Ich weiß, was du letzte Woche getan hast! SEITENKANÄLE IN DER GEBÄUDEAUTOMATION

Transkript

1 Ich weiß, was du letzte Woche getan hast! SEITENKANÄLE IN DER GEBÄUDEAUTOMATION Steffen Wendzel 1

2 Steffen Wendzel Doktorand (FernUniversität in Hagen) Wissenschaftlicher MA (Hochschule Augsburg) Projekt ebusiness Lotse Informationsbüro für Unternehmen Fokus: Security und Industrie-Automation Hochschule Augsburg, AITI-Park und Universität Augsburg HSASec (Sicherheitsgruppe der HS Augsburg) vorher: IT4SE Freier Autor (mehrere Bücher zu Linux und IT-Security) 2

3 Agenda Kurze Einführung GA Sicherheit in der GA Verdeckte Kanäle und Seitenkanäle in der GA Verhinderung verdeckter Kanäle und Seitenkanäle mit Open Source Software 3

4 Gebäude-Automation Ein neuer Hype? Nein, seit 1950'er (pneumatisch), später elektrisch Smart Home / Smart Building Einsparung von Energie Kostenreduktion 40% des Energieverbrauchs, 20% der CO2-Ausstöße Weniger Manpower für Facility Management notwendig Geringere Energiekosten Fernsteuerbares Gebäude/Komfortgewinn via Web, via Funk, via Smartphone Aus: S. Soucek and G. Zucker. Current developments and challenges in building automation. e & i (Elektrotechnik und Informationstechnik), 129(4): ,

5 Was wird gemacht? Sensoren und Aktuatoren Überwachung der Temperatur, Luftfeuchtigkeit, Luftqualität (etwa Sauerstoffgehalt in Vorlesungsraum) Bewegungssensoren Heating Ventilation Air-Conditioning (HVAC) Klimatechnik, Heizungssteuerung, Lüftung, Fenstersteuerung, Jalousien Zutrittskontrolle (PAC) Aufzüge/Rolltreppen 5

6 Gebäude-Automation 6

7 Welche Technologien gibt es? Diverse Technologien seit vielen Jahren vorhanden Eigene Protokoll-Stacks: Bustechnologien: KNX, BACnet, LonWorks, (TCP/IP) Ethernet, MS/TP, ZigBee, Heimumfeld: HomeMatic, RWE SmartHome, AdHoco 7

8 Interoperabilität Früher: Abgeschottete, nicht untereinander verbundene GA-Systeme Heute: Vernetzt mit restlicher IT-Infrastruktur Mehrere Gebäude vernetzt trotz untersch. GA-Technologien Daher: Offene, standardisierte Protokolle Gateways Middleware 8

9 Ambient Assisted Living Das Leben im Gebäude erleichtern und an den Menschen anpassen Zielgruppe: Alte und benachteiligte Personen Betreutes Wohnen Kombination mit ehealth 9

10 Building Automation Security erst ab Ende der 90er Thema Wie sieht es heute aus? Hersteller: Sicherheit << Funktionalität viel verschiedene Hardware (Bus-Systeme, Funk) eigene eingebettete Systeme (tw. Linux-basiert) 10

11 Building Automation Security Hersteller: Sicherheit << Funktionalität Bewusstsein für Sicherheitsproblematik kommt nur langsam teilweise unverschlüsselte Funkprotokolle oder Key aus Hardware abziehbar alte Hardware verbaut (nicht leistungsfähig genug für Verschlüsselung) unsichere Web-Interfaces Aber: verbesserte Standards (z.b. bei BACnet) Kaum Nachfrage von Security-Features durch Kunden 11

12 Building Automation Security verschiedene Hardware/Protokolle Bus-Systeme/Funk Interoperabilitätsprobleme (schon seit frühen 90'ern bekannt) closed (Low-level) Interfaces 12

13 Building Automation Security eigene eingebettete Systems HomeMatic-System (eq-3) Linux-Image zum freien Download aber tw. closed source Programme! Verschiedene Angriffe möglich 13

14 Denkbare Szenarien 14

15 Physikalischer Gebäude-Zugriff Beispiel: Einbrecher können das BAS hacken und das Kellerfenster per Befehl öffnen. Aus: D. G. Holmberg. Enemies at the gates. BACnet Today (A Supplement to ASHRAE Journal), pages B24B28,

16 Terroristische Angriffe Safety-Funktionen der GA Etwa: Abstellen des Feueralarms bevor Angreifer ein Feuer entfacht. Aus: D. Fisk. Cyber security, building automation, and the intelligent building. Intelligent Buildings International, 4(3):169181, Aus: D. G. Holmberg. Enemies at the gates. BACnet Today (A Supplement to ASHRAE Journal), pages B24B28,

17 Zugriff auf Intranet erlangen über das GA-Netz Aus: S. Soucek and G. Zucker. Current developments and challenges in building automation. e & i (Elektrotechnik und Informationstechnik), 129(4): ,

18 Weitere Angriffe Typisches: Manipulation von Hardware, DoS, Kostenverursachung durch remote über Nacht aktivierte Beleuchtung Shodan Suchmaschine für Automations-Systeme im Internet Wardriving Joint work mit B. Kahler Aus: W. Granzer, W. Kastner, G. Neugschwandtner, and F. Praus. Security in networked building automation systems. In Proc IEEE International Workshop on Factory Communication Systems, pages , Aus: B. Kahler, S. Wendzel: How to own a Building? Wardriving gegen die Gebäudeautomation, DFN CERT Workshop,

