Datenanalyse-Software für Industrie sowie Wasserwerks-Automatisierung

Gepostet im März, 2017

Wie Hacker öffentlich zugängliche Wasserwerk-Steuerungen finden

am Mrz 24, 2017

Bitte betrachten Sie dies als Aufklärungs-Nachricht, die Wasserwerks-Verantwortliche für die Sicherheits-Thematik sensibilisieren soll. Es gibt Wasserwerk-Steuerungen in Deutschland, die über das Internet auffindbar sind. Im Folgenden werde ich beschreiben, wie Hacker diese finden: Schritt 1 – das Entdecken Im Internet gibt es Adressen, z.B. „www.eneromIT.de“ . Diese Adressen werden im Hintergrund (über DNS-Server) übersetzt in eindeutige IP-Adressen (z.B. 109.233.157.4). So ist jeder Computer, der im Internet steht, eigentlich über eine IP-Adresse ansprechbar. Natürlich gilt dies für Geräte und Industriesteuerungen auch. Darüber hinaus laufen auf dem Gerät verschiedene Programme, die jeweils an einer unterschiedlichen Tür (= zu neudeutsch Port) auf Verbindungen von außen warten. Diese Türen sind auch durchnummeriert von 0 bis 65535. Wir haben es also ausschließlich mit Zahlenkombinationen zu tun (IP + Port). Nun gibt es Rechner, die einfach täglich alle Zahlenkombinationen ausprobieren, und testen, welche davon ansprechbar sind. So entsteht eine große Liste von IP+Port der ansprechbaren Geräte. Und wenn ein Hacker die Liste selbst nicht generieren möchte, lädt er sie sich einfach runter, da sie frei verfügbar im Internet liegt (z.B. scans.io). Zu dieser Liste werden auch gleich Merkmale der Adressen (z.B. HTTP-Header) mitgeliefert. Aus diesen Merkmalen lässt sich bereits ablesen, welche Adressen theoretisch eine Steuerung sein könnten. Auch die ungefähre Ortung (+/- 100km) kann anhand der IPs meistens vorgenommen werden. Die potenziellen Steuerungs-Adressen spricht man dann programmatisch wie ein Browser an, und tastet ab, was wie ein bekanntes Steuerungsprogramm aussieht. So hat man im ersten Schritt alle Steuerungen entdeckt. Schritt 2 – der Angriff Im zweiten Schritt lässt sich nun ein Programm schreiben, das dort Passwörter ausprobiert (Standard-Passwort des Herstellers + alle Wörter aus Wörterbüchern + bekannte Wörter mit einfachen Zahlen), und schon ist man drin. Der Hacker hat jetzt die Steuerung über das Programm, und kann dem Wassermeister den Zugriff kappen. Alternativ könnte man als Hacker auch eine Vielzahl von anderen Geräten dazu bringen, dass sie alle gleichzeitig versuchen, auf die Steuerung zuzugreifen, und sie somit zum Erliegen bringen (=“DDoS“). Auf diese anderen Geräte kommt man wiederum mit o.g. Methode, oder aber man kauft sie einfach dazu. Derzeit liegt der Marktpreis für 100.000 Geräte für solche Angriffe (ein sog. „IoT Botnetz“) bei gerade einmal 7.500 Dollar. Macht Ihnen das Angst? Mir leider ja. Deshalb...

Mehr

Wasserwerke und Cyber-Sicherheit

am Mrz 7, 2017

Eine kleine Motivation für Wassermeister und andere Wasserwerk-Mitarbeiter, sich mit dem Thema IT-Sicherheit zu beschäftigen Neulich bin ich auf sehr interessantes Video gestoßen, in dem der Verfassungsschutzpräsident Hans-Georg Maaßen folgendes berichtet (zitiert aus dem Video): „Was wir wahrnehmen ist […], dass ausländische Nachrichtendienste, in Teilen aber auch extremistische Gruppierungen, versuchen, kritische Infrastrukturen anzugreifen. […] Wir haben gesehen, dass sie versucht haben, auch deutsche Opfer anzugreifen. Wir haben den Eindruck, dass die fortschreitende Vernetzung […] ein Mehr an Angriffsfläche bietet. Das heißt, dass unser Gegenüber, ausländische Dienste oder extremistische Gruppierungen, mehr Möglichkeiten haben, anzugreifen, und unsere Unternehmen […] die Verantwortung haben, die Lücke zu schließen. Deswegen macht es uns natürlich Sorge, die hohe Zahl an SCADA-Systemen, die wir in Deutschland haben […]. Wenn man sich eine Weltkarte anschaut, wo SCADA-Systeme sind, und wo auch offene SCADA-Systeme durch Suchprogramme gefunden werden können, ist Mitteleuropa, insbesondere Deutschland im Zentrum. SCADA-Systeme […] sind letztendlich unsere Achillisverse, und deswegen ist es ganz wichtig aus unserer Wahrnehmung, sie besonders zu schützen Die Verantwortung, Änderungen vorzunehmen und die IT-Infrastruktur bei sich selbst zu härten, zu ertüchtigen, haben die jeweils betroffenen Unternehmen. Also wir sehen, dass ausländische Dienste sich im Bereich der Sabotage natürlich präparieren. Vielleicht für den Fall des Falles, vielleicht für den Fall, dass es eine politische Eskalation irgendwann einmal geben könnte, dass sie in der Lage sind, auf den Knopf zu drücken, um dann eine Bombe, eine Cyberbombe, scharfzustellen. […] dass es derartige Angriffe in einer Vielzahl von Fällen gibt. Man regelmäßig davon ausgeht, dass diese Angriffe abgewehrt werden, aber die Angriffsoberfläche ist so groß, dass es möglich sein könnte, dass es einzelne Angriffe gegeben hat, die auch schon erfolgreich sind, aber wir wissen es nicht. Also wir sehen, dass ausländische Nachrichtendienste in den letzten zehn Jahren da erheblich aufgerüstet haben. Wir müssen davon ausgehen, dass deutsche Unternehmen auch angegriffen werden, und deswegen führen wir als Bundes-Verfassungsschutz auch regelmäßige Gespräche mit den Unternehmen, um sie zu sensibilisieren. Wir hoffen, dass diese Angriffe abgewehrt werden, auch durch die IT-Infrastruktur der Unternehmen. Aber es kann natürlich auch sein, dass der ein oder andere Angriff insoweit erfolgreich war, als dass einfach eine Cyber-Bombe platziert worden ist. Man kann sich vorstellen, dass eine Cyberbombe dazu führen kann, dass...

Mehr