VGB POWERTECH 10 (2019)

Weitere Magazine

Info

Bedrohungslage Cyber-Security in der Energiewirtschaft: Insider-Betrachtungen 2019 VGB PowerTech 10 l 2019 Gruppe IV („3rd parties“): –– Japan, Taiwan, Türkei, Griechenland, Südkorea, Tschechien, Thailand, Indien, Pakistan, Saudi-Arabien, Singapur, Äthiopien, Algerien, Vereinigte Arabische Emirate, Finnland, Tunesien, Mazedonien, Ungarn, Rumänien, Jordanien, Österreich, Kroatien, Polen, Israel Was dies mit unseren Cyber-Security Anstrengungen zu tun hat, lässt sich an dem nachfolgenden Sachverhalt sehr einfach ersehen: Zugegebener Weise wurden einige Verbesserungen nach Bekanntwerden der Snowden-Affäre umgesetzt, zwei wichtige Aspekte jedoch nicht: –– Die Idee des „Schengen-Netzes“, wonach innereuropäischer Datenverkehr nicht über das Ausland geroutet werden soll, wurde nie umgesetzt. –– Die „No-Backdor-Blausel“, wonach IT- Hersteller keine geheimen Zugriffsmöglichkeiten in Produkte einbauen, wurde nie umgesetzt. DDoS-Angriffe über die Cloud Aus Kostengründen möchten viele Unternehmen, natürlich auch Unternehmen der Energiewirtschaft, in die Cloud auslagern. Auch die dunkle Seite der Macht hat dies erkannt. Gemäß einer aktuellen Umfrage der Allianz-für-Sicherheit sind derzeit 18% der Angriffe DDoS – Attacken. Im I. Quartal 2019 registrierte Link 11 zum Beispiel für DACH (=Deutschland, Österreich, Schweiz) 11.177 DDoS Attacken. Bei DDoS-Attacken werden die Dienste mit zahlreichen Datenpaketen überschwemmt, so dass diese für normale Anfragen nicht mehr erreichbar sind. Hierfür können verschiedenste Techniken verwendet werden, zum Beispiel: –– SYN Flooding (Synchronization) –– NTP (Network Time Protocol) –– DNS Amplifying (Domain Name System) Im Bereich der Gegenwehr geht es dann darum, Anomalien im Datenverkehr im Sinne von großem zusätzlichen Traffic zu erkennen und dann zu unterbinden. Besonders hinterlistig sind in diesem Zusammenhang DDoS Attacken mit dem Vektor HTTPS, da selbige weniger auf hohe, überlastende Bandbreiten (wie z.B. UDP reflection amplification attacks), sondern auf eine Tarnung als legitime User-Anfragen ausgerichtet sind. Anstatt die Anbindung zu überlasten, reizen diese die Serverressourcen durch das Ent- und Verschlüsseln von SSL-Verbindungen aus. Das Problem besteht darin, dass HTTPS-Angriffe kaum sichtbar sind bzw. nur schwer zu erkennen sind. Der manipulierte Traffic ist ohne Inspektion der Pakete kaum von normalen Anfragen zu unterscheiden. Nur der dezidierte Einblick in den via TLS/SSLverschlüsselten Traffic kann einen solchen Angriff enttarnen. Gemäß einer Auswertung von Link11 wurde im Juni 2018 jede zweite Attacke unter Einsatz von Cloud-Servern ausgeführt. Noch im Januar 2016 lag der Wert bei 2,1 %. Angriffe über serverbasierte Botnetze haben ein hohes Angriffspotenzial und sind in Bezug auf Anbindung, Cores und Attacken-Vektoren anderen Bots wie IoT-Geräten mit großem Faktor überlegen, da diese -im Gegensatz zu IOT-Geräten, die oftmals mit nur wenigen Mbps angebunden sind, standardmäßige Bandbreiten zwischen 1 und 10 Gbps haben. Das Angriffsvolumen kann somit bis zu 1.000 Mal höher sein als bei einzelnen IoT-Geräten, so dass der Peak in den Angriffsvolumen der Cloud-Attacken problemlos bei über 150 Gbps liegen kann. Und dies bedeutet dann: „Wir haben ein Problem.