Ist Stuxnet 4.0 nur noch eine Frage der Zeit?

Ist Stuxnet 4.0 nur noch eine Frage der Zeit?

Durch das Internet der Dinge kommen immer mehr vernetzte Embedded-Systeme in kritischen Anwendungen zum Einsatz. Was könnte passieren, wenn Cyber-Physical-Systems- oder zukünftige Industrie-4.0-Anwendungen mit den NSA-Überwachungs- und Angriffstechniken Turmoil, Turbine und QFire aus dem Quantum-Fundus attackiert werden? Kann man solche Attacken erkennen und verhindern?

Vernetzte Embedded-Systeme sind vielen Gefahren ausgesetzt. Nur  eine permanente Überwachung der verschlüsselten Daten kann Schutz bieten. (Bild: SSV Software Systems GmbH)

Vernetzte Embedded-Systeme sind vielen Gefahren ausgesetzt. Nur eine permanente Überwachung der verschlüsselten Daten kann Schutz bieten. (Bild: SSV Software Systems GmbH)


Die letzten Tage des vergangenen Jahres hatten es hinsichtlich der vom Whistleblower Edward Snowden beim US-amerikanischen Geheimdienst NSA entwendeten Geheimdokumente noch einmal in sich. Zum einen veröffentlichte das Nachrichtenmagazin ‚Der Spiegel‘ mithilfe des US-Online-Aktivisten und Sicherheitsexperten Jacob Appelbaum einen Enthüllungsbeitrag über die NSA-Hackertruppe TAO (Tailored Access Operation). Zum anderen lieferte Appelbaum – der auch anlässlich der diesjährigen Embedded World vor über 1.000 Zuhörern seine Ansichten und Erkenntnisse über staatliche Überwachungsmethoden erläuterte – auf dem 30. Chaos Communication Congress (30C3) sehr detaillierte Einblicke zu den TAO-Arbeitsweisen. Parallel dazu wurde ein von Appelbaum überarbeiteter geheimer, aber hochinformativer NSA-Katalog im Internet veröffentlicht. Diese Datenblattsammlung einer NSA-Abteilung namens ‚ANT‘ wird im Spiegel-Artikel als ‚Otto-Katalog für Spione‘ bezeichnet. Appelbaum warnte seine Zuhörer in Nürnberg nachdrücklich vor einer Militarisierung des Internets.
Über eine Router-Backdoor lassen sich die unverschlüsselten Daten vernetzter Embedded-Systeme relativ einfach manipulieren. So kann z.B. durch ein Sensordaten-Spoofing gegenüber einer Steuerung eine Fehlfunktion provoziert werden. (Bild: SSV Software Systems GmbH)

Über eine Router-Backdoor lassen sich die unverschlüsselten Daten vernetzter Embedded-Systeme relativ einfach manipulieren. So kann z.B. durch ein Sensordaten-Spoofing gegenüber einer Steuerung eine Fehlfunktion provoziert werden. (Bild: SSV Software Systems GmbH)

Internet-Infiltrationsbaukasten

Der NSA-ANT-Katalog ist eine beispiellose Sammlung von Hard- und Software-Sensorbausteinen zum Aufbau einer Totalüberwachung. Besonders interessant sind die Komponenten zum Infiltrieren der Internet-Infrastruktur (eine interaktive Grafik mit kommentierten Auszügen des ANT-Katalogs existiert unter http://tinyurl.com/n3dl2j3). So findet man hier z.B. hochentwickelte Softwareimplantate, um Hintertüren (Backdoors) in Router und Firewalls der Hersteller Cisco, Huawei und Juniper Networks einzufügen. Über diese Backdoors sind offensichtlich ‚Command/Control/Data Exfiltration‘-Zugriffe – also eigentlich das vollständige ‚Abhören und Manipulieren‘ – möglich. Des Weiteren bietet die ANT-Datenblattsammlung auch spezielle Hardware-Erweiterungen für Server der US-Anbieter Dell und HP. Sie dienen offensichtlich dazu, um aus der Ferne eine Schadsoftware dauerhaft auf einem Server zu installieren, die sogar resistent gegen den Austausch des Betriebssystems ist. Backdoors in Routern werden im Moment sehr häufig entdeckt. Ob hier ein Zusammenhang zur NSA besteht, ist nicht bekannt. In den letzten Wochen meldeten gleich mehrere Medien, dass in Routern verschiedener Hersteller per Internet erreichbare Hintertüren existieren. Cisco hat aufgrund dieser Problematik inzwischen eine Sicherheitswarnung im Internet veröffentlicht, in der die Backdoor als ‚Undocumented Test Interface‘ bezeichnet wird.

