ComAp liefert Module und die SCADA-Kontrollsoftware in alle Welt. Wegen einer Sicherheitslücke können rund 40.000 teure Industrieanlagen in aller Welt gekapert werden.
Super schade, dass das Thema damals so gnadenlos untergegangen ist. Ein einziger Kommentar, der mit dem Inhalt nur ansatzweise zu tun hatte …
Ich halte das Ganze weiterhin für skandalös. Golem oder heise security habe ich damals auch das Thema gegeben, das war denen keine Nachricht oder Antwort wert. Tja, weiß man halt Bescheid.
Kam darauf, weil ich den Link dazu gestern einem Freund gegeben habe.
Es ist skandalös, zumal man ja großen Schaden anrichten kann.
Voreingestellte Router / Repeater mit Standartlogins gab es früher zu hauf…, sogar die Fritz Box war mal anfällig. Wir reden hier aber von wichtiger Infra-Struktur die daduch komplett oder teilweise sabotiert werden kann.
Allerdings lege in diesem Fall auch keinen Wert, um das auszuprobieren ob es heute noch gelingen kann… / Man will ja nicht zum „Most Wanted Buhmann“ werden.
Die Hersteller antworten gar nicht bzw. ausweichend, und versuchen das „intern“ zu regeln, was heisst es wird nicht publiziert noch kommuniziert. Stehen solche Firmen alleine da, NEIN das machen andere Firmen auch.
Man will ja nicht sein Prestige Produkt mit sowas im Sand setzen.
PS. Meine persönliche Meinung…
Falls ihr alten Router gefunden / gekauft habt, probiert mal
Admin-Admin, Guest-Guest, Admin-Guest, Admin- 012345,
Total Reset
Im Allgemeinen ist es um die Sicherheit von ICS (Industrial Control Systems) nach fünf Jahren, noch viel schlimmer bestellt, als es damals war…
Heutzutage geht es nicht nur um SCADA (Supervisory Control and Data Acquisition), sondern auch noch um PLC (Programmable Logic Controller) und DCS (Distributed Control System)!
Über die Masse dieser „not secure systems“ kann man sich hier erstmal einen Überblick verschaffen:
Das Grundproblem ist halt, es darf nichts kosten und muss in der Anwendung für die Kunden möglichst einfach sein. Also nach dem Start des Gerätes einfach nur 0 eingeben und loslegen.
Kommt es nur mir so vor, dass diese Welt immer verrückter wird? Oder war die immer schon so?
Ich denke, es soll der Eindruck erweckt werden, die Welt sei verrückt. Aber sie ist so, wie sie schon immer war. Jetzt wird wohl der ein oder andere fragen: Ob ich das normal finde, was so in der Welt passiert. Es gibt kein „normal“. Dieses „normal“ ist eine Sache die uns von kleinauf beigebracht wird…
Ist das so… ?!
Also mit deiner Hobby - Philosophie ist auch keinem geholfen…
Ich sehe Tendenzen das die Welt verrückter ist bzw. wird
Hier paar Beispiele
Donald Trump, Elon Musk, Putin, Der Kim aus Nordkorea
viele schräge Vögel weltweit
vemehrt Aggros
vemehrt Egos
Logo ?!
Ich glaube wir können uns bald ALLE anschnallen, die Achterbahn Fahrt wird noch rasant werden in den nächsten Monaten / Jahren.
Bitte nicht rausfallen - Ihr Jahrmarktbetreiber
D. P.
PS. Verdammte Kiste, habe oft Vorahnungen, leider böse Vorahnungen…
Quelle :
https://www.br.de/nachrichten/
(Finde, deren News-Seiten gehören zu den besten im Netz, gut aufgemacht, gute Themenvielfalt)
Sorry, jetzt wieder zum eigentlichen Thema…
Viele Geräte benutzen Standard-Logins mit Standard- Passwörtern, offenbar will man den Benutzern alles so einfach machen wie möglich. Man kann ja nicht erwarten, das der Benutzer ein 12 Zeichen langes Passwort eingibt, welches noch aus Groß- Sonderzeichen und Zahlen bestehen muss.
Die Leute wolle es einfach…
Jedem muss auch klar sein, das nicht jeder IT- versiert ist, und die Gerätschaften halt irgendwie am laufen kommen sollen…
(Für die Firmen immerhin noch besser als Retour-Reklamationen)
Allerdings wenn es um wichtige Infrastruktur wie Windanlagen, Kraftwerke, Strom- Wassergeneratoren was auch immer geht, muss die Technik auf höchsten Sicherheits-Niveau sein… ! Da braucht keiner mit Standard - Zugängen kommen.
Ich hätte ja nur verlangt, dass man die Käufer dazu gezwungen hätte, nach dem erstmaligen Login durch Eingabe der 0 ein eigenes Passwort zu wählen. Doch selbst das hat man nicht gemacht. Noch besser wäre es, man bekommt sie dazu, auch Klein- und Großschreibung und Sonderzeichen zu verwenden.
Kann es sein, dass es im Artikel um Industrieanlagen geht, die wie im Fall von SCADA-Anlagen, immer im größeren Verbund gebaut werden?!
