Steffen Wendzel, Fraunhofer FKIE Sicherheit in der Gebäude
Transcrição
Steffen Wendzel, Fraunhofer FKIE Sicherheit in der Gebäude
Sicherheit in der Gebäude-Automation – Ein Einblick Steffen Wendzel -Version zur Veröffentlichung auf der [email protected] Dep. Cyber Security © Cyber Defense Research Group, Fraunhofer FKIE Gründe für Sicherheitsprobleme – ein historischer Blick frühe Systeme pneumatische Komponenten (1950’er Jahre) später: erste elektronische Komponenten (1960’er Jahre) … und robuste Netzwerke heute: Integration in das Internet der Dinge © Cyber Defense Research Group, Fraunhofer FKIE Was sagen die Medien? © Cyber Defense Research Group, Fraunhofer FKIE Denkbare Szenarien Angriff auf Serverräume durch Überhitzung Prozesse einer Organisation stören Aussperren von Mitarbeitern von einer Produktionsstraße Feueralarm auslösen(?) Einbrechen Überwachen … © Cyber Defense Research Group, Fraunhofer FKIE … wie sieht die REALITÄT AUS? © Cyber Defense Research Group, Fraunhofer FKIE In welchem Maße sind Gebäude online verfügbar? Keiner weiß es so genau! Es gibt Schätzungen und Messungen Malchow und Klick (2014) haben BMS via SHODAN gezählt die meisten BMS wurden in den USA gefunden (ca.15.000) für 9% der gefundenen BMS sind Verwundbarkeiten bekannnt © Cyber Defense Research Group, Fraunhofer FKIE Weitere Sicherheitsaspekte Akademische Betrachtung seit den späten 1990’ern TCP/IP-Angriffe können übertragen werden (z.B. Spoofing) Fokus der Hersteller: Sicherheit << FUNKTIONALITÄT Insb. in der Vergangenheit: fehlende Security Awareness Soft- und Hardware-Altbestand Siehe gestriger Vortrag: Klimatechnik im Schnitt 25 Jahre alt neue Sicherheitsfeatures sind nicht immer implementierbar! © Cyber Defense Research Group, Fraunhofer FKIE Weitere Sicherheitsaspekte Patching schwierig bis unmöglich Web-Interfaces / Remote-Access teils unsicher Internet of Things: Wearable Computing und eHealthcare © Cyber Defense Research Group, Fraunhofer FKIE Internet = Gebäudeautomation? TCP/IP-Sicherheit Seit 80ern: neue Angriffe (Smurf Attack etc.) Reaktion: bessere Standards relativ sichere TCP/IP Stacks Reaktion: bessere Implementierungen © Cyber Defense Research Group, Fraunhofer FKIE Internet = Gebäudeautomation? TCP/IP-Sicherheit Bekannte Angriffe aus TCP/IP-Welt Reaktion: bessere Standards Reaktion: bessere Implementierungen weniger Reaktionszeit für Hersteller derzeit unsichere späte Reaktion der Hersteller und Forschung GAStacks in Praxis Systeme kaum patchbar nicht leistungsfähig genug © Cyber Defense Research Group, Fraunhofer FKIE viel längere Zeiträume für Einsatz v. Systemen: zukünftige Security-Probleme noch nicht ersichtlich Internet = Gebäudeautomation? TCP/IP-Sicherheit Klare Antwort: Die Sicherheitsanforderungen in der GA sind speziell und keinesfalls 1:1 übertragbar aus der TCP/IP-Welt … auch dann nicht, wenn GA-Protokolle über IP laufen können! Bekannte Angriffe aus TCP/IP-Welt Seit 80ern: neue Angriffe (Smurf Attack etc.) Reaktion: bessere Standards relativ sichere TCP/IP Stacks Reaktion: bessere Implementierungen © Cyber Defense Research Group, Fraunhofer FKIE Reaktion: bessere Standards Reaktion: bessere Implementierungen derzeit unsichere GA-Stacks in Praxis Internet = Gebäudeautomation? TCP/IP-Sicherheit Aber: Wir können auch eine große Chance sehen! Schon jetzt aus den Kinderkrankheiten des Internets lernen und Angriffe, die in der GA-Welt praktisch