Mitternachtshacking

Klar, ein riesiges Werksgelände läßt sich kaum zuverlässig sichern aber gerade Kraftwerke sollten eigentlich gut gesichert sein. Nicht so in Großbritannien, offensichtlich. Da ist ein bisher unbekannter Mann in das Eon Kohlekraftwerk Kingsnorth eingedrungen und hat erfolgreich eine 500 MW Hauptturbine abgeschaltet. Das Kraftwerk selbst wurde bis auf den Ausfall nicht weiter beschädigt und konnte nach einigen Stunden wieder an’s Netz gehen.

Das interessante an diesem Vorfall ist, daß ein einzelner das geschafft hat. Kein großes Ops-Team, keine Unterstützung oder Ablenkung, kein Social Engineering … einfach über den Zaun (Alarmanlage?) in die Maschinenhalle hinein (Türschlösser?) und das System runtergefahren (Passwörter?).

Aus eigener Erfahrung mit großen Anlagen kann sich sagen, daß Türen meistens nicht abgeschlossen sind da im Notfall schnell jemand hinein muß. Auch Computersysteme sind oft nicht mit Passwörtern versehen, aus dem gleichen Grund, im Notfall muß sofort jemand ran können. Das ist ein bekanntes Problem in der Produktion und deshalb wird besonderen Wert auf die Außensicherung gelegt. Warum die hier nicht griff … keine Ahnung. Da werden sich die Betreiber ein paar kritische Fragen stellen lassen müssen.

Oder Eon hat halt mal an der falschen Stelle gespart.

Ich habe neulich bei der Durchsicht des neuen Telepolis-Hefts schon Prof. Beyerer vom Fraunhofer IITB kritisiert, der glaubt alles wäre gut, sicher und toll und bemängelt, es gäbe generell von Fraunhofer praktisch keine relevanten und brauchbaren Veröffentlichungen zur IT-Sicherheit in kritischen Infrastrukturen.

Jetzt durfte sich Prof. Beyerer bei Spiegel Online (der Link fliegt wieder raus, sobald der Artikel Geld kostet!) auslassen:

“Der Informatiker Jürgen Beyerer plädiert dafür, so manche Ergebnisse geheim zu halten.”

Ich nehme an, er meint da insbesondere seine eigenen. Die sind so gut, so toll und so fortschrittlich, die müssen geheimgehalten werden weil wenn die Bösen(TM) seine Forschung in die Finger bekommen würden, dann würde natürlich die Welt untergehen.

Und dann seine Kernaussage:

“Sicherlich muss man für Sicherheitsforschung an besonders sensiblen Themen, deren Ergebnisse man einer breiten Öffentlichkeit nicht im Detail zugänglich machen möchte, Kontrollmechanismen festlegen, die wissenschaftliche Qualität und prinzipiell gesellschaftliche Akzeptanz sichern. Die Beteiligten bei der Sicherheitsforschung für kritische Infrastrukturen - Wissenschaftler, Betreiber kritischer Infrastrukturen, Bedarfsträger, Fördermittelgeber, öffentliche Auftraggeber und Politik - bilden auch selbst schon eine recht große Community, in der meines Erachtens sehr verantwortungsbewusst auch kritische Fragen, insbesondere Fragen der gesellschaftlichen Akzeptanz, diskutiert werden. Man sollte daher die Kontrollmechanismen innerhalb dieser Community nicht unterschätzen und auch darauf vertrauen.”

Den Absatz sagt eigentlich alles über das Verständnis von Prof. Beyerer aus. Der Staat soll seine Arbeit finanzieren (das sind die öffentlichen Auftraggeber, also der Steuerzahler) und ein möglichst kleines Konsortium kontrolliert die Geldvergabe (an sich selbst) und die Veröffentlichung der Ergebnisse. Unternehmen aus der freien Wirtschaft kommen in seinem staatlich gelenkten Weltbild schon gar nicht mehr vor. So wird jedem Dritten die Möglichkeit genommen, die Verwendung der Gelder zu kontrollieren aber dafür ist die Welt von Hr. Beyerer ein wenig sicherer.

Ich hoffe die Haltung von Prof. Beyerer ist nicht repräsentativ für die gesamte Fraunhofer Gesellschaft.

