How to own a Building? Wardriving gegen die Gebäude-Automation

Transkript

1 How to own a Building? Wardriving gegen die Gebäude-Automation Benjamin Kahler, Steffen Wendzel Hochschule Augsburg An der Hochschule 1 D Augsburg benjamin.kahler@hs-augsburg.de steffen.wendzel@hs-ausgurg.de 1 Einleitung Die Entwicklung der GA (Gebäude-Automation) wurde durch den erhöhten Bedarf an komfortablere und zentralisiertere Kontrolle von Gebäuden gefördert insbesondere für das Heizen, das Lüften und für die Klimatisierung. Die während der 1950er Jahre erstmals zur GA eingesetzten pneumatischen Elemente wurden im Laufe der Zeit durch elektrische Bauelemente ersetzt [16]. Aufgrund aktueller Anforderungen besitzen moderne GAs nicht nur Funktionalitäten zur Regelung von Temperatursystemen und Klimageräten, sondern auch zur Regelung von Energiesparmaßnahmen und zur Zutrittskontrolle. Ein weiteres Einsatzgebiet ist AAL (Ambient Assisted Living). AAL dient der Unterstützung älterer und benachteiligter Personen im Alltag. Die Vernetzung der GA mit dem IT-Netzwerk bietet weiteren Komfort bei der Steuerung der Gebäude vom PC aus. Analog zu klassischen Automatisierungssystemen besteht die GA ebenfalls aus Feldgeräten. Dazu gehören zum einen Sensoren zum Messen von Werten als auch Aktoren zum Ausführen von mechanischen Operationen [8]. Die oben genannten Anwendungsfälle machen die Sicherheitsrisiken der GA klar. Durch einen Angriff auf die GA hat ein Angreifer die Möglichkeit, die Gebäudesteuerung zu übernehmen oder etwa im Falle von AAL zukünftig die in GA-Informationssystemen hinterlegten Vitalfunktionen von Bewohnern auszulesen. Ein Angreifer hat die Möglichkeit durch Sensoren Informationen über die Anwesenheit von Personen zu erlangen [14]. Ebenso hat er über die Aktoren eine Möglichkeit sich Zugang zum Gebäude zu verschaffen schließlich kann ein per Befehl geöffnetes Fenster einen Einbruch deutlich erleichtern [10]. Auch kann die Exfiltration vertrauenswürdiger Daten über die GA

2 A DFN Workshop Sicherheit in vernetzten Systemen vereinfacht werden da GA-Netze meist schlechter als die eigentlichen Unternehmensnetze geschützt sind [15]. Betrachtet man die Einsatzgebiete von GA, so stellt man fest, dass sowohl große Firmengebäude als auch Regierungsgebäude wie der Bundestag automatisiert sind [6]. Möchte ein Angreifer mit dem genannten Schema in ein Gebäude eindringen, steht er vor der Herausforderung nicht zu wissen ob ein GA-System vorhanden ist. Ebenso ist ihm zunächst unbekannt, welches GA-Protokoll eingesetzt wird. Dieser Beitrag soll diese Lücke schließen und aufzeigen wie ein Netzwerk auf GA-Systeme hin untersucht werden kann. Wir verwenden zu diesem Zweck eine dem Wardriving ähnliche Technik. Im Folgenden stellen wir die bisherigen Arbeiten anderer Autoren zu Attacken auf W-LANs und Sicherheitssysteme in der GA vor. Weiterhin zeigen wir unseren Wardriving-Ansatz zum Scanning von GA-Systemen. Dieser Ansatz zeigt, wie ZigBee-, HomeMatic- und EIB/KNX-Hardware erkannt werden kann. Abschließend sollen die Ergebnisse dieser Arbeit diskutiert sowie ein Ausblick auf zukünftige Arbeiten zu dem Thema gegeben werden. 2 Bisherige Arbeiten anderer Autoren Da Datenübertragungen in drahtlosen Netzen im Gegensatz zu verkabelten Netzwerken aufgrund des Übertagungsmediums von jedem in Reichweite befindlichen Angreifer abgehört werden können, wurde im IEEE-Standard erstmals das WEP-Verfahren (Wired Equivalent Privacy) vorgeschlagen. Dieses Verfahren bietet W-LAN Teilnehmern die Möglichkeit, verschlüsselt miteinander zu kommunizieren. WEP gilt heute als unsicher, da unter anderem gezeigt wurde, das es einem Angreifer möglich ist, WEP-verschlüsselte Nachrichten zu ändern ohne die WEP-internen Checksummen zu verletzen. Daraus folgend wurden Attacken entwickelt um Pakete entschlüsseln zu können [3]. In [1] wird eine verbesserte Attacke auf WEP vorgestellt. Diese benötigt zum Zurückrechnen des Schlüssels im Mittel weniger aufgenommene Pakete durch den Angreifer als vorhergehende Attacken. Ebenso