Skip to content

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8

Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box".

Nach den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und dem ersten Vortrag aus dem August 2013 geht es weiter um Vorträge aus dem Jahr 2013. Genauer: Um den von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 gehaltenen Vortrag, im dem sie Angriffe auf die drahtlose Kommunikation der Industriesteuerungen vorgestellt haben.

Im ersten Teil ging es unter anderen um die Anforderungen an die Schlüsselverteilung und die verschiedenen Arten von Schlüsseln, im zweiten Teil um die vom restlichen System unabhängige Verschlüsselung der Kommunikation durch die verwendeten Funk-Module und im dritten Teil um die Schlüsselverteilung von ZigBee. Nach diesen Vorbereitungen ging es in der vorherigen Folge um die ersten Schwachstellen in Industriesteuerungen. Und damit geht es diesmal auch weiter.

August 2013 - Black Hat USA

Der Vortrag von Lucas Apa und Carlos Mario Penagos hatte den Titel "Compromising Industrial Facilities From 40 Miles Away". Auch dieser Text basiert noch einmal auf den dort vorgestellten und im Whitepaper beschriebenen Problemen.

Hersteller 2: Ein Schlüssel, sie alle zu knechten

Wie in der vorherigen Folge beschrieben kann ein Angreifer den Site Security Key im Rahmen eines Known-Plaintext-Angriffs ermitteln. Mit dem Schlüssel kann er dann mit den Geräten kommunizieren (sofern die Funkverschlüsselung eingeschaltet ist, was sie im Allgemeinen aber sein sollte).

Die grundsätzliche Sicherheit der Geräte von Hersteller 2 scheint auf einem Per-Site Encryption Key Scheme zu basieren. Das ist eigentlich die sicherste Möglichkeit, denn ein Angreifer kann diesen Schlüssel nur ermitteln, wenn er sich eines der zum Netzwerk gehörenden Geräte verschafft und dort den Schlüssel ausspähen kann.

Weitere Untersuchungen führten zu der Erkenntnis, dass es zwar einen Schlüssel pro Standort gibt, der aber gar nicht zur Verschlüsselung sondern nur zur "Authentifizierung" der Geräte verwendet wird: Wer den Schlüssel kennt, darf mitspielen. Es gibt keinerlei Schutz von Integrität oder Vertraulichkeit der übertragenen Daten. Und der Schlüssel ist mit dem Site Security Key identisch, der sich bekanntlich ermitteln lässt.

Tests haben dann ergeben, dass sich jeder, der den Site Security Key kennt, in die Kommunikation einschalten und gefälschte Daten einschleusen kann. Zum Einschleusen muss nur der richtige Zeitpunkt getroffen werden: Der eingeschleuste gefälschte Wert muss nach dem echten Wert ankommen, aber bevor das Register, in dem er gespeichert wird, vom Human Machine Interfaces (HMI) gelesen wird. Und das muss passieren, bevor der nächste echte Wert empfangen wird, da der sonst den gefälschten überschreibt. Aber durch geschicktes Senden der Werte lässt sich das erreichen.

Außerdem wurde noch eine Memory Corruption im Wireless Gateway gefunden, die über bestimmte Pakete ausgenutzt wird und zu einem DoS führt: Nach dem Auslösen der Memory Corruption werden vom Gateway keine weiteren Nachrichten mehr angenommen. Um das Gateway wieder funktionsfähig zu machen ist ein Reboot nötig, der ca. 2 Minuten dauert. Ein Angreifer kann eine ganze Fabrik lahm legen, indem er laufend einen DoS im Gateway auslöst und so die Kommunikation mit den Nodes verhindert.

Hersteller 3: Security by Obscurity and Marketing

Hersteller 3 stellt drahtlose I/O-Netzwerke her, die im einfachsten Fall aus einem Gateway System Controller und einem oder mehreren Nodes zur Überwachung und/oder I/O-Kontrolle besteht.

Die Sicherheitsarchitektur ist bemerkenswert. Denn die besteht allem Anschein nach vor allem in einer aktiven Marketingabteilung. Man ist zum Beispiel der Ansicht, die Verschlüsselung werde von WiFi Access Points verwendet, weil die bösartige Pakete übertragen. Da man selbst gar keine TCP/IP-Pakete überträgt, insbesondere also keine bösartigen, braucht man auch keine Verschlüsselung:

"<Vendor 3> wireless systems are designed to completely eliminate all Internet Protocol (IP) based security threats.
(...) Malicious TCP/IP packets and programs can cause grave security breaches and could cause the loss or theft of critical information. This is because standards-based network components such as Wi-Fi access points have the potential to route any and all data packets, which is why these systems use encryption, passwords, firewalls, and antivirus software. Vendor’s <Family> systems, however, do not pose a security threat to the network because the <Family> system cannot physically route malicious TCP/IP packets. (...) The <Family> protocol only carries sensor data values. Only I/O data is transmitted in the wireless layer."

Aus dem Security Guide für ein Gerät des Herstellers, zitiert nach dem Whitepaper zum Vortrag
Hervorhebung von Lucas Apa und Carlos Mario Penagos

Und weil sich offene Protokolle wie WiFi so leicht hacken lassen, verwendet man lieber ein proprietäres System, das viel schwerer zu hacken ist (siehe im Whitepaper, das Zitat spare ich mir an dieser Stelle). Ach ja: Auch für die Datensicherheit ist ein proprietäres Protokoll zuständig. Außerdem setzt man auf Pseudo-Random Frequency Hopping, dass zwar als unsicher und damit ungeeignet als Sicherheitsfeature angesehen wird, aber das scheint den Hersteller 3 nicht zu stören.

Desweiteren bindet man die Funkmodule an ein Master-Funkmodul. Dazu verwendet man einen Access Code - der unverschlüsselt über Funk übertragen wird. Immerhin schützt man den Code mit einem CRC, der Angreifer kann also sicher sein, dass der empfangene Code auch heile angekommen ist.

Aber keine Angst, es gibt auch eine richtige Verschlüsselung, sogar mit AES 256. Aber nur im Ethernet Radio Device, und nur für Ethernet-Datenpakete.

Die Schlussfolgerungen aus diesen Schutzmaßnahmen überlasse ich ihnen, mir fehlt dafür die nötige Phantasie. Das schreit ja geradezu nach Angriffen.

In der nächsten Folge geht es mit einem weiteren Vortrag von der Black Hat USA 2013 weiter.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

Trackbacks

Keine Trackbacks