SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012

Geschrieben von Carsten Eilers am Donnerstag, 10. Juli 2014 um 09:00

Und weiter geht es mit den auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box" gehaltenen Vorträgen zu SCADA-Systemen und Industriesteuerungen. Nach den Konferenzen in den Jahren 2010/2011 und 2011 ist nun das Jahr 2012 an der Reihe:

Juli 2012 - Black Hat USA

Auf der Black Hat USA 2012 gab es zwei hier relevante Vorträge. Der erste stammt von Ruben Santamarta, Sicherheitsforscher bei den IOActive Labs:

"HERE BE BACKDOORS: A Journey Into The Secrets Of Industrial Firmware"

Zunächst stellt sich natürlich die Frage, warum man überhaupt nach Hintertüren in der Firmware von Industriesteuerungen suchen sollte. Nun, warum nicht? Ruben Santamarta liefert aber einen besseren Grund und verwendet dazu als Beispiel den Samsung Data Management Server. Der enthielt eine SQL-Injection-Schwachstellen, die durch ein Firmware-Update behoben wurde. Und das konnte ohne Authentifizierung installiert werden. Gab es für diesen Zweck etwas eine Backdoor? Schon nach kurzer Suche war die im vorliegenden Quelltest gefunden: Die Firmware enthielt ein Telnet-Benutzerkonto mit festen Zugangsdaten. Da drängt sich natürlich die Frage auf, ob nicht auch andere Hersteller Hintertüren in den von ihnen produzierten Systemen haben.

Normalerweise sind Hintertüren etwas besser versteckt und erfordern einiges an Reverse Engineering. Und genau das wird von Ruben Santamarta beschrieben. Als kurze Beispiele dienen ihm dabei der Switch "SCALANCE X200" von Siemens und der Serial Device Server EKI-1528 von Advantech.

Ausführlicher behandelt wird der intelligente Zähler Powerlogic ION Smart Meter von Schneider, in dem eine Backdoor gefunden wurde. Ruben Santamarta beschreibt, wie er die Backdoor gefunden hat - und welche Auswirkungen die außer der reinen Funktion als Hintertür noch hat. Aber das sei hier nur am Rande erwähnt, Smart Meter und das Smart Grid werde ich im Anschluss an die Folgen zu SCADA-Systemen und Industriesteuerungen behandeln und dabei auch ausführlicher auf diese Hintertür eingehen.

Der zweite Vortrag stammt von Éireann Leverett, beim Konferenztermin ebenfalls Angestellter von IOActive:

"The last gasp of the industrial air gap."

Der Vortrag basiert auf seiner im Juni 2011 vorgelegten Dissertation (PDF) an der University of Cambridge.

Zunächst räumt Éireann Leverett mit einigen Mythen rund um die Airgaps, also die Trennung verschiedener Netze durch eine "Luftlücke" (in der Form, dass sie nicht miteinander verbunden sind) auf:

Sie sind in industriellen Systemen der Normalfall - Das sind sie nicht. Éireann Leverett hat mehr als 12.000 Gegenbeispiele für Industriesteuerungen (ICS, Industrial Control System) und 22.000 weitere für Klimaanlagen (HVAC, Heating, Ventilation and Air Conditioning) und Gebäudesteuerungen (BMS, Building Management System) gefunden.
Sie sind leicht einzurichten und zu warten - Netzwerke sind nicht statisch, sie ändern sich im Laufe der Zeit
Sie sind billig - "Nicht anschließen" kostet zwar tatsächlich nichts, aber die Airgaps schränken die Arbeitsabläufe, zum Beispiel den Informationsaustausch mit anderen Organisationseinheiten, ein und verursachen dadurch indirekte Kosten.
Und der gefährlichste Mythos: Sie machen Angriffe unmöglich - Das beste Gegenbeispiel ist Stuxnet, es gibt aber noch mehr Angriffsmöglichkeiten um die Airgap zu überwinden. Und einem Angreifer, dem das gelingt, sind die Systeme hinter der Airgap oft hilflos ausgeliefert, da die Airgap der einzige Schutz ist.

Danach geht es um die Frage, wie viele Industriesteuerungen mit dem Internet verbunden sind. Die Grundlage der Zählung ist Shodan, die Suchmaschine scannt ungefähr alle 3 Monate den gesamten IPv4-Adressraum und Logt die Banner auf den Ports 21, 22, 23, 80, 161, 443. Éireann Leverett hat ein Programm geschrieben, dass die gesammelten Daten der vergangenen 2 Jahre nach 52 populären ICS-Produkten durchsucht und über Geolocation deren Standort ermitteln. Zu guter Letzt werden die Banner ausgewertet und anhand der Seriennummern nach bekannten Exploits für die Industriesteuerungen gesucht.

Das populärste Betriebssystem ist Windows 2000 Professional, und laut Anleitung wird das ohne Airgap betrieben. Man könnte nun zumindest bei Zugriffen mit dem HTTP-Statuscode 401 (Unauthorized) antworten (mit anderen Worten: Die Systeme mit einer Authentifizierung vor unbefugten Zugriffen schützen). Das ist aber nur bei 26% der gefundenen ICS-Produkte der Fall. 32% antworten mit dem Statuscode 200 (OK) und 42% mit dem Statuscode 302 (Found).

Für 53% der Systeme gab es Exploits in der ExploitDB oder Metasploit, viele verraten Informationen wie zum Beispiel Default-Passwörter in Help-Files.

In seiner Dissertation (PDF) hat Éireann Leverett weitere interessante Informationen zusammen getragen.

Wie viele Industriesteuerungen gibt es im Netz - 2013...

Das war übrigens nicht die einzige Untersuchung zum Thema "Wie viele Industriesteuerungen und ähnliches lassen sich aus dem Internet erreichen und/oder angreifen?". Im Januar 2013 haben Bob Radvanovsky und Jacob Brodsky von InfraCritical ihre Forschungsergebnisse mit Shodan veröffentlicht. Sie suchten mit Skripten nach 600 Suchbegriffen zu SCADA-Systemen bei Shodan und ermittelten so fast 500.000 Geräte. Diese Liste wurde dem DHS übergeben, wo man die Suchbegriffe auf die Suche nach 50 als kritisch eingestuften Geräte einschränkte. Damit wurden dann noch 7.200 Geräte gefunden.

... und 2014

Im Februar 2014 haben Jan-Ole Malchow und Johannes Klick von der FU Berlin auf dem 21. DFN-Workshop "Sicherheit in vernetzten Systemen" ein Lagebild der Erreichbarkeit und Angreifbarkeit von SCADA-Systemen veröffentlicht (PDF). Mit sehr beeindruckenden Bildern. Oder auch beängstigenden, wenn man sich die möglichen Gefahren vor Augen hält. Denn die Forscher der FU Berlin haben nicht nur die erreichbaren Systeme ermittelt, sondern wie Éireann Leverett auch geprüft, ob es dafür CVE-Einträge (also bekannte Schwachstellen) oder Exploits (zum Ausnutzen der Schwachstellen) gibt.

In der nächsten Folge geht es um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box" ab 2013.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30