wird in [1] ein Angriff auf WPA (Wi-Fi Protected Access) beschrieben. Da dass TKIP (Temporal Key Integrity Protocol) eine verbesserte Variante von WEP ist, eignet sich der in [13] beschriebene Chopchop/KoreK-Angriff ebenso zum Angriff auf WPA-TKIP. In [2] wird das Grundkonzept des Wardrivings beschrieben. Dabei wird gezeigt, dass sich Wardriving nicht nur auf das reine Erkennen von WLANs beschränkt, sondern auch auf das Kartographieren dieser. Der Wardriver fährt dazu durch ein Stadtgebiet und versucht drahtlose Access Points zu erkennen. Wardriving basiert auf dem Wardialing, also dem Erkennen von Geräten an Telefon- und Modem-Anschlüssen. Bereits seit über zehn Jahren werden Techniken zur Abhärtung von GA-Systemen entwickelt, doch sind diese in der Praxis in vielen Systemen noch nicht eingebaut. Insgesamt hängt die GA-Security hinter anderen Security-Bereichen (etwa Betriebssystem- oder Browser- Sicherheit) hinterher. So sind einige Protokolle und kryptografische Algorithmen noch geheim gehalten und nicht von der Community verifiziert wurden dies war etwa bis vor Kurzem beim HomeMatic-System der Fall. Insbesondere gibt es in der Forschung Ansätze von grundlegender Bedeutung für die GA- Sicherheit: Der Einsatz von Smart Cards für Feldbus-Systeme in der GA wurde 2003 in [11] vorgestellt. Granzer et al. evaluierten die Sicherheit der bereits vorhandenen GA-Systeme und

3 B. Kahler, S. Wendzel: How to own a Building? A-3 möglicher Risiken der GA [4, 5]. Mit EIBSec wurden IPSec-ähnliche Features für EIB eingeführt [4]. Des Weiteren existieren Middleware-Ansätze zur Abkapselung von Hardware- Spezifika und zur Integration von Role-based Access Control [7], sowie zur Vermeidung von verdeckten Kanälen und von Seitenkanälen in der GA [14, 15]. 3 Wardriving neu gedacht Klassisches Wardriving beschränkte sich in den vergangenen Jahren hauptsächlich auf das Suchen und Einbrechen in W-LANs. Wie bereits in Abschnitt 1 angekündigt, soll in dieser Arbeit gezeigt werden, wie ein Angreifer Informationen über GA-Systeme eines potentiellen Angriffsziels erlangen kann. Um diese Informationen zu erlangen verwenden wir das klassische Wardriving-Verfahren und erweitern dieses zur Erkennung der bereits genannten GA-Systeme. In den folgenden Unterkapiteln stellen wir unsere zugehörige Methodik vor. Es soll jeweils erklärt werden, wie das GA-System HomeMatic sowie ein ZigBee- und EIB/KNX-basiertes Produkt erkannt werden können. 3.1 Methodik Um das Netzwerk eines Gebäudes auf das Vorhandensein eines GA-Systems hin zu untersuchen, muss der erste Schritt eines Angreifers das Eindringen in das Netzwerk sein. Alternativ kann er direkt (etwa bei ZigBee oder HomeMatic) per Funk nach entsprechenden Geräten suchen. Wie in Abbildung 1 gezeigt, deckt sich der erste Schritt mit dem klassischen W-LAN- Wardriving. Ein Angreifer sucht ausgehend von seiner Position drahtlose Netzwerke in der Umgebung. Anschließend an diese Informationsgewinnung wird ein aktiver Angriff auf das Netzwerk gestartet. Abbildung 1: Grundlegendes Konzept zum GA-Wardriving In Abschnitt 2 wurden bereits Angriffe auf W-LANs skizziert. Da diese Angriffe in der Literatur bereits ausreichend behandelt wurden, soll in diesem Beitrag davon ausgegangen werden, dass ein Angreifer sowohl die Mittel also auch das Wissen für einen erfolgreichen Angriff auf ein verschlüsseltes W-LAN besitzt. Neben dem Eindringen über das drahtlose Netzwerk ergibt sich für den Angreifer eine weitere Möglichkeit: Ein weiterer Eintrittspunkt sind Netzwerkdosen über die eine Verbindung zum LAN aufgebaut werden kann. Möchte ein Angreifer die GA ausnutzen um sich Zugang zum

