Sicherheit in der Gebäude-Automation Ein Einblick Steffen Wendzel -Version zur Veröffentlichung auf der Website- steffen.wendzel@fkie.fraunhofer.de Dep. Cyber Security
Gründe für Sicherheitsprobleme ein historischer Blick frühe Systeme pneumatische Komponenten (1950 er Jahre) später: erste elektronische Komponenten (1960 er Jahre) und robuste Netzwerke heute: Integration in das Internet der Dinge
Was sagen die Medien?
Denkbare Szenarien Angriff auf Serverräume durch Überhitzung Prozesse einer Organisation stören Aussperren von Mitarbeitern von einer Produktionsstraße Feueralarm auslösen(?) Einbrechen Überwachen
wie sieht die REALITÄT AUS?
In welchem Maße sind Gebäude online verfügbar? Keiner weiß es so genau! Es gibt Schätzungen und Messungen Malchow und Klick (2014) haben BMS via SHODAN gezählt die meisten BMS wurden in den USA gefunden (ca.15.000) für 9% der gefundenen BMS sind Verwundbarkeiten bekannnt
Weitere Sicherheitsaspekte Akademische Betrachtung seit den späten 1990 ern TCP/IP-Angriffe können übertragen werden (z.b. Spoofing) Fokus der Hersteller: Sicherheit << FUNKTIONALITÄT Insb. in der Vergangenheit: fehlende Security Awareness Soft- und Hardware-Altbestand Siehe gestriger Vortrag: Klimatechnik im Schnitt 25 Jahre alt neue Sicherheitsfeatures sind nicht immer implementierbar!
Weitere Sicherheitsaspekte Patching schwierig bis unmöglich Web-Interfaces / Remote-Access teils unsicher Internet of Things: Wearable Computing und ehealthcare
Internet = Gebäudeautomation? TCP/IP-Sicherheit Seit 80ern: neue Angriffe (Smurf Attack etc.) Reaktion: bessere Standards Reaktion: bessere Implementierungen relativ sichere TCP/IP Stacks
Internet = Gebäudeautomation? TCP/IP-Sicherheit Bekannte Angriffe aus TCP/IP-Welt Reaktion: bessere Standards Reaktion: bessere Implementierungen weniger Reaktionszeit für Hersteller derzeit unsichere GA- Stacks in Praxis späte Reaktion der Hersteller und Forschung Systeme kaum patchbar nicht leistungsfähig genug viel längere Zeiträume für Einsatz v. Systemen: zukünftige Security-Probleme noch nicht ersichtlich
Internet = Gebäudeautomation? TCP/IP-Sicherheit Klare Antwort: Die Sicherheitsanforderungen in der GA sind speziell und keinesfalls 1:1 übertragbar aus der TCP/IP-Welt auch dann nicht, wenn GA-Protokolle über IP laufen können! Seit 80ern: neue Angriffe (Smurf Attack etc.) Bekannte Angriffe aus TCP/IP-Welt Reaktion: bessere Standards Reaktion: bessere Implementierungen relativ sichere TCP/IP Stacks Reaktion: bessere Standards Reaktion: bessere Implementierungen derzeit unsichere GA-Stacks in Praxis
Internet = Gebäudeautomation? TCP/IP-Sicherheit Aber: Wir können auch eine große Chance sehen! Schon jetzt aus den Kinderkrankheiten des Internets lernen und Angriffe, die in der GA-Welt praktisch unbekannt sind (bspw. Smurf Attack) schon jetzt eindämmen Nicht nur offene, sondern frei zugängliche Spezifikationen schaffen für alle Protokolle (analog zu RFCs!). Standards zwar z.t. zugänglich, aber Normen nur über Bibliotheken oder gegen viel Geld verfügbar Offenheit der TCP/IP-Welt hat die Internet-Protokolle gepusht und Weiterentwicklung sowie Sicherheitsuntersuchungen erleichtert
Internet = Gebäudeautomation? IT-Sicherheitsbewusstsein der Betreiber Internet Basiswissen praktisch jedem Administrator bekannt Gebäudeautomation Wissen über IT-Security kaum vorhanden in Praxis Dafür viel Safety-Wissen
Internet = Gebäudeautomation? IT-Sicherheitsbewusstsein der Betreiber Internet Bedienbarkeit von grundlegenden Sicherheitsfunktionen mittlerweile hoch Gebäudeautomation IT-Sicherheitsfunktionen sind, falls überhaupt vorhanden, kaum verständlich für den Betreiber. Wer im Raum kennt sich mit der Verschlüsselung von BACnet- Traffic aus? Speichern Sie historische Sensordaten verschlüsselt?
Ich habe schon genug zu managen! Jetzt soll ich mich auch noch mit IT-Sicherheit beschäftigen???
NEUERE ANGRIFFE
Data Leakage (Un)bewusster Abfluss von Daten BAS Network IP Gateway BAS Protocol External (BAS) Network or Internet Sensor Passive Observer Source: Wendzel, S., Kahler, B., Rist, T.: Covert Channels And Their Prevention In Building Automation Protocols: A Prototype Exemplified Using BACnet, Proc. CPSCom, IEEE, 2012.