“ Hinzu kommt, dass in der Regel über Multivektoren-Attacken agiert wird. Derzeit kombinieren Multivektor-Attacken Schwachstellen auf: –– Volumenebene –– Protokollebene –– Applikationsebene DDoS-Schutz ist sichergestellt, wenn die im Unternehmen eingesetzte Lösung zwischen gutartigem und bösartigem Verkehr unterscheiden kann. Hierzu benötigt man bei den Lösungssystemen: –– Künstliche Intelligenz –– Machine Learning, und diese in Echtzeit. International agierende Unternehmen können sich in der Regel über CDN basierte Lösungen schützen: International agierende Unternehmen nutzen als Betreiber eines CDNs (Content Delivery Network) ihre weltweit verteilte Infrastruktur auch für wirkungsvolle DDoS- Schutzlösungen. Dabei dient ein CDN standardmäßig der optimierten Auslieferung von Content in alle Teile der Welt. Hierzu werden zahlreiche CDN-Knotenpunkte betrieben, an denen zusätzlich eine Filterung des eingehenden Traffics auf Angriffsmuster stattfinden kann. Bei derartigen Lösungen spricht man auch von DNS- Forwarding-Lösungen: Die DNS-Einträge der zu schützenden Umgebung werden dabei angepasst, so dass der Traffic zunächst über die Mitigation-Infrastruktur läuft. Hierdurch werden Angriffe bereits am Rande des Netzwerks abgewehrt, bevor sie die zu schützenden Systeme erreichen. Derartige Lösungen bieten Schutz einer Website vor allen Arten von DDoS-Angriffen auf Basis von TCP und TCP-HTTP. Darüber hinaus ist es möglich, eine Web Application Firewall (=WAF) zu integrieren und Angriffe auf Webanwendungen zu verhindern. Denkt man CDN so denkt man natürlich unweigerlich an die Firma Cloudflare, Inc., welche einen DDoS-Angriff bei SpamHaus abwehrte, der sensationelle 300 Gbit/sec. überstieg. Sogar der Hauptarchitekt von Akamai gab an, dass dies der größte öffentlich bekannt gegebene DDoSAngriff in der Geschichte des Internets gewesen sei. Zugleich wird Cloudflare von der Europäischen Kommission vorgeworfen, nicht genug gegen Urheberrechtsverletzungen auf deren Plattformen zu tun. In wie weit dies zutrifft kann nur vermutet werden, die Effizienz ist jedoch unbestritten gegeben. Einen umfassenden Schutz der gesamten gehosteten Infrastruktur bieten in der Regel auch BGP-basierte Produkte. Hier wird ein dauerhaftes Routing des eingehenden Datenverkehrs über das Border Gateway Protocol auf externe „Waschstraßen“ (Scrubbing Center) des jeweiligen Security-Anbieters vorgenommen. Der Traffic wird gefiltert und hiernach über eine gesicherte Leitung zum Zielsystem weitergeführt. Die Hosting-Infrastruktur wird durch diese Vorgehensweise gegen den größten Teil aller Arten von DDoS-Attacken auf Basis von TCP, TCP-HTTP, UDP und ICMP geschützt. Diese Scrubbing-Lösungen können vor allem große volumetrische Angriffe gut abwehren und in der Regel Multivektor- Angriffe schneller erkennen. Beherrscht man BGP aber nicht richtig, so kann es massiv missbräuchlich verwandt werden wie die nachfolgenden Beispiele zeigen: 2008er YouTube Blockade in Pakistan: Durch einen Gerichtsbeschluss wurde Pakistan Telecom gezwungen, vorübergehend den gesamten YouTube-Verkehr zu blockieren. Dies wurde dadurch realisiert, dass man eine falsche Route zum Netzwerk einspeiste. Aus Versehen wurde über EBGP diese falsche Route an andere Internetanbieter distribuiert, was zu mehrstündigen Blockaden von YouTube in vielen Teilen Asiens führte. Man muss sich nur einmal vorstellen, wenn man dies in dem das Stromnetz relevante europäische Netz realisieren würde. 2011 Revolution in Ägypten: Innerhalb weniger Minuten wurden während der Revolution in Ägypten circa 3.500 Routen aller ägyptischen Internetanbieter zurückgezogen, so dass nahezu ganz Ägypten vom Internet getrennt war und auch Mobilfunkte und soziale Netze nicht mehr erreichbar waren. Aufgrund der „sehr guten“ Dokumenten über diesen Sachverhalt ist dieses Szenario relativ einfach duplizierbar. Das Erschreckendste aber ist, dass man DDoS-Angriffe nahezu ähnlich einfach wie das Croissant in der nächsten Bäckerei kostengünstig kaufen kann. Bis 2019 war WebStresser.org die bekannteste Seite, um für ein Entgelt von circa 25 Dollar pro Stunde eine DDoS Attacke zu realisieren. Gibt man google.com als Suchbegriff „DDoS for Hire Service“ ein, so gelangt man nach wie 38