Es gibt viele Sicherheitslücken für die keine öffentlichen Exploits verfügbar sind und scheinbar auch nicht mehr entwickelt werden. Ein Beispiel ist eine der aktuellen Sicherheitslücken in Apple Quicktime. Hier gibt es auf SecurityFocus eine Meldung “Apple QuickTime Panorama Sample Atoms Remote Heap Buffer Overflow Vulnerability” mit der Bugtraq-ID 26342 und wenn man nach dem Exploit schauen möchte erhält man die Meldung:

“Currently we are not aware of any exploits for this issue. If you feel we are in error or if you are aware of more recent information, please mail us at: vuldb@securityfocus.com.”

Klingt gut. Die Risikobewertung sieht dann vielleicht so aus:

Das Problem mit dieser Risikobewertung ist der zeitliche Verlauf. Aufgrund der Einstufung einer Schwachstelle als “normal” unterbleibt gerade bei Systemen in einer Produktionsanlage oft das Testen und Installieren eines Patches. Gerne auch mal für einige Jahre. Wenn dann sehr viel später ein Exploit programmiert wird, springt das Risiko von “normal” auf “hoch”, es gibt jedoch niemanden mehr, der diese Schwachstelle und das zugehörige Exploitpotential beobachtet.

Ein sehr schönes Beispiel ist gerade auf SecurityFocus zu finden. Die Schwachstelle “Sun Solaris RWall Daemon Syslog Format String Vulnerability” mit der BID 4639 ist schon etwas älter, genaugenommen 2002 von Gobbles (kann sich eigentlich noch jemand an den Gobbles-Krieg gegen Theo de Raad und den Apache-scalp.c chunked encoding Bug Exploit erinnern?) entdeckt worden und hat lange keine größere Rolle gespielt.

Jetzt steht diese uralte Lücke plötzlich ganz weit oben mit dem Vermerk “Updated: Nov 08 2007 12:05 AM” und auf der Exploit-Seite findet man den Hinweis:

“UPDATE: Core Security Technologies has developed a working commercial exploit for its CORE IMPACT product. This exploit is not otherwise publicly available or known to be circulating in the wild.”

Den gleichen Vermerk findet man in mehreren Einträgen, vermutlich Folge eines neuen Releases von Core Impact. Betroffen sind mindestens die BID 3681, 4639 und 1480.

Beobachtet eigentlich noch irgendwer die alten ungepatchten Lücken über die man vor vier oder fünf Jahren mal lange diskutiert hatte?

Maskierte und bewaffnete Räuber haben das Rechenzentrum des US-Hosters C I Host gestürmt und diverse Server von C I sowie von Kunden mitgenommen. Laut Medienberichten ist das bereits der vierte Vorfall in nur zwei Jahren. Wenn man sich die Liste der Sicherheitsmaßnahmen anschaut, wundert man sich natürlich schon, wie solche Vorfälle passieren können. Andererseits wurde ein Mitarbeiter mit einer Waffe bedroht, gefesselt und niedergeschlagen, ich denke gegen bewaffnete Räuber würde sich in Deutschland auch kaum ein Hoster zur Wehr setzen können.

Interessant finde ich in diesem Zusammenhang die Reaktion des Hosters. Mehrere Kunden die Hardware und möglicherweise sensible Daten durch den Raub verloren haben, beschwerten sich, nicht informiert worden zu sein. Angeblich habe einem Kunden der Support erzählt, seine (geklauten) Server seien nicht erreichbar, weil ein Router defekt sei. Wenn das stimmt, wäre das ein Grund dieses Unternehmen auf die schwarze Liste der Firmen zu schreiben mit denen man nie wieder in Geschäftsbeziehungen treten möchte.

Andererseits bestätigt das mal wieder das Schichtenmodell aus dem BSI Grundschutz:

• Schicht 1: Ãœbergreifende Aspekte
• Schicht 2: Infrastruktur
• Schicht 3: IT-Systeme
• Schicht 4: Netze
• Schicht 5: IT-Anwendungen

Es macht am Ende des Tages einfach wenig Sinn, Firewalls, Virenscanner und Intrusion Detection Systeme zum Schutz der Daten installiert zu haben, wenn die komplette Hardware mit allen Daten verschwindet. Das Absichern der Infrastruktur ist nun mal Voraussetzung für einen sicheren IT-Betrieb. Und, das betrifft nicht nur die Server selbst sondern natürlich auch Backup-Bänder die ebenfalls wichtige unternehmenskritische Daten enthalten.

