Skip to content

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2

Nach den Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box" in den Jahren 2010/2011, 2011, 2012 und im März 2013 geht es diesmal weiter um Vorträge aus dem Jahr 2013:

April 2013 - "Hack in the Box" Amsterdam

Auf der "Hack in the Box"-Konferenz 2013 in Amsterdam ging es unter anderem um Shodan. Dan Tentler hat in einem vom verhinderten Shawn Merdinger ausgearbeiteten Vortrag die Nutzung der Suchmaschine sehr ausführlich beschrieben: "System Shock: The Shodan Computer Search Engine" (Präsentation als PDF).

Zunächst mal ist Shodan quasi ein "Google für TCP-Banner". Und kann nebenbei auch noch über ein Python-API abgefragt werden. Gefunden wird dabei so einiges, was die jeweiligen Betreiber vermutlich nicht unbedingt gefunden sehen möchten. Am bekanntesten dürften Webcams sein - es gibt auch welche, über die SCADA-Steuerungen betrachtet werden können, was allein schon ausreicht, dass der Vortrag hier relevant ist. Aber man kann noch mehr finden.

Zum Beispiel etwas, dass sich "T-2000" nennt. Das klingt wie ein neues Terminator-Modell, ist aber "nur" eine Wasserstoff-Brennstoffzelle. Die zum Beispiel in unterbrechungsfreien Stromversorgungen eingesetzt wird. Die man vermutlich nicht aus dem Internet steuern können sollte. Und weil wir gerade bei "Stromversorgung" sind: Auch Windparks haben einen Internet-Anschluss. Oder genauer: Deren Steuerungssysteme.

Wie schon des öfteren erwähnt sind auch alle Arten von Gebäudesteuerungen und Alarmanlagen über das Internet zugänglich, intelligente Stromzähler (denen ich eine eigenen kleine Reihe von Texten widmen werde), Wärmepumpen (in allen möglichen Größenklassen von ganz klein bis sehr gross), und natürlich Industriesteuerungen. Und bei fast allen diesen Systemen wird das Thema "Sicherheit" sehr, sehr klein geschrieben. Oder auch komplett ignoriert.

Aber was kann man mit diesen Funden anstellen? Zunächst mal hat man damit eine Fülle von Informationen zur Verfügung. Und darüber kann man zum Beispiel feststellen, wo sich die gefundenen Geräte etc. überhaupt befinden. Und dann sind natürlich jede Menge Angriffe denkbar. Zum Beispiel durch "simples" Social Engineering, zum Beispiel, indem jemand dazu gebracht wird, ein Schild in die Kamera zu halten um auf den möglichen Angriff aufmerksam zu machen - am besten natürlich, ohne dass derjenige selbst merkt, dass gerade ein Angriff läuft. Außerdem können die direkt mit dem Internet verbundenen Steuerungen natürlich nach Belieben manipuliert werden. Was bei manchen "Geräten" ziemlich beunruhigend ist. Zum Beispiel, wenn über ein einzelnes Interface die Gebäudesteuerungen von 36 Unternehmen in einer einzigen Stadt gesteuert werden können.

Auch nicht gerade beruhigend ist die Vorstellung, dass jemand Telefone über das Internet ausspähen und/oder steuern kann. Denn auch manche Telefone und Telefonanlagen sind mit dem Internet verbunden. Oder wie wäre es mit dem Zugriff auf Ampelanlagen oder KFZ-Kennzeichen-Scannern? Oder einem Staudamm? Dessen Benutzeroberfläche übrigens in Frontpage entwickelt wurde. Aber warum auch nicht? Womit etwas entwickelt wird ist erst mal egal.

Kritisch wird es erst, wenn dabei Fehler gemacht werden, die zu Schwachstellen führen. Oder das entwickelte Programm in Umgebungen eingesetzt wird, für die es nicht gedacht ist. Zum Beispiel, weil eine für den internen Einsatz in einem entsprechend abgesicherten lokalen Netz entwickelte Weboberfläche plötzlich aus dem Internet erreichbar ist. So etwas ist immer fatal. Nicht nur bei Staudämmen, nicht nur bei Industriesteuerungen, sondern auch zum Beispiel bei Dokument-Verwaltungen oder Content Management Systemen.

Ach ja: Natürlich war nicht nur eine Staudamm-Steuerung mit dem Internet verbunden, sondern etliche. Warum auch nicht? Ich persönlich hätte mich mehr gewundert, wenn so ein Fehler nur ein einziges Mal passiert wäre. Vor allem, weil es aus Sicht der Verantwortlichen vermutlich nicht mal ein Fehler, sondern volle Absicht war, dass die Steuerung mit dem Internet verbunden wurde. So etwas passiert doch eher selten zufällig und unbeabsichtigt. Irgend jemand wird einen guten Grund dafür gehabt haben, die Steuerung aus dem Internet zugänglich zu machen. Vielleicht, weil man damit Fahrtkosten spart: Die Techniker können den Staudamm aus den Büro überwachen und steuern und müssen nicht ständig hin fahren. Wirklich gefährlich wurde diese Entscheidung erst, als man bei der Umsetzung auf eine Authentifizierung und Absicherung der Kommunikation verzichtete.

Insgesamt ist diese Präsentation ziemlich beängstigend. Oder besser: Sie bestätigt, dass alles viel schlimmer ist, als man befürchtet hat. Die obige Aufzählung lässt sich noch lange fortsetzen. Aber das können Sie alles in der Präsentation (PDF) von Dan Tentler nachlesen. Einiges ist eher witzig, zum Beispiel wenn jemand seinen Weinkühler ans Internet anschließt - soll da die Schwarmintelligenz des Netzes die richtige Temperatur einstellen? Anderes ist durchaus gefährlich, zum Beispiel wenn Notfall-Telefonsysteme über das Internet sabotiert werden können. Oder die Steuerung eines Swimmingpools mit der Möglichkeit, Säure ein zu leiten, frei zugänglich ist.

Man kann bei Shodan die Suche unter anderem nach Organisationen, Städten und Ländern eingrenzen. Vielleicht sollte man sich vor dem nächste Freibadbesuch sicherheitshalber davon überzeugen, dass einem dort niemand über das Internet das Badevergnügen verderben kann. Dafür muss nicht mal Säure eingeleitet werden, bei den aktuellen Temperaturen würde es schon reichen, das Wasser einfach noch ein bisschen auf zu heizen, und aus der erhofften Abkühlung wird nichts.

In der nächsten Folge kommen wir zur Black Hat USA 2013, die im August 2013 statt fand. Auf der gab es gleich mehrere hier relevante Vorträge.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

Trackbacks

Dipl.-Inform. Carsten Eilers am : Konfigurationsfehler in MongoDB führt zu tausenden offenen Datenbanken

Vorschau anzeigen
Ein Konfigurationsfehler in MongoDB führt dazu, dass tausende Datenbanken frei aus dem Internet zugänglich sind. Ursache ist ein kleiner Fehler, der zu einem großen Problem führt. Wer Schuld daran ist untersuche ich nebenann.