Kurzbeitrag : Zugriffe auf ein simuliertes Wasserwerk : aus der RDV 1/2016, Seite 27 bis 30
Mit der zunehmenden Vernetzung und Automatisierung ist der Datenschutz nicht mehr nur ein Thema für die Office-IT-Security. Auch in der Industrie oder bei kritischen Infrastrukturen wie Wasserwerken und Energieversorgern sind unautorisierte Zugriffe und Datendiebstahl reelle Risiken. Dass selbst vermeintlich unbedeutende Anlagen von solchen Zugriffen betroffen sein können, zeigt das Honeynet-Projekt von TÜV SÜD. Dabei können selbst sicherheitsrelevante Prozesse, manipuliert werden.
TÜV SÜD hat acht Monate lang eine virtuelle Infrastruktur simuliert, um gezielt Zugriffsversuche und -methoden zu analysieren. Dafür haben die Experten die Wasserversorgung einer Kleinstadt simuliert. Das geschah anhand eines „high interaction honeynet“, bei dem sowohl reale Hardware- und Software-Komponenten als auch simulierte Teilsysteme umgesetzt wurden. Bei der Planung der Wasserversorgungsinfrastruktur haben Partner aus der Wasserwirtschaft TÜV SÜD unterstützt. So konnte sichergestellt werden, dass die simulierte Infrastruktur einer echten Wasserversorgung möglichst nahe kommt. In diesem Zusammenhang wurden auch zahlreiche rechtliche Fragen geklärt.
Die nachgebildete Wasserinfrastruktur bestand aus vier verschiedenen Standorten mit unterschiedlichen Aufgaben. Die Struktur war so gewählt, dass sie mit allen Einrichtungen einer echten Anlage zur Versorgung von ca. 10.000 Einwohnern ausgestattet war. Dazu gehörten zwei miteinander verbundene Hochbehälter mit je 3.000 m3. Es wurden Durchflussmenge, Druck und Leitfähigkeit gemessen. Außerdem wurden Leitfähigkeit und Druck auf Grenzwerte hin überwacht. Es existierte auch ein Betretungsalarm für den Bereich des Hochbehälters.
Simuliert wurden auch zwei Tiefbrunnen und ein Notbrunnen, der im Normalfall nicht in Betrieb ist. Mittels einer Pumpe konnte hier Wasser entnommen und direkt in das Wassernetz eingespeist werden. Die Brunnen konnten mit einem Schieber vom Wassernetz getrennt werden. Es wurden zudem verschiedene Fehlersituationen an Pumpe und Schieber sowie die Betretung des Brunnenhauses per Alarm überwacht.
Programmtechnische Umsetzung
Die Steuerung der Wasserversorgung wurde in zwei Ebenen umgesetzt. Auf der einen Seite ist die zentrale Logik in einer SPS (Steuerprogrammierbare Steuerung) hinterlegt, die die einzelnen Standorte steuert und abfragt und die Visualisierung der Anlage und ihrer Zustände übernimmt. Der zweite Teil der Umsetzung beschäftigt sich mit der Simulation der realen Systeme (Pumpen, Schieber) und Werte (Schieberstellungen, Durchfluss, Druck, Leitfähigkeit, Verbrauch).
Sie besitzt einen Automatik- und einen manuellen Betriebsmodus. Im Normalfall ist der Automatikbetrieb aktiv. Er steuert die Pumpen und Schieber so, dass gemäß der Sollfüllstandshöhe des Hochbehälters der vorgegebene Füllstand eingehalten wird. Der Füllstand des Hochbehälters ändert sich regelmäßig über den Tag, um möglichst immer frisches Wasser im Behälter zu haben („Behälteratmung“). Die Sollkurve ist Teil der Steuerungslogik.
Die vier Standorte der Anlage wurden durch vier einzelne SPS, die von der zentralen SPS mit dem Protokoll Modbus/ TCP angesprochen werden, umgesetzt. Aller vier SPS laufen aber als Honeypots auf einer physikalischen HoneyBox Appliance. Das bietet hier mehrere Vorteile:
- komplettes Logging aller Steuerungsbefehle
- Möglichkeit, nicht plausible Steuerungsbefehle zu erkennen
- leichte Skalierbarkeit – Realisierung der Simulation in Software
Vorgehen bei der Forensikanalyse
Ziel der Analyse war es, Angriffsversuche (also manipulierende Zugriffe) auf das Honeynet zu identifizieren. Insbesondere waren Angriffsversuche über industrielle Protokolle von Bedeutung, da sie aufzeigen, dass Steuerungs- und Automatisierungsanlagen reellen Bedrohungen ausgesetzt sind, die sich nicht nur auf klassische Systeme der Büro-IT beziehen. Die Logdaten wurden bezogen aus den Honeypots, Firewalls, IDS / IPS (Intrusion Detection System / Intrusion Prevention System) sowie Routern. Zur Datensammlung wurde der Netzwerkverkehr aufgezeichnet und die Logdaten der Honeypots und der IDS Events auf einem zentralen Server gespeichert.
