Angriffe auf IoT und Security-Lücken

Fahrzeuge

Bild: Cockpit eines BMW
Cockpit BMW Studienfahrzeug
System | Hersteller
Beschreibung Jahr Referenz

Model S |

Tesla

  • Dieses Beispiel zeigt, dass Gefahr nicht durch bösartige Manipulationen sondern auch durch technische Fehlfunktionen besteht.
  • Ein Tesla-Fahrzeug im Autopilot-Modus erkannte einen kreuzenden, weissen Lastwagen nicht vor dem Hintergrund des hellen Himmels.
  • Das Fahrzeug raste ungebremst in den Sattelanhänger. Der Fahrer verstarb.
2016 Blog-Mitteilung der Tesla Motors

Jeep Grand Cherokee |

Fiat Chrysler Automobiles

  • Internet-Schnittstelle des Entertainment-Systems Uconnect ist mangelhaft authentifiziert.
  • Ferner ist die Trennung des Entertainment-Systems zum restlichen Fahrzeugnetz mangelhaft.
  • Dadurch ist aus dem Internet der Zugriff auf kritische Fahrzeugfunktionen wie Beschleunigung, Bremse und Lenkrad möglich.
2015

Artikel bei Heise

 

Youtube-Video


Automationssysteme

Chemische Produktionsanlage
Chemische Produktionsanlage
System | Hersteller
Beschreibung Jahr Referenz

 

Smarte Highway-Anzeigen | Hersteller unbekannt

  • Ein eher humoristischer IoT-Angriff im US-Präsidentschaftswahlkampf: Ein Bernie Sanders-Anhänger manipulierte smarte Highway-Anzeigen.
  • Statt üblicher Informationen über Höchstgeschwindigkeiten zeigten die Anzeigen die Botschaften wie "Donald Trump is a shape-shifting lizard" und "Bernie for President".
2016

Video der manipulierten Anzeigen auf Youtube

Geldautomat |

NCR

  • Der Hersteller von Geldautomaten NCR hat festgestellt, dass seine Geräte im Feld manipuliert werden, um an Kundendaten zu gelangen.
  • Dabei wird die Nutzer-PIN wird mittels Kamera aufgezeichnet. Gleichzeitig wird der Datenverkehr des Geldautomaten mittels eines "Skimming"-Gerät aufgezeichnet, das mit der Netzwerkschnittstelle des Geldautomaten verbunden wird.
  • Der Hersteller rät daher dazu, die Geldautomaten so aufzustellen, dass Netzwerkschnittstellen nicht zugänglich sind.
2016

Bericht bei Krebs on Security

Stahlwerk |

Hersteller unbekannt

  • Angreifer erlangen mittels Spear Phishing Zugriff auf das Office-Netzwerk.
  • Angreifer hacken sich vom Office-Netz in das Produktionsnetz und erlangen Zugriff auf die Steuerung eines Hochofens.
  • Hacker manipulieren die Steuerung so, dass der Hochofen nicht mehr kontrolliert heruntergefahren werden kann, was zu massiven Schäden an der Anlage führt.
2014

BSI-Lagebericht 2015

Simatic S7 |

Siemens

  • Über Sicherheitslücken im Windows-Betriebssystem installiert sich der Computerwurm Stuxnet auf dem Computer.
  • Stuxnet prüft, ob auf dem Rechner das Konfigurationstool "Step 7" und die Visualisierungssoftware WinCC installiert sind. Ferner verifiziert Stuxnet ob Frequenzumrichter bestimmter Hersteller angeschlossen sind.
  • Falls alle obigen Bedingungen erfüllt sind, manipultiert Stuxnet die Kommunikation zwischen WinCC und dem SCADA-Controller, indem Stuxnet statt Echzeit-Daten historische Anlagendaten visualisiert.
  • Stuxnet erhöht die Umdrehungsfrequenz der Gaszentrifuge, was zu deren Zerstörung führt.
2010

Wikipedia-Artikel

 

Buch Coutdown to Zero Day

Diverse Systeme |

Diverse Hersteller

  • Nach US-amerikanischer Gesetzgebung sind Hersteller von Industrieautomatisierungssystemen das ICS-CERT (Industrial Control System Cyber Emergency Response Team) zu informieren, wenn eine Sicherheitslücke in ihrem System entdeckt wird.
  • Das ICS-CERT publiziert die Security-Schwachstelle dann über seine Website. Dies beinhaltet auch eine Handlungsanweisung für Anwender, wie sie diese Lücke schliessen können.
  • Die ICS-CERT Website bietet somit eine vollständige, aktuelle Übersicht der IoT-Security-Lücken dieser Branche.
laufend

