Öffentlich erreichbare Gebäudeautomatisierung: Amplification-Anfälligkeit von BACnet und Deployment-Analyse im Internet und DFN

Größe: px

Ab Seite anzeigen:

Download "Öffentlich erreichbare Gebäudeautomatisierung: Amplification-Anfälligkeit von BACnet und Deployment-Analyse im Internet und DFN"

Magdalena Hausler
vor 7 Jahren
Abrufe

Lehrstuhl für Netzarchitekturen und Netzdienste Fakultät für Informatik Technische Universität München Öffentlich erreichbare Gebäudeautomatisierung: Amplification-Anfälligkeit von BACnet und

1 Lehrstuhl für Netzarchitekturen und Netzdienste Fakultät für Informatik Technische Universität München Öffentlich erreichbare Gebäudeautomatisierung: Amplification-Anfälligkeit von BACnet und Deployment-Analyse im Internet und DFN Oliver Gasser, Quirin Scheitle, Carl Denis, Nadja Schricker, Georg Carle 14. Februar 2017 Lehrstuhl für Netzarchitekturen und Netzdienste Fakultät für Informatik Technische Universität München

2 Überblick Einführung und Motivation Das BACnet-Protokoll Finden von BACnet-Geräten BACnet-Deployment Amplification-Angriffe O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 2

3 Das Internet O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 3

4 Internet der Dinge O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 4

5 Risiken des Internet der Dinge Immer mehr eingebettete Systeme im Internet Sicherheitsrisiko Datendiebstahl & Manipulation Missbrauch für Angriffe O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 5

6 Beispiele Manipulation von Heizungsanlagen Mirai-Botnetz: Direkter Missbrauch von kompromittierten Überwachungskameras Spamhaus-Angriff: Indirekter Missbrauch von offenen DNS-Servern O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 6

7 Unser Ziel Finden von öffentlich erreichbaren Gebäudeautomatisierungsgeräten Analyse des BACnet-Deployments Aufzeigen des Missbrauchspotentials O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 7

8 BACnet BACnet-Historie 1995: Building Automation and Control Networks 1999: BACnet/IP 2016: BACnet/IPv6 Einsatzgebiete Heizung Lüftung Klimatisierung Sicherheitstechnik O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 8

9 BACnet-Protokoll Anfrage-Antwort-Protokoll Verschiedene Dienste z.b. ReadProperty Komplexes Paketformat Mehrstufige Header Markierte Payload mit Tags BACnet/IP: UDP/47808 O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 9

10 Finden von BACnet-Geräten Internet-weite Scans nach BACnet/IP-Geräten Minimieren der Aufdringlichkeit Nicht-Verändern des BACnet-Geräts Blacklist aus früheren Scans Drosseln der Scan-Geschwindigkeit Dediziertes Mess-Subnetz mit eigenem WHOIS-Eintrag Webserver mit Erläuterung der Untersuchung O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 10

11 Finden von BACnet-Geräten Internet-weite Scans nach BACnet/IP-Geräten Minimieren der Aufdringlichkeit Nicht-Verändern des BACnet-Geräts Blacklist aus früheren Scans Drosseln der Scan-Geschwindigkeit Dediziertes Mess-Subnetz mit eigenem WHOIS-Eintrag Webserver mit Erläuterung der Untersuchung Keine Abuse-Nachrichten erhalten O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 10

12 Analyse des BACnet-Deployments Mehr als BACnet-Geräte Hersteller Modelle Subnetze Autonome Systeme Geographische Verteilung O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 11

13 Hersteller Abfrage von Hersteller-ID und -namen Pos Hersteller Vorkommen Häufigkeit [%] 1 Reliable Controls Corporation ,92 2 Tridium Inc ,03 3 Delta Controls ,06 4 Johnson Controls Inc ,42 5 Automated Logic Corporation ,72 Top 5 decken 65 % ab O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 12

14 Modelle Abfrage des Modellnamens Konsistenz mit Hersteller Reliable Controls MachPro Tridium NiagaraAX... O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 13

15 Häufung von BACnet-Geräten Ziel: Finden von BACnet-Häufungen Abbilden von IP-Adressen auf Subnetze Autonome Systeme Länder O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 14

