Letzte Aktualisierung am 23. Oktober 2015.

Quelle: heise.de

Über die oftmals frei aus dem Internet zugänglichen Programmable Logic Controller (PLC) zum Steuern von Scada-Systemen können Angreifer Scanner zum Spionieren in Industrie-Systeme schmuggeln. Die dafür nötige Software steht frei zum Download.

Die Sicherheitsforscher Johannes Klick und Stephan Lau der Freien Universität Berlin warnten auf der Sicherheitskonferenz Black Hat vor einem bislang nicht entdeckten Weg in Scada-Netzwerke: Anstatt das Netz offline über einen infizierten Rechner, wie im Fall von Stuxnet, anzugreifen oder den Umweg über einen attackierten Büro-PC zu wählen, wie im Fall des beschädigten Hochofens in einem deutschen Stahlwerk, nahmen sich die Forscher direkt einen aus dem Internet zugänglichen PLC vor.

Mehr als 28.000 PLCs über das Internet erreichbar – Oftmals sind die Industrie-Komponenten aus Wartungsgründen direkt mit dem Internet verbunden.

Da alle PLCs dieser Baureihe ab Werk mit aktiviertem SNMP ausgeliefert werden, kann der nur wenige Kilobyte große Scanner von der infizierten Komponente aus das ganze Produktionsnetz scannen und alle relevanten Informationen wie aktive IP-Adressen, Subnetze oder die Software-Version eines PLC einsammeln.

In einem Video zeigten sie, wie sich ein zweiter PLC aus dem Dienst verabschiedete, nachdem die Angreifer eine DoS-Attacke ritten. Der zugrundeliegende Bug wurde im März von Siemens per Update geschlossen, nachdem die Forscher den Hersteller informierten.

Nachdem PLCinject gängige Funktionen des PLC nutzt, lässt sich der gezeigte Angriff nicht durch ein Software-Update aus der Welt schaffen.

The GasPot experiment: Hackers target gas tanks

Quelle: www.net-security.orgwww.trendmicro.com

Physically tampering with gasoline tanks is dangerous enough, given how volatile gas can be. Altering a fuel gauge can cause a tank to overflow, and a simple spark can set everything ablaze. But imagine how riskier it is if a hacker can do all this remotely, especially now that a number of fuel companies worldwide use Internet-connected systems to monitor their tanks.

Patching has always been a key challenge when it comes to online attacks that affect Internet-connected devices or infrastructure. We always have to ask how these gadgets or systems can be updated. Whether they’re cars, million-dollar SCADA systems, or gasoline tanks, updating their software poses several questions. Who will be responsible for applying the patch; will it be the vendor or the user? What kinds of expertise or tools are needed? What are the costs? Will all of the vulnerable devices get patched?

The available information from the world of SCADA systems suggests that organizations are simply unprepared to deal with patching devices. A 2013 European Union Agency for Network and Information Security (ENISA) report cited two numbers that are accepted within the SCADA security community: patches fixing problems in ICS software had a 60% failure rate, and that less than half of vulnerabilities had a patch in the first place. Overall, it is estimated that only 10-20% of organizations bother to install the ICS/SCADA patches that their vendors do provide.

In the world of consumer software, such statistics would be unacceptable.

Though we have previously discussed security issues involving Internet of Things (IoT) devices, unsecured industrial or energy systems and devices can result in critical errors and damage—such as massive outages and other real world implications.

Kommentar

Die fehlende Reichweitenbegrenzung – „Da alle PLCs dieser Baureihe ab Werk mit aktiviertem SNMP ausgeliefert werden“ – schafft unverantwortebare Angriffsflächen, sowie die gesamte Vorgangsweise in diesem Bereich was das Thema „Security“ betrifft mehr als zweifelhaft ist. Aber offensichtlich ist ja noch nicht genug passiert …

Anmerkung: SCADA-Systeme mit PLCs werden in der Kritischen Infrastruktur als auch in der Industrie eingesetzt.

Kommentar F. Hein

Es ist nicht nur die fehlende Reichweitenbegrenzung, obwohl eine solche Begrenzung helfen würde, eine Fehlerausweitung zumindest zu erschweren. Aber die eigentliche Ursache liegt in einer bisher üblichen und bislang sehr erfolgreichen Denkweise – der Denkweise, dass eine zentral vorgenommene Steuerung so viele Vorteile hat, dass dafür eventuelle Nachteile in Kauf genommen werden können. Diese Denkweise hat folgende Fehlerquellen:

Vorteile einer zentralen Steuerung

  • Die Konzentration an notwendigen Personal und Technik bei einer zentralen Steuerung ersetzt einen lokal an vielen Stellen sonst notwendigen Aufwand
  • Bei lokaler Steuerung kann meist nicht das dazu notwendige Fachwissen vorausgesetzt werden
  • Bei einer zentralen Steuerung kann durch Schichtdienst eine durchgängige Überwachung und Bedienbarkeit sichergestellt werden, was lokal meist nicht möglich ist