Ein paar Beispiele:

• 2003 werden dem australischen Zoll wichtige Systeme zur Terror-Abwehr geklaut
• 2005 gehen Backup-Tapes der Citigroup, Bank of America und Time Warner verloren
• 2006 verliert Ernst & Young, der Spezialist für verlorene Laptops Daten von Hotels.com, Nokia, HP, BP, IBM, Sun Microsystems und Cisco

Ich denke wir werden weitere Schlagzeilen in den nächsten Wochen und Monaten erleben.

und natürlich ohne, daß der Benutzer das wollte und davon gewußt hat.

Das hatten wir neulich erst und natürlich hat Microsoft versprochen, das nie wieder zu tun. Aber mal ehrlich, wer glaubt Microsoft eigentlich noch irgendetwas? Nicht mal Google ist so evil wie Microsoft.

Diesmal war angeblich entweder Microsoft Office oder Microsoft OneCare schuld, aber so genau weiß Microsoft das selbst nicht. Sie untersuchen noch die eingeschickten Logfiles. Ich könnte wetten, da stellt sich dann raus, daß Microsoft angeblich wieder an nichts schuld ist.

Wenn allerdings die Microsoft Programmierer selbst nicht wissen, warum ihr eigenes Update ungewünscht Aktualisierungen installiert … dann wird es allerdings haarig. Vielleicht ist es eben doch recht trivial möglich, als Hacker Updates in das System einzuschleusen, die dann an Millionen von Rechner verteilt werden … warum noch Viren programmieren und Spam verschicken, wenn die Verteilung auch von Microsoft übernommen werden kann.

Tödlich wäre das in Produktionsanlagen! Soll ich mir langsam sorgen machen?

Cisco löst seine Forschungsgruppe zu Scada-Security auf. Außer ein paar BGP-Tools ist nicht so viel rausgekommen, das meiste ist eh Open Source. Aber es gibt ein paar nette Links zu den relevanten Tools:

• Safe Mapping and Reporting Tool (SMART)
• ScadaSafe
• Modbus/TCP Filtering Firewall
• SCADA HoneyNet Project

Ich werde mir das eine oder andere mal demnächst anschauen.

(via Heise)

… oder so ähnlich.

Das US Department of Homeland Security hat jedenfalls auf CNN.com ein Video veröffentlicht, das die Zerstörung eines Stromgenerators durch einen Hackerangriff zeigt. Angeblich sei es auch möglich, vergleichbare Angriffe gegen große Anlagen und Umspannwerke durchzuführen.

Über die Sicherheit von wichtigen Anlagen, sogenannter kritischer Infrastruktur gibt es seit längerem große Diskussionen. Auf der einen Seite zeigen Penetrationstests z.B. von ISS, daß Angriffe sehr wohl möglich sind und mit einfachsten Mitteln durchgeführt werden können. Gerade in den komplexen SCADA-Protokollen wie OPC werden immer wieder Sicherheitslücken gefunden. Andererseits halten Forscher wie Bruce Schneider die Gefahr für übertrieben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bekanntlich einen Leitfaden für kritische Infrastrukturen veröffentlicht, das Bundesinnenministerium (BMI) hat sogar ein Sicherheitskonzept beigesteuert.

Ich fürchte jedoch, so richtig ins Bewußtsein der Bevölkerung und der Verantwortlichen treten die Risiken und notwendigen Maßnahmen erst, wenn die ersten richtig großen Schäden aufgetreten sind. Eon, RWE, Vattenfall und EnBW sind zur Zeit zu sehr damit beschäftigt, die Bevölkerung auszunehmen als sich konsequent mit den diversen Risiken, angefangen mit Thomasstahl (RWE) über die Kernkraftwerke (Vattenfall) bis hin zur Ausfallsicherheit im Transport (Eon) zu beschäftigen.

Ãœber das Buch “Normal Accidents” von Charles Perrow und die Zusammenfassung von Dick Piccard wollte ich schon länger was schreiben aber irgendwie hat immer die Zeit gefehlt. Perrow hängt seine Beispiele am Kernreaktorunfall in Three Mile Island 1979 auf, man kann jedoch leicht Analogien zu modernen IT-Infrastrukturen, insbesondere auch in der Produktion ziehen. Die Begriffe mit denen wir im IT-Risikomanagement arbeiten sind im Grunde jedoch die gleichen.

Es gibt Fehler und Ausfälle (”Discrete Failures”), die an einer Stelle auftreten und an und für sich gut verstanden sind. Ein Ausfall einer Festplatte könnte so ein Fehler sein. Um den Schaden solcher Ausfälle zu minimieren werden fehlertolerante Systeme eingesetzt, d.h. wichtige Server enthalten redundante Platten, redundante Netzteile, etc. und wenn eine Komponenten ausfällt bleibt das Gesamtsystem erhalten. Damit versucht man einen “Single Point of Failure” zu vermeiden.