4 A DFN Workshop Sicherheit in vernetzten Systemen Gebäude zu verschaffen, hat er in der Regel jedoch keinen Zugriff auf diese Anschlüsse. Ein Angriff auf das W-LAN bietet ihm die Möglichkeit von außerhalb in das Netzwerk einzudringen und nach GA-Systemen zu suchen. Die nachfolgenden Techniken zur Erkennung basieren auf diesem Vorgehen. Weiterhin werden für das ZigBee-basierte System sowie für die Home- Matic Verfahren vorgeschlagen, die geeignet sind diese drahtlosen GA-Systeme von außen zu erkennen. 3.2 Erkennung Davon ausgehend, dass ein Angreifer über das W-LAN in ein Netzwerk eingedrungen ist, kann entsprechend ein weiterer aktiver Angriff gestartet werden. Dieser soll GA-Systeme und deren zugehörige Protokolle im Netz lokalisieren. Zum Erreichen dieses Ziels kann grundsätzlich ein Portscan hilfreich sein. Das Portscan-Verfahren ist in Abbildung 2 dargestellt. Hat ein Angreifer Zugang zum W-LAN eines Gebäudes, kann er sich ebenso im verkabelten LAN ausbreiten und Portscans (etwa mit nmap) auf alle Geräte im Netzwerk starten. Aus den Resultaten dieses Portscans werden Nicht-GA-Hosts gefiltert (sofern diese offensichtlich erscheinen). Die verbleibenden Geräte können einzeln und ausführlich gescannt werden. Bei einer großen Anzahl zu untersuchender Hosts stellen vollständige Scans (mit Dienste- und Betriebssystem-Erkennung) einen signifikant größeren Zeitaufwand als normale Portscans dar. Entsprechend bietet dieses Vorgehen den Vorteil, dass nicht jedes System vollständig gescannt werden muss. Das führt einerseits zu einer Zeitersparnis auf Seiten des Angreifers, zum anderen zu weniger erzeugtem Netzwerk- Traffic während des Scans. Abbildung 2: Portscan nach erfolgtem Einbruch in das W-LAN Zusätzlich zu diesem Vorgehen soll in den folgenden Abschnintten je nach GA-System eine weitere Möglichkeit zum Erkennen gezeigt werden. Als Sonderfall soll die Suchmaschine Shodan 1 vorgestellt werden. Mithilfe dieser können öffentlich erreichbare GA-Systeme gefunden werden. 1

5 B. Kahler, S. Wendzel: How to own a Building? A ZigBee ZigBee ist ein Protokollstack zur drahtlosen Kommunikation mit Feldgeräten. Wie in Abbildung 3 dargestellt, ist das zu untersuchende ZigBee-System über ein Steuergerät an das LAN angeschlossen. Die Komponenten zur Automation werden von diesem Gerät über Funk angesteuert. Verwendet wurde das Steuergerät Adhoco.H1 des Herstellers Adhoco. Die Erkennung beruht dabei auf zwei Möglichkeiten: Zum einen soll das Steuergerät über einen Portscan erkannt werden, zum anderen soll ein existierendes ZigBee-Funknetz über ein ZigBee-Gateway auf dem PC des Angreifers erkannt werden. Abbildung 3: Portscan auf das verwendete ZigBee System Der Portscan mit nmap auf dem Steuergerät Adhoco.H1 zeigt einen geöffneten Port Die Erkennung der GA kann durch die Dienst-Erkennung von nmap erfolgen. Da das Steuergerät einen geöffneten TCP-Port 8080 aufweist, deutet dies auf eine Webanwendung zum Steuern eines Gerätes hin. Aufgrund der oben genannten Resultate eines ersten Scans soll das gefundene Gerät genauer untersucht werden. Für einen ausführlichen Scan bietet nmap die Optionen -A zur Dienstsowie Betriebssystem-Erkennung. Hier wird als Dienst auf TCP-Port 8080 Jetty httpd 4.2.x (Linux/ fs.1-adhoco-276 armv4tl java/null) erkannnt. Aufgrund dieses Ergebnisses kann neben dem Webserver auch der Hersteller Adhoco erkannt werden. Diese Information identifiziert die Zentrale der GA eindeutig. Die zweite Möglichkeit, ZigBee-GA-Systeme zu erkennen, bietet sich durch ein ZigBee-USB- Gateway. Für diese Erkennung verwenden wir das Adhoco Produkt X1. Dieses Gerät erkennt in der Nähe befindliche ZigBee Geräte allerdings nur unter bestimmten Voraussetzungen: Ein Angreifer muss sich in der Funkreichweite der Feldgeräte befinden um diese zu erkennen. Weiterhin sind durch das ZigBee-Protokoll einige Einschränkungen gegeben: Dieses Protokoll-Gateway agiert als Steuergerät im ZigBee-PAN (Personal Area Network). Ein Steuergerät weist diesem PAN eine eindeutige ID, die PAN-ID, zu. Befindet sich ein Feldgerät in einem dieser PANs, so kann es von anderen nicht erreicht werden. Aus dieser Problematik heraus steht ein Angreifer vor der Herausforderung, ein bereits existierendes PAN mit dieser Hardware zuerst nicht erkennen zu können. Um dieses Problem zu umgehen, platziert sich der Angreifer mit seinem Gateway in der Reichweite des zu untersuchenden Gebäudes und wartet bis sich ein neues Gerät versucht in einem PAN anzumelden. Erkennt er den Anmeldevorgang, so kann er von diesem Zeitpunkt an davon ausgehen, dass im Gebäude eine ZigBee-basierte GA vorhanden ist. Auch kann eine Variante dieses Vorgehens genutzt werden um Profile über Personen und deren Aufenthalt im Gebäude zu erstellen. Kann sich ein Angreifer die Möglichkeit schaffen, mehrere Sensoren zu übernehmen und über seinen Controller zu überwachen, so ist es ihm möglich,