Website des ICS-CERT


Gebäudetechnik

Bild: Gebäudefassade
Bürogebäude
System | Hersteller
Beschreibung Jahr Referenz

Videoüberwachung |

diverse Hersteller
  • Es ist heute in vielen Unternehmen üblich, Videoüberwachungssysteme über die Office-IT zu vernetzen. Dies machte sich die 2014 entdeckte Schadsoftware Carbanak zu Nutze. Mit dieser stahlen Kriminelle bei diversen Banken ca. 1 Milliare US-$.
  • Die Schadsoftware wird als Anhang an gezielte Bank-Mitarbeiter geschickt. Als Absender wurden vorher gehackte Accounts vertrauter Kollegen verwendet. Der Trojaner verschaft den Angreifern Zugang zum Banknetzwerk.
  • Über das Banknetzwerk können die Angreifer auch auf die angeschlossenen Überwachungskameras in den Bankgebäuden zugreifen. Die Informationen aus diesen Aufzeichnungen wurden genutzt, um sich selbst Geld zu überweisen.
  • Gleichzeitig wurden auf dem Netz angeschlossene Geldautomaten manipuliert, so dass diese Geld ausgaben während ein Komplize am Automaten wartet.
2014 Funktionsweise Carbanak

Niagara |

Tridium

  • Das Niagara Framework ist ein Softwarepaket, um Gebäudeautomationssteuerungen an die Cloud anzuschliessen und sie so mit anderen Systemen zu vernetzen und zu steuern.
  • Niagara wird u.a. im Google Australia Hauptsitz in Sydney eingesetzt.
  • Das Systeme wurde durch Google nicht systematisch gepatcht und enthält eine Sicherheitslücke, die es den Forschern erlaubt, aus der Ferne  Administratorpasswörter auszulesen.
  • Dadurch können die Sicherheitsforscher nicht nur Gebäudepläne und Anlagenschemata einsehen sondern auch die Steuerung der technischen Anlagen (Belüftung, Klimatisierung, etc.) übernehmen.
  • Das Beispiel zeigt, dass selbst eine IT-Firma, die im Bereich der IT-Security kompetent ist, auf dem Gebiet der IoT verwundbar ist.
2013 Bericht bei Wired

HLK-Steuerung |

Hersteller unbekannt

  • Installateur eines Gebäudeautomationssystemen erhält Zugriff auf Target-Intranet, um die Systeme aus der Ferne zu warten zu können.
  • Intranet-Zugangsdaten werden mittels Phishing entwendet.
  • Hacker installieren Memory Scraping Software auf Kreditkartenterminals und entwenden die Kreditkarteninformationen mehrerer Millionen Kunden.
2013 Bericht bei CIO.com

Energieversorgung

Energie- und Kommunikationsmasten
Energie- und Kommunikationsmasten
System | Hersteller
Beschreibung Jahr Referenz

Stromnetz |

Ukrainische Energieversorger

  • Hacker erlangen mittels eines Phishing Angriffs mit dem Trojaner "BlackEnergy" Zugriff auf das Steuerungsnetz mehrerer ukrainischer Energieversorger.
  • Zunächst wird der Speicher mehrerer Steuerungsrechner gelöscht. Anschliessend wird die User-Schnittstelle so überschrieben, dass kein manuelles Eingreifen vor Ort mehr möglich ist. Anschliessend wird durch Manipulation der Firmware die Netzwerkverbindung zwischen Umspannstationen unbrauchbar gemacht. Schliesslich wird die unterbrechungsfreie Stromversorgung so manipuliert, dass die Wiederherstellung der Anlagen erschwert wird.
  • Insgesamt bewirkt der Angriff den Ausfall von drei Transformatorstationen, was wiederum zum temporären Zusammenbruch des gesamten Stromnetzes führt.
2015 Artikel bei Golem.de

Kernkraftwerk |

Hersteller unbekannt
  • Ca. im Jahr 2014 fand ein Angriff auf die IT-Infrastruktur eines Kernkraftwerks statt, was auch zu Beeinträchtigungen beim Betrieb der Anlage führte.
  • Der Fall wurde lediglich bekannt durch eine Stellungnahme des Chefs der International Atomic Energy Agency (IAEA), Yukiya Amano.
  • Amano nutze das Beispiel um zu unterstreichen, dass Cyberangriffe auf Kernkraftwerke mehr als nur ein theoretische Gefahr sind. Er weigerte sich jedoch, weitere Details zum Vorfall bekannt zu geben.
2014 Bericht bei Reuters

Staudamm |

Hersteller unbekannt

  • Hacker erlangen greifen über einen Fernwartungszugang auf die Steuerung des Staudamms "Bow Avenue Dam" im Bundesstaat New York zu. Die Hacker gewinnen Zugang zu Statusinformationen wie Wasserstand und Temperatur.
  • Üblicherweise wäre über diesen Remote-Zugang auch die Steuerung des Schütz zur Regelung des Wasserdurchflusses möglich. Aufgrund einer routinemässigen Wartung ist diese Ansteuerung jedoch zum Angriffszeitpunkt getrennt.
  • Im März 2016 gibt das amerikanische Department of Justice bekannt, in diesem Fall rechtlich gegen sieben namentlich bekannte iranische Hacker vorzugehen.
2013 Artikel bei CNET.com

 

