VGB POWERTECH 10 (2019)

Weitere Magazine

Info

Bedrohungslage Cyber-Security in der Energiewirtschaft: Insider-Betrachtungen 2019 VGB PowerTech 10 l 2019 Hierdurch wird das Gerät gezwungen, sich durch Senden eines Deauthentification-Paketes (deauth) erneut zu verbinden. –– Lasse airodump -ng laufen, öffne ein zweites Terminal und tippe dort ein: aireplay -ng -0 2 -a [router bssid] -c [client bssid] mon0 –0 ist ein Shortcut für den deauth mode und die 2 ist die Anzahl der zu versendenden deauth Pakete. -a zeigt die SSID des Access Points (Routers) an; ersetze [router bssid] durch die BSSID des Ziel-Netzwerks, z.B. 00:14:BF:E0:E8:D5. -c zeigt die BSSID des Clients an. Ersetze [client bssid] durch die BSSID des verbundenen Clients; diese findest du unter „STATION“ aufgeführt. Und mon0 meint einfach das Monitor Interface; ändere es, wenn deins anders ist. Ein vollständiger Befehl könnte wie folgt aussehen: aireplay -ng -0 2 -a 00:14:BF:E0:E8:D5 -c 4C:EB:42:59:DE:31 mon0 –– Nun wird Enter gedrückt. Man kann sehen, wie aireplay -ng die Pakete verschickt, und innerhalb von Augenblicken sollte die entsprechende Nachricht in der airodump-ng Anzeige zu sehen sein: –– Öffne ein weiteres, neues Terminal und tippe folgenden Befehl ein: aircrack -ng -a2 -b [router bssid] -w [path to wordlist] -a ist die Methode, die aircrack anwenden wird, um den Handshake zu knacken, 2 ist die WPA-Methode. -b steht für BSSID; ersetze [router bssid] durch die BSSID des Ziel-Routers, z.B. 00:14:BF:E0:E8:D5. -w steht für wordlist; ersetze [path to wordlist] durch den Pfad zu einer Wordlist, die du heruntergeladen hast. Vielleicht hast du z.B. „wpa.txt“ im Stammverzeichnis ./root/Desktop/*.cap ist der Pfad zur .cap Datei mit dem Passwort; der *ist in Linux ein Platzhalter und angenommen, dass es keine anderen .cap Dateien auf deinem Desktop gibt, sollte dies so wunderbar funktionieren. Der vollständige Befehl würde dann so aussehen: aircrack -ng -a2 -b 00:14:BF:E0:E8:D5 -w /root/wpa.txt /root/Desktop/*.cap –– Nun wird aircrack-ng das Knacken des Passwortes starten. Das Passwort kann allerdings nur dann gehackt werden, wenn es sich in der ausgewählten Wordlist befindet. In der Regel wird es aber dort zu finden sein. An dieser Stelle nochmals zum Schluss der Hinweis, dass man dies nur im eigenen Unternehmen im Rahmen der IT-Sicherheitsüberprüfung nach ausdrücklicher Genehmigung der obersten Leitung realisieren darf. Alles andere stellt eine Straftat dar. Interessierte Leser werden sicherlich im Rahmen der Lektüre die Internetseite tarnkappe.info finden. Hier sei direkt darauf verwiesen, dass diese Seite zwar interessante Informationen für den interessierten Leser bereithält. Gleichwohl muss natürlich darauf verwiesen werden, dass nicht alles, was dort (in der Theorie) beschrieben wird auch praktisch ausprobiert werden darf. NSA-Hilfsmittel GHIDRA Nichts wird kontroverser diskutiert als die NSA. Seit WikiLeaks ist uns ein sehr mächtiges NSA-Tool bekannt, welches von der NSA auf der RSA Konferenz 2019 freigegeben wurde, das NSA Hilfsmittel GHIDRA. GHIDRA ist eine Open-Source „Software Reverse Engine (SRE)“ Die Aufgabe des quelloffenen und kostenlosen