6 A DFN Workshop Sicherheit in vernetzten Systemen über längere Zeiträume Profile der Nutzung von Räumen und Gebäudeteilen erstellen. Dies bietet ihm beispielsweise die Möglichkeit, einen Einbruch genau auf Abwesenheitszeiten abzustimmen [14]. Aus den oben genannten Möglichkeiten ergeben sich für einen Angreifer mehrere Möglichkeiten. Einerseits kann das hier verwendete ZigBee-Steuergerät über den verwendeten HTTP- Dienst erkannt werden. Andererseits ist es möglich ein ZigBee-Netzwerk bei der Anmeldung eines neuen Geräts zu erkennen ohne in das W-LAN eingebrochen zu sein. Über die drahtlose Kommunikation können auf diese Weise Feldgeräte übernommen und von außerhalb Werte abgelesen oder Aktionen getriggert werden HomeMatic Das GA-System HomeMatic 2 zielt auf den Einsatz im privaten Bereich ab. Dazu können die einzelnen Automationsgeräte über ein zentrales Steuergerät kontrolliert und geregelt werden. Dieses Steuergerät die HomeMatic-Zentrale kann an das LAN angeschlossen werden um die GA über ein Webinterface zu administrieren. Die Erkennung der HomeMatic gliedert sich in zwei Schritte: Die Erkennung der geöffneten Ports und Dienste sowie die Erkennung der Weoboberfläche. Genutzt wurde von für diesen Beitrag die HomeMatic-Zentrale HM-Cen-3-1-B mit der Firmwareversion Aus einem ersten Netzwerkscan sticht die HomeMatic-Zentrale bereits leicht hervor (geöffnete Ports 80 und 443). Das Gerät weist als MAC Adresse 00:1A:22:00:A5:64 (eq-3 GmbH) auf. Zur Identifikation einer HomeMatic-Zentrale finden nach einer anschließenden Diensteerkennung bestimmte Parameter die auf eine HomeMatic schließen lassen. Das Betriebssystem wird durch nmap fälschlicherweise als Chumby Internet radio erkannt, ist aber ein Linux 2.6.x [12]. Weiterhin erkennt nmap den Webserver lighthttpd in der Version Über die Weboberfläche bietet die HomeMatic-Zentrale einem Nutzer die Möglichkeit, die GA zentralisiert zu steuern und zu überwachen. Ein Angreifer kann diese Weboberfläche aber ebenfalls zur Erkennung der GA benutzen. Das im Listing 1 gezeigte Skript ermöglicht das Erkennen einer HomeMatic-Zentrale über deren Weboberfläche. Dabei wird via HTTP eine Webseite aufgerufen und der Inhalt auf das Vorkommen des Strings HomeMatic hin untersucht. Befindet sich eine solche Webseite im LAN, kann davon ausgegangen werden, dass die zugehörige IP eine HomeMatic-Zentrale ist. Listing 1: Minimales Python-Skript zum Erkennen der HomeMatic-Weboberfläche c = u r l l i b. u r l o p e n ( a d r e s s ) c o n t e n t = c. r e a d ( ) i f " HomeMatic " in c o n t e n t : p r i n t ( " HomeMatic Z e n t r a l e " ) c. c l o s e ( ) Es lässt sich sagen, dass eine HomeMatic-Zentrale durch einen Angreifer anhand von zwei Parametern erkannt werden kann. So kann der Angreifer durch die in der MAC-Adresse codierte 2

7 B. Kahler, S. Wendzel: How to own a Building? A-7 Herstellerkennung vermuten, dass ein HomeMatic-Gerät erkannt wurde. Anschließend kann er diese Vermutung bestätigen, indem er das oben genannte Skript ausführt. Die cirosec GmbH analysierte das proprietäre Funkprotokoll der HomeMatic bereits [12]. Die uns zur Verfügung gestellten Daten zeigen auf, dass das 868,3 MHz Band zur drahtlosen Datenübertragung genutzt wird. Es wird der CC1100 Chip von Texas-Instruments sowie das CC1100-Nachrichtenformat zur Funkübertragung verwendet. Als Nachrichtenformat für die HomeMatic wird das BidCos-RF Protokoll (wie in Abbildung 4 dargestellt) genutzt. Die Nachrichten liegen unverschlüsselt vor und werden nur durch wenige Bitoperationen