Gleichzeitig ist die gesamte Infrastruktur immer stärker und enger vernetzt, man nennt das auch “tight coupling”. Solange daher nur ein diskreter Ausfall auftritt bleibt die Situation leicht beherrschbar. Wenn jedoch mehrere solcher diskreter Ausfälle gleichzeitig auftreten dann kann aufgrund der hohen Vernetzung leicht eine Situation eintreten, in der die verschiedenen Ausfälle nicht mehr zuverlässig identifiziert werden können und durch das Zusammenwirken der eigentlich harmlosen Einzelfehler ein hoher Schaden eintritt. Perrow spricht hier von “Interactive Complexity”.

Ein “Normal Accident” ist ein Unfall oder Schaden, der aufgrund des Zusammenspiels mehrerer für sich genommen harmloser Einzelfehler auftritt, die in Summe kaum noch beherrschbar sind. Solche Unfälle sind auf Dauer kaum vermeidbar, da Fehler mit einer gewissen Wahrscheinlichkeit auftreten und zufällig auch Häufungen vorkommen können.

Um diese Unfälle zu minimieren sind mehrere Maßnahmen hilfreich:

•  Effizentes Risikoassessment mit einer realistischen Risikoanalyse zur Bewertung der Gefahren und Schäden
• Minimierung der möglichen Schäden, um Katastrophen zu vermeiden. Hier können oft bereits in der Planung einer Infrastruktur schlimme Fehler vermieden werden
• Vermeidung von Technologie, die nicht beherrschbar sind. Oft wäre es besser ein stabil betriebenes System mit geringerer Funktionalität zu nutzen als ein unsicheres das jedoch ein paar Gimmicks mehr hat
• Vermeidungzu starker Integration und Vernetzung, damit sich Schäden nicht ausbreiten können

Vieles davon läßt sich auch in der IT gut umsetzen. Es scheitert jedoch oft am Willen. Dazu vielleicht später mehr.

Nette Satire: Windows Vista SP1 installiert wieder XP, weil die Kunden damit am ehesten zufrieden sind.

“We’re focused on giving the customer what they want, and want they want is to just go back to XP,” said Microsoft Development Chief Greg Elston. Elston also added that if people complain too much they’ll just revert to Windows ME.

Nun gut, das Konradin TechForum ist vorbei und der zweite Tag hat den ersten bezüglich der Aussteller und Teilnehmer meiner Meinung nach bestätigt. Zu wenig ausstellende Big Player und zu wenig Teilnehmer. Und viel zu viel Pause statt einer straffen Agenda.

Ich habe nicht alle Vorträge gehört, aber bei den Security-Themen war ich dabei. Hier meine ganz persönlichen subjektiven und stark von Security Vorwissen gefärbten Eindrücke, die keinen Anspruch auf eine sachliche Beurteilung legen:

Industrial Firewalls – Funktionen und Einsatzmöglichkeiten, Ralf Kaptur, Hirschmann

Hirschmann hat ja eine eigene Firewall, Eagle, eigentlich Innominate Software, aber Hirschmann ist da zur Zeit wohl noch OEM, und die Möglichkeiten der Firewall sind im Detail vorgestellt worden. Nichts wirklich neues. Interessant war für Leute aus der Produktion vielleicht noch, daß die Firewall sowohl auf Layer 3 als auch Layer 2 funktioniert und wie man NAT in Produktionsumgebungen einsetzen kann und oft auch muß. Hirschmann verwendet dafür den Begriff Security Compartment. Für IT-Sicherheitsleute eher langweilig. Im großen und ganzen war der Vortrag eine Präsentation aus dem Security Whitepaper (PDF), das Hirschmann auch zum Download anbietet. Für die Eagle gibt es übrigens ein Security Data Sheet, da ging dann der nächste Vortrag drüber.