16 Subnetze % Geräte Präfixe 65 % der Geräte in 1000 Subnetzen O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 15

17 Autonome Systeme % Geräte Autonome Systeme 80 % der Geräte in 200 ASen O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 16

18 Autonome Systeme Pos Autonomes System Vorkommen Häufigkeit [%] 1 AT&T ,5 % 2 Comcast ,0 % 3 Verizon 522 3,8 % 4 Telus 486 3,6 % 5 Shaw 348 2,6 % Top 5 decken 27 % ab O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 17

19 Länder Top 5 decken 87 % ab O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 18

20 Zusammenfassung: Deployment BACnet-Geräte offen im Internet erreichbar Markt von wenigen Herstellern dominiert Starke Häufung in ASen und Ländern O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 19

21 Zusammenfassung: Deployment BACnet-Geräte offen im Internet erreichbar Markt von wenigen Herstellern dominiert Starke Häufung in ASen und Ländern Frage: Können BACnet-Geräte für Angriffe missbraucht werden? O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 19

22 Amplification-Angriff O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 20

23 Charakteristika eines Amplification-Angriffs Zustandsloses Protokoll BACnet UDP-basiert O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 21

24 Charakteristika eines Amplification-Angriffs Zustandsloses Protokoll BACnet UDP-basiert Keine Authentifizierung BACnet kein Handshake notwendig O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 21

25 Charakteristika eines Amplification-Angriffs Zustandsloses Protokoll BACnet UDP-basiert Keine Authentifizierung BACnet kein Handshake notwendig Antwort ist größer als Anfrage BACnet angefragte Property frei wählbar O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 21

26 Amplification-Angriffe mit BACnet In einer Anfrage können mehrere Properties angefragt werden Anfrage: Hersteller? Modell? Ort? Antwort: Tridium. NiagaraAX. Rothenbaumchaussee 10, Hamburg. O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 22

27 Amplification-Angriffe mit BACnet In einer Anfrage können mehrere Properties angefragt werden Anfrage: Hersteller? Modell? Ort? Antwort: Tridium. NiagaraAX. Rothenbaumchaussee 10, Hamburg. Dieselbe Property kann in einer Anfrage mehrmals angefragt werden Anfrage: Ort? Ort? Ort? Antwort: Rothenbaumchaussee 10, Hamburg. Rothenbaumchaussee 10, Hamburg. Rothenbaumchaussee 10, Hamburg. O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 22

28 Amplification-Angriffe mit BACnet Beispielantwort Hwy 57; Located in the silver box on the electrical pole in front of Grove Primary Care Clinic. Pole 688 Abfragen derselben langen Property erhöhen des Amplification-Faktors BACnet: 30x DNS: 40x O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 23

29 Zusammenfassung: Amplification-Angriffe BACnet-Protokoll anfällig für Amplification-Angriffe Dieselbe Property kann mehrmals angefragt werden Amplification-Faktor 30x O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 24

30 Empfehlungen BACnet-Geräte sollten nicht im öffentliche Internet erreichbar sein (Abgekoppeltes Subnetz, VPN, Firewall) Erkennen von Amplification-Angriffen durch Entropieüberwachung Drosseln von BACnet-Verkehr Standardisierung: Jede Property max. einmal pro Anfrage O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 25

31 Nächste Schritte Weitere Untersuchung der Amplification-Angriff- Anfälligkeit Benachrichtigung der Betreiber via DFN-CERT Kontinuierliche Beobachtung des BACnet-Deployments O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 26

Ende Vielen Dank für Ihre Aufmerksamkeit! Oliver Gasser <gasser@net.in.tum.de> https://www.net.in.tum.de/~gasser/ O.

32 Ende Vielen Dank für Ihre Aufmerksamkeit! Oliver Gasser O. Gasser, Q. Scheitle, C. Denis, N. Schricker, G. Carle BACnet: Deployment-Analyse & Amplification-Anfälligkeit 27

Ähnliche Dokumente

Öffentlich erreichbare Gebäudeautomatisierung: Amplification-Anfälligkeit von BACnet und Deployment-Analyse im Internet und DFN

Öffentlich erreichbare Gebäudeautomatisierung: Amplification-Anfälligkeit von BACnet und Deployment-Analyse im Internet und DFN Oliver Gasser, Quirin Scheitle, Carl Denis, Nadja Schricker, Georg Carle