Cyber-News von der dunklen Seite – 4. Juni 2014.

Wie versprochen, kommt hier die zweite Folge meiner neuen wöchentlichen (oder so) Serie „Dunkle News von der Cyber-Seite“ oder so ähnlich…

Das Hauptthema heute ist die Sicherheit kritischer Infrastrukturen; genauer gesagt geht es um die Probleme und Gefahren, die man im Auge haben sollte. Dinge wie Angriffe auf Produktions- & nukleare Anlagen, Transport- & Verkehrswesen, Elektrizitätsversorgung und andere industrielle Kontrollsysteme (ICS).

Im Grunde sind das keine richtigen „News“, sondern nur eine Art News – von letzter Woche: Zum Glück tauchen nicht wöchentlich Probleme mit kritischen Infrastrukturen auf – zumindest nicht die wirklich interessanten Dinge, die es wert sind, erwähnt zu werden. Aber das liegt wohl daran, dass die meisten Probleme geheim gehalten werden (verständlich, aber dennoch besorgniserregend) oder sie einfach niemand bemerkt (Attacken können recht still durchgeführt werden – das ist sogar noch besorgniserregender).

Im Folgenden finden Sie also eine Kollektion kurioser Fakten, die die aktuelle Situation sowie Trends im Bereich kritischer Infrastrukturen und ihrer Sicherheitsprobleme aufzeigen, und Hinweise darauf, was im Angesicht der Bedrohungen zu tun ist.

Es zeigt sich, dass es genügend Gründe gibt, von den Problemen kritischer Infrastrukturen überwältigt zu sein…

Wenn industrielle Kontrollsysteme ans Internet angeschlossen sind, hat man eine fast hundertprozentige Garantie, dass das System gleich am ersten Tag gehackt wird

Das Motto der Ingenieure, die industrielle Kontrollsysteme bauen und installieren ist, eine „stabile, konstante Funktion sicherzustellen und das Ganze alleine laufen zu lassen“! Wenn also eine Sicherheitslücke in einem Controller gefunden wird, über die ein Hacker die Kontrolle des Systems übernehmen kann, oder wenn das System an das Internet angeschlossen ist, oder das Passwort nun einmal, wirklich, ganz ernsthaft… 12345678 lautet –ist denen das egal! Ihnen ist nur wichtig, dass das System konstant und geschmeidig läuft, und das immer auf der gleichen Temperatur!

Denn immerhin können die Installtion von Patches oder andere Eingriffe das zweitweise Aussetzen des Systems zur Folge haben, und das ist für ICS-Ingenieure ein Gräuel. Tja, das ist heute mit kritischen Infrastrukturen immer noch so – man sieht die Grautöne zwischen dem Schwarz und Weiß nicht. Oder steckt man einfach nur seinen Kopf tief in den Sand?

Im letzten September haben wir einen Honeypot aufgestellt, der mit dem Internet verbunden war und vorgab, ein voll arbeitendes industrielles System zu sein. Das Ergebnis? Innerhalb eines Monats wurde er 422 mal erfolgreich gehackt, und die Cyber-Bösewichte kamen sogar mehrmals bis zur Speicherprogrammierbaren Steuerung (SPS) durch, und einer hat diese sogar umprogrammiert (genau wie Stuxnet). Unser Honeypot-Exepriment zeigte eines ganz eindeutig: Wenn industrielle Kontrollsysteme mit dem Internet verbunden sind, hat man eine fast hundertprozentige Garantie, dass das System gleich am ersten Tag gehackt wird. Und was man mit einem gehackten ICS alles anstellen kann… da kann man nur sagen „OMG“. Das ist wie in einem Hollywood-Film. Und industrielle Kontrollsysteme kommen in allen möglichen Formen und Größen. Hier ein Beispiel:

Nukleares Schadprogramm

KernkraftwerkQuelle

Eine neuartige Möglichkeit, das neue Jahr einzuläuten… Im Kontrollzentrum des Monju-Kernkraftwerks in Japan wurde kurz nach dem Jahreswechsel 2013/2014 entdeckt, dass einer der Computer mit einem Schadprogramminfiziert wurde, das während eines Updates einer kostenlosen Software auf den Rechner gelangt ist! Nein, ich mache keine Witze.

Ich habe eine Weile gebraucht, das zu verarbeiten.

Mitarbeiter, die kostenlose Software auf dem Controller eines KERNKRAFTWERKS nutzen? Während einer langen, einsamen Nachtschicht den Video-Player aktualisieren? Und dieser Computer ist mit dem Internet verbunden?????

Ich will das allen noch einmal einhämmern: Ein Industriecomputer muss wie ein Einsiedler sein: absolut ohne Kontakt zur Außenwelt. Ganz einfach. Und das gilt auch für USB-Sticks: Jeder einzelne, der mit so einem wichtigen System in Kontakt kommt, muss genau überprüft werden. Wir sollten nicht vergessen, dass Stuxnet auf einem USB-Stick in Natanz eindringen konnte.