Nehmen wir mal einen Offshore-Windpark mit 100 Windrädern als Beispiel. Dieser wird erstmal mitten im Meer bautechnisch realisiert inklusive der Kabelverlegung (Stromkabel, Steuer -und Kommunikationsleitungen). Dann werden diese 100 Anlagen an einen zentralen Übergabepunkt (Router / WAF usw) angeschlossen. IT-seitig wird mit diesen 101 „Geräten“ ein Ethernet aufgebaut und konfiguriert.
Die benötigte Hardware und elektronische Steuerung wird von z.B. ComAp, Siemens etc. gestellt, welche mit Standard-Zugängen ausgerüstet sind. Wieso ist das so? Um die Installation, die Konfiguration und die Anbindung zum Betreiber zu erleichtern und zu standarisieren.
Ein Standard, der auch beim Aufbau ganz anderer Industrie-Anlagen, welche vernetzt sind, so üblich waren und sind. Das ist auch vollkommen richtig so!
Falsch dabei ist:
Bevor dieser Windpark nun offiziell ans Stromnetz geht, ist die IT-Abteilung / der IT-Dienstleister des Windpark-Betreibers gefragt. Diese konfiguriert abschliessend das Ethernet der 101 Nodes, sowie den Übergabepunkt zum WAN (Internet) und den Node beim Betreiber selbst.
Im Zuge dessen müssen natürlich auch diese Standard-Zugänge abgeändert werden, was wohl nicht passiert ist. Das kann z.B. an fehlender oder falschen Kommunikation, an unvollständigen Arbeitsaufträgen, an fehlenden Dokumentationspflichten etc. pp. liegen!
So etwas würde dann natürlich auf eine falsche bzw. schlechte Organisation beim Windpark-Betreiber und den eingesetzten externen Dienstleistern hindeuten!
Hier zu Lande hat sich dies seit Einführung von „KRITIS“ zum Positiven hin geändert. Denn dadurch müssen die KRITIS-Betreiber (z.B. Windpark) sich gesetzlich an Vorgaben und Abläufe halten wie z.B. eine Dokumentationspflicht. Spätestens bei der Pflege dieser IT-Dokumentation fallen dann so „Kleinigkeiten“ wie ein Standard-Zugang direkt auf und können spätestens dann geändert werden!
In anderen Ländern oder auch in anderen deutschen Branchen ausserhalb der KRITIS, gibt es sowas überhaupt nicht. Außer diese Firmen und Betreiber lassen sich freiwillig nach DIN-ISO Normen im Audit zertifizieren. Dann wären Dokumentationspflichten auch wieder mit inbegriffen und diese dämlichen Fehler wären wohl Geschichte…
Richtig dabei wäre:
Um zukünftig so etwas, wie diese „offenen“ SCADAs zu verneiden, gibt es eine total einfache Lösung seitens der IT seit langem! Dabei wären sogar die Standard (0)-Zugänge völlig egal, da diese dann nur noch vom Betreiber des SCADA-Systems erreichbar wären!!
Ein VPN-Tunnel (KEIN Custom-VPN) zwischen SCADA (Router / WAF) und Betreiberseite.
Denn dadurch gäbe es die „0-Zugänge“ nicht mehr übers WAN (Internet) in sichtbar, da der Zugang zum SCADA nur noch über den VPN-Zugang geregelt wäre!
Ich habe das damals mehrfach von Dritten „testen“ lassen. Man sagte mir, man hätte die volle Kontrolle über die Anlagen gehabt. Man hätte also auch versuchen können, die teuren Geräte kaputt zu machen, indem man sie überlastet. Das ist natürlich nie geschehen. Es ging ja von Anfang an nur darum, die Aussage zu überprüfen.
Kann ich zu 1000% bestätigen!! So 6 Monate, nachdem „shodan“ online ging, habe ich meine ersten Experimente (u.a. mit Siemens-Controllern und SCADA) gemacht. Nach ca. 10 Minuten war ich im Admin-Dashboard von einer Windturbine mit 100% Vollzugriff…
An dem Tag war ich auf sovielen technischen Anlagen, hat richtig Laune gemacht.
Und klar…als Admin hast du das Panel vor dir, mit allen Schaltern, Werten, Not-Aus, Resrart usw. Siehe z.B.:
In der Nacht habe ich mir das Shodan-Handbuch besorgt und am Tag 2 kamen dann NAS-Systeme, Web-Server, Router dran…tagelang ging das damals! Und in dem frühen Stadium, gabs bei Shodan noch keinen Account-Zwang oder Premium-Dienste.
Mittlerweile hat sich natürlich viel getan, zumindest bei Shodan, mit dem Handling, mit der schieren Masse an Geräten und anderen Zugängen. Wird auch, genau wie damals schon, für Schulungen, Zertifizierungen im Bereich Pen-Tests und Security-Analysis genutzt.
Bei der massiven Anzahl der Möglichkeiten bei Shodan, ist es für Interessierte echt ratsam, sich auch das Handbuch oder z.B. die Cert-Dumps und Projektdokus von Kali, Offensive Security / BackTrack zu besorgen!