SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
Auch in dieser Folge geht es weiter um Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box". Nach den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März und April 2013 geht es weiter um Vorträge aus dem Jahr 2013:
August 2013 - Black Hat USA
Auf der Black Hat USA im August 2013 gab es gleich mehrere hier relevante Vorträge. Kyle Wilhoit von Trend Micro hat unter dem Titel "The SCADA That Didn't Cry Wolf- Who's Really Attacking Your ICS Devices- Part Deux!". seinen Vortrag aus dem März aktualisiert. Die diesmal verwendeten Daten stammen aus aktualisierten Honeypots. Während die ersten Honeypots ausschließlich in den USA standen, wurden nun virtualisierte Systeme verwendet, die in kürzester Zeit überall auf der Welt installiert werden konnten. Insgesamt wurden zwölf Honeypots eingesetzt: Drei in Russland, je zwei in China und den USA und jeweils einer in Japan, Australien, Irland, Brasilien und Singapur. Um die Honeypots glaubwürdiger erscheinen zu lassen wurde die Benutzeroberfläche jeweils an die Landessprache angepasst.
Um die Angreifer nicht nur anhand ihrer IP-Adresse erkennen zu können wurde unter anderem das Browser Exploitation Framework (BeEF) eingesetzt, um die Browser der Angreifer genauer zu identifizieren und deren Standort über Geolocation zu ermitteln. Das ist natürlich deutlich genauer und Aussagekräftiger als die alleinige Verwendung der IP-Adresse.
Simuliert wurde wieder die Industriesteuerung eines Wasserwerks. Über einen Zeitraum von 3 Monaten (März bis Juni 2013) wurden 74 Angriffe auf 7 Honeypots registriert, die von 16 Ländern ausgingen. 10 dieser Angriffe wurden als kritisch eingestuft, weil sie zu einem katastrophalen Ausfall der Industriesteuerung führen können.
Insgesamt 43 Angriffe gingen von Rechnern in Russland aus (aber keiner davon war kritisch), 7 von Rechnern aus China (darunter 5 kritische), 5 von Rechnern aus Deutschland (1), je 3 von Rechnern aus den USA (0) und Palästina (1), je 2 von Rechnern aus den Niederlanden (0) und Japan (1) und je 1 von Rechnern aus Kasachstan (0), Kanada (0), Australien (0), Moldawien (0), der Ukraine (0), dem Vereinigten Königreich (1), Frankreich (1), Polen (0) und Slowenien (0). Entsprechende Grafiken finden Sie im Whitepaper (PDF) zum Vortrag. Zumindest die Tabelle auf Seite 13/14 enthält aber einen Fehler: Die Zahlen unter "Critical" und "Noncritical" sind vertauscht, so dass es plötzlich 64 kritische und 10 nicht kritische Angriffe sind.
Zu den Angriffen auf die Industriesteuerung an sich verweise ich auf das Whitepaper. Die beobachteten Angriffe auf die Benutzeroberfläche des Human-Machine Interface (HMI) sollte man aber etwas relativieren. Das ist erst mal nur eine Webanwendung, und dass darin nach typischen Schwachstellen wie SQL Injection und Cross-Site Request Forgery gesucht wird ist völlig normal. Diese Angriffe müssen nicht zwingend gegen die Industriesteuerung dahinter gerichtet sein, da kann auch jemand eine ungesicherte (generell ein böser Fehler, auch wenn er hier aus Absicht erfolgte) Webanwendung gefunden und genauer untersucht haben. Das ist zwar weiterhin ein Angriff, die Frage ist nur, ob der wirklich gezielt die Industriesteuerung als Ziel hatte oder nur falsch interpretiert wurde. Genau so gut können da Cyberkriminelle nach neuen Webservern zum Verbreiten von Drive-by-Infektionen gesucht haben. Denen ist es nämlich total egal, was für einen Server sie infizieren.
Im Whitepaper wird außerdem auch noch einmal etwas ausführlicher auf dem bereits im März kurz vorgestellten gezielten Angriff auf den "alten" Honeypot eingegangen. Den, der mit einer Phishing-Mail begann.
Die entscheidende Frage ist natürlich, was am Ende bei der ganzen Aktion heraus kommt. In meinen Augen wenig bis nichts, die gestellte Frage "Who's Really Attacking Your ICS Devices?" wird jedenfalls nicht beantwortet. Nicht mal indem man zusätzlich auf die Daten aus den Monaten Dezember 2012 bis 15. Mai 2013 zurück greift. Und zu guter Letzt gibt es dann noch die üblichen Ratschläge - die mit den eingesetzten Honeypots teilweise nichts zu tun haben. Denn wie wurden dabei Informationen gewonnen, die zu dem Rat "Implement a USB/external media lockdown" führen? Verbunden mit der Begründung "A surprising number of ICS attacks start out from an infected USB drive." - etwas, was mit den Honeypots gar nicht untersucht wurde und auch nicht untersucht werden kann?
Als Anhang gibt es dann noch eine Tabelle mit den Herkunfts- und Zielländern der Angriffe. Die meisten Angriffe richteten sich gegen die Honeypots in Russland. Darunter alle fünf Angriffe aus Deutschland - und alle 43 von Rechnern in Russland ausgehenden. Überhaupt gab es nur zwei "Angreifer-Länder", die Russland ignoriert haben: Das Vereinigte Königreich und Frankreich. Was man daraus folgern soll? Das Russland bei Angreifern sehr beliebt ist steht schon mal fest. Und sonst? Die Russen greifen sich gerne selber an? Deutschland greift nur Russland an? Für solche Schlüsse ist die Datenbasis doch ziemlich mager.
Interessant ist auch die Lister der "Ziel-Länder", denn die Honeypots in Brasilien, den USA, Singapur und Australien wurden überhaupt nicht angegriffen. Der Honeypot in Irland wurde einmal aus China angegriffen, der in Japan einmal aus Palästina. Nach den Honeypots in Russland waren die in China bei den Angreifern am beliebtesten: Sie wurden aus China selbst (zwei Mal), den USA, dem Vereinigten Königreich, Frankreich und Palästina angegriffen. Was natürlich ebenfalls nichts wirklich brauchbares aussagt.
Besonders auffallend: Es gab keine Angriffe auf die zwei Honeypots in den USA. Beim ersten Durchlauf standen ja alle Honeypots in den USA und zogen reichlich Angreifer an. Also irgendwie drängt sich da der Verdacht auf, dass das Ganze ungefähr so aussagekräftig ist wie eine in den Wind gehängte Fahne. Bei Windstille. Man hat jede Menge interessante Daten gesammelt, wirklich etwas daraus schließen kann man aber nicht.
Vielleicht ändert sich das, wenn die Honeypots erst mal einige Jahre gelaufen sind. Und zwar unverändert, von "Updates" der simulierten Software vielleicht mal abgesehen. Aber auch auf die kann man eigentlich verzichten, die realen Systeme werden ja auch kaum aktualisiert. Aber eine zumindest rudimentäre Authentifizierung wäre schön, damit die Angreifer auch was zu tun haben und man nicht womöglich nur gelangweilte Skriptkiddies beobachtet.
In der nächsten Folge geht es um weitere Vorträge von der Black Hat USA 2013.
Übersicht über alle Artikel zum Thema
- Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5
Trackbacks