Nachteile einer zentralen Steuerung

  • Die Sicht einer Zentrale kann die lokale Sicht auf ein eingetretenes Problem nicht ersetzen, damit sind Fehlentscheidungen möglich
  • Bei einem Eingriff einer Zentrale von außen können die lokal auftretenden Folgen nicht komplett eingeschätzt werden und zu erheblichen Schäden führen
  • Eingreifen einer Zentrale kann fehlerhaft erfolgen, kann auch missbräuchlich, mit terroristischen oder sogar kriegerischen Hintergrund erfolgen und auch gleichzeitig an vielen Stellen
  • Eine massenhaft und quasi gleichzeitig erfolgende zentrale Steuerung hat bisher meist nicht bedachte Auswirkungen, die zudem schwer vorhersehbar sind, weil Erfahrungen noch fehlen

Die inzwischen rapid anwachsende Vernetzung der Maschinen untereinander, auch weltweit und sogar auch mobil steigert die Gefahren besonders einer fehlerhaften oder missbräuchlichen zentralen Steuerung in Dimensionen, die bisher noch nicht erreichbar waren und für die deshalb die Erfahrungen noch fehlen. Damit aber werden sie noch nicht wahr und ernst genommen.

Die Fortschritte der Informations- und Kommunikationstechnik (IKT) wurden bisher eher in zentralen Einrichtungen genutzt und führten zu großen Vorteilen. IKT konzentriert angewandt, hat eben viele Vorteile, ist meist weniger aufwendig und normalerweise besser schützbar. Inzwischen aber werden massenhaft sehr leistungsfähige IKT-Komponenten in Bereichen einsetzbar, für die sie vorher nicht eingesetzt wurden (zu teuer, zu groß, zu wenig leistungsfähig, zu unsicher, zu energetisch aufwendig, zu schlecht bedienbar, zu hoher geistiger Aufwand bei der Benutzung, usw.). Alle diese bisher als „normal“ angesehenen Einschränkungen und Schwierigkeiten fallen mehr und mehr weg. Damit müssen bisherige Denkweisen verlassen werden. Auch hier fehlen noch die Wahrnehmung und die Erfahrung.

Massenhaft eingesetzte und untereinander vernetzt agierende IKT-Komponenten führen jedoch zu bisher nicht gekannten Fähigkeiten. Diese Fähigkeiten sind zwar in den einzelnen Komponenten im Grunde angelegt, aber erst ihre massenhafte und nahezu gleichzeitig Wirkungsweise führt zu einem gesamthaften Systemverhalten, das in neue, bisher nicht gekannte Dimensionen führt. Dieser Wandel im Systemverhalten wird als Emergenz bezeichnet und weist gewisse Analogien mit den Phasenübergängen in der Physik auf. Beispielsweise sind die Kräfte zwischen den einzelnen Wassermolekülen die Ursache, dass unterhalb von null Grad Celsius das vorher flüssige Wasser als Ansammlung vieler Wassermoleküle ziemlich schlagartig zu Eis wird und damit ein gänzlich anderes Verhalten aufweist.

Eine Vielzahl vernetzt agierender IKT-Komponenten kann gleichermaßen zu eine Verhalten eines Gesamtsystems führen, das zunächst für unmöglich gehalten wird. In der elektrischen Energieversorgung muss künftig das massenweise Zusammenwirken vieler Energiezellen mit eigener Energiebereitstellung sowie mit einer gewissen lokalen Energiebevorratung und mit eigenen IKT-Komponenten zu einem insgesamt stabilen und hochverfügbaren Gesamtsystem führen. Damit dies gelingen kann, müssen die autonom agierenden Energiezellen sich insgesamt gemeinschaftsdienlich verhalten. Das kann mit einem diesen Energiezellen eingeprägten Verhaltenscodex erreicht werden, wenn für das darin festgelegte Verhalten lokal entsprechende Informationen vorliegen und wenn – sehr wichtig – dazu von außen eine damit übereinstimmend zu interpretierende Gesamtsicht die Energiezellen leiten.

Dieses Leiten von außen ist dann kein Steuern von außen, sondern ein Orchestrieren, weil die übermittelte Gesamtsicht „nur“ zur Plausibilisierung der lokal gewonnenen Sichtweisen durch die auch lokal vorliegenden Informationen völlig selbständig, also autonom, genutzt wird. Für die Idee des Orchestrierens statt Steuern von außen fehlt es derzeit noch an Erfahrungen, auch am Vorstellungsvermögen und vor allem am Vertrauen, dass eine Vielzahl autonom agierender „Agenten“ ein verlässliches Verhalten quasi inhärent, nur über einen Verhaltenscodex und der Kenntnis einer Gesamtsicht geleitet, sicherstellen können.