Erstellt am: 31. 1. 2012 - 16:00 Uhr
Gefahr für Industrieanlagen aus dem Netz
Montagmittag hatte @HEX0010 auf Twitter noch bekanntgegeben, dass es auf dem Sozialen Netzwerk Pastebin Interessantes zum Thema "SCADA" zu sehen gebe. Auf Pastebin fand sich die Nachricht, dass zwei der Steuerungsanlagen für Industriesysteme (Supervisory Control and Data Acquisition, SCADA) erfolgreich angegriffen und gehackt worden waren. Auf YouTube wurde ein kleines Video veröffentlicht, das die grafische Oberfläche eines solchen SCADA-Systems zeigt.
Nach einem weiteren Tweet merkte ein anderer Benutzer an, dass wohl am Interessantesten an diesen beiden Postings sei, dass nun bereits SCADA-"Exploits" über Twitter zum Kauf angeboten würden. Exploits sind kleine Programme oder Skripts, die eine Sicherheitslücke ausnützen und so einen Angriff ermöglichen. Wenig später war das Twitter-Konto von @HEX00010 bereits gelöscht.
Neue "Metasploit-Module"
Vor zehn Tagen waren auf der S4-Sicherheitskonferenz eine ganze Reihe neuer "Metasploit"-Module veröffentlicht worden. Dabei handelt es sich um Erweiterungen der bekannten Open-Source-Software, die einerseits ein unverzichtbares Werkzeug für Techniker im Security-Bereich ist, um die eigenen Systeme auf Angriffssicherheit zu testen, andererseits können mit Suites wie Metasploit natürlich ebenso "Angriffswaffen" entwickelt werden.
Wie SCADA funktioniert
Die schlechte Nachricht dabei ist, dass die gefährdeten Systeme samt und sonders Industrieanlagen steuern: Kraftwerke, Wasserversorgungsunternehmen, Fertigungsstraßen, bis hin zu Liftsystemen, Kränen usw.
Das technische Setup, ziemlich vereinfacht dargestellt: Über grafische Oberflächen von Windows-PCs werden sogenannte "Programmierbare Logik-Controller" angesprochen, elektronische Schaltgeräte, die Relais, Schaltkreise usw. steuern. Dahinter: Elektromotoren von Pumpen, Hydrauliken, Starkstromschalter von Umspannwerken - oder eben Uranzentrifugen wie im Iran.
Stuxnet und die Inseln
Der berüchtigte Stuxnet-Wurm hatte über die Steuerungssysteme die Drehzahlen der iranischen Uranzentrifugen in Natanz
so lange hinauf- und hinuntergefahren, bis sie defekt waren. Eingedrungen war der Wurm nicht via Internet, sondern über einen USB-Stick.
Das einzig Beruhigende war eben bis jetzt, dass SCADA-Anlagen als Insellösungen konzipiert und als solche von den Bedrohungen des Netzes völlig abgeschottet sind. Leider stimmt das nicht.
Das im iranischen Natans verwendete SCADA-System von Siemens wird von allen großen österreichischen Stromversorgern als Leitsystem ihrer Stromnetze verwendet. Österreichische Firmen sind im Zusammenhang mit im Netz sichtbaren SCADA-Systemen bis jetzt nicht aufgetaucht.
10.000 Systeme am Netz
Eireann P. Leverett, Doktorand an der Universität Cambridge, hatte das Netz für seine Doktorarbeit systematisch abgesucht und mehr als 10.000 SCADA-Systeme gefunden, die Verbindungen zum Internet hatten (und großteils immer noch haben).
Leverett benützte unter anderem die Shodan-Suchmaschine, die noch ausgeprägtere manichäische Züge aufweist als "Metasploit". Damit lässt sich nicht nur schnell eruieren, welche Services auf welchen Web- oder Datenbankservern, Routern usw. laufen. In einem Aufwasch können Kundige auch testen, ob diese Rechner bekannte Sicherheitslücken aufweisen.
Windows XP steuert Kraftwerke
Die Ergebnisse Leveretts sind beunruhigend. Etwa jedes sechste der bisher identifizierten SCADA-Systeme verlangte nicht einmal eine Authentifizierung für Zugriffe. Das ist ein Indiz dafür, dass die Betreiber offenbar keine Ahnung davon haben, dass ihr System im Internet sichtbar ist.
