Skip to content

SCADA - Wasser aus, Knasttüren auf, sonst noch Wünsche?

Bei manchen Meldungen stellt sich mir zuerst immer die Frage "Wieso zum Kuckuck ist das überhaupt ans Internet angeschlossen?". Zum Beispiel auch bei den beiden aktuellen Meldungen zu SCADA-Systemen.

Wasserwerk mit Fernsteuerung

In Springfield in Illinois wurde ein Wasserwerk über das Internet angegriffen und eine Pumpe so lange ein- und ausgeschaltet, bis sie ausfiel, wie z.B. Brian Krebs, threatpost und die Washington Post berichten. Der Angriff soll diesmal mal nicht von China, sondern von einer IP-Adresse in Russland ausgegangen sein. Darüber, wie genau so eine Aussage ist, hatte ich ja schon geschrieben.

Auf Pastebin wurde ein Text veröffentlicht, dem zu Folge auch das Wasserwerk der City of South Houston in Texas aus dem Internet gesteuert werden kann. Dort ist der Zugang aber immerhin durch ein Passwort geschützt - das ganze drei Zeichen lang ist. Also ich hätte ja auf 5 Buchstaben gestippt: W-A-T-E-R oder A-D-M-I-N. Oh, nein, das zweite ist bestimmt das Passwort für den SSH-Zugang des Benutzers root! Der Zugang zur Steuerungssoftware wurde über eine Suchmaschine gefunden. Dass das möglich ist, ist ja schon länger bekannt. Was die Verantwortlichen aber wohl nicht gestört hat. Wenn sie es überhaupt mitbekommen haben.

Angeblich sind vor allem kleinere Wasserwerke ungeschützt ans Internet angeschlossen, weil man sich dort Schutzmaßnahmen wie VPNs nicht leisten kann, die angeblich kostengünstige Steuerung über das Netz aber nutzen will. Vielleicht sollte man sich dann auch den Internetzugang sparen und die Pumpen etc. lokal steuern statt aus dem warmen Büro heraus? Oder einfach mal ein Kabel von der Verwaltung zum Wasserwerk ziehen? Immerhin sind das die USA, die nehmen es mit dem Verlegen von Kabeln doch nicht so genau. Da werden sich doch bestimmt ein paar Masten oder Bäume finden lassen, an die man noch ein Kabel anhängen kann?

Digitale "Sie kommen aus der Zelle frei"-Karte

Noch faszinierender finde ich eine Meldung vom Anfang des Monats, z.B. von der Washington Post und auf ars technica: In den meisten Gefängnissen in den USA werden die Zellentüren über SCADA-Systeme gesteuert. Und die werden über Rechner gesteuert, die mit dem Internet verbunden sind, z.B. weil darauf u.a. von den Mitarbeitern im Internet gesurft oder E-Mails gelesen werden.

Herausgefunden haben das John Strauchs, Tiffany Strauchs Rad und Teague Newman, die ihre Forschungsergebnisse am 26. Oktober auf der Sicherheitskonferenz "Hacker Haltet" vorgestellt haben (Paper als PDF, Interview als Video).

Nun ja, wenn man so viele Gefangene hat wie die USA, dann muss man das wohl industriell aufziehen, sonst kommt man mit dem Auf- und Zusperren wohl nicht mehr nach. Nur: Warum werden die Türen über die gleichen Rechner gesteuert, auf denen die Aufseher im Internet surfen und E-Mails lesen? Und wieso surfen die überhaupt während der Arbeitszeit im Internet? Angeblich ist der Internetzugang notwendig, um darüber Updates zu installieren. Mal abgesehen davon, dass man das durchaus auch ohne Internetzugang lösen kann - wieso werden dann nicht wenigstens separate Rechner entweder für die Steuerung oder den privaten Internetzugang verwendet?

Und außerdem: Ist so eine Industriesteuerung für den Zweck nicht etwas überdimensioniert? Immerhin geht es da nur um Zellentüren, und die haben naturgemäß nur zwei Zustände: Entweder sie sind abgeschlossen, oder sie sind offen. Oder gibt es in den US-Gefängnissen auch Zellen, die nur zu 2/3 verschlossen sind? Oder zu 4,56% aufgeschlossen? Ein Programm zur Steuerung und Verwaltung der zwei Zustände sollte jeder Informatikstudent spätestens ab dem 3. Semester entwickeln können, und dafür nehmen die in den USA Systeme, die eigentlich für die Steuerung komplexer Produktionssysteme etc. vorgesehen sind?

Fernwartung kritische Infrastrukturen?

Ein weiteres Argument für den Internetzugang ist, dass die Hersteller die Zugänge zur Fernwartung benötigen. Das ist ja wohl ein schlechter Scherz - Fernwartung für die Steuerung von Gefängnistüren? Da kommen mit spontan ein paar Ideen für einen schönen Mafia-Thriller, so nach dem Muster "Mafia kontrolliert Unternehmen, das über Fernwartung die Zellentüren kontrolliert". Damit lässt sich doch einiges machen, z.B. eigene Leute aus den Zellen lassen, um unliebsame Konkurrenten ermorden zu lassen. Die Aufseher stehen solange vor verschlossenen Türen und warten darauf, dass die über Fernwartung repariert werden. Und wenn sie dann auf sind, was leider, leider aus technischen Gründen etwas länger dauert, haben sich die Konkurrenten alle selbst umgebracht und die Mafiosi sitzen als völlig harmlose Unschuldslämmer in ihren (wieder) sicher verschlossenen Zellen.

Generell ist es ja wohl eine selten dämliche Idee, kritische Systeme zum Zweck der Fernwartung mehr oder weniger ungeschützt ans Internet anzuschließen. Dafür gibt es wahrlich bessere Lösungen. Wenn mann denn unbedingt einen Fernwartungszugang haben möchte. Wer weiß schon, wer dann darüber die "Wartung" übernimmt? Man kann heutzutage so ziemlich alles ans Internet anschließen, wenn man will. Die Frage ist nur, ob man das wirklich will. Aber darüber wird viel zu selten nachgedacht. In der Hinsicht sind manche Leute wie kleine Kinder, die auch alles ausprobieren müssen: "Oh, ein Netzwerkanschluss - den muss ich gleich mal ans Internet anschließen!" Wieso, weshalb, warum (nicht) - Interessiert doch keinen, Stecker rein, fertig. Und dann jammern, wenn was passiert - wie die kleinen Kinder.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : SCADA-Hack: Texas ist nicht Illinois

Vorschau anzeigen
Der Hacker-Angriff auf ein Wasserwerk in Illinois stellte sich inzwischen als Fernwartung heraus, bei der aber einiges "etwas" suboptimal gelaufen ist. Sowohl bei der Wartung - als auch bei der Berichterstattung darüber. Denn es gab noch ein

Dipl.-Inform. Carsten Eilers am : SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013

Vorschau anzeigen
Und weiter geht es mit den Vorträgen zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box". Nach den Konferenzen in den Jahren 2010/2011, 2011 und 2012 ist nun das Jahr 2013 an der Reihe