Data Leakage Protection (DLP) Multi-level Security (MLS) Prototyp bereits vorliegend für BACnet BAS Network MLS-based Routing IP Gateway MLS Filter BAS Protocol External (BAS) Network or Internet Sensor (CONFIDENTIAL) Passive Observer Source: Wendzel, S., Kahler, B., Rist, T.: Covert Channels And Their Prevention In Building Automation Protocols: A Prototype Exemplified Using BACnet, Proc. CPSCom, IEEE, 2012.
Smart Building Botnets (SBB) Eine mögliche Zukunft? Kurze Definition: Ein Botnet aus Gebäuden Nutzen phsyikalische Fähigkeiten kein Spam, kein DoS, neuartige Angriffe denkbar Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014.
Smart Building Botnets (SBB) Wie erstellen? Shodan BAS Wardriving GPS-enabled Smartphones mit Malware Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014. Kahler, B., Wendzel, S.: How to own a Building? Wardriving für die Gebäudeautomation, in Proc. DFN Workshop, 2012.
Beispiel: Überwachung Fernzugriff auf Sensordaten Wann ist jemand zu Hause? Wo hält er sich auf? Lässt sein Verhalten auf eine Krankheit schließen? Diverse aktive Szenarien ebenfalls denkbar! Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014.
Presse (Auswahl, 2014)
Unser Lösungsansatz: TRAFFIC NORMALIZATION
Traffic Normalization Was ist das? Filtern und Modifizieren von Datenverkehr, heute Bestandteil vieler Firewalls. Verhindert diverse Angriffe Internet Intranet Normalizer Source: S. Szlósarczyk, S. Wendzel et al.: Towards Suppressing Attacks on and Improving Resilience of Building Automation Systems, in Proc. GI Sicherheit, Vienna, 2014.
Traffic Normalization für BACnet Snort-Extension für BACnet Scapy-basierter BACnet Protokoll Fuzzer Bisher: BACnet/IP Traffic Normalizer
Traffic Normalization for BACnet BMBF-gefördertes Projekt : Building Automation Reliable Network Infrastructure (BARNI) Volumen: 1 Mio. EUR Projektpartner: MBS GmbH, Krefeld Fraunhofer FKIE, Bonn/Wachtberg Traffic Normalizer
Traffic Normalization for BACnet BMBF-gefördertes Projekt : Building Automation Reliable Network Infrastructure (BARNI) Visualisierung von GA-Events: Volumen: 1 Mio. EUR Projektpartner: MBS GmbH, Krefeld Fraunhofer FKIE, Bonn/Wachtberg
Einblick in die Forschung DISTRIBUTED BACnet TESTBED
Distributed BACnet Testbed Verbindung diverser BACnet-Testbeds aus dem Forschungsumfeld Echte BACnet-Komponenten und virtuelle Komponenten Source: J. Kaur et al.: A Cost-efficient building automation security testbed for educational purposes, poster at Securware, Lisbon, 2014 (to appear).
Distributed BACnet Testbed Warum? 1. Forschung (Traffic Recorings/Analysis, DLP etc.) 2. Ausbildung (BACnet Attack Training und Prevention Training) Source: J. Kaur et al.: A Cost-efficient building automation security testbed for educational purposes, poster at Securware, Lisbon, 2014 (to appear).
IT-Sicherheit für Ihre Gebäude-Automation PENETRATION TESTING
Penetration Testing Penetration Testing überprüft die IT-Sicherheit eines Systems Betrieb des Systems darf nicht gestört werden Ergebnis ist ein Bericht über Sicherheitslöcher (+ Optimierungsvorschläge) Es gibt keine speziellen Penetration Testings für die Gebäudetechnik! Wir entwickeln momentan das erste Konzept für einen solchen Test. und suchen nach einem Projektpartner, den wir kostenlos testen um Erfahrungen zu sammeln
ZUSAMMENFASSUNG
Zusammenfassung IT-Sicherheit von zunehmender Relevanz für GA in vielerlei Hinsicht unterschiedlich zur IT-Sicherheit im Internet Mögliche neue Ansätze: Data Leakage Protection für Gebäude Traffic Normalization Virtuelle Testbeds Penetration Testing Traffic Normalizer
Vielen Dank für Ihre freundliche Aufmerksamkeit! Unsere Expertise: Netzwerksicherheit für die GA Data Leakage Protection IT-Sicherheit (div. Themenfelder) Steffen Wendzel Teamleiter IT-Sicherheit in der GA Abteilung Cyber Security Fraunhofer FKIE steffen.wendzel@fkie.fraunhofer.de privat (-> Publikationen): http://www.wendzel.de Links zu den Publikationen aus diesem Vortrag: http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=6468400&tag=1 http://www.wendzel.de/dr.org/files/papers/envisioningsmartbuildings.pdf http://www.wendzel.de/dr.org/files/papers/bacnet_tn_paper_gisich.pdf