Die von der NSA entwickelte QFire-Methode wartet zunächst darauf, dass ein bestimmter Client eine unverschlüsselte Anfrage an einen Internetserver schickt. Dann sendet ein NSA-Server eine Spoofing-Antwort, um z.B. einen Schadcode auf dem Client zu installieren. (Bild: SSV Software Systems GmbH)

Die von der NSA entwickelte QFire-Methode wartet zunächst darauf, dass ein bestimmter Client eine unverschlüsselte Anfrage an einen Internetserver schickt. Dann sendet ein NSA-Server eine Spoofing-Antwort, um z.B. einen Schadcode auf dem Client zu installieren. (Bild: SSV Software Systems GmbH)

Angriffe über Router-Backdoor

Nach dem vorläufigen Auswertungsstand der Snowden-Unterlagen ergab sich zum Ende des vergangenen Jahres in etwa folgende Lage: Die NSA hört im Rahmen von Prism, XKeyscore, Tempora zusammen mit Partnern etwa 75% des weltweiten Internetverkehrs (E-Mails, Zugriff auf soziale Netzwerke, Besuche auf bestimmten Websites usw.) ab und erzeugt aus diesen Aktivitäten riesige Mengen an Metadaten, die überwiegend in zwei Datenbanken mit den Namen Marina und Mainway – teilweise zusammen mit dem abgehörten Content – gespeichert werden. Diese Metadaten werden dann mit ‚Contact Chaining‘-Methoden bearbeitet, um aus den mehr oder weniger anonymisierten Daten einzelne Systeme und Nutzer identifizieren zu können (siehe http://tinyurl.com/p77u4u5 ). Ist ein Zielsystem (Target) identifiziert, kann es bei Bedarf jederzeit durch die TAO mit einem maßgeschneiderten Angriff attackiert werden. Darüber hinaus kam im Herbst 2013 durch einen Bericht der niederländischen Abendzeitung ‚NRC Handelsblad‘ heraus, dass die NSA weltweit bereits weit mehr als 50.000 Netzwerke mit CNE-Malware (CNE = Computer Network Exploitation) infiltriert hat. Diese ‚Vorrats-Infiltration‘ dient offensicht dazu, einen Cyber-Spion im Zielnetzwerk zu haben, der sich bei Bedarf aktivieren lässt. Durch den Enthüllungsbeitrag und 30C3-Vortrag von Jacob Appelbaum wissen wir nun, dass sich die NSA zusätzliche Werkzeuge mit den Namen Turmoil, Turbine und QFire bzw. Quantum geschaffen hat, um den Datenverkehr zwischen Client-Systemen (als Targets) und Servern in Echtzeit abzuhören zu manipulieren (Bild 2). Dabei wird über eine Router-Backdoor der Datenverkehr nach einem ‚Selektor‘ durchsucht, z.B. der Webzugriff eines Targets auf die Yahoo-Website. Wird ein solcher Selektor erkannt, versucht ein NSA-Server mit dem Namen ‚FOXACID‘ schneller als Yahoo zu antworten und dem Client eine gefälschte Website unterzuschieben (Spoofing), über die dann eine Schadsoftware – z.B. eine CNE-Malware – auf dem Target installiert wird. Da dieses Verfahren eine beachtliche Geschwindigkeit (Race Condition) erfordert und darüber hinaus auf Browserschwachstellen angewiesen ist, wird es nicht bei jedem Versuch klappen. Wenn man es allerdings oft genug wiederholt, ist die Erfolgswahrscheinlichkeit einer Infiltration recht hoch. Die Abhörsensorik mit Selektorerkennung arbeitet nach einem Deep Packet Inspection (DPI) Prinzip und wird Turmoil genannt. Hinter dem Namen Turbine verbirgt sich ein Deep Packet Injection Verfahren für das Spoofing, QFire und Quantum sind offensichtlich Oberbegriffe für den automatischen Betrieb von Turmoil und Turbine.

