Black Hat und Def Con, Las Vegas
Nichts ist sicher
Einmal mehr zeigen die Sicherheitskonferenzen Black Hat und Def Con, dass Software angreifbar ist und angreifbar macht. Nachdem inzwischen auf jeglicher Hardware - von der Waage übers Auto bis hin zu Geldschränken und Industrieanlagen - vernetzbare Software läuft, rücken all diese Gerätschaften in den Fokus. Aber es gibt auch halbwegs gute Nachrichten: Angriffe auf Industrieanlagen erfordern immense Fachkenntnisse, und diese sind rar gesät.
Auch wenn die schiere Menge der im Rahmen der Konferenzen Black Hat und Def Con demonstrierten Angriffe, Schwachstellen und Totalausfälle schwindelerregend ist, so ist sie doch gleichzeitzeitig ein gutes Zeichen: Denn nur wenn sich kluge Köpfe mit den Problemen befassen, bekommen die Hersteller die Schwachstellen in den Griff.
Wie unterschiedlich die Voraussetzungen hierbei sind, zeigt sich gut am Vergleich zwischen den Autobauern Jeep und Tesla. Während die beiden Hacker Charlie Miller und Chris Valasek einen Jeep Cherokee aus der Ferne bei voller Fahrt auf der Autobahn verlangsamt hatten, ohne dass der Fahrer eingreifen konnte, bissen sich die nicht minder begabten Marc Rogers und Kevin Mahaffey am Tesla S beinahe die Zähne aus. Sie schilderten, wie viele Fehlschläge sie beim Forschen am Elektroauto hinnehmen mussten und wie viele mögliche Einbruchswege der Hersteller wirksam verstellt hat. Letztendlich gelang es den Hackern lediglich, den Tacho zu manipulieren oder die Kofferraumklappe zu steuern. Das Anziehen der Handbremse gelang ebenfalls – allerdings nur bis Schrittgeschwindigkeit und nachdem die Hacker vorher physischen Zugriff auf die Bordsysteme des Autos hatten.
Der von Fiat Chrysler gebaute Jeep hingegen hatte den Hackern wenig entgegenzusetzen und erlaubte das, was viele als automobilen Alptraum betrachten: Zugriff über das Internet auf die für die Fahrsicherheit zuständigen Systeme. So fatal das im ersten Moment klingen mag: Valasek und Miller, der seinerzeit durch die ersten IOS-Hacks bekannt wurde, steckten jeweils gut drei Jahre Forschungsarbeit in ihr Projekt. Die Wahrscheinlichkeit, dass beliebige Kriminelle es ihnen gleichtun, ist also eher gering.
Ein Safe, der keiner ist
Das ganz andere Ende der Skala markierte der von Dan „AltF4“ Petro und Oscar Salazar gehackte Geldspeicher Brinks Compusafe Galileo. Das per Touchscreen gesteuerte Trum steht bei Einzelhändlern unter dem Tresen und nimmt allabendlich die Bardgeldeinnahmen entgegen. Das Geld wird dem Händler gutgeschrieben, sobald es im Safe landet. Öffnen lässt sich der Tresor nur, wenn zwei zuvor festgelegte Personen gleichzeitig ihre Login-Daten eingeben. Petro und Salazar konnten mittels eines simplen, auf einem USB-Stick (USB Teensy) gespeicherten Skripts zwei neue Service-Konten in der Datenbank des Geräts anlegen und die Tür so ebenfalls öffnen.
Frappierend daran: Der Hersteller Brinks verwendet für den Safe das inzwischen nicht mehr mit Sicherheits-Updates versorgte Windows XP samt Uralt-Browser Internet Explorer 6 und einer ebenso steinalten Version von Adobe Flash – Informationen, die die versammelte Hackergemeinde mit zynischem Johlen kommentierte. Der erwähnte USB-Port ist frei zugänglich an der Seite angebracht, sodass quasi jedermann binnen weniger Sekunden die notwendigen Accounts in der – natürlich unverschlüsselt vorliegenden und nicht per Password gesicherten – Microsoft-Access-Datenbank erzeugen kann.
Ähnlich verheerend ist das Sicherheitskonzept der beliebten Kameradrohne Bebop von Parrot. Der Sicherheitsforscher Michael Robinson demonstrierte, dass der in der Drohne integrierte WLAN-Access-Point ein unverschlüsseltes WLAN aufbaut und per DHCP an jeden anfragenden Client eine IP-Adresse verteilt. Um dem Besitzer die Kontrolle – und damit im Zweifel seinen Besitz – zu entziehen, genügt ein simples Deauth-Paket. Anschließend kann der Angreifer selbst per App eine Verbindung zur Drohne aufbauen und sie so entwenden.
