Skip to content

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9

Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box".

Nach den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und dem ersten Vortrag aus dem August 2013 gab es mehrere Folgen zu den von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 vorgestellten Schwachstellen in und Angriffen auf die drahtlose Kommunikation der Industriesteuerungen:

Im ersten Teil ging es unter anderen um die Anforderungen an die Schlüsselverteilung und die verschiedenen Arten von Schlüsseln, im zweiten Teil um die vom restlichen System unabhängige Verschlüsselung der Kommunikation durch die verwendeten Funk-Module und im dritten Teil um die Schlüsselverteilung von ZigBee. Nach diesen Vorbereitungen ging es im vierten und fünften Teil um die Schwachstellen in und Angriffe auf die Geräte dreier Hersteller. Wie schon erwähnt habe ich diesen Themenkomplex ausführlicher behandelt, weil ich später noch mal darauf zurückkommen will. Aber jetzt geht es erst mal weiter mit den Vorträgen zu SCADA-Systemen und Industriesteuerungen.

August 2013 - Black Hat USA

Der letzte Vortrag zum Thema auf der Black Hat USA 2013 stammt von Eric Forner und Brian Meixell: Unter dem Titel "Out of Control: Demonstrating SCADA device exploitation" ging es offiziell (also laut Beschreibung) um Angriffe auf die Steuerungen von Öl- und Gas-Pipelines. Tatsächlich wurden aber allgemeine Probleme der Industriesteuerungen behandelt, egal ob die nun in Pipelines, Produktionsanlagen oder wo auch immer verwendet werden.

Los ging der Vortrag mit einem kurzen Überblick über SCADA-Systeme und Distributed Control Systems (DCS) sowie die entsprechenden Netzwerke. Die sollten standardmäßig durch mehrere Firewalls vom Internet getrennt werden. Typischerweise wird aber auf die internen Firewalls verzichtet, so dass der einzige Schutz der Steuerungs- und Überwachungsnetze und -systeme in der Firewall zwischen Unternehmensnetz und Internet besteht. Auf die Firewall zwischen Unternehmensnetz und lokalen Standortnetz sowie diesem und dem Kontrollnetz wird meist verzichtet. Entweder, indem auf die Firewall komplett verzichtet wird oder indem die Firewallregeln jeden Netzwerkverkehr durchlassen ("Any <-> Any"). Mitunter gibt es auch gar keine Segmentierung der Netzwerke und alle befinden sich in einem großen, gemeinsamen Netz.

Nach einem kurzen Überblick über die verschiedenen Komponenten der SCADA- und DCS-Netze haben Eric Forner und Brian Meixell verschiedene Angriffsszenarien entwickelt. Los geht es mit dem "Pivoting". Darunter versteht man das schrittweise Vordringen von einem ersten kompromittierten Rechner zu weiteren Rechnern und Subnetzen. Der Angriff beginnt logischerweise mit einem Rechner im Unternehmensnetz, da dass die größte Sichtbarkeit aus dem Internet hat. Von da aus kann ein Angreifer verschiedene Ziele ins Visier nehmen, die ihm jeweils andere Möglichkeiten bieten:

  • Das Human Machine Interface (HMI), über das die SCADA- und DCS-Systeme konfiguriert werden.
    Ein Angreifer kann das Bedienpersonal darüber mit falschen Daten versorgen und die Konfigurationen unbemerkt manipulieren. Wenn der Angreifer also zum Beispiel irgend wo einen zu hohen Druckwert konfiguriert hat, kann er gleichzeitig dafür sorgen, dass dem Personal vor dem HMI ein harmloser niedriger Wert angezeigt wird.
  • Den Application Server, auf dem die Daten der Sensoren etc. des Kontrollnetzwerks gesammelt und zusammengeführt werden.
    Der Application Server ist ein Single Point of Failure, im Fall einer Kompromittierung können die Daten aller Sensoren für alle anfragenden Stellen, zum Beispiel verschiedener HMI, gefälscht werden.
  • Eine Engineering Workstation (EWS), über die die Programmable Logic Controller (PLC) und Remote Terminal Units (RTU) des Kontrollnetzwerks verwaltet und kontrolliert werden.
    Eine EWS enthält Informationen über die gesamte Steuerungslogik der PLCs, die auch geändert werden kann. Natürlich auch von einem Angreifer, der den Rechner kompromittiert hat.
  • Die PLC, die die Anlagen direkt steuern.
    Wer die kontrolliert, kontrolliert die Anlage. Schon ein simpler DoS-Angriff auf einen PLC kann dazu führen, dass ein gesamter Prozess, zum Beispiel die Produktion in einer Fabrik, lahm gelegt wird.

Die Systeme und Netz enthalten eine Reihe von Schwachstellen. Da es sich bei HMI, Application Server und EWS meist um Windows-Rechner handelt, sind die zunächst schon mal für die ganz normalen Angriffe der Cyberkriminellen wie zum Beispiel Exploits für bekannte Schwachstellen anfällig. Zumal die Systeme meist nicht auf dem aktuellen Stand sind, da Updates und Patches erst von den Herstellern geprüft und freigegeben werden müssen, bevor sie installiert werden können.

Aber selbst wenn die Windows-Rechner alle auf dem aktuellen Stand wären und der Angreifer keinen 0-Day-Exploit zur Hand hat, gibt es noch Angriffsmöglichkeiten. Los geht es mit den Industrie-Protokollen wie Modbus und DNP3, die keine oder nur nachträglich hinzugefügte Schutzmaßnahmen kennen und in IP-Datagramme verpackt über das Internet übertragen werden können. Ein Angreifer kann schon durch das Senden eines entsprechend präparierten IP-Pakets an einen Controller Schaden anrichten. Standard-PLCs kennen kein IP-Whitelisting und keinen Schutz der Ports, sie führen alle in an sie adressierten IP-Paketen verpackten Anweisungen aus.

Des weiteren können die Debug-Funktionen der Geräte, die auch im produktiven Einsatz teilweise aktiviert bleiben, von einem Angreifer missbraucht werden. Da darüber üblicherweise der gesamte Speicher beschreibbar ist kann ein Angreifer darüber die Geräte kompromittieren oder Daten und Anweisungen manipulieren.

Der Schutz vor Angriffen ist nahe liegend:

  • Auf Netzwerk-Ebene müssen die Kontrollnetze vom Internet getrennt werden. Ist keine vollständige Trennung möglich, muss der Netzwerkverkehr mit Firewalls und Intrusion Detection und/oder Prevention Systemen geschützt werden.
  • Auf Host-Ebene können Whitelist-Techniken die Ausführung nicht benötigter Programme etc. verhindern. Antivirus-Lösungen können zum Schutz vor bösartigen USB-Geräten und bekannten Angriffen verwendet werden. Ihre (in diesem Spezialfall der Abwehr bekannter Angriffe auf die aus technischen Gründen nicht gepatchten Schwachstellen sogar gegebene) Nützlichkeit wird aber durch den eingeschränkten Internetzugang und die damit schwierigen Aktualisierungen stark reduziert.
  • Auf Controller-Ebene sind die jeweiligen Hersteller gefordert, hier müssen sie für die Sicherheit ihrer Produkte sorgen. Zusätzlich können die die Controller erreichenden Befehle durch eine Firewall auf zulässige Werte beschränkt werden. Was natürlich nicht ausschließt, dass ein Angreifer damit Schaden anrichtet.

Dies war der letzte Vortrag zum Thema aus dem Jahr 2013. In der nächsten Folge nähern wir uns weiter der Gegenwart: Es geht um die ersten Vorträge aus dem Jahr 2014.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

Trackbacks

Keine Trackbacks