unbekannt sind (bspw. Smurf Attack) schon jetzt eindämmen Nicht nur offene, sondern frei zugängliche Spezifikationen schaffen für alle Protokolle (analog zu RFCs!). Standards zwar z.T. zugänglich, aber Normen nur über Bibliotheken oder gegen viel Geld verfügbar Offenheit der TCP/IP-Welt hat die Internet-Protokolle gepusht und Weiterentwicklung sowie Sicherheitsuntersuchungen erleichtert © Cyber Defense Research Group, Fraunhofer FKIE Internet = Gebäudeautomation? IT-Sicherheitsbewusstsein der Betreiber Internet Basiswissen praktisch jedem Administrator bekannt Gebäudeautomation Wissen über IT-Security kaum vorhanden in Praxis Dafür viel Safety-Wissen © Cyber Defense Research Group, Fraunhofer FKIE Internet = Gebäudeautomation? IT-Sicherheitsbewusstsein der Betreiber Internet Bedienbarkeit von grundlegenden Sicherheitsfunktionen mittlerweile hoch Gebäudeautomation IT-Sicherheitsfunktionen sind, falls überhaupt vorhanden, kaum verständlich für den Betreiber. Wer im Raum kennt sich mit der Verschlüsselung von BACnetTraffic aus? Speichern Sie historische Sensordaten verschlüsselt? © Cyber Defense Research Group, Fraunhofer FKIE Ich habe schon genug zu managen! Jetzt soll ich mich auch noch mit IT-Sicherheit beschäftigen??? © Cyber Defense Research Group, Fraunhofer FKIE NEUERE ANGRIFFE © Cyber Defense Research Group, Fraunhofer FKIE Data Leakage (Un)bewusster Abfluss von Daten Sensor IP Gateway BAS Network BAS Protocol External (BAS) Network or Internet Passive Observer Source: Wendzel, S., Kahler, B., Rist, T.: Covert Channels And Their Prevention In Building Automation Protocols: A Prototype Exemplified Using BACnet, Proc. CPSCom, IEEE, 2012. © Cyber Defense Research Group, Fraunhofer FKIE Data Leakage Protection (DLP) Multi-level Security (MLS) Prototyp bereits vorliegend für BACnet MLS-based Routing Sensor (CONFIDENTIAL) IP Gateway MLS Filter BAS Network BAS Protocol External (BAS) Network or Internet Passive Observer Source: Wendzel, S., Kahler, B., Rist, T.: Covert Channels And Their Prevention In Building Automation Protocols: A Prototype Exemplified Using BACnet, Proc. CPSCom, IEEE, 2012. © Cyber Defense Research Group, Fraunhofer FKIE Smart Building Botnets (SBB) Eine mögliche Zukunft? Kurze Definition: Ein Botnet aus Gebäuden Nutzen phsyikalische Fähigkeiten kein Spam, kein DoS, … neuartige Angriffe denkbar Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014. © Cyber Defense Research Group, Fraunhofer FKIE Smart Building Botnets (SBB) Wie erstellen? Shodan BAS Wardriving GPS-enabled Smartphones mit Malware Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014. ´ Kahler, B., Wendzel, S.: How to own a Building? Wardriving für die Gebäudeautomation, in Proc. DFN Workshop, 2012. © Cyber Defense Research Group, Fraunhofer FKIE Beispiel: Überwachung Fernzugriff auf Sensordaten Wann ist jemand zu Hause? Wo hält er sich auf? Lässt sein Verhalten auf eine Krankheit schließen? Diverse aktive Szenarien ebenfalls denkbar! Source: Wendzel, S., Zwanger, V., Meier, M., Szlosarczyk, S.: Envisioning Smart Building Botnets, in Proc. Sicherheit, GI, Vienna, 2014. © Cyber Defense Research Group, Fraunhofer FKIE Presse (Auswahl, 2014) © Cyber Defense Research Group, Fraunhofer FKIE Unser Lösungsansatz: TRAFFIC NORMALIZATION © Cyber Defense Research Group, Fraunhofer FKIE Traffic Normalization Was ist das? Filtern und Modifizieren von Datenverkehr, heute Bestandteil