Programmes ist es, Schwachstellen in Software zu finden, damit Programme sicherer werden und weniger oder im Idealfall keine Sicherheitslücken enthalten. Zu diesem Zweck kann Ghidra ausführbare Programme (Executables) zerlegen, um sie anschließend auf kritische Fehler hin zu analysieren. Die Homepage von GHIDRA lautet: https://ghidra-sre.org/ Das in Java und C++ geschriebene Programm kann direkt downgeloadet werden unter: https://ghidra-sre.org/ghidra_9.1-BETA_ DEV_20190923.zip Natürlich kann man das Programm auch von einem deutschen Server downloaden. Als Beispiel wäre hier zu nennen: https://www.heise.de/download/product/ghidra Dass GHIDRA gerade für die Energiewirtschaft wie geschaffen ist kann man daran erkennen, dass derzeit folgende Architekturen unterstützt werden: –– 16, 32 und 64 bit x86 –– ARM und AARCH64 –– PowerPC 32/64 und PowerPC VLE –– MIPS 16/32/64 –– MicroMIPS –– Motorola 68xxx –– Java / DEX Bytecode –– PA-RISC –– PIC 12/16/17/18/24 –– Sparc 32/64 –– CR 16C –– Z80 –– 6502 –– 8051 –– MSP430 –– AVR8 –– AVR32 Die Vergangenheit hat uns natürlich gelernt, dass man sich bei der NSA niemals in Sachen Backdoors sicher sein kann. Aber deshalb gibt es auch Sandboxes, die hier ganz hilfreich sind. Katastrophales Patchmanagement 44.000 unsichere VPN Server: Am 26.08.2019 14:06 verbreitete das Notfallteam des Bundesamtes für Sicherheit in der Informationstechnik (BSI) CERT-Bund auf Twitter folgende Warnmeldung: „Eine kritische Schwachstelle in der weit verbreiteten VPN Lösung Pulse Connect Secure wird von Angreifern aktiv ausgenutzt, um VPN Server zu kompromittieren. Quelle: https://t.co/zN9A3h8d2M Kombinieren Angreifer zwei Sicherheitslücken (CVE-2019-11510, CVE-2019-11539) in Pulse Connect Secure könnten sie unter Umständen Server kompromittieren und die Kontrolle übernehmen. Durch das Ausnutzen einer als kritisch eingestuften Schwachstelle mit Höchstwertung (CVSS Score V3 10 von 10) bekommen Angreifer unter Umständen Zugriff auf Log-in-Daten. Damit ausgerüstet ist es vorstellbar, dass sie eigenen Code auf Servern ausführen und so in VPN-Verbindungen eindringen könnten. Wir reden hier von über 44.000 betroffenen Servern. Schauen wir uns an dieser Stelle einmal an, welche Länder mit wie vielen VPN Servern am 26.08.2019 betroffen waren (Ta b e l l e 2 die Top 10): Tab. 2. 44.000 unsichere VPN-Server, Länderübersicht. Nr. Land Betroffene Server: 1 USA 5.010 2 Japan 1.511 3 Großbritannien 830 4 Deutschland 789 5 Frankreich 626 6 Niederlande 420 7 Israel 406 8 Schweiz 307 9 Kanada 296 10 Südkorea 281 Bis heute ist dieses Problem nur rudimentär gelöst. Was für ein riesiges Sicherheitsproblem sich dahinter verbirgt, wird oftmals verkannt. Die unberücksichtigten Hinweise des US-Departments CISA des Homeland Security Ministeriums Die besten Ergebnisse über Sicherheitsanforderungen finden sich im US-Department CISA, wobei die Warnmeldungen downzuloaden sind unter: us-cert.gov Es finden sich hier –– Konkrete Hinweise in Sachen SCADA- Systeme, die 2019 viel geringer ausfallen als in den Jahren 2016 und 2017: ICS-ALERT 19-228-01: Mitsubishi Electric Europe B.V. smart RTU and INEA ME-RTU (Update A) 40