19 Wardriving gegen die GA Letztlich Wardriving Detektion von Geräten (Webinterfaces, MACAdressen ZigBee-Wardriving: Work in Progress Aus: B. Kahler, S. Wendzel: How to own a Building? Wardriving gegen die Gebäudeautomation, DFN CERT Workshop,

20 Detektion AdHoco ZigBee Webserver: Jetty httpd 4.2.x Server-Banner: Linux/ fs.1-adhoco276 ZigBee-USB-Gateway Erkennen von neuen Geräten Aus: B. Kahler, S. Wendzel: How to own a Building? Wardriving gegen die Gebäudeautomation, DFN CERT Workshop,

21 Detektion HomeMatic Webanwendung String: HomeMatic Sonstiges MAC-Adresse (eq3-gmbh) Erkennung über Funk Vorarbeiten durch cirosec GmbH Verwendet 868,3 MHz-Band Keine Verschlüsselung 21

22 Ansätze aus der Forschung Verschlüsselung in verschiedenen Systemen vorhanden EIBSec EIB/KNX (TU-Wien) Inkl. Key Distribution-Funktionalität W. Granzer, W. Kastner, G. Neugschwandtner, and F. Praus. Security in networked building automation systems. In Proc IEEE International Workshop on Factory Communication Systems, pages , Security-Analyse der bestehenden Protokolle C. Schwaiger and A. Treytl. Smart card based security for fieldbus sys tems. In Proc. IEEE Conference on Emerging Technologies and Factory Automation (ETFA 2003), volume 1, pages ,

23 Seitenkanäle & verdeckte Kanäle 23

24 Seitenkanäle in der GA Seitenkanäle sind verdeckte Kanäle ohne vorsätzliches Senden Ein BAS-Seitenkanal erlaubt das Mitlesen von Events im Gebäude Beispiele: Angestellter möchte Dokument von Vorgesetzten entwenden Überwachung der Gesundheit (ehealth/aal) von Bewohnern 24

25 Verdeckte Kanäle in der GA Das Organisationsnetz könnte Datenexfiltration entgegenwirken Datenexfiltration via BAS-Covert Channel Empfänger ist entweder im BAS-Netz oder hat Tunnel-Zugriff 25

26 Read-Ups und Write-Downs 26

27 Secure Middleware Etwa: Person X darf nur die eigenen Energiespardaten einsehen Lösung: Einführung von Role-based Access Control (RBAC) 27

28 Secure Middleware 28

29 MLS für BACnet mit dem OSS BACnet Firewall Router 29

30 MLS für BACnet mit dem OSS BACnet Firewall Router 30

31 MLS+BFR = Side Channel-/ Covert Channel-Schutz 31

32 Konfiguration Primary BFR <BFR> <Ethernet device="eth0" server="secret"/> <Ethernet device="eth1" server="topsec"/> <Switch> <Port client="secret" /> <Port client="topsec" /> </Switch> </BFR> 32

33 Konfiguration Secondary BFR <BFR> <! Configuration of the SECRET level network (lan0). Downstream messages are RECEIVED from the TOP SECRET network (lan1). > <UDP address=" /24" server="lan0" /> <BIP client="lan0" server="ip0" /> <Filter client="ip0" server="ip0x"> <Downstream> <! Accept read down messages > <Accept function="who HAS" /> <Accept function="who IS ROUTER TO NETWORK" /> <Accept function="who HAS" /> <! Reject a sample write down message (I am Router to Network) > <Reject function="im RTN" />... 33

34 Zusammenfassung Es gibt Seitenkanäle und verdeckte Kanäle in der Gebäude-Automation Observation bzw. Daten-Exfiltration möglich Gegenmaßnahmen bisher nur als PoC vorliegend BACnet Firewall Router (BFR) Open Source Schlechte Dokumentation Umständliche Konfiguration (XML Stacks) 34

35 35

36 Unsere Publikationen zum Thema fett = besonders starker Themenbezug. Books: Scientific Papers (Selection): Steffen Wendzel: Tunnel und verdeckte Kanäle im Netz, Springer-Vieweg, (in German) Steffen Wendzel, Jörg Keller: Preventing Protocol Switching Covert Channels, In: International Journal On Advances in Security, vol. 5 no. 3&4, pp , Steffen Wendzel, Benjamin Kahler, Thomas Rist: Covert Channels and their Prevention in Building Automation Protocols -- A Prototype Exemplified Using BACnet, in Proc. 2nd Workshop on Security of Systems and Software Resiliency, pp , Besançon, France, IEEE, Steffen Wendzel, Sebastian Zander: Detecting Protocol Switching Covert Channels, 37th IEEE Conf. on Local Computer Networks (LCN), pp , Clearwater, Florida, IEEE, Steffen Wendzel, Jörg Keller: Systematic Engineering of Control Protocols for Covert Channels, In Proc. 13th Joint IFIP TC6 and TC11 Conference on Communications and Multimedia Security (CMS 2012), LNCS 7394, pp , Canterbury, Springer, Steffen Wendzel: Covert and Side Channels in Buildings and the Prototype of a Building-aware Active Warden, First IEEE International Workshop on Security and Forensics in Communication Systems (SFCS 2012) of the 2012 IEEE ICC, pp , Ottawa, Canada, IEEE, Steffen Wendzel, Jörg Keller: Low-attention forwarding for mobile network covert channels, in Proc. 12th Conference on Communications and Multimedia Security (CMS 2011), IFIP, LNCS vol. 7025, pp , Ghent, Belgium, Springer, More available here: Professional Articles: Benjamin Kahler, Steffen Wendzel: How to own a Building? Wardriving gegen die Gebäude-Automation, in Proc. 20. DFN Workshop ``Sicherheit in vernetzten Systemen'', pp. H1-H13, (in German) 36