Kassandra-Rufe

Ich habe das Szenario von „Die Hard 4“ schon einmal erwähnt – und darüber gesprochen, dass es zur Hälfte Hollywood-Unsinn ist, aber zur Hälfte auch eine absolut glaubwürdige Darstellung dessen, was eines Tages passieren kann. Hier etwas Ähnliches, das ebenfalls zeigt, was eines Tages passieren kann…

Ein Forscher hat sich die Zeit genommen und ausprobiert, ob es möglich ist, in den Straßen großer US-Städte Disco-Lichter zu simulieren – indem er in die Kontrollsysteme der Ampeln eingebrochen ist.

Der Berichtdes Forschers ist recht überzeugend. Mir gefallen vor allem diese Schlussfolgerungen:

  • „…es war nicht schwer, Sicherheitslücken [in den Verkehrskontrollsystemen] zu finden (eigentlich war es schwieriger, sie dazu zu bringen, richtig zu funktionieren, aber das ist eine andere Geschichte)“
  • „Ich habe den Angriff sogar von einer Drohne aus ausprobiert, die in einer Höhe von mehr als 200 Metern flog, und es hat funktioniert!“
  • „Über 250 Kunden in 45 US-Staaten und 10 Ländern „
  • „In Bezug auf eine andere Sicherheitslücke meinte der entsprechende Hersteller, dass diese bei neueren Versionen des Geräts bereits behoben sei. Dabei gibt es aber ein großes Problem, denn man muss ein neues Gerät kaufen und das alte ersetzen.“

Bananen mit Kokaingeschmack

Im Grunde wird heutzutage überall alles von Computern kontrolliert. Und wo Computer sind, gibt es auch immer die Gefahr, dass diese gehackt werden; und wenn es möglich ist, die Computer zu hacken, werden Szenarien wie im aktuellen Computerspiel Watch_Dogs immer realistischer.

Hier ein Beispiel aus Belgien.

Die immer erfinderischen Drogenhändler aus Südamerika haben einigen Containern mit Bananen etwas kolumbianisches weißes Pulver hinzugefügt. Die Container wurden mit dem Schiff nach Europa transportiert und in einem Lagerhaus in Antwerpen untergebracht. Dann haben Hacker im Auftrag der Kokain-Dealer die Operation weitergeführt: Mit einem Schadprogramm sind sie irgendwie in das Kontrollsystem des Lagerhauses eingedrungen und haben den genauen Standort der Drogen-Container herausgefunden. Dadurch konnten Sie Lastwagenfahrer hinschicken, um die Schmuggelware herauszuholen, bevor der Empfänger der Bananen auftauchte.

Durch dieses Beispiel sehen wir, wie sich die traditionelle Drogen-Mafia und Cyberkriminelle annähern – vor allem im Bereich industrieller Systeme.

Dachten Sie, Apple sei langsam bei Updates? Bei industriellen Kontrollsystemen ist es viel schlimmer

Das Problem der ICS-Sicherheit wird nicht nur durch den Widerwillen der Betreiber verschärft, die nicht in die Arbeit industrieller Kontrollsystemen eingreifen wollen, sondern auch durch die ICS-Hersteller.

Allerdings verbessert sich die Situation ganz langsam; es ist schon etwas her, dass ich von außergewöhnlichen Fällen gehört habe, in denen Entwickler ganz offensichtlich in Bezug auf sichtbare Sicherheitsprobleme in ihren Produkten blockiert haben. Doch um die wirklichen Probleme zu verstehen möchte ich Ihnen vom Fall der Firma RuggedCom erzählen, die Netzwerkgeräte für Energieversorgungskonzerne, das Transportwesen und andere kritische Bereiche herstellt.

Und das ist kein Einzelfall; im Gegenteil – er ist sogar typisch.

Anfang 2011 entdeckte ein Forscher eine Sicherheitslücke in RuggedCom-Geräten, die es erlaubt, relativ einfach Details zu Administrationszugängen zu erhalten. Er informierte RuggedCom über die Lücke und fragte regelmäßig – ein ganzes Jahr lang! – nach, ob das Unternehmen etwas gegen die Sicherheitslücke macht oder zumindest die Kunden darüber infomriert, den Remote-Zugang zu blockieren. Doch alles war umsonst. Er wurde ignoriert. Nach einem Jahr hatte er dann genug und macht die Sache öffentlich – indem er sich an das US-CERT wandte.

Natürlich war daraufhin das sprichwörtliche Häufchen bereits am dampfen und es gab so einen Wirbel darum, dass die Sicherheitslücke sofort geschlossen wurde. Und jeder hat einen Seufzer der Erleichterung von sich gegeben – auch der unerschütterliche Forscher (gute Arbeit!). Das Problem dabei: Ich wette, dass weniger als die Hälfte der Anwender auch wirklich den Patch für die Sicherheitslücke installiert haben. Iiih. All diese anfälligen Systeme da draussen…

Können Sie bitte die Füllung rüberreichen, ihre Löchrigkeit?

