Skip to content

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5

Geschrieben von Carsten Eilers am um 07:25

Auch in dieser Folge geht es weiter um Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box". Nach den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und dem ersten Vortrag aus dem August 2013 geht es weiter um Vorträge aus dem Jahr 2013.

In der vorigen Folge habe ich schon mit der Beschreibung der von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 vorgestellten Probleme mit der drahtlosen Kommunikation der Industriesteuerungen begonnen. Und damit geht es jetzt auch weiter:

August 2013 - Black Hat USA

Der Vortrag von Lucas Apa und Carlos Mario Penagos von IOActive, auf dem die folgenden Informationen beruhen, hatte den Titel "Compromising Industrial Facilities From 40 Miles Away".

Die Anforderungen an drahtlose Sensorennetzwerke (Wireless Sensor Networks, WSN) sowie die dafür verwendeten Schlüssel und die Schlüsselverteilung wurden bereits in der vorigen Folge beschrieben. Eine der wichtigsten Anforderungen für die Schlüsselverteilung für Industriesteuerungen ergibt sich aus der Gefahr, dass einzelne Knoten kompromittiert werden könnten: Dabei ausgespähte Credentials dürfen keine Informationen über andere Verbindungen innerhalb des Sensorennetzwerks preisgeben. Aber das ist jetzt erst mal nur eine Feststellung, auf die ich später noch zurück kommen. Denn jetzt gibt es erst mal einen kleinen Ausflug, der sich später aber noch als wichtig herausstellen wird.

Funk-Module mit eigener Verschlüsselung

Die Hersteller der Sensoren und sonstigen Industriesteuerungskomponenten verwenden fertige Funkmodule anderer Hersteller. Die bieten die Möglichkeit, die Kommunikation unabhängig vom restlichen System eigenständig zu verschlüsseln. Der dafür benötigte Schlüssel kann bereits im Modul enthalten sein, es kann aber auch ohne konfigurierten Schlüssel ausgeliefert werden. Und der Gerätehersteller sowie der Benutzer können den Schlüssel auch noch konfigurieren (oder auch nicht). Betrachten wir die verschiedenen Stationen auf dem Weg des Funk-Moduls von seinem Hersteller zum Benutzer. Los geht es natürlich beim Hersteller des Funk-Moduls, der zwei Möglichkeiten für die Konfiguration des Schlüssels hat:

  1. Er kann einen als Schlüssel dienenden Hersteller-spezifischen Wert, die Vendor Identification (VID) Number, in der Firmware speichern. Jedes Funk-Modul mit so einer VID-Number kann nur mit Modulen vom gleichen Hersteller kommunizieren, deren VID-Number ihm ja bekannt ist. Der Nachteil dieser Lösung: Wer so ein Funk-Modul besitzt, kennt die VID-Number und kann mit allen anderen Modulen dieses Herstellers kommunizieren.
  2. Genau so gut kann der Hersteller des Funk-Moduls auch auf die Konfiguration eines Schlüssels verzichten. Denn die sichere Konfiguration des fertigen Geräts ist ja schließlich die Aufgabe dessen Benutzers (oder des Geräteherstellers).

Womit wir zum Hersteller der drahtlosen Geräte wie Sensoren etc. kommen. Der hat gleich drei Möglichkeiten zur Konfiguration eines Schlüssels:

  1. Zunächst kann er für seine Kunden individuelle Schlüssel erzeugen und auf den Geräten installieren. Das hat für den Benutzer den Vorteil, dass er sich um die Konfiguration des Schlüssels nicht kümmern muss. Der Nachteil dabei ist, dass der Hersteller des Geräts auch nach Auslieferung noch jederzeit mit dem Gerät kommunizieren kann.
  2. Möglichkeit Zwei besteht darin, einen Hersteller-spezifischen Schlüssel zu installieren. Wie beim Hersteller des Funk-Moduls gilt dann: Jeder, der diesen Schlüssel kennt, zum Beispiel weil er selbst ein entsprechendes Gerät besitzt, kann mit allen anderen Geräten des Herstellers kommunizieren. Ach ja: Auch die Geräte können natürlich nur mit Geräten vom gleichen Hersteller kommunizieren.
  3. Deutlich besser ist daher aus Sicherheitssicht die dritte Möglichkeit: Der Geräte-Hersteller liefert seine Geräte ohne konfigurierten Schlüssel aus. Dann kann der Benutzer einen eigenen, nur ihm bekannten Schlüssel installieren und nur die von ihm entsprechend konfigurierten Geräte können untereinander kommunizieren. Sollte der Benutzer aber auf die Konfiguration eines Schlüssels verzichten, würden die Geräte unverschlüsselt kommunizieren und Verbindungen von jedem anderen Gerät entgegen nehmen (sofern keine entsprechenden Schutzmaßnahmen auf höheren Schichten implementiert werden, aber um die geht es später noch). Ach ja: Die Konfiguration des Funk-Moduls ist manchmal nicht ganz trivial und könnte die Garantiebestimmungen des Geräts verletzen, da der Benutzer dazu direkt auf das Funk-Modul zugreifen muss, im Allgemeinen über dessen Anschluss an einen USB-Port.

Und damit kommen wir zum Benutzer der drahtlosen Geräte. Auch der hat drei Möglichkeiten (eigentlich vier, aber über die letzte sollte man besser den Mantel des Schweigens breiten):

  1. Die beste Lösung besteht darin, über ein entsprechendes Konfigurationstool einen für jedes Gerät individuellen Schlüssel zu installieren (Sie wissen ja: Zufällig erzeugte, starke Schlüssel sind die Besten - sofern nicht gerade der Zufallszahlengenerator von NSA und Co. manipuliert wurden, aber das ist ein anderes Thema).
  2. Der Benutzer kann auch den vom Gerätehersteller installierten Schlüssel beibehalten (und sich darauf verlassen, dass der ihn nicht missbraucht oder womöglich "stehlen" lässt).
  3. Die dritte Möglichkeit kommt zum Zuge, wenn der Schlüssel nicht über ein Konfigurationstool geändert werden kann und besteht darin, das Funk-Modul aus dem Gerät auszubauen und selbst zu konfigurieren. Dabei geht dann unter Umständen die Garantie flöten, was gerade in Unternehmen ein Problem sein kann. Und Industriesteuerungen werden ja im Allgemeinen genau dort eingesetzt.
  4. Es gibt natürlich noch eine vierte Möglichkeit: Das Gerät ohne Schlüssel betreiben. Die kommt natürlich eigentlich überhaupt nicht in Frage. Aber wenn der Benutzer keinen Schlüssel installieren kann und weder Gerätehersteller noch Hersteller des Funk-Moduls einen installiert haben bleibt nur diese Möglichkeit übrig.

In der nächsten Folge geht es weiter um die (Un-)Sicherheit drahtloser Kommunikation in Industriesteuerungen. Dass ich diesem Thema hier so viel Raum biete hat natürlich einen Grund: Sichere drahtlose Kommunikation kommt nicht nur in Industriesteuerungen vor, auf diese Probleme werde ich daher später noch das ein oder andere Mal zurück kommen.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

Trackbacks

Keine Trackbacks