Management - Schritt für Schritt, Marcus Tangermann, Weidmüller

Die Weidmüller-Jungs haben ein paar sehr ambitionierte Ideen, die vermutlich grandios scheitern werden. Trotzdem ist das eine oder andere nicht schlecht, z.B. die Idee der Security Data Sheets (SDS). Jedes Gerät, jeder Controller, jeder Router etc. bekommt ein Data Sheet in dem die Security Parameter festgehalten werden. Dazu gehört z.B. welche Ports für den Betrieb benötigt werden etc. Mit den Informationen kann man ganz einfach dann eine Firewall einrichten. Dummerweise hat die Security Data Sheets die IAONA entwickelt, und die wickelt sich gerade selbst ab. Die Tools zur Erstellung des SDS kann man jedenfalls nur als Mitglied beziehen aber nicht mehr Mitglied werden. Sieht sehr nach Totgeburt aus, wenn da nicht bald was passiert. Angeblich macht die SecIE da zukünftig weiter, aber außer einem Aufnahmeantrag kann man eigentlich nichts bei denen runterladen. Das einzige Online-SDS das ich gefunden habe ist von WuT (PDF) , falls sich das jemand ankucken will.

Eine richtig krasser Totgeburt ist jedenfalls deren zweite Idee. Weidmüller läßt gerade eine Software entwickeln, da kann man irgendwie seine Firewall-Policy eintragen, und ein Regel-Generator bildet das dann auf eine konkrete Firewall ab. Die Hersteller sind dann aufgerufen, entsprechende Plugins für ihre Firewalls zu schreiben. Weidmüller ist wohl dabei und Hirschmann eventuell auch. Ich kann mir ja ganz toll vorstellen, daß Check Point oder Cisco nur auf sowas gewartet haben. Am liebsten ist den großen Herstellern sicher, daß man damit auf ihre teure Management-Software verzichten könnte, oder daß die (sehr stark unterschiedlichen) Funktionen ihrer Firewall da irgendwie abgebildet werden müssen und das vielleicht auch noch gepflegt werden sollte. Nein Freunde, da macht kein namhafter Hersteller mit. Lediglich Hirschmann gewinnt, weil Innominate deren neue Management-Software nicht an Hirschmann lizenzieren will und Weidmüller die Entwicklungskosten trägt.

Firewalls in Industrie- und Produktionsumgebung, Dror-John Röcher, ERNW

Der Vortrag von Hr. Röcher klang von der Thematik her sehr spannend und Hr. Röcher ist auch ein guter Redner. Was dann kam hat mich allerdings schon enttäuscht. Ein bisschen ein Projektbericht, wie toll sie für einen großen Kunden Firewalls evaluiert haben. Dazu ganz kurz die Evaluationskriterien angerissen aber oft nur unzureichend begründet, warum z.B. bestimmte Kriterien als “must have” ausgewählt wurden und andere nicht. Und anschließend die Firewalls aufgezählt und welche sie dann verwendet haben. Für jemanden der sich mit Firewalls ein wenig auskennt (und nicht nur eine oder zwei Produkte sondern wirklich gut) war das furchtbar langweilig und ohne echten Ergebnisgewinn.

Ganzheitliche IT-Sicherheit für Produkttionsanlagen, Susanne Ginschel, Defense AG

Der Vortrag von Susanne war im Grunde der gleiche wie von der Systems. Wenig neues. Interessant fand ich lediglich die Einleitung. Die Defense hat da eine Excel-Tabelle entwickelt (oder lassen), mit der man anhand eines Fragebogens eine Übersicht des Geschäftsrisikos und des Sicherheitslevels abschätzen kann.Das ist als Einleitung für ein Informationsgespräch sicher ganz praktisch. Das war es aber auch schon.

Ich kenne sowas ähnliches von IBM (NDA, darf ich nicht zeigen) und das BSI hat für Kritis was ähnliches entwickelt, rückt es aber nicht raus. (Das BSI hat aber hirnrissigerweise die Excel-Tabelle in Form eines PDF-Dokuments beschrieben. Anhand des PDFs kann man an einem Nachmittag die Excel-Tabelle rekonstruieren. Ich fürchte, da wiehert mal wieder der Amtsschimmel. Wer die Excel-Tabelle will, soll mir kurz eine Mail schicken.)

Podiumsdiskussion: Wer verantwortet eigentlich die Sicherheit in der Produktions-IT?

Nun ja, 6 Leute, 45 Minuten, jeder hat jeden bestätigt und sich indirekt selbst gelobt aber eigentlich hat das keine neuen Erkenntnisse gebracht. Ich denke, da ist der (vom kurzen Eindruck her) hervorragende Prof. Dr. Frithjof Klasen ein wenig verheizt worden. Dem hätte man lieber eine vernünftige Keynote gegeben.

Ach ja, mal kucken ob ich da nächstes Jahr wieder hinfahre. Wenn das Tech Forum wieder zwei Tage dauert, werde ich sicher nur einen Tag dabei sein. Das zieht sich einfach viel zu sehr und mit den Herstellern kann man auch an einem Tag reden.