Um zu illustrieren, wie löchrig moderne ICS sein können, möchte ich ein weiteres Beispiel geben:

Früh am Morgendes Thanksgiving-Tages hat ein anderer Sicherheitsforscher, der mit ICS zufälligerweise noch nie etwas zu tun hatte, sich entschlossen, ein bisschen in ICS-Software herumzugraben (Ein Feiertag? Was soll ein Forscher da schon sonst machen? :)). Bis der Truthahn serviert wurde, war er ziemlich überrascht. Er hatte die erste Zero-Day-Lücke innerhalb von sieben Minuten gefunden, und dann noch 20 weitere, bevor der Tag vorbei war – von denen einige die Remote-Ausführung von Code erlaubten!

Wie einer der Sprecher des Security Analyst Summit sagte: „Industrielle Kontrollsysteme sind immer noch in den Neunzigern„. Diese Systeme wurden im letzten Jahrhundert entwickelt, von Menschen des letzten Jahrhunderts, und sie halten sich an Standards des letzten Jahrhunderts – allerdings werden sie heute immer noch eingesetzt.

Kaspersky

Wenn der globale Cyber-Tumult schlimmer wird und Regierungen anfangen werden, die roten Cyber-Knöpfe zu drücken, wird echtes Cyber-Chaos ausbrechen. Und dann wird die Löchrigkeit von ICS richtig ausgenutzt werden. Dann wird auch der untere – größere – Teil des Eisbergs sichtbar werden. Beziehungsweise werden wir davon hören. Ach, nein… eher werden wir davon lesen… NEIN! Wir werden nichts darüber erfahren, denn nichts wird mehr funktionieren!

Robo*.*

Ich bezweifle nicht, dass wir in fünf oder so Jahren von Schwärmen fliegender, laufender und kriechender Drohnen umgeben sein werden.

Die im letzten Jahr von Amazon angekündigtenPläne, Expresslieferungen mit Drohnen durchzuführungen, ist keine futuristische PR. Es ist die Realität: Die Drohnen kommen! Und die Probleme werden genauso rechtlicher Natur sein wie technischer Natur – denn es müssen spezielle Luftrouten erstellt, neue Flugrichtlinien für die Drohnen aufgesetzt, Flugwetterberichte verteilt, Lizenzen für Nutzer und Hersteller vergeben werden und so weiter und so fort.

Aber dahin wird es einfach gehen!… Und nicht nur in der Luft. Erst kürzlich hat Google das Konzept für seine ersten fahrerlosen Autosvorgestellt (nach einem Jahrhundert kommt der Begriff „Automobil“ endlich zu seinem Recht :)).

Drohnen drängen sich sogar in den Bereich der kritischen Infrastrukturen.

Auf der einen Seite ist das alles gut: Drohnen können viele ungeliebte/schwere/unprofitable Prozesse optimieren. Auf der anderen Seite könnte die ganze Automatisierung eines Tages mit höllischem Lärm über uns zusammenbrechen. Dann haben wir hoffentlich Popcorn dabei…

Ja, es wird Licht werden!

Zum Abschluss noch etwas „romantisches“.

Seit Anfang der 2000er wissen wir, dass Stromnetze anfällig für Virenattacken sind – genau so anfällig wie der private Computer von Max Mustermann.

Ein französischer Fotogarf hat eine interessante Bilderserie mit dem Titel „Darkened Cities“ erstellt, die zeigt, wie die Welt nach so einer Attacke aussehen könnte: atemberaubende nächtliche Anblicke von Hongkong, New York, San Francisco, Paris, Shanghai, São Paulo und vielen anderen Großstädten – ohne elektrisches Licht. Wenn Sie also eines Nachts zu Hause sitzen und das Licht ausgeht – keine Panik. Es könnte einfach nur ein Virus oder ein Hacker-Angriff sein. Nun ja, vielleicht ist ein bisschen Panik angebracht…

Quelle

Wird sich jeder unter der Bettdecke oder hinter dem Sofa verstecken, so wie als Kind, wenn man Doctor Who angeschaut hat? Oder bewegen wir uns langsam auf den Friedhof zu? Sieht es wirklich so übel aus und werden die Dinge immer schlimmer?

Ja, es sieht wirklich übel aus – wir wandern schon seit Jahren an einem Abgrund entlang. Schlüsselelemente kritischer Infrastrukturen können jeden Moment wie ein Kartenhaus zusammenbrechen. Aber zumindest sind wir hier – wir, die Sicherheits-Experten :).

Den Schwanz einziehen und winseln – ist nicht unsere Art. Ich bin mir sicher, dass die Welt mit dem Problem fertig werden wird, und zwar auf drei Arten: durch die Entwicklung einer neuen Software-Generation, die Entwicklung einer neuen, sichereren Architektur für kritische Infrastrukturen und die Entwicklung nationalerund globaler Sicherheits-Standards.

Durch so eine dreigleisige Strategie wird jeder Lichtausfall nur von ein paar ausgebrannten Glühbirnen kommen und von nichts anderem :).

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.