Durch den Logging-Mechanismus wurden alle wesentlichen Informationen gesammelt, um das Vorgehen eines Angreifers zu analysieren, die Interessenlage eines Angreifers zu bestimmen, benutzte Werkzeuge zu erkennen, in das Honeynet übertragene Daten und aus dem Honeynet abgezogene Daten zu untersuchen.
Die relevanten Logdaten wurden detailliert untersucht. Hierbei wurden u.a. folgende Kriterien angewendet:
- Erfassung der IP Adressen, über die ein Zugriffsversuch (lesend oder auch schreibend) auf erfolgte,
- Differenzierung nach unterschiedlichen Protokollen. Dabei wurde ein besonderes Augenmerk auf Industrieprotokolle wie Modbus/TCP gelegt,
- Differenzierung nach den Systemen, auf die zugegriffen wurde.
Weltweite Zugriffe
Die Systeme wurden innerhalb sehr kurzer Zeit aus dem Internet gefunden. Die meisten Zugriffe erfolgten über die Web-Protokolle HTTP und HTTPS.
Die für die weitere Analyse wichtigen Logdaten waren die Daten, die sich auf externe Kommunikation beziehen. Als externe Kommunikation werden hier alle Kommunikationsverbindungen verstanden, die von IP Adressen (Source IP) aus dem Internet hin zum Honeynet aufgebaut wurden, also Zugriffe von außen darstellen.
Unter die externe Kommunikation fallen auch die Zugriffe der Suchmaschine SHODAN. SHODAN stellt über Browser eine Oberfläche bereit, über die man mit Suchbegriffen Embedded Systeme (z.B. Steuerungskomponenten), die mit dem Internet verbunden sind, finden kann. SHODAN stellt somit eine Informationsquelle für potenzielle Angreifer dar. Die folgenden Analyseergebnisse basieren auf den externen Kommunikationsdaten ohne die Kommunikationen bzgl. SHODAN.
Insgesamt erfolgten aus 157 Ländern Zugriffe auf das Honeynet (Graphik 1). Allerdings kann hieraus keinesfalls geschlossen werden, dass die potenziellen Angreifer aus den aufgelisteten Ländern kommen. Vielmehr muss davon ausgegangen werden, dass sie Verschleierungstechniken anwenden und Systeme kapern bzw. missbrauchen und von diesen ihre Informationsscans und Angriffe starten.
Zugriffe über Standard- und Industrieprotokolle
Die allermeisten Zugriffe erfolgten über die Web-Protokolle HTTP und HTTPS. Die Standardprotokolle SNMP und VNC sind aus folgenden Gründen von Interesse: SNMP (Simple Network Management Protocol) ist ein Protokoll für das Management eines Netzwerks. Normalerweise soll dieses Protokoll nicht zum Internet hin sichtbar sein. Im Honeynet wurde dieses Protokoll jedoch absichtlich potenziellen Angreifern zugänglich gemacht, um eine Fehlkonfiguration der simulierten Wasserinfrastruktur nachzubilden. Diese implementierte Fehlkonfiguration ist durchaus bei Infrastrukturen von Steuerungs- und Automatisierungsanlagen vorzufinden. Virtual Network Computing (VNC) stellt ein Protokoll für die Fernwartung dar. Fernwartungszugänge bergen ein erhebliches Risiko, da sie häufig von potenziellen Angreifern verwendet werden können.
Auf das Honeynet erfolgten Zugriffe zudem über die industriellen Protokolle Modbus/TCP, S7comm und S7Comm+, und zwar nicht nur über die Suchmaschine SHODAN. Diese Zugriffe fanden deutlich seltener statt als die Zugriffe über Standardprotokolle wie SNMP und VNC, erfolgen aber weiterhin weltweit.
Über das Industrieprotokoll S7Comm wurden 20 einzelne Verbindungen durchgeführt. S7Comm wird für die Programmierung von SPS‘en und zum Austausch von Daten zwischen SPS‘en, sowie zum Zugriff auf SPS Daten von SCADA Systemen verwendet. Ein Angreifer wurde identifiziert, der interne Informationen der Steuerung bis hin zu der Steuerungssoftware selbst abgefragt hat. Ob dies ein Zugriff war, um „nur“ Informationen zu sammeln oder später eine Manipulation vorzunehmen, konnte nicht ermittelt werden, da im Rahmen des Betriebszeitraums des Honeynets kein weiterer ähnlicher Zugriff erkannt wurde.
