Sicherheitsprobleme im Umfeld IoT und Industrie 4.0

Transkript

1 Sicherheitsprobleme im Umfeld IoT und Industrie 4.0

2 Agenda Einführung und typische Beispiele Beispiele für die Vorgehensweisen der Angreifer Typische Fehler und ihre Ursachen Handlungsempfehlungen 2

3 Dinge des Alltags werden vernetzt und werden gehackt 3

4 Presse-Reaktionen auf Schwachstellen 4

5 Maginon / Supra IPC IP-Kamera Kostengünstige Reihe von IP-Kameras Audioübertragung, Infrarotmodus und Webzugang Verkauft z.b. von Aldi Süd und Aldi Nord Sicherheitslücken in Modellen IPC-10 AC, IPC-100 AC und IPC-20 C Weboberfläche auf Port 80 Selbstständige Portfreigabe im Router per UPnP Aus dem Internet erreichbar Default: ohne Passwort Steuern der Kamera (Bild, Audio, ) Auslesen von Konfiguration und Passwörtern von WLAN, FTP und Mail (sofern konfiguriert) Aktualisierte Firmware verfügbar 5

6 Findet doch keiner? 6

7 The Ring Video Bell WLAN-Setup Smarte Türklingel mit WLAN-Verbindung und Videokamera Zugriff auch remote via Smartphone-App Sicherheitslücke gefunden von Pen Test Partners Demontage des Gehäuses 2 Schrauben von außen zugänglich Drücken des Setup-Knopfs Versetzt Gerät in AP-Modus Gerät erzeugt WLAN-Netz und startet HTTP-Server Einloggen in das neue Netzwerk Aufruf /gainspan/system/config/network Liefert WLAN-Schlüssel des Heimnetzwerks im Klartext 7

8 Medtronic Paradigm Reihe von Insulinpumpen Verabreichen Diabetikern bei Bedarf automatisch eine korrekte Dosis Insulin Black Hat 2011 von Jerome Jay Radcliffe vorgestellt, Verfeinerung von Barnaby Jack (IT-Defense 2012 in München) Schwache Authentifizierung und Verschlüsselung Drahtlose Veränderung der Dosis möglich (Bluetooth) Radcliffes Exploit benötigt RF-Transmitter, 10 Zeilen Perl-Code und die Seriennummer der Pumpe Weiterentwicklung des Hacks durch Barnaby Jack Ausführung des Exploits ohne Seriennummer und über größere Entfernung Demonstration auf der IT-Defense 8

9 Industriesteuerungen, SCADA Eigene Welt, meist von Elektrotechnikern aufgebaut und betrieben Eigene Protokolle Modbus PROFIBUS, PROFINET IEC IEC DNP3 Verfügbarkeit wichtiger als Vertraulichkeit etc. Mit Industrie 4.0 soll alles vernetzt werden 9

10 Öffentliche Function Codes Public Modbus Functions Authentisierung ist nicht vorgesehen Erweiterungen sind in Diskussion, aber nicht im Feld 10

11 Modbus-Interfaces im Internet 11

12 Weiteres Beispiel: Poolsteuerung Vom größten Anbieter von Pool-Pflegemitteln Vom Poolbauer installiert Freischaltung des Zugriffs zur Fernüberwachung erbeten Wie würde ein Hacker vorgehen? 12

13 Pool Manager 13

14 Integration ins lokale Netz 14

15 Anmeldung mit vorgegebener SID 15

16 SID wird nicht geändert 16

17 Primitives Banner Grabbing 17

18 Primitives Banner Grabbing 18

19 Wie aktuell ist Lighttpd ? 19

20 Wie aktuell ist Lighttpd ? Welche Schwachstellen sind bekannt? 20

21 Portscan auf den PM 21

22 Portscan auf den PM 22

23 Login mit trivialen Passwörtern? 23

24 Login mit trivialen Passwörtern? 24

25 Login mit trivialen Passwörtern? Das wäre dann doch zu viel / zu abwegig gewesen sshd blockiert in der Regel Login als root 25

26 Firmware In der Firmware steckt meist alles drin Credentials für den Zugang Benutzernamen, Passwörter, Schlüssel Credentials für den Zugriff des Geräts auf Cloud-Services Informationen über Schwachstellen Auslesen der Firmware per JTAG o.ä. Auch Fuses sind keine Lösung Firmware-Updates im Internet

27 Firmware im Internet? 27

28 Einfaches Entpacken der Firmware 28

29 /etc/passwd und /etc/shadow 29

30 /etc/passwd und /etc/shadow 30

31 /etc/passwd und /etc/shadow 31

32 /etc/shadow 32

33 Passwort per Brute Force ermitteln Große Wörterbücher Grafikkartenunterstützung 33

34 Findet man solche Geräte im Netz? 34

35 Freischaltung im Internet? 35

36 Erster Treffer in Frankreich 36

37 Tatsächlich erreichbar 37

38 Zusammenfassung

39 Fazit IoT und Industrie 4.0 müssen nicht unsicher sein Aber: Sicherheit kostet Geld und Zeit Performance, Strom, Planung, Fortbildung, Implementierung, Sicherheit beginnt beim Management bzw. Design der Geräte Spät angeflanscht wird es nicht klappen Sicherheit gehört in den SDLC Entwickler müssen sensibilisiert und geschult sein Wie würde ein Angreifer meinen Code kaputt machen? Wie entwickelt man sicher? -> Richtlinien Security by Obscurity funktioniert nicht Schlüssel im Code, geheime Verfahren, Selbst erfundene Verschlüsselung funktioniert nicht Auch an Audits, Pentests, Updates und Bug-Bounties denken Und vieles mehr Leider sind wir heute im Bereich IoT und Industrie 4.0 noch weit von Sicherheit entfernt. 39