vieler Firewalls. Verhindert diverse Angriffe Internet Intranet Normalizer Source: S. Szlósarczyk, S. Wendzel et al.: Towards Suppressing Attacks on and Improving Resilience of Building Automation Systems, in Proc. GI Sicherheit, Vienna, 2014. © Cyber Defense Research Group, Fraunhofer FKIE Traffic Normalization für BACnet Snort-Extension für BACnet Scapy-basierter BACnet Protokoll Fuzzer Bisher: BACnet/IP © Cyber Defense Research Group, Fraunhofer FKIE Traffic Normalizer Traffic Normalization for BACnet BMBF-gefördertes Projekt : Building Automation Reliable Network Infrastructure (BARNI) Volumen: 1 Mio. EUR Projektpartner: MBS GmbH, Krefeld Fraunhofer FKIE, Bonn/Wachtberg © Cyber Defense Research Group, Fraunhofer FKIE Traffic Normalizer Traffic Normalization for BACnet BMBF-gefördertes Projekt : Building Automation Reliable Network Infrastructure (BARNI) Volumen: 1 Mio. EUR Projektpartner: MBS GmbH, Krefeld Fraunhofer FKIE, Bonn/Wachtberg © Cyber Defense Research Group, Fraunhofer FKIE Visualisierung von GA-Events: Einblick in die Forschung DISTRIBUTED BACnet TESTBED © Cyber Defense Research Group, Fraunhofer FKIE Distributed BACnet Testbed Verbindung diverser BACnet-Testbeds aus dem Forschungsumfeld Echte BACnet-Komponenten und virtuelle Komponenten Source: J. Kaur et al.: A Cost-efficient building automation security testbed for educational purposes, poster at Securware, Lisbon, 2014 (to appear). © Cyber Defense Research Group, Fraunhofer FKIE Distributed BACnet Testbed Warum? 1. Forschung (Traffic Recorings/Analysis, DLP etc.) 2. Ausbildung (BACnet Attack Training und Prevention Training) Source: J. Kaur et al.: A Cost-efficient building automation security testbed for educational purposes, poster at Securware, Lisbon, 2014 (to appear). © Cyber Defense Research Group, Fraunhofer FKIE IT-Sicherheit für Ihre Gebäude-Automation PENETRATION TESTING © Cyber Defense Research Group, Fraunhofer FKIE Penetration Testing Penetration Testing überprüft die IT-Sicherheit eines Systems Betrieb des Systems darf nicht gestört werden Ergebnis ist ein Bericht über Sicherheitslöcher (+ Optimierungsvorschläge) Es gibt keine speziellen Penetration Testings für die Gebäudetechnik! Wir entwickeln momentan das erste Konzept für einen solchen Test. … und suchen nach einem Projektpartner, den wir kostenlos testen um Erfahrungen zu sammeln © Cyber Defense Research Group, Fraunhofer FKIE ZUSAMMENFASSUNG © Cyber Defense Research Group, Fraunhofer FKIE Zusammenfassung IT-Sicherheit von zunehmender Relevanz für GA in vielerlei Hinsicht unterschiedlich zur IT-Sicherheit im Internet Mögliche neue Ansätze: Data Leakage Protection für Gebäude Traffic Normalization Virtuelle Testbeds Penetration Testing © Cyber Defense Research Group, Fraunhofer FKIE Traffic Normalizer Vielen Dank für Ihre freundliche Aufmerksamkeit! Unsere Expertise: Steffen Wendzel Data Leakage Protection Teamleiter IT-Sicherheit in der GA Abteilung Cyber Security Fraunhofer FKIE [email protected] IT-Sicherheit (div. Themenfelder) privat (-> Publikationen): Netzwerksicherheit für die GA http://www.wendzel.de Links zu den Publikationen aus diesem Vortrag: http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=6468400&tag=1 http://www.wendzel.de/dr.org/files/Papers/EnvisioningSmartBuildings.pdf http://www.wendzel.de/dr.org/files/Papers/BACnet_TN_Paper_GISich.pdf © Cyber Defense Research Group, Fraunhofer FKIE