeit bekannt ist. Wir halten also auch fest, dass sich mögliche Angriffsziele recht leicht finden lassen.

Wer nach der Aufklärung des "Angriffs" auf das Wasserwerk in Springfield in Illinois also meint, es bestünde keine Gefahr, sollte sich das noch mal gut überlegen. Mögliche Ziele lassen sich leicht finden, und oft sind sie ungenügend geschützt. Statt "Schiffe versenken" könnten engagierte Skriptkiddies also auch "Produktionsanlagen steuern" spielen, und statt "Treffer, versenkt" heißt es demnächst dann vielleicht "Treffer, Strom aus" oder so ähnlich. Keine schönen Aussichten, oder?

Carsten Eilers