Aus der Luft holen lässt sich das Fluggerät per Telnet: Der auf der Drohne installierte Telnet-Server verlangt keine Authentifizierung und bietet nach dem Login beispielsweise ein Shell-Skript namens „ardrone_shutdown.sh“. Führt der Angreifer das Skript aus, fällt die Drohne wie ein Stein zu Boden. Der ebenfalls vorhandene FTP-Server fragt ebenfalls nicht nach Benutzernamen oder Passwort und gibt so jedem Besucher bereitwillig die gespeicherten Fotos und Videos frei.
LTE-Modul als Wanze – auch im Flugmodus
Ein unsicherer Firmware-Upgrade-Prozess macht das weit verbreitete, von diversen Notebook- und Tablet-Herstellern verbaute LTE-Modul Huawei M906 zur Wanze: Mangels ordentlicher Prüfung der Firmware kann ein Angreifer diese manipulieren, Schadsoftware auf das Modul spielen und so den kompletten Rechner – unabhängig von dessen Betriebssystem und Sicherungsmechanismen – unter Kontrolle bringen. Da das Modul mit einem Android-System läuft, hat der Kriminelle eine Linux-Rootshell auf einem fremden Rechner. Präsentiert wurden diese Erkenntnisse von Jesse Michael und Mickey Shkatov (beide beschäftigt bei Intel Security), die nach eigener Angabe monatelang mit Huawei daran arbeiteten, die Lücken zu schließen. Der Hersteller hat inzwischen ein Update veröffentlicht.
Pikant an diesem Angriff ist, dass sich die manipulierte Firmware auch dem Flugmodus verweigern kann, ohne dass der Anwender davon Notiz bekommt. Das LTE-Modul, unabhängig von Windows oder Linux betrieben, konnte während einer Demonstration bereits während des Windows-Bootvorgangs eine Reverse-Shell per Netcat nach außen aufmachen.
Scada-Hacking ist nicht für jedermann
Jason Larsen demonstrierte im Rahmen der Def Con, welche Folgen es für Industrieanlagen haben kann, wenn sich Kriminelle der Steuerung bemächtigen: Er stellte einen Prozess zur Destillation von Whiskey nach und baute zwei Fässer samt Temperatur- und Druckregelung in einem abgelegenen Eck der Konferenz auf. Anschließend manipulierte er nach und nach die Temperatur in einem der Fässer, sodass es plötzlich zu einem massiven Druckabfall kam – und das Fass implodierte. Der seit 15 Jahren mit der Sicherheit von Industriesteuerungen betraute Larsen will mit solchen Demonstrationen auf physische Schäden aufmerksam machen, die Eindringlinge gewollt oder auch ungewollt verursachen können.
Dass dies durchaus ungewollt passieren kann, verdeutlichte Marina Krotofil von der TU Hamburg. Sie stellt in einer über mehr als zwei Jahre entwickelten Simulation einen Angriff auf eine Fabrik zur Herstellung von Vinylacetat nach. Das Ergebnis: Ein solcher Angriff ist außerordentlich komplex, wenn die Produktion manipuliert, aber nicht gestoppt werden soll.
Der Hack der zur Anlagensteuerung benötigten speicherprogrammierbaren Steuerungen (SPS, englisch: Programmable Logic Controller, PLC) – seit Stuxnet im Fokus der Hacker-Öffentlichkeit – sei der mit weitem Abstand einfachste Teil. Nicht nur, weil die Geräte oft schlecht gesichert sind, sondern auch, weil für alle weiteren Schritte kein IT-Fachwissen, sondern intime Kenntnisse von Produktions- und Prozesstechnik notwendig sind. Im Fall der simulierten Anlage müsste ein Angreifer laut Krotofil auch Chemiker hinzuziehen, um den Herstellungsprozess zu verstehen.
Erst dann lasse sich ein erfolgreicher, nicht zerstörerischer Angriff durchführen. Derlei sei nötig, um den Anlagenbetreiber über einen längeren Zeitraum zu erpressen: Zahle er nicht, könnten die Kriminellen die Tagesproduktion empfindlich nach unten fahren. Mangels Sicherheitsmechanismen in den Anlagen sei es schwierig, die exakte Manipulation auszumachen.
Dass dies dennoch – im wahrscheinlich überschaubaren Ausmaß – bereits passiert, bestätigte Larsen: Er halt es für realistisch, dass Anlagenbetreiber hunderte Millionen Dollar an Erpresser bezahlen. An die Öffentlichkeit dringe dies nicht, weil die Unternehmen ihr Image schützen wollten und keine rechtlichen Vorgaben sie zur Preisgabe zwängen.
Diesen Umstand würde Jeff Moss, der Gründer der Konferenzen, gerne abstellen: „Es gibt ein Informationsvakuum. Bestenfalls staatliche Stellen erfahren unter der Hand von solchen Angriffen“, so Moss. „Es muss erst gewaltig knallen, damit sich etwas ändert.“ Moss wünscht sich frei zugängliche Statistiken über Zahl und Art der Angriffe. Denn verteidigen könne man sich nur, wenn man auch wisse, wogegen man ankämpfe.
Lesen Sie mehr zum Thema