codiert. Dazu wird das Bit 0 der Nachricht gekippt und mit 0x89 XORverknüpft. Das Bit 4 wird mit 0xDC UND-Verknüpft und mit dem Bit 5 XOR verknüpft auf dem neuen Bit 5 abgebildet. Das letzte Bit der Nachricht wird mit Bit 1 XOR-verknüpft. Dadurch unterscheidet sich die kodierte Nachricht nur im nullten, fünften und letzten Bit von der Originalnachricht. Abbildung 4: BidCoS Nachrichtenformat (nach [12]). Weiterhin konnte cirosec feststellen, dass die beworbene AES Verschlüsselung der HomeMatic für ein Challenge-And-Response-Verfahren zur Authentifizierung, jedoch nicht zur Verschlüsselung der kompletten Nachrichten zwischen den HomeMatic-Geräten, genutzt wird. Ein Angreifer kann sich diese Erkenntnisse zu Nutzen machen. Durch die Verwendung eines Funkmoduls auf dem verwendeten Funkband kann selbiger Nachrichten mithören. Ist es ihm möglich, HomeMatic-Nachrichten zu empfangen, so hat er eine HomeMatic-GA erkannt EIB/KNX Wenden wir uns nun der Identifikation eines KNX-Gerätes zu. KNX ist ein Standard für ein Bussystem basierend auf dem EIB-Standard (Europäischer Installationsbus). In unserem Versuchsaufbau wurde die Automations-Hardware an ein Steuergerät angeschlossen. Dazu wurde das Panel ComfortTouch des Herstellers BuschJaeger mit der Firmware 2.3 benutzt. Dieses Panel ist zusätzlich mit dem Gebäude-LAN verbunden. Die Feldbusgeräte lassen sich so vom Panel aus überwachen und steuern. Zur Erkennung des EIB/KNX-Steuergerätes werden ebenfalls zwei Varianten vorgestellt: Zum einen soll das Steuergerät über Portscans, zum anderen die Weboberfläche des EIB/KNX-Steuergerätes erkannt werden. Nach einem erfolgten Einbruch in das W-LAN deckt ein erster Portscan mögliche Steuergeräte auf: Das EIB/KNX-Steuergerät weist die geöffneten TCP-Ports 22 (SSH) und 80 (HTTP) auf. Aufgrund dieser Resultate soll ein erweiterter Scan aufdecken, ob dieses Gerät ein EIB/KNX- Steuergerät ist. Wie beim Vorgehen in den Abschnitten zur HomeMatic und zur Adhoco- ZigBee benutzen wir hierzu nmap mit dem Parameter -A. Die Ergebnisse dieses Scans zeigen, dass als SSH-Dienst OpenSSH in der Version 5.3 (SSH 2.0) läuft. Der HTTP-Dienst kann nicht erkannt werden, da kein Server-String geliefert wird. Ebenfalls kann aus dem TCP- Fingerprint des ComfortTouch kein Betriebssystem abgeleitet werden. Ein Scan mit den Optio-

8 A DFN Workshop Sicherheit in vernetzten Systemen nen --osscan-guess und --fuzzy ergibt eine Wahrscheinlichkeit von 97% für Linux 2.6.X Linux 2.4.X. Eine eindeutigere Methode zur Identifikation des ComfortTouch-Systems ergibt sich durch die Weboberfläche. Diese enthält das Logo des Unternehmens anhand dessen die Software erkannt werden kann. Um eine eindeutige Erkennung zu gewährleisten, soll ein Hashwert des Logos errechnet werden und mit bekannten Hashwerten des Logos verglichen werden. 3 Potentielle EIB/KNX-Steuergeräte müssen nach Bildern untersucht werden um die Hashsummen zu vergleichen. Möchte ein Angreifer ein Netzwerk auf diesen Typ von EIB/KNX-Steuergeräten hin untersuchen, so ist ein einfacher Portscan nicht ausreichend um eindeutige Ergebnisse zu erhalten. Entsprechend bietet es sich an, Hashwerte des Herstellerlogs mit einem automatisierten Verfahren wie in Listing 1 zu vergleichen Sonderfall: Shodan Abschließend soll in diesem Beitrag noch eine weitere Möglichkeit zur Suche von installierten GA-Systemen Erwähnung finden. Die Suchmaschine Shodan untersucht die Identifikationsmerkmale öffentlicher Systeme nach bestimmten Begriffen. Da viele Geräte in der Standardkonfiguration Informationen über sich selbst preisgeben, können hier Schlagworte gezielt genutzt werden um Automationssysteme zu finden. Verschiedene Filtertechniken lassen die Ergebnisse beispielsweise ortsbezogen eingrenzen. Abbildung 5 zeigt ein beispielhaftes Teilergebnis einer Suche nach dem Begriff HomeMatic im Bereich Deutschland. Abbildung 5: Screenshot einer über Shodan gefundenen HomeMatic-Zentrale Aus verschiedenen Gründen ist Shodan nicht für das gezielte Erkennen von GA-Systemen geeignet: Zum einen ist nicht klar wie oft Shodan Geräte indiziert. Es wurden zum Teil Geräte gefunden, die bereits im Jahr 2010 indiziert wurden, zum jetzigen Zeitpunkt aber nicht mehr erreichbar sind. Weiterhin sind durch das Konzept von Shodan nur öffentlich erreichbare IPs indiziert. Weiterhin können nur bestimmte GA-Systeme gefunden werden ist ein Steuergerät dahingehend gehärtet, dass es im HTTP-Header keine Informationen preisgibt, so kann es nicht gefunden werden. 