SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2

Geschrieben von Carsten Eilers am Donnerstag, 30. Oktober 2014 um 06:53

Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box".

Den Anfang machten die Vorträge von den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und August 2013.
Dem Vortrag von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 über Schwachstellen in und Angriffen auf die drahtlose Kommunikation der Industriesteuerungen habe ich dann gleich fünf Folgen gewidmet, da ich auf diese Themen später noch mal zurückkommen werde.

Danach ging es dann um den letzten Vortrag zum Thema auf der Black Hat USA 2013 und dem einzigen Vortrag von der Black Hat Asia 2014. Und schon kommen wir zur nächsten Konferenz und damit langsam auch zum Ende dieser Reihe, die doch etwas umfangreicher geworden ist als eigentlich geplant. Aber mit der Sicherheit von SCADA-Systemen und Industriesteuerungen ist es leider nicht so besonders gut bestellt.

Mai 2014 - "Hack in the Box" Amsterdam

Auf der "Hack in the Box" Amsterdam im Mai 2014 haben Steffen Wendzel und Sebastian Szlosarczyk einen Vortrag über die Sicherheit oder besser Unsicherheit der Gebäudeautomation gehalten: "Alice’s Adventures in Smart Building Land – Novel Adventures in a Cyber Physical Environment".

"Smart Buildings" sind Gebäude, die ein Building Automation System (BAS) zur Steuerung, Überwachung und Verwaltung vielfältiger Funktionen enthalten. Die ersten Vorläufer dieser heutigen Gebäudeautomationssysteme sind Pneumatische Komponenten zur Steuerung von Klimaanlagen ("Heating, Ventilation, Airconditioning, HVAC) aus den 1950er Jahren und die entsprechenden elektronischen Komponenten aus den 1960er Jahren, die dann später um IT- und Netzwerktechnik erweitert wurden. Herausgekommen sind Systeme mit einem sehr großen Funktionsspektrum, die auf interne und externe Änderungen reagieren und Teil des "Internet der Dinge" sind. Oder kurz: "Smarte" Systeme und damit "Smarte Gebäude". Nur dass es nicht "DAS smarte Gebäude" gibt, sondern mehrere Spielarten:

Die privaten "Smart Homes",
die kommerziellen Gebäude mit herkömmlichen Hausmeistern, die von einer dritten Partei gesteuert werden, und
die großen Komplexe mit professionellen Bedienungspersonal für die Gebäudeautomation.

Wie viele dieser Gebäudeautomationssysteme online zugänglich sind weiß niemand genau. 2014 wurden in den USA ca. 15.000 Systeme gezählt, von denen 9% bekannte Schwachstellen aufwiesen.

Mit der Sicherheit sieht es bei der Gebäudeautomation nämlich nicht so gut aus, wie hier ja schon mehrmals gezeigt wurde. Verantwortlich dafür ist vor allem der Fokus der Hersteller auf die Funktionalität, Sicherheit kommt frühestens an zweiter Stelle. Es fehlt das Bewusstsein für die Sicherheitsprobleme, dazu kommen "Legacy" (um das deutsche Wort "Altlast" zu vermeiden) Hard- und Software, bei denen eine Implementierung von Schutzfunktionen etc. mitunter gar nicht möglich ist und last but not least unsichere Web-Interfaces und Remote-Zugänge (sie wissen schon, so Sachen wie fest vorgegebene "geheime" Zugangsdaten um dem Support die Arbeit zu erleichtern und ähnliche Fehler, die man im Bereich der Websecurity schon vor vielen Jahren zumindest als Problem erkannt hat). Dazu kommen Datenlecks, zum Beispiel weil die Daten unverschlüsselt über ein externes Netz oder sogar das Internet übertragen werden,

Was kann man denn mit Smart Buldings so alles anstellen? Sie einfach nur so aus der Ferne zu steuern ist eine Möglichkeit. Aus Smart Buildings lassen sich aber auch Botnets aufbauen - Smart Building Botnets (SBB). Die werden dann nicht für den Versand von Spam oder DoS-Angriffe genutzt, sondern für neuartige, an die neue Umgebung angepasste Angriffe, zum Beispiel in Form einer Massenüberwachung: Die Überwachung von Sensor-Werten und Actuator-Statusänderungen verrät zum Beispiel wenn jemand nachts regelmäßig ins Bad geht und evtl. medizinische Probleme hat, oder wann und wo der beste Zeitpunkt für einen Einbruch ist. Oder Öl- oder Gasproduzenten könnten die Heizungen über Nacht auf eine etwas höhere Temperatur stellen, um mehr Öl oder Gas zu verkaufen.

Nachdem die Frage "Was könnte ein Angreifer machen?" damit beantwortet ist geht es um die Frage, wie sich der Angreifer Zugriff auf die Gebäudeautomation verschaffen kann. Wenn die Angriffe aus dem Internet heraus erfolgen liegt es nahe, dafür auf die Netzwerkprotokolle oder genauer Schwachstellen darin zurück zu greifen. Von den vielen im Bereich der Heimautomation genutzten Netzwerkprotokollen haben die Forscher sich auf BACnet (Building Automation Control and Network) konzentriert. Dabei wurden eine Reihe von Schwachstellen gefunden. Authentifizierung und Verschlüsselung sind zwar im Standard spezifiziert, werden aber nur selten implementiert. Daher gibt es mehrere Möglichkeiten für Angriffe:

Smurf-ähnliche DoS-Angriffe (Smurf ist ein DoS-Angriff auf TCP/IP)
Traffic Redirection, um Nachrichten
DoS des Routers durch Re-Routing (Angabe einer falschen Router-Adresse)
Falsch formatierte Nachrichten
Inkonsistente Retransmissions können zum Beispiel zu Abstürzen führen

Die möglichen Angriffe wurden dann jeweils genauer beschrieben.

Nachdem man weiß, wie die Angriffe erfolgen, kann man die wichtigste Frage angehen: "Wie kann man die Angriffe verhindern?" Eine Möglichkeit besteht in der Traffic Normalizazion, so dass falsch formatierte Nachrichten nicht mehr übertragen werden. Eine weitere ist die Implementierung eines Intrusion Prevention Systems, dass auch für Forensik-Zwecke, also die Analyse eines Angriffs, genutzt werden kann.

In der nächsten Folge geht es dann um die nächste und in dieser Serie vorerst letzte Konferenz: Die Black Hat USA 2014.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30