Inverkehrbringen von Cyberwaffen

Die umfangreichen NSA-Aktivitäten hinsichtlich des ANT-Katalogs und die Infiltration der weltweiten Internet-Infrastruktur, einzelner Netzwerke sowie unzähliger Rechner kann man mit einem Satz zusammenfassen: Entwicklung und Inverkehrbringen von Cyberwaffen. Das trifft auch auf Stuxnet und andere APTs (Advanced Persistent Threads) zu, die von der NSA in Umlauf gebracht wurden. Die Geschichte der letzten 100 Jahre zeigt allerdings, dass militärische Waffenentwicklungen irgendwann auch die Sicherheit der Erfinder und deren Partner bedrohen – Maschinengewehr und Nuklearsprengkopf sind nur zwei Beispiele. Und genau hier liegt auch das Problem für die Kommunikationslösungen in der M2M-Welt und im Internet der Dinge. Man muss wohl nicht wirklich davon ausgehen, dass die NSA mit ihren technischen Möglichkeiten kritische Infrastruktureinrichtungen und vernetzte Automatisierungsanwendungen in Deutschland angreift. Es ist allerdings sehr wahrscheinlich, dass die NSA-Cyberwaffen und der Zugriff auf Backdoors in Routern, Firewalls und anderen infiltrierten Systemen eventuell schon heute – mit Sicherheit aber in Zukunft – von gewöhnlichen Kriminellen und uns weniger freundlich gesonnenen Organisationen für Cyberangriffe jeder Art genutzt werden (siehe auch Cyberwarfare unter Wikipedia; dort findet man auch eine umfangreiche Link-Liste zu diesem Thema: http://tinyurl.com/nlwy4x ). Es wird der NSA schon auf Grund der zigtausend Mitarbeiter kaum gelingen, das umfangreiche Spezialwissen geheim zu halten, zumal die US-Nachrichtendienste sehr eng mit speziellen Privatunternehmen zusammenarbeiten. Auch Edward Snowden war zuletzt bei einem solchen Unternehmen (Booz Allen Hamilton) beschäftigt, deren Angestellte offensichtlich vollen Zugriff auf NSA-Geheimdokumente und Systeme haben. Es ist daher dringend erforderlich, sich mit der Fragestellung auseinanderzusetzen, wie man vernetzte Embedded-Systeme vor diesen Gefahren schützen kann.

Hierzu drei Ansatzpunkte:

Daten nur verschlüsselt übertragen: Vernetzte Embedded Systeme, die das Internet zur Datenübertragung benutzen, sollten grundsätzlich ausgereifte und als sicher geltende Verschlüsselungsverfahren verwenden. Unverschlüsselte Kommunikationsbeziehungen sind unbedingt zu vermeiden. Symmetrische Verschlüsselungsverfahren, die lediglich auf geheimen Schlüsseln (sogenannten Pre-shared Keys) basieren, sind aufgrund der Verwaltbarkeit, Skalierbarkeit und Schlüssellebenszyklen nicht geeignet. Empfehlenswert ist der Einsatz des TLS-Protokolls in der Version 1.2 mit einer entsprechenden Public-Key-Infrastruktur (PKI).

Datenverkehr permanent überwachen: Um manipulierte Rechner- und Infrastrukturbaugruppen zu erkennen, sollte der gesamte Datenverkehr ins Internet mit geeigneten Mitteln dauerhaft überwacht werden. Auch für eine Lösung mit vernetzten Embedded- Systemen lässt sich eine SIEM-Lösung (SIEM = Security Information and Event Management) schaffen, um unnormales Kommunikationsverhalten in Echtzeit zu erkennen und einen Alarm auszulösen. SIEM-Analysen für Embedded-Systems-Lösungen sind sogar recht einfach umsetzbar, da die Kommunikationsbeziehungen und Verkehrsmuster relativ statisch sind. Jede Abweichung sollte als Hinweis auf ein nicht normales Verhalten gewertet und genau untersucht werden.

Digitale Identitäten: Grundsätzlich sollte jede Komponente in einer Netzwerkumgebung stets genau wissen, mit wem sie kommuniziert. In der Praxis ist das nicht ganz so einfach, da sowohl MAC- und IP-Adressen als auch DNS-Namen sehr leicht manipulierbar sind. Daher sollte am Beginn jeglicher Kommunikation eine ausgereifte Authentifizierung erfolgen, um sicherzustellen, dass eine behauptete Identität auch die faktische ist. Benutzernamen und Passwörter sind im Internet kein sicherer Identitätsnachweis. Auch zertifikatsbasierte Lösungen, die lediglich in den Flash-Speicher eines Embedded- Systems kopiert werden, bieten nur eine bedingte Sicherheit, da die digitale Identität einfach auslesbar und somit kopierbar wäre. Anzustreben sind TPM-basierte Embedded-Systeme und Internetserver, die fälschungssichere digitale Identitäten ermöglichen.

SSV Software Systems GmbH
www.ssv-embedded.de

Das könnte Sie auch Interessieren