3.3 Schwachstellen ausnutzen und Privilegien erweitern Hat ein Angreifer einen Einbruch als Ziel und kann ein System als GA identifizieren, wird sein weiteres Vorgehen darauf abzielen die GA zur Einbruchserleichterung zu nutzen. Dazu hat er 3 Zum Beispiel mit SHA1: 96d3667ac51ff6907fd60dffe75bbb18d44938d6

9 B. Kahler, S. Wendzel: How to own a Building? A-9 mehrere Möglichkeiten. Beispielsweise kann er mit Kontrolle über das Steuersystem Aktoren ansprechen um Fenster oder Türen zu öffnen. Weiterhin kann ein Angreifer mit destruktiven Zielen die Energiekosten eines Unternehmens erhöhen in dem er wie in [4] beschrieben einen Angriff auf das Beleuchtungssystem durchführt. Am Beispiel der HomeMatic-Zentrale lässt sich das Vorgehen eines Angreifers darstellen. Eine Directory-Traversal-Attacke auf lighttpd 4 bietet die Möglichkeit sensible Daten offenzulegen. Diese Attacke wurde durch uns auf der HomeMatic-Zentrale HM-Cen-3-1-b mit der Firmware getestet. Da auch die aktuelle Firmware den verwundbaren Webserver lighttpd enthält, ist diese aktuelle Firmware ebenfalls für den im nachfolgenden dargestellten Angriff anfällig. Das Ausnutzen der Directory-Traversal-Schwachstelle stellt sich wie folgt dar: Nachdem eine Verbindung via telnet auf den Port 80 der HomeMatic-Zentrale aufgebaut wurde, können beliebige Daten über einen GET-Request heruntergeladen werden. Wie in Listing 2 gezeigt, kann mit Verzeichniskommandos Zugriff auf jede Systemdatei erlangt werden. Der im Listing aufgeführten Datei kommt besondere Bedeutung zu, denn dort sind unter anderem die Nutzerdaten für den Zugriff auf die Weboberfläche gespeichert. Für jedes Nutzerkonto liegt das Kennwort in dieser Datei als MD5-Hash vor. Mit einem Tool wie John the Ripper oder mit schnelleren Techniken, wie in [9] beschrieben, kann das Klartextkennwort zum Hash erlangt werden. Listing 2: Directory-Traversal-Attacke auf die HomeMatic-Zentrale attacker@machine :~# t e l n e t Trying Connected t o Escape c h a r a c t e r i s ^ ]. GET /.. /.. /.. /.. /.. /.. /.. /.. /.. /.. /.. /.. / e t c / c o n f i g / homematic. regadom HTTP / 1. 0 Weiterhin kann die Datei /etc/passwd abgezogen werden. Standardmäßig ist für den root- Account des Linux-Systems auf der HomeMatic-Zentrale kein Kennwort gesetzt. Wird das SSH-Plugin Dropbear 2.1 nachinstalliert, wird von diesem ein Kennwort für root in die passwd-datei gesetzt. Dieser Hash kann ebenfalls angegriffen werden um das Klartextpasswort zu erlangen. 4 Fazit und Ausblick Nachdem die Möglichkeiten zum Erkennen von GA-Systemen beschrieben wurden, sollen diese Ergebnisse diskutiert und ein Fazit daraus gezogen werden. Ist ein Angreifer in ein W- LAN eingedrungen und möchte herausfinden, ob in dem Netzwerk eine GA vorhanden ist, so kann er die oben vorgestellten Verfahren zur Erkennung der GA nutzen: 1. Zuerst wird das gesamte Netzwerk gescannt und anschließend die Ergebnisse anhand der geöffneten Ports gefiltert. Hat ein Gerät im LAN beispielsweise einen geöffneten 4 Siehe:

10 A DFN Workshop Sicherheit in vernetzten Systemen TCP-Port 80, deutet dies auf einen Webserver hin. Da die meisten Steuergeräte zur GA eine Weboberfläche für die Administration besitzen, ist dies ein erster (wenn auch geringfügiger) Ansatzpunkt um eine GA zu erkennen. 2. Der nächste Schritt ist ein weiterführender Scan der gefilterten Resultate. Da ein vollständiger Scan mit Dienst- sowie Betriebssystem-Erkennung erheblich länger als ein einfacher Portscan dauert, empfiehlt es sich, diesen nur auf die gefilterten Ergebnisse auszuführen. Bei der ZigBee-GA des Herstellers Adhoco ist dieses Verfahren ausreichend um eine eindeutige Erkennung des GA-Steuergerätes zu ermöglichen. Aufgrund der Natur der vorgestellten Identifikationsverfahren, kann ein Angreifer auch über das LAN GA-Steuergeräte erkennen. Falls in einem speziellen Fall kein Zugriff über das W- LAN möglich ist, aber ein physikalischer Zugriff auf das Gebäude-LAN besteht, kann ein potentieller Einbrecher sich so weiteren Zugang zu bisher verschlossenen Gebäudeteilen ermöglichen. Weitere Verfahren basieren auf den Weboberflächen der Steuergeräte. Wie bei der HomeMatic- Zentrale und dem ComfortTouch-Panel zur EIB/KNX-Steuerung gezeigt wurde, kann eine Erkennung über diesen Weg stattfinden. Dazu müssen eindeutige Zeichenketten oder Herstellerlogos in der Webanwendung identifiziert und verglichen werden. Diese Erkennung kann (wie oben gezeigt) automatisiert werden um möglichst schnell und eindeutig eine GA in einem Netzwerk zu erkennen. Für eine Erkennung der HomeMatic-GA sollte ein hybrides Verfahren gewählt werden. Nach einem Scan der HomeMatic-Zentrale ist über die MAC-Adresse der Hersteller eq-3 bekannt. Da aber auch andere GA-Systeme (uns ist bisher zumindest RWE-SmartHome bekannt) eine MAC-Adresse mit der Herstellerkennung von eq-3 haben, sollte zu einer vollständigen Erkennung der HomeMatic zusätzlich noch der Inhalt der Weboberfläche validiert werden. Durch die Analyse der HomeMatic in [12] kann eine Erkennung auch über das Funk-Protokoll stattfinden. Dazu muss der Angreifer die Möglichkeit haben, auf der Frequenz des verwendeten 868,3 Mhz-Bandes zu lauschen. Im Rahmen zukünftiger Arbeiten soll eine Möglichkeit zur funkbasierten Erkennung der HomeMatic implementiert werden. Anschließend soll überprüft werden, in wie weit Man-in-the-Middle-Attacken und Replay-Angriffe möglich sind und wie diese umgesetzt werden können. Weiterhin wurde gezeigt, dass es einem Angreifer möglich ist, die ZigBee-Lösung von Adhoco zu erkennen, wenn ein neues Gerät dem PAN hinzugefügt werden soll. Dieses Vorgehen hebt sich von den Portscanning-Verfahren ab, da kein Einbruch in das W-LAN des Gebäudes erfolgen muss. Eine Möglichkeit, bestehende ZigBee-PANs mit Hilfe des killerbee-frameworks 5 zu erkennen, soll Gegenstand zukünftiger Arbeiten auf diesem Gebiet werden. Ebenfalls wurde untersucht, wie ein Angreifer weiter vorgehen kann um die gefundenen GA- Systeme anzugreifen. Hierfür wurde als Beispiel eine Schwachstelle des Webservers lighttpd ausgenutzt um Zugriff auf sensible Daten einer HomeMatic Control Unit zu bekommen. Ein Angriff auf die dort vorhandenen Passworthashes hilft bei der Erweiterung der Privilegien. In zukünftigen Arbeiten soll gezeigt werden, wie die Adhoco-ZigBee- und die BuschJaeger- EIB/KNX-GA angegriffen werden können. 5

11 B. Kahler, S. Wendzel: How to own a Building? A-11 Es wurde weiterhin gezeigt, wie ein Angreifer weiter vorgehen kann um die gefundenen GA- Systeme anzugreifen. Hierfür wurde als Beispiel eine Schwachstelle des Webservers lighttpd ausgenutzt um Zugriff auf sensible Daten einer HomeMatic Control Unit zu bekommen. Ein Angriff auf die dort vorhandenen Passworthashes hilft bei der Erweiterung der Privilegien. In zukünftigen Arbeiten soll gezeigt werden, wie die Adhoco-ZigBee- und die BuschJaeger- EIB/KNX-GA angegriffen werden können. Eine kritische Betrachtung der in diesem Beitrag beschriebenen Verfahren zeigt aber auch deren Nachteile auf: Ein Angreifer kann über Portscanning nur dann eine GA erkennen, wenn diese zu Administrations- und Monitoringzwecken mit dem Gebäude-LAN verbunden ist. Arbeitet die GA vollständig autonom, so hat ein Angreifer keine Möglichkeit diese über ein Portscanning zu erkennen. Weiterhin eignen sich die von uns vorgestellten Portscanning-Verfahren nur zur Erkennung der GA-Steuerungen. Geräte zur Automation auf Feldebene können mittels Portscanning nicht erkannt werden. Ebenfalls können mit den vorgestellten Techniken über Portscans nur herstellerspezifische Geräte erkannt werden. Ziel