SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5
In dieser Folge geht es ein (vorerst) letztes Mal um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box".
Den Anfang machten die Vorträge von den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und August 2013.
Den Vortrag von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 über Schwachstellen in und Angriffen auf die drahtlose Kommunikation der Industriesteuerungen habe ich dann mehrere Folgen gewidmet, da ich auf diese Themen später noch mal zurückkommen werde.
Danach ging es dann um den letzten Vortrag zum Thema auf der Black Hat USA 2013 und dem einzigen Vortrag von der Black Hat Asia 2014. Die nächste Konferenz in 2014 war die "Hack in the Box" Amsterdam, und dann kam schon die vorerst letzte Konferenz in dieser Reihe an dieselbe, die Black Hat USA 2014, um die es auch in dieser Folge noch einmal geht.
August 2014 - Black Hat USA 2014
Auf der Black Hat USA 2014 gab es gleich vier Vorträge zum Thema SCADA-Systeme und Industriesteuerungen. Der Vortrag "ICSCorsair: How I Will PWN Your ERP Through 4-20 mA Current Loop" von Alexander Bolshev und Gleb Cherbov wurde bereits behandelt, ebenso wie der Vortrag "Learn How to Control Every Room at a Luxury Hotel Remotely: The Dangers of Insecure Home Automation Deployment" von Jesus Molina. Weiter geht es mit dem Vortrag von Jason Larsen:
Die Untersuchungsgegenstände von Jason Larsen sind so ziemlich die kleinste Geräte und die niedrigste Schicht der Industriesteuerungen: Er greift die Microcontroller in den Sensoren an. Auf einer der ersten Folien fragt er deshalb "Could You Hide an Entire Attack in a Pressure Meter?". Und er wäre wohl kaum auf der Black Hat gewesen, wenn die Antwort darauf "Leider nicht!" gewesen wäre. Ziel des Angriffs sollte es sein, eine Pipeline durch eine Druckwelle zu zerstören. Dazu muss zunächst durch das Öffnen eines Ventils eine Welle ausgelöst werden und diese im richtigen Moment durch eine weitere verstärkt werden. Der Angriffscode muss also den Druck messen und im richtigen Moment das Ventil öffnen, gleichzeitig aber den Kontrollrechnern harmlose Werte anzeigen.
Die Microcontroller haben nur jeweils einige Kilobyte RAM und Flash-Speicher und wenig CPU-Leistung zur Verfügung. Zunächst einmal musste deshalb der Angriffscode entsprechend klein gemacht werden. Danach ging es um die Frage, wie der Code in die Firmware gelangt. Beides war recht aufwändig. Daher gehe ich hier nicht darauf ein, sondern verweise auf Präsentation und Whitepaper des Vortrags. Wichtig ist bekanntlich, was am Ende raus kommt. Und das ist in diesem Fall ein Rootkit für Sensoren. Womit bewiesen ist, dass ein Angreifer sich auch in den kleinsten Bausteinen der Industriesteuerungen einnisten kann. Jason Larsen hält sogar für die Zukunft die Entwicklung eine Art "Metasploit for SCADA Firmware" für möglich, eines Toolkits, mit dem ein Angreifer schnell Ziele und Payloads auswählen und eine Angriffs-Firmware bauen kann. Was Penetrationtests deutlich vereinfachen und beschleunigen könnte.
Und damit kommen wir zum letzten Vortrag der Black Hat USA 2014 und damit auch zum zumindest vorerst letzten Vortrag in dieser Serie. Der Vortrag von Dr. Stefan Lüders hat den Titel
"Why Control System Cyber-Security Sucks..."
Wenn Sie alle bisherigen Folgen gelesen haben wissen Sie die Antwort ja schon: Weil es keine gibt. So einfach kann das sein. Dr. Lüders hat das aber doch noch etwas weiter ausgeführt, aber seinen Vortrag erst mal mit einer amüsanten Einführung ins Geschäftsmodell des CERN gegeben. Das dient demnach nämlich nur dazu, den Nobelpreis zu bekommen.
Danach geht es dann ums eigentliche Thema. Die längere Antwort auf die Frage, warum die Sicherheit "sucks", führt zunächst zur Frage, warum das Patchen "sucks". Zum Beispiel, weil langwierige Tests nötig sind, um Garantien und Zertifizierungen zu erhalten und sicher zu stellen, dass nicht ein sauteures Gerät nach der Installation des Patches hinüber ist. Und weil es nur wenige Zeiten gibt, in denen das Patchen möglich ist. Was durch viele veraltete und allgemein Embedded Devices auch nicht einfacher wird.
Die Sicherheit "sucks" auch, weil sie kein integraler Bestandteil ist oder durch "Security thru Obscurity" erreicht werden soll (was bekanntlich nicht funktioniert). Die Kontrollsysteme erfüllen zwar die Use-Cases, aber versagen im Fall von "Abuse-Cases". Dazu kommen Default-Passwörter und undokumentierte Hintertüren, wenig Gesetze, aber zu viele Richtlinien, und das Fehlen von Sicherheits-Zertifikaten. Nicht zu vergessen, dass es wenig Bereitschaft gibt, relevante Vorfälle zu teilen (was aber ein allgemeines Problem ist - wer gibt schon zu, Opfer eines Angriffs geworden zu sein, wenn es nicht unbedingt sein muss?). Und dann ist da noch das Problem, dass die Entwickler der Industriesteuerungen bereits vorhandene Standard-IT-Lösungen meiden und eigene Neuentwicklungen verwenden - ohne wirklich zu wissen, was sie da tun.
Das alles konnten Sie in den vorherigen Folgen ja bereits des öfteren lesen. Möchte irgend jemand tippen, wann die Industriesteuerungen endlich sicher sind? Ich schätze mal so in 10-15 Jahren. Vorausgesetzt, in Zukunft werden sichere Systeme verwendet, die alten sind bis dahin dann hoffentlich ausgemustert. Obwohl: Wenn ich mir die Alter der Atomkraftwerke so ansehe - machen wir 20-25 Jahre daraus.
Das Thema der nächsten Woche steht noch nicht endgültig fest. Zur Zeit tendiere ich zu einem Text über den schon nicht mehr ganz so neuen "staatlich gesponserten" Angriff Regin.
Übersicht über alle Artikel zum Thema
- Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
- SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5
Trackbacks