VGB PowerTech 10 l 2019 Bedrohungslage Cyber-Security in der Energiewirtschaft: Insider-Betrachtungen 2019 Tab. 1. Die Top 12 der Forbes 100 Liste der Cloud Anbieter vom 11.09.2019. Nr. Company / Funding 1 Stripe (USA) $ 785 M 2 Snowflake (USA) $ 920 M 3 UiPath (USA) $ 1100 M 4 HashiCorp (USA) $ 174 M 5 Datadog (USA) $ 148 M 6 Procore (USA) $ 250 M 7 Tanium (USA) $ 800 M 8 InVision (USA) $ 350 M 9 Rubrik (USA) $ 553 M 10 Confluent (USA) $ 206 M 11 Cloudflare (USA) $ 404 M 12 Toast (USA) $ 496 M vor zu den immer noch am Markt vertretenen kriminellen Elementen. Aus nicht nachvollziehbaren Gründen agiert EuroPol oftmals erst sehr zeitverzögert. In Deutschland ist die Nutzung eines DDoS – Dienstleisters im Übrigen nach § 303b StGB strafbar und wird mit einer Gefängnisstrafe bis 3 Jahre sanktioniert. Ta b e l l e 1 zeigt zur Kenntnis die Top 12 der Forbes 100 Liste der Cloud Anbieter vom 11.09.2019: Ungeschützte USB Schnittstellen Industry Payment processing Cloud data warehouse Robotic process automation Cloud infrastructure automation Data monitoring and analytics Construction management Enpoint device cybersecurity Design Software Data management Data streaming platform Website infrastructure and security Restaurant software Quelle: https://www.forbes.com/cloud100 Nach wie vor wird es als Vertrauensbruch angesehen, wenn man USB-Ports sperrt. Hier einige Beispiele dafür, welche Gefahren jedoch genau hier lauern: USB KILLER Version 3.0 Es ist derzeit problemlos möglich, für einen Preis von US-Dollar 54,95 in der Volksrepublik China eine Art USB Stick kaufen, der folgendes zu leisten vermag: Der „spezielle“ Stick ist mit mehreren Kondensatoren verbaut, lädt sich mit Strom voll, und attackiert dann die USB Leitung intervallartig mit Überspannung. Oftmals entstehen so Totalschäden und wenn man Glück hat geht nur der USB Anschluss kaputt. Man stelle sich einmal vor, was passieren würde, wenn ein als Reinigungsfachkraft getarnter Terrorist den USB Killer in einen USB-Port eines Rechners einer Leitwarte steckt. Dies mag verdeutlichen, –– warum es Sinn macht, die Warte nicht für jeden zugänglich zu machen –– die USB-Ports zu sperren Zugriff auf den Rechner mittels Kali-Linux und USB Schnittstelle Über amazon.de lässt sich mühelos ein 16 GB USB-Stick mit vorinstalliertem Kali- Linux für derzeit 13,99 € kaufen. Das Interessante an Kali-Linux ist, dass es als Live- System ohne Installation über DVD, USB- Stick oder über das Netzwerk mittels Prebot Execution Environment (PXE) gebootet werden kann. Eine von Hackern geschätzte Eigenschaft von Kali Linux besteht darin, dass am untersuchten System, d.h. z.B. an den eingebauten Festplatten keinerlei Veränderungen (=Spuren) wie z.B. durch das Verwenden einer Auslagerungsdatei hinterlassen werden. Hiermit kann im positiven Fall die Sicherheit des eigenen Systems getestet werden oder aber der bösartige Hacker kann die Schwachstellen im System des Energieversorgers testen. Diese Softwaretools – auf die wir noch dezidiert eingehen werden – umgehen die Sicherheitsvorkehrungen und können von daher unter den Straftatbestand des § 202c StGB subsumiert werden. Einige der wichtigen in Kali Linux enthaltenen 300 Werkzeuge seien hiermit wie folgt vorgestellt: –– Maltego: Programm, um Daten über Einzelpersonen oder Unternehmen im Internet zu sammeln –– Kismet: Passiver Sniffer zur Untersuchung von lokalen Funknetzen –– Nmap: Netzwerkscanner zur groben Analyse von Netzwerken mit der Benutzeroberfläche Uenmap –– Wireshark: Graphischer Netzwerksniffer –– Ettercap: Netzwerkmanipulationstool (zum Beispiel für Man-in-the-Middle-Angriffe) –– Metasploit: Framework für das Austesten und Entwickeln von Exploits –– John the Ripper: Programm zum Knacken und Testen von Passwörtern –– Aircrack-ng: Sammlung von Tools, die es ermöglichen, Schwachstellen in WLANs zu analysieren