Noch weniger zur Beruhigung trägt bei, dass die Steuerungs-PCs der Anlagen in puncto Softwaresicherheit strukturell jenseits von Gut und Böse sind, nämlich hoffnungslos veraltet. Die weitaus überwiegende Zahl der Steuerrechner läuft auf Windows XP, dem einsamen Allzeitspitzenreiter, was Angreifbarkeit durch Schadsoftware betrifft.
Obendrein handelt es sich nicht etwa um die neuesten XP-Versionen, wie mehrere Experten aus der Anti-Virus-Branche übereinstimmend sagen, denn Servicepacks werden - wenn überhaupt - mit enormer Verspätung auf diesen SCADA-Rechnern eingespielt.
Strukturelles Problem
Was wie bodenlose Schlamperei anmutet, ist tatsächlich ein gefährliches, strukturelles Problem. Die Serviceverträge mit den Herstellern machen Softwareupdates zum Problem, zumal die Garantien der Hersteller in der Regel an eine bestimmte Version des Betriebssystems gebunden sind. Von den Herstellern aber kam bis jetzt stets nur die stereotype Antwort, dass SCADA-Systeme ohnehin nicht via Netz zugänglich seien.
Die "Metasploit"-Suite hat bereits entsprechende Testmodule für die Systeme von 16 verschiedenen Herstellern integriert. Wie an den aktuellen Tweets #SCADA unschwer abzusehen ist, zeigen sich bereits User interessiert, die erkennbar aus dem Anonymous-Umfeld stammen.
Dieses "Argument" wird nicht nur gerade Lügen gestraft, seine Hohlheit zeigt sich auch daran, dass gerade verhältnismäßig neuere SCADA-Systeme mit eigenen Webservern zur Administration ausgestattet sind.
Betroffene Systeme
Bis jetzt zum Vorschein gekommen ist ein ziemliches Sammelsurium von völlig unterschiedlichen Anlagen. Wassversorger in Schweden sind ebenso dabei wie SCADAs des französischen Energiekonzerns EDF, dazu kommen auffällig viele "Walk-in systems". Das sind fertig in Containern gelieferte, kleinere, industrielle Fertigungsanlagen- und Öfen zumeist zur Oberflächenbeschichtung (Lackieren, Bedampfen, Aushärten etc.).
"Onlinegeräte werden sichtbar: Webcams, Router, Kraftwerke, iPhones, Windturbinen, Kühlschränke und VoIP-Telefone", das ist das Motto der Shodan-Suchmaschine
Das Ministerium für Heimatschutz rät
Begonnen hatte die Welle der Veröffentlichungen von SCADA-Schwachstellen schon im November, wobei sich gegenüber früheren Entwicklungen und Gepflogenheiten sehr viel verändert hat. Als nach Stuxnet die SCADA-Systeme ins Zentrum des Interesses gerieten, wurden zuerst einmal die Hersteller über aufgefundene Sicherheitslücken informiert.
Diese Rücksichtnahme endete abrupt, nachdem der Sicherheitsexperte Dillon Beresford Siemens 2011 über kritische SCADA-Lücken unterrichtet hatte.
Das Ergebnis war, dass Beresford im Mai 2011 Besuch von Agenten des US-Ministeriums für Heimatschutz erhielt, auf deren "Anraten" sagte Beresford seine Präsentation auf einer Security-Konferenz dann kurzfristig ab. Die Bereitschaft, unabhängiger Sicherheitsexperten, mit der Industrie zusammenzuarbeiten, ist seitdem sehr gedämpft.
"Ungewöhnlicher Vorfall" im AKW
"Quantitatively Assessing and Visualising Industrial System Attack Surfaces", die Doktorarbeit
von Eireann P. Leverett
Am Montag musste ein Atomreaktor des AKW-Betreibers Exelon in Byron, Illinois wegen eines "ungewöhnlichen Vorfalls" im Schnellgang heruntergefahren werden, nachdem die Pumpen des Kühlsystems für die Turbinen ausgefallen waren. Die werden mit hoher Sicherheit von einem recht betagten SCADA-System gesteuert, denn die AKW-Anlage dahinter ist mehr als 20 Jahre alt.
Ausgelöst wurde zwar nur Alarmstufe eins (von vier), allerdings gab der Betreiber zu, dass Dampf, der schwach radioaktive Tritium-Partikel enthielt, zur Kühlung der Anlage abgelassen werden musste. Eine Ursache für den "ungewöhnlichen Vorfall" wurde nicht genannt.
Anmerkung und Update
Vorschnelle "Post hoc, ergo propter hoc"-Schlüsse sollten jedenfalls vermieden werden, es gibt weder Indizien, noch Beweise dafür, dass hier ein Zusammenhang besteht.