Experten warnen: SCADA-Systeme hoffnungslos unsicher

Sicherheitsexperten warnen, dass heutige SCADA-Systeme immer noch hoffnungslos unsicher seien. Vier Zeilen Code genügen, um in solche Systeme einzubrechen.

Das Kürzel SCADA steht für Supervisory Control and Data Acquisition, also Computersysteme zur Überwachung von Steuerungsanlagen und zur Datensammlung von Prozessdaten. SCADA-Systeme kommen in modernen Produktionsprozessen faktisch überall in der Industrie zum Einsatz und haben naturgemäß eine Netzwerkverbindung zu den Mess-, Steuerungs- und Regelsystemen der Prozess- und Fertigungsebene. Und mit der Sicherheitsarchitektur ist es im SCADA-Bereich nicht weit her.

Eigentlich ein gefundenes Fressen für Hacker und Spione. Gerade am Wochenende hatte ich den Blog-Beitrag BSI-Warnung: Angriff auf deutsche Stromversorger, der vor den Gefahren warnt. Der Stuxnet-Angriff auf Industrieanlagen und Atomzentren im Iran zeigen, dass das sogar ohne Netzwerkzugriff (per kompromittiertem USB-Stick) funktioniert. Industrielle Steuerungssysteme können aber nicht nur von Remote-Hackern angegriffen werden, sondern auch lokalen Angriffen und physischen Manipulationen ausgesetzt sein.

Warnung auf BSides-Sicherheitskonferenz

Am 6. Juni 2018 fand wohl wieder eine BSides-Konferenz in London statt, auf der über Hacking von Industrieanlagen diskutiert wurde. The Register war wohl vor Ort und hat diesen Artikel zum Thema veröffentlicht.

Eine Präsentation auf der BSides-Konferenz in der vergangenen Woche von Forschern von INSINIA erläuterte, wie ein Gerät, das in einer Fabrikhalle installiert ist, Netzwerke identifizieren und auflisten und Steuerungen zum Stoppen von Prozessen oder Produktionslinien auslösen kann. Im Vortrag mit dem Titel Hacking SCADA: How We Attacked a Company and Lost them £1.6M with Only 4 Lines of Code wurden 25 Jahre Gerätetechnik von Industriesteuerungen erläutert. Das ging bis in die Zeit, als proprietären Geräte und X21-Verbindungen entwickelt wurden, zurück. Anschließend wurden Proof-of-Concept-Angriffe diskutiert.

Mike Godfrey, Vorstand bei INSINIA, erzählte in einem Interview The Register, dass industrielle Steuerungen seit langem mit Blick auf Sicherheit, Langlebigkeit und Zuverlässigkeit entwickelt wurden. In der Vergangenheit waren die Anlagen nicht untereinander vernetzt. Aber das hat sich geändert, da die Geräte an das Internet angeschlossen wurden. Dies erleichtert die Fernüberwachung, ohne dass man sich physisch in den Anlagen bewegen muss, um Messwerte zu erfassen und Geräte zu überprüfen, die sich oft nicht in explosionsgefährdeten Umgebungen befinden.

Godfrey erklärte auch, dass Sicherheit aber nie ein (primäres) Designkriterium für industrielle Steuerungssysteme gewesen sei. Leider habe sich das sich mit der Einführung von IoT im Bereich der SCADA-Systeme nicht geändert. Dies habe zur Folge, dass Probleme wie fest programmierte Anmeldeinformationen und fehlende Verschlüsselung im Überfluss vorhanden seien.

Uralte Windows-Versionen

Ich hatte es hier im Blog in diversen Artikeln schon häufiger anklingen lassen: Der Trend der Software-Industrie, Betriebssysteme alle paar Jahre als obsolete zu erklären, passt nicht auf Industrieumgebungen. Dort sollen Anlagen 20, 25 und mehr Jahre laufen. Ich habe in den achtziger und Anfang der neunziger Jahre des vorherigen Jahrhunderts in diesem Bereich gearbeitet, aber 1993 den Abflug gemacht. Schon damals warnte ich die Leute, dass Windows keine Basis für den SCADA-Bereich sein könne.

Auf der Konferenz berichteten Sicherheitsexperten dann auch davon, dass die meisten Systeme in diesem Bereich mit alten oder hoffnungslos veralteten Versionen von Windows laufen. Die meisten Terminals für SCADA-Systeme laufen unter Windows 7, einige jedoch unter Windows 98, so Matt Carr, CTO von INSINIA. Die Windows 98-Terminals sind daher anfällig für Back Orifice, ein altes Hacking-Tool aus den 90er Jahren.

"Industrielle Steuerungseinrichtungen haben sicherlich nicht die Reife von Unternehmensumgebungen", sagte Mike Godfrey – wobei ich das für Bullshit-Bingo halte. Denn Unternehmensumgebungen haben oft eine genauso schlechte und hoffnungslos veraltete Struktur oder fehlende Sicherheitsupdates.

Angriffe auf Steuerungen

Industrielle Steuerungssysteme werden in Wasserversorgungs-, Stromnetz- und Gasverteilungssysteme sowie Fabriken, Gebäudemanagementsysteme und mehr eingesetzt. INSINIA hat Prüfstände entwickelt, um die Sicherheit von realen Systemen zu bewerten, die überprüft werden sollen. Das Testen von Angriffen wie z.B. Spoofing auf realen Systemen wird die Sicherheitsschranken, sofern überhaupt vorhanden, wahrscheinlich überwinden, so Godfrey.

Denial-of-Service in industriellen Steuerungsumgebungen sei einfach durchzuführen, so der Experte. Und Fuzzing (eine Reihe von Eingaben vornehmen, um zu sehen, welche einen ungewollten Effekt verursachen) bietet ebenfalls eine einfache Möglichkeit, Hacks aufzudecken.

INSINIA hat ein Gerät entwickelt, das Netzwerke automatisch scannt und Komponenten herunterfährt. Der Arduino-Mikrocontroller verhält sich für andere Geräte im Netzwerk wie eine normale speicherprogrammierbare Steuerung (SPS). Wird der Mikrocontroller physisch in einer bestimmten Umgebung platziert, kann es schnell Netzwerke auflisten, bevor es Stoppbefehle sendet. Es kann "industrielle Prozesse mit nur vier Zeilen Code töten", so Godfrey. Im Fall eines solchen Angriffs ist es nicht möglich, einen einfachen Reset des Systems durchzuführen. Ein Angreifer kann also eine Anlage wiederholt zwangsweise herunterfahren oder Steuerungseinstellungen vornehmen, die die Anlagen beschädigen.

Schutz so löchrig, dass Details unter Verschluss sind

BSides Präsentationen werden normalerweise von der Veröffentlichung von Proof-of-Concept-Code begleitet. Aber die oben erwähnte Software nutzt systemische Schwachstellen in den SCADA-Systemen aus, die wahrscheinlich nicht in naher Zukunft behoben werden können. Daher stellt INSINIA die Technologie nicht einmal seinen ethischen Hackern zur Verfügung.

Normalerweise sind industrielle Steuerungsanlagen so ausgelegt, dass die Aufrechterhaltung der Prozesse das Hauptanliegen ist. Durch Angriffe können aber erhebliche Schäden angerichtet werden. Sicherheitsforscher haben die Gefahr erkannt, die von Malware für industrielle Kontrollsysteme im Gefolge hochkarätiger Angriffe wie dem Shamoon-Angriff auf Saudi Aramco und den BlackEnergy-Angriffen auf Stromversorgungsanlagen in der Ukraine ausgeht.

Der berühmte Stuxnet-Angriff auf Irans Urananreicherungsanlagen zeigte nicht nur, wie SCADA-Geräte gehackt werden könnten, um reale Effekte zu verursachen. Es wurde auch offenbar, wie Sensoren durch gefälschte Protokolle getäuscht werden können, so dass das Personal die Fehler bzw. Angriffe nicht erkannte.

Die Forschung von INSINIA zeigt, wie Geräte wie der entwickelte Kontroller gegen ein breiteres Spektrum potenzieller Ziele eingesetzt werden könnte. Einzige Voraussetzung: Der Mikrocontroller wird im betreffenden Netzwerk eingesetzt. Aber das wird künftig nicht mehr erforderlich sein. Denn eine große Anzahl industrieller Steuerungssysteme sind inzwischen mit dem Internet verbunden. Die Anlagen lassen sich mit Shodan, der Suchmaschine für das IoT, leicht finden.

Und das Internet der Dinge sowie Heimautomatisierung bringen in Sachen Sicherheit zusätzliche Risiken. Ein Teil von INSINIA's BSides London Demo zeigte, wie man mit einem Magneten und einer Socke Haus- und Kleinbürotresore öffnen kann. Der Trick funktioniert, weil die Magnete – eine Art Elektromagnet, der ein kontrolliertes Magnetfeld erzeugt – im Tresor manipuliert werden können, um die Stifte zu bewegen, die den Tresor verriegeln.

Magnetische Verriegelungen im industriellen Steuerungsbaukasten können auf vergleichbare Weise entriegelt werden. Laserbasierte Sensoren können dagegen mit einem Spiegel getäuscht werden. In der BSides-Demo wurde auch demonstriert, wie man vermeintlich sichere RJ45-Stecker mit zwei Löffeln auseinander nimmt, ohne offensichtliche Anzeichen von Manipulationen zu hinterlassen. Der Manipulation von Steuerungssystemen stehen damit Tür und Tor offen.