Gezielte Manipulationsversuche
In anderen Fällen lagen hingegen tatsächlich Hinweise auf gezielte Manipulationsversuche vor, die hier als Angriffe bezeichnet werden. Die identifizierten Manipulationsversuche erfolgten über die Protokolle SNMP und S7comm: Mittels SNMP wurde versucht, die Routing Funktionalität der Netzwerkinfrastruktur des Honeynet abzuschalten. Der angegriffene Router hätte Netzwerkpakete nicht mehr weitergeleitet, somit wäre der Netzwerkverkehr erheblich gestört gewesen. Dies stellt einen klaren Versuch einer Manipulation der Netzwerkinfrastruktur des Honeynet dar. Bei dem hier erfolgten Angriffsversuch handelt es sich um einen weltweit beobachteten Angriff – erstmals Mitte September 2014 beobachtet. Das Honeynet wurde also nicht gezielt ausgewählt, war aber für diese weltweite Angriffswelle sichtbar und wurde somit einbezogen.
Ein weiterer Angriffsversuch erfolgte mit S7comm. Da dieser über einen Zeitraum von ca. 20 Minuten erfolgte, kann davon ausgegangen werden, dass er nicht durch ein Tool automatisiert ausgeführt wurde. Angegriffen wurde eine SPS der Wasserinfrastruktur. Der Angreifer griff zunächst auf das Webinterface der SPS zu und sah sich die zugänglichen Seiten an. Danach versuchte er Variablen der Steuerungssoftware zu überschreiben.
Schlussfolgerungen
- Zugriffe auf Infrastrukturen von Steuerungs- und Automatisierungsanlagen erfolgen weltweit.
- Hierbei werden Standardprotokolle wie http als auch Industrieprotokolle wie Modbus/TCP verwendet. Potenzielle Angreifer besitzen also durchaus Know-how im Bereich der industriellen Protokolle.
- Wer Verbindung ins Internet hat, wird auch gefunden. Das Statement „Wer interessiert sich denn für uns?“ ist damit nicht haltbar. Alleine die Tatsache der Erreichbarkeit im Internet reicht aus, um Angriffe auf sich zu ziehen. So werden auch kleine Unternehmen entdeckt.
- Daher können Unternehmen selbst dann zu Opfern werden, wenn sie vorher nicht gezielt ausgesucht wurden. Zudem können Unternehmen, die unter Beobachtung stehen, zu einem späteren Zeitpunkt gezielt angegriffen werden.
- Potenzielle Angreifer setzen bewusst Verschleierungstechniken ein. Sie bedienen sich dabei der im Internet angebotenen Services, Tools, etc. Es werden IP Adressen von bekannten Firmen, Unternehmen und Institutionen (auch staatlichen) vorgegaukelt. Den identifizierten IP Adressen ist somit grundsätzlich zu misstrauen.
Konsequenten für das Security Monitoring
Das Honeynet nutzt für die Erkennung und Analyse einen sehr hohen Grad an Logging und Auswertung. Dies ist in dieser Form für Unternehmen nicht umsetzbar. Sie brauchen dafür die Unterstützung externer Experten. Darüber hinaus muss Monitoring industrielle Protokolle beinhalten; zentrales Aufsammeln der Logs ist wesentlich. Ein hoher Grad an automatischer Erkennung und Auswertung muss sukzessive implementiert werden. Traditionelle Sicherheitstechniken, wie sie vornehmlich im Office-Bereich eingesetzt werden, sind nur sehr bedingt tauglich, da sie mit industriellen Protokollen in der Regel nicht umgehen können. Hier sind alternative Ansätze wie Honeypots notwendig. Für reale Systeme ist zudem eine regelmäßige Kontrolle der Aktivitäten durch einen erfahrenen IT-Sicherheitsexperten mit Erfahrung im industriellen Bereich von entscheidender Bedeutung.
Infobox
Leitlinie für umfassenden Netz- und Systemschutz
Eine Leitlinie für einen umfassenden Netz- und Systemschutz bei industriellen Steuersystemen bietet die internationale Normenreihe IEC 62443. Sie besteht aus vier Säulen. Teil 1 definiert Begriffe und Konzepte, Teil 2 Inhalte eines Managementsystems für industrielle IT-Sicherheit. Teil 3 spezifiziert Sicherheitsanforderungen an Systeme der IACS (Industrial Automation and Control System). Teil 4 bezieht sich auf den Entwicklungsprozess von Produkten im IACS Umfeld. TÜV SÜD ist einer der ersten Anbieter, der Produkte und Systemintegratoren nach IEC 62443 zertifiziert.
* Der Autor ist Teamleiter Industrial IT Security, TÜV SÜD Rail GmbH.