weiterer Arbeiten soll es sein, diese Verfahren zu generalisieren um GA-Systeme unabhängig vom Hersteller zu identifizieren. Die nachfolgende Tabelle liefert einen Überblick zur GA-Erkennung: HomeMatic eq-3 HomeMatic lighthttpd Produkt Verfahren MAC HTTP- Content HTTP-Server- Banner Funkprotokoll HomeMatic- Analyse (cirosec) EIB/KNX (BuschJaeger) logo.png-hash ZigBee (Adhoco) Jetty httpd ZigBee- USB- Gateway Danksagung Wir bedanken uns bei dem Geschäftsführer der cirosec GmbH, Stefan Strobel, für die zur Verfügung gestellten Unterlagen über die Analyse der HomeMatic. Dieser Beitrag entstand im Rahmen des IT4SE-Projekts. IT4SE ist Teil der APRA Initiative zur Etablierung gemeinsamer Forschungsstrukturen zwischen deutschen Universitäten und Hochschulen mit Partnern aus dem Asiatisch-Pazifischen Forschungsraum (Asia Pacific Research Area). IT4SE wird gefördert vom Deutschen Ministerium für Bildung und Forschung (BMBF).

12 A DFN Workshop Sicherheit in vernetzten Systemen Literatur [1] M. Beck and E. Tews. Practical attacks against WEP and WPA. In Proceedings of the second ACM conference on Wireless network security, pages 79 86, March [2] H. Berghel. Wireless infidelity I: War driving. Communications of the ACM, 47(9):21 26, September [3] N. Borisov, I. Goldberg, and Wagner D. Interecpting mobile communications: the insecurity of In Proceedings of the 7th annual international conference on mobile computing and networking, pages , January [4] W. Granzer, W. Kastner, G. Neugschwandtner, and F. Praus. Security in networked building automation systems. In Factory Communication Systems, 2006 IEEE International Workshop on, pages , [5] W. Granzer, F. Praus, and W. Kastner. Security in building automation systems. Industrial Electronics, IEEE Transactions on, 57(11): , November [6] K. Leber. BACnet s success in germany. BACnet Today (A Supplement to ASHRAE Journal), pages 30 34, October [7] Antonio Maña, Carsten Rudolph, Mario Hoffmann, Atta Badii, Stephan Engberg, Renjith Nair, Daniel Thiemert, Manuel Matthess, and Julian Schütte. Towards semantic resolution of security in ambient environments. In Developing Ambient Intelligence, pages Springer Paris, [8] H. Merz, T. Hansemann, and C. Hübner. Building Automation Communication Systems with EIB/KNX, LON and BACnet. Signals and Communication Technology. Springer Berlin Heidelberg, [9] T. Murakami, R. Kasahara, and T. Saito. An implementation and its evaluation of password cracking tool parallelized on gpgpu. In Communications and Information Technologies (ISCIT), 2010 International Symposium on, pages , oct [10] T. Rist, S. Wendzel, M. Masoodian, and E. André. Next-generation home automation systems. In Techniken für Menschen im nächsten Jahrzehnt Beiträge zum Usability Day X, pages Pabst Science Publishers, [11] C. Schwaiger and A. Treytl. Smart card based security for fieldbus systems. In Emerging Technologies and Factory Automation, Proceedings. ETFA 03. IEEE Conference, volume 1, pages , [12] S. Strobel. HomeMatic Analyse. Unpublizierte Präsentation der cirosec GmbH über HomeMatic-Sicherheit. [13] E. Tews. Attacks on the WEP protocol. Cryptology eprint Archive, Report 2007/471,

13 B. Kahler, S. Wendzel: How to own a Building? A-13 [14] S. Wendzel. Covert and side channels in buildings and the prototype of a building-aware active warden. In Proc. IEEE Int. Workshop on Security and Forensics in Communication Systems (SFCS 2012), pages , (im Druck). [15] S. Wendzel, B. Kahler, and T. Rist. Covert channels and their prevention in building automation protocols a prototype exemplified using BACnet. In 2nd Workshop on Security of Systems and Software Resiliency in Proc IEEE Int. Conf. on Green Computing and Communications, Conf. on Internet of Things, and Conf. on Cyber, Physical and Social Computing, pages IEEE, [16] A.C.W. Wong and A.T.P. So. Building automation in the 21st century. In Fourth International Conference on Advances in Power System Control, Operation and Management (APSCOM 97), pages , November 1997.