und auszunutzen –– Nemesis: Paketfälscher für Netzwerke –– RainbowCrack: Cracker für LAN-Manager-Hashes –– The Sleuth Kit: Sammlung an Forensik-Werkzeugen Knacken eines WPA2 WLANs mit Kali Linux WPA2 gilt nach wie vor als sicherer Standard für WLANs. Wie man – natürlich nur zu Testzwecken (!) – vorgeht, um die Sicherheit des WPA2 Passwortes zu knacken, sei an diesem Beispiel vorgestellt. Zuerst einmal muss man sich hierzu besorgen: –– Kali Linux USB-Stick –– WLAN-Karte, die Injection-/Monitor Mode fähig ist –– Wordlist, um das Handshake-Passwort zu knacken, sobald es erfasst wurde Und hier nun das 12 Schritte Programm zum Testen der eigenen Sicherheit: –– Starte Kali Linux and logge dich als root ein. –– Stecke die Injection-fähige WLAN-Karte ein. –– Trenne Dich von WLANs, öffne ein Terminal und tippe folgendes ein: airmon -ng Dies listet alle WLAN-Karten auf, welche den Monitor- (nicht Injektion-) Modus unterstützen. Wenn keine Karte aufgeführt ist, die Karte abziehen und wiedereinstecken und prüfen, ob sie. den Monitor-Modus unterstützt. Hierzu „ifconfig“ in ein anderes Terminal eingeben. Wenn die Karte in ifconfig aufgeführt wird, aber nicht in airmon-ng, dann unterstützt sie diesen Modus nicht. –– Tippe airmon-ng start gefolgt vom Interface der WLAN-Karte ein, z.B.: airmon-ng start wlan0 Die Nachricht „(monitor mode enabled)“ bedeutet, dass die Karte erfolgreich in den Monitor-Modus versetzt wurde. Schreibe dir den Namen des neuen Monitor-Interfaces, z.B. mon0, auf. –– Tippe airodump -np, gefolgt vom Namen des neuen Monitor-Interface (wahrscheinlich mon0) ein. –– Die Airodump-Ergebnisse werden angezeigt, d.h. eine Liste aller drahtlosen Netzwerke der Umgebung wird angezeigt, auch das relevante. Sobald das entsprechende Netzwerk gefunden und markiert wurde, drücken und den Kanal des Ziel-Netzwerkes merken. –– Tippe nun folgenden Befehl ein: airodump -ng -c [channel] –bssid [bssid] -w /root/Desktop [monitor interface] [channel] ist durch den Kanal deines Ziel-Netzwerkes zu ersetzen, [monitor interface] ist durch den Namen des Monitor-aktivierten Interface zu ersetzen (mon0). Das Ganze könnte jetzt wie folgt aussehen: airodump -ng -c 10 –bssid 00:14:BF:E0: E8:D5 -w /root/Desktop mon0 –– Jetzt muss gewartet werden, bis sich irgendein Gerät mit dem Netzwerk verbindet. Dann nutzen wir aireplay -ng 39
Seite 1 und 2: International Journal for Generatio
Seite 3 und 4: VGB PowerTech 10 l 2019 Editorial I
Seite 5 und 6: 75 75 Quality Reliability Quality S
Seite 7 und 8: VGB PowerTech 10 l 2019 Contents AN
Seite 9 und 10: VGB PowerTech 10 l 2019 Kurzfassung
Seite 11 und 12: VGB-PowerTech-DVD More than 25,000
Seite 13 und 14: VGB PowerTech 10 l 2019 Members´Ne
Seite 27 und 28: VGB PowerTech 10 l 2019 Industry Ne
Seite 37 und 38: VGB PowerTech 10 l 2019 VGB-SEMINAR
Seite 39 und 40: VGB PowerTech 10 l 2019 Power News
Seite 41: VGB PowerTech 10 l 2019 Bedrohungsl
Seite 45 und 46: VGB PowerTech 10 l 2019 Bedrohungsl
Seite 47 und 48: 8 > Umschlag S-175-00-2014-04-DE_A3
Seite 49 und 50: VGB PowerTech 10 l 2019 Flexible st
Seite 55 und 56: VGB PowerTech 10 l 2019 Minderung v
Seite 61 und 62: VGB PowerTech 10 l 2019 Analysis of
Seite 73 und 74: SAVE THE DATE VGB CONGRESS 2020 100
Seite 75 und 76: A journey through 100 years VGB | V
Seite 83 und 84: A VGB journey PowerTech through 1/2
Seite 89 und 90: A VGB journey PowerTech through 8 1
Seite 91 und 92: A VGB journey PowerTech through 8 1
Seite 93 und 94:
8 > Umschlag S-145-00-2015-11-DE_A3
Seite 95 und 96:
VGB PowerTech 10 l 2019 Plants
Seite 97 und 98:
VGB PowerTech 10 l 2019 VGB News Pe
Seite 99 und 100:
Photos ©:Grand Hall VGB PowerTech
Seite 101 und 102:
Editorial planning | Topics 2020 FA
Alle anzeigen

VGB POWERTECH 10 (2019)

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?