Der zweite Tag von Cirosecs Sicherheitskonferenz IT-Defense widmete sich vorrangig dem Internet der Dinge (Internet of Things, IoT). Auf die Keynote von Eugene Kaspersky, dem Chef der Kaspersky Labs, zur Sicherheit der kritischen Infrastruktur folgten John Matherlys Präsentation der IoT-Suchmaschine Shodan und Timo Kasper mit einem sehr unterhaltsamen Vortrag über das Hacken elektronischer Schließsysteme.
„Das IT-Ökosystem ist verwundbar“, so Eugene Kasperskys Einstiegsaussage. Als Beispiel nannte er ein britisches Polizeirevier, das Erpressern Lösegeld für per Ransomware verschlüsselte Datenbestände zahlen musste. In seinen nachfolgenden Ausführungen beschrieb er die inzwischen gut bekannte Situation, dass Online-Kriminelle immer professioneller vorgehen. Dies, so Kaspersky, reiche bis hin zu Crime as a Service (CaaS), angeboten im Dark Web – komplett mit Websites, Blogs, Partnerkonferenzen und teils sogar mit eigenen (physischen) Büros.
Die Angriffe erstrecken sich inzwischen auch auf Industrieanlagen, Frachthäfen oder auch Tankstellenketten. Zu den Angriffszielen zählt er das Schädigen von physischen Systemen (wie bei Stuxnet), digitalen Datenbeständen (etwa bei Saudi Aramco oder Sony) sowie von Telekommunikationskanälen. Bei der Abwehr führend seien Singapur und Israel, denn beide Nationen hätten bereits Abwehrstrategien.
Der Schutz von Scada- und Industrieskontrollysteme (ICS) erfordert laut Eugene Kasperyky Air Gaps, Traffic-Monitoring und ein gesichertes OS auf neuem Equipment. „Das ist teuer“, so Kaspersky. „Dafür müssen wir die gesamte Scada-Software neu designen.“ Und dies werde Jahre dauern, warnt er.
Deutlich stärker ins Detail ging der Vortrag von John Matherly vom Shodan-Projekt, einer Suchmaschine für das Internet of Things. Shodan, berichtete er, scanne das Internet rund um die Uhr nach angeschlossenen IoT-Geräten – und dadurch mindestens einmal pro Monat komplett.
Die ICS-Branche kritisierte Matherly heftig. Viel zu lange habe sie sich auf ihre Existenz in einer Nische („Security by Obscurity“) verlassen. So zitierte er eine bedenkliche Passage aus einer PLC-Dokumentation (Programmable Logic Controller): Da der PLC kein Windows-OS verwende, sei er „mit Standard-Hacking-Methoden nicht angreifbar“.
Doch mit der Obskurität sei es inzwischen vorbei. So seien zum Beispiel auf Github die Fragen bezüglich MODbus dramatisch gestiegen. Das Problem, so Matherly: Wenn man MODbus direkt über das Internet erreiche, könne man nach Belieben lesen und schreiben. Denn MODbus kenne weder Benutzernamen noch Passwörter. Zwar gebe es Verschlüsselung, aber ohne Authentifizerung helfe dies ebenso wenig, wie für den Fernzugang einen anderen Port als den Standard-Port zu verwenden.
Mit dem Internet verbundene Dinge, berichtete Matherly, hätten sich letztes Jahr in den USA enorm verbreitet: So gebe es per Internet kontrollierbare Eierbehälter („Habe ich noch genügend Eier für ein Omelett im Haus?“), Kühlschränke mit Internet-Anschluss für das Twitter-Display an der Tür sowie Toiletten mit Online-Bewertungssystem.
Samsung habe gemeldet, dass IoT-Hubs künftig Teil der hauseigenen Smart-TV-Geräte sein werden. „Man wird künftig keine Wahl mehr haben“, warnt der Shodan-Betreiber. Über ein Drittel der IoT-Anbieter (34 Prozent) haben laut seinen Angaben bei ihren IoT-Produkten grundlegende Sicherheitslücken, auch wenn diese oft einfach zu beheben wären.
Ein großes Problem, so Matherly: Einen gefährdeten PC könne man patchen, aber wie patcht man einen Kühlschrank, wenn er anfängt, als Spam-Bot zu agieren? Wie ein gehacktes Werbedisplay, wenn gerade kein Techniker zur Hand ist?
Ein Scan der Verkehrskameras in Zusammenarbeit mit der EFF (Electronic Frontier Foundation, eine US-Datenschutz- und Bürgerrechtsorganisation) habe ihm eine umfangreiche Datenbank von Nummernschildern eingebracht. Innerhalb von fünf Tagen habe er über 67.000 Nummernschilder gesammelt. So habe er ermittelt, dass 1,3 Prozent der Fahrer „Novelty Plates“ (also nach Wunsch beschriftete Nummernschilder) haben.
Ein weiteres Shodan-Ergebis: Die University of Minnesota ist unter den US-Unis jene mit den meisten Druckern, die einen neuen Toner benötigen.
Der stets unterhaltsame Hacker Timo Kasper von Kaos Kasper & Oswald widmete sich in seinem Vortrag „Tag der offenen Tür(en)“ der Sicherheit elektronische Schließsysteme. Moderne Transponder, so Kasper, verwendeten ein bidirektionales Challenge/Response-Verfahren mit gegenseitiger Authentifizierung zwischen Schlüssel und Schloss. Ähnlich arbeiteten kontaktlose Smartcards wie neuere Kreditkarten, Nahverkehrsausweise oder auch moderne Skipässe. Zur Kompromittierung hat er den Smartcard-Emulator Chameleon entwickelt.
Mit dem Chameleonmini – in der aktuellen Revision F, einem derzeit laufenden Kickstarter-Projekt, nun sogar mit Log-Reader und Support für präzise Zeitstempel – könne man in Sekundenschnelle derlei Kartensysteme clonen. Live demonstrierte er das Kopieren einer Moskauer Metro-Karte inklusive Logging der NFC-Schnittstelle.
Elektronische Türöffner (Transponder) mit bidirektionaler Authentifizierung eines deutschen Anbieters knackte er durch den Ausbau des Microcontrollers. Da der Controller gegen Auslesen geschützt war, legte er die Chipoberfläche mit Salpetersäure frei und deaktivierte den Ausleseschutz, um den Microcontroller per Seitenkanalangriff auslesen zu können. Dank einer Schwäche im proprietären Zufallsgenerator zur Schlüsselerzeugung konnte er, wie er berichtete, die Schlüssel mittels fünf Türöffnungsversuchen innerhalb von Sekunden ableiten. Man habe dem Hersteller die Schwäche gemeldet, sie sei nun behoben.
Weitere Informationen finden sich unter www.it-defense.de.
Cirosec IT-Defense 2016 in Mainz: Hacken mit Bildern
IT-Defense, Mainz: Autobauer haben IT-Sicherheit verschlafen
Black Hat und Def Con, Las Vegas: Nichts ist sicher
Black Hat und Defcon, Las Vegas: Das Hacken der Dinge