Stromnetz |

diverse westliche Energieversorger
  • Die Angreifer schleusen manipulierte Firmware auf die Update-Websites verschiedener Hersteller von Steuerungssystemen aus dem Energieversorgungsbereich.
  • Verschiedene Energieversorger installieren die manipulierte Firmware auf ihren Steuerungssystemen.
  • Die manipulierte Firmware gibt den Angreifern einerseits Zugriff in die Computernetzwerke der Energieversorger und erlaubt ihnen andererseits direkt Zuriff auf Windturbinen, Gaskraftwerke und andere Energieversorgungseinrichtungen zu nehmen.
2012 Bericht über Hacker-Gruppe Energetic Bear durch die NY Times

Medizintechnik


Bild: Medizinische Analyse
Medizinische Analyse
System | Hersteller
Beschreibung Jahr Referenz

Insulinpumpe |

Medtronic

  • Die Insulinpumpe des Herstellers Medtronic verfügt über eine drahtlose Schnittstelle, die Patient und Arzt ermöglicht, Einstellungen vorzunehmen.
  • Die Schnittstelle ist nicht verschlüsselt und nicht authentifiziert.
  • Ein Hacker zeigt auf, wie es möglich ist, den kompletten Vorrat von 300 Insulin-Dosen - eine tödliche Menge - aus der Ferne ohne Warnton an den Patienten abzugeben.
2011 Bericht auf The Register

Verschiedene Home Automation Produkte
Verschiedene Home Automation Produkte

Consumer Elektronik

System | Hersteller
Beschreibung Jahr Referenz

Kameras, Kühlschränke u.ä |

diverse Hersteller

  • Das IoT-Botnet Mirai wurde entwickelt, um IoT-Systeme wie IP-fähige Videokameras oder Kühlschränke zu befallen und diese als Botnet zu missbrauchen.
  • Durch die koordinierte Kontrolle über ca. infizierter 100'000 IoT-Geräte wird am 21. Oktober 2016 unnötiger zu verarbeitender Datenverkehr noch nie dagewesener Grössenordnung (>1 Terabit/Sekunde) für die Server des DNS-Anbieters Dyn erzeugt. Dieser "Distrubuted Denial-of-Service" (DDoS) Angriff führt dazu, dass die Dyn-DNS-Server für gewöhnliche Nutzer nicht mehr ansprechbar sind.
  • Da DNS-Server für die Übersetzung von Website-Namen in IP-Adressen verantwortlich sind, spielen sie eine zentrale Rolle für die korrekte Funktion des Internets. Durch dem Mirai-Angriff fiel die Verbindung zu den Servern von Twitter, Amazon, Netflix und anderen aus.
2016 Stellungnahme des betroffenen DNS-Betreibers Dyn

Babyfon |

Philipps

  • Der Webservice ist anfällig für Cross-Site-Scripting, d.h. ein Angreifer kann Script-Schadcode einschleusen, der dann beim Opfer ausgeführt wird. Dadurch ist es prinzipiell möglich, Zugriff auf die Audio-/Videoverbindung des Opfers zu nehmen (Session Hijacking).
  • Das Babyfon verfügt über ein Mikrofon und eine Kamera und übermittels den Audio-/Videostream via einen Philipps-Webservice an das iPhone oder iPad des Besitzers.
  • Ferner verfügt das Babyfon über fest durch den Hersteller einprogrammierte Remote-Zugänge, die erlauben, auf den Webserver und das Betriebssystem des Babyfons zuzugreifen. Derartige hartcodierte Herstellerzugänge sind eine typische Schwäche vieler IoT-Systeme.
2015 IoT Security Report der Firma Rapid7

FI9286P |

Foscam

  • Das Modell FI9286P ist eine IP-Kamera des chinesischen Herstellers Foscam.
  • Im November 2015 berichtet ein besorgter Käufer in einem Forum, dass die Kamera ununterbrochen Netzwerkverkehr zu einem Dutzend verschiedener Hosts unterhält.
  • Wie sich in der Folge herausstellt, ist die Kamera konfiguriert, um laufend Video-Streams ihrer Nutzer über Peer-to-Peer-Netzwerke zu verbreiten. Dies lässt sich durch keine der Geräteeinstellungen unterbinden.
2015 Nutzerforum auf Foscam-Website

Smart TVs | Samsung

  • Moderne Smart TVs unterstützen Sprachkommandos, d.h. Befehle wie "Lautstärke erhöhen" werden vom Mikrofon der Fernbedienung aufgezeichnet und dann durch den Fernseher ausgeführt.
  • Die Sprachdaten werden auch an Samsung übermittelt, was den Hersteller befähigt die Wohnzimmer von Millionen von Haushalten zu belauschen.
  • Die Daten werden nicht einmal verschlüsselt übertragen, so dass theoretisch auch andere Parteien "mitlauschen" können.
2015 Privacy-Lücken Samsung TVs

Smart TVs |

Diverse Hersteller

  • "Smarte" Haushaltsgeräte wie Smart TVs, Media-Server und Kühlschränke werden so manipuliert, dass sie zur Versendung von Spam-Mail eingesetzt werden können.
  • Es handelt sich hierbei somit um das erste bekannte IoT-Botnet.
2014 Nachricht bei Reuters