Dipl.-Inform. Carsten Eilers

Auf der Black Hat USA 2014 gab es gleich vier Vorträge zum Thema SCADA-Systeme und Industriesteuerungen. Der Vortrag "ICSCorsair: How I Will PWN Your ERP Through 4-20 mA Current Loop" von Alexander Bolshev und Gleb Cherbov wurde bereits in der vorherigen Folge behandelt. Weiter geht es mit dem Vortrag von Jesus Molina:

"Learn How to Control Every Room at a Luxury Hotel Remotely: The Dangers of Insecure Home Automation Deployment"

Der Vortrag hat eine kleine Vorgeschichte: Jesus Molina hat 2013 einige Tage in einem Hotel in chinesischen Shenzen verbracht. Da ihm langweilig war, hat er sich mal angeguckt, wie die App auf dem Hotel-eigenen iPad mit den darüber steuerbaren Systemen in seinem Zimmer kommuniziert.

Das Ergebnis seiner Untersuchungen: Er könnte über das veraltete KNX/IP-Protokoll nicht nur die Geräte in seinem Zimmer, sondern die in allen Zimmern steuern. Die Thermostate, die Beleuchtung, dass Fernsehen, die Fensterblenden und sogar die elektronischen "Bitte nicht stören"-Schilder könnten nach Belieben manipuliert werden. Er hat aber darauf verzichtet, die Geräte außerhalb seines Zimmers Amok laufen zu lassen, und stattdessen die Verantwortlichen informiert. Die Ergebnisse seiner Untersuchungen sind aber in den Vortrag auf der Black Hat eingeflossen.

KNX/IP ist die Kapselung des Gebäude-Automatisierungs-Protokolls KNX in IP und enthält keinerlei Sicherheitsmaßnahmen. Es gibt eine Sicherheitserweiterung namens EIBsec von 2006, und die aktuelle KNX-Spezifikation behauptet, sicher zu sein. Was Jesus Molina nicht überprüft hat, da die KNX-Spezifikation nicht frei zugänglich ist. Der einfachste Weg, dran zu kommen, wäre, sie zu kaufen. Für 1.000 US-Dollar. Was Jesus Molina aus verständlichen Gründen nicht getan hat.

Wie erfolgt der Zugriff auf die Systeme in anderen Zimmern? Jedes Zimmer hat eine eigene IP-Adresse, jedes Gerät darin eine eigenen interne KNX-Adresse. In Fall des chinesischen Hotels wurden sowohl die IP-Adressen als auch die internen Adressen von KNX einfach hochgezählt: Wenn zum Beispiel Raum 7777 die IP-Adresse 192.178.1.4 hat, hat Raum 7778 die Adresse 192.178.1.5. Und während die Adresse der Beleuchtung in Raum 7777 2/2/2 ist, ist es in Raum 7778 die Adresse 2/3/2. Das gleiche gilt für das Fernsehen (2/2/3 bzw. 2/3/3) und natürlich alle anderen steuerbaren Geräte.

Für einen Angriff müsste ein Angreifer also nur

1. Die KNX-Adressen der Geräte in seinem Raum ermitteln und
2. die IP-Adressen der anderen Räume herausfinden sowie
3. ausprobieren, welche Befehle sich an welche Geräte schicken lassen.

Was alles mit entsprechenden Tools kein Problem ist, da die KNX/IP-Kommunikation ungeschützt ist. Jesus Molina hat die Ergebnisse seiner Datensammlungen verständlicherweise nur am "Bitte nicht stören"-Schild seines eigenen Raums ausprobiert und nicht nach weiteren möglicherweise steuerbaren Systemen außerhalb davon gesucht.

Was lässt sich aus dem Vorfall schließen? Hotels müssen auf die Sicherheit ihrer Systeme und Netze achten. Was dann eben unter Umständen auch bedeutet, mal einen Penetrationstest für die Gebäudeautomation zu machen.

Für das IoT ist der Vorfall ein schlechtes Zeichen, denn KNX ist ein Standard für die Heimautomation und sichtbar unsicher. Allgemein sind die meisten Protokolle auf externen Schutz angewiesen, auf den dann natürlich oft verzichtet wird. Wer macht schon freiwillig mehr, als unbedingt nötig ist? Und damit das Ganze auch noch komplizierter? Sicherheit bedeutet zum Beispiel eine Authentifizierung von Benutzern und die Autorisierung von Aktionen, und das führt zu möglichen Fehlerquellen. Die man durch Weglassen dieser lästigen Schutzfunktionen ganz einfach vermeiden kann. Und das wird dann oft gemacht - es ist ja noch nie etwas passiert. Aber bisher hat man die Gebäudeautomation ja auch nicht mit dem lokalen Netz oder sogar dem Internet verbunden. Und jeden Besucher Zugriff auf Teile der Steuerung gewährt. Womit man die Installationen möglichen Angriffen ausgesetzt hat. Ohne mangels ausreichender Schutzmaßnahmen ja schief gehen muss.

In der nächsten Folge geht es mit dem nächsten Vortrag von der Black Hat USA 2014 weiter.

Carsten Eilers

---

Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5