VGB PowerTech 10 l 2019 Bedrohungslage Cyber-Security in der Energiewirtschaft: Insider-Betrachtungen 2019 ICS-ALERT 19-211-01: CAN Bus Network Implementation in Avionics –– Analysen über besonders gefährliche Malware, 2019 war dies ausschließlich Malware aus Nordkorea: –– MAR 10135536-10 – North Korean Trojan: BADCALL –– MAR 10135536-21 – North Korean Proxy Malware: ELECTRICFISH –– MAR 1016553-21 – North Korean Tunneling Tool: ELECTRICFISH –– MAR 1016553-08 – North Korean Trojan: HOPLIGHT –– Detailbeschreibungen auf Exploits in SAP Systemen, welche folgende Bereiche betreffen (Alert AA AA19-122A vom 2. Mai 2019): –– SAP Gateway ACL –– SAP Router secinfo –– SAP Message Server Weder die Malware aus Nordkorea noch die Exploits, welche SAP betreffen, wurden in Europa konsequent wahrgenommen. Die nordkoreanische Malware wurde nicht wahrgenommen, da Europa ja so gut wie nichts mit dem Nordkorea-Konflikt zu tun hat und wir uns deshalb nicht vor nordkoreanischer Malware fürchten müssen. Und SAP ist nicht nur ein deutsches Software- Heiligtum, sondern auch ein Produkt, das in der Regel jenseits von Sicherheitsdiskussionen steht. Interessant ist in diesem Zusammenhang jedoch, dass Wartungspauschalen für SAP – Systeme in der Regel nicht in der Diskussion stehen und auch in der Regel bedenklos finanzielle Mittel für SAP Systeme zur Verfügung stehen. Leittechnik bzw. Prozessleittechnik hat es da viel schwerer. Es stellt sich hier natürlich die Frage, ob dies vielleicht daran liegen mag, dass SAP-Systeme natürlich von den Kaufleuten genutzt werden, welche auch die Mittelfreigabe letztlich zu verantworten haben, während Leitsysteme und IT-Systeme im Verantwortungsbereich von Ingenieuren und Informatikern liegen, die oftmals nicht die Kostenhoheit haben. Cisco Smart Install oder: die Mühlen mahlen langsam in Europa: Produkte von Cisco gehören zum de facto Standard in der modernen digitalen Welt und zeichnen sich in der Regel durch hohe Qualität aus. Natürlich kann es aber auch hier zu Herausforderungen kommen, was das nachfolgende Beispiel zeigen mag: Cisco Smart Install (SMI) ist eine Funktion zur automatischen Konfiguration von Cisco Netzwerk-Switches, die auf neuen Geräten standardmäßig aktiviert ist. SMI sieht keinen Zugriffschutz vor, eine Authentifizierung ist nicht erforderlich. Am 14.2.2017 hat Cisco selbst vor diesen Gefahren gewarnt: CISCO PISRT CISCO-sr-20170214-smi: Cisco Smart Install Protocol Misuse Am 15.2.2017 hat dann das BSI nachfolgende Warnmeldung herausgegeben: „Ein entfernter, nicht authentisierter Angreifer kann eine Design-Schwäche im Cisco Smart Install (SMI) Protokoll durch Versenden präparierter SMI-Nachrichten ausnutzen, dadurch den Smart Install Director imitieren und die ‚startup-config‘-Datei manipulieren, wodurch ein betroffenes Gerät neu startet und ein neues iOS-Image geladen wird. Dies ermöglicht dem Angreifer in der Folge höher privilegierte Kommandozeilenbefehle (CLI-Commands) auf dem Gerät zur Ausführung zu bringen. Cisco bestätigt die Design-Schwäche im Protokoll, spricht selbst allerdings nicht von einer Schwachstelle. Laut Aussage von Cisco ist das Protokoll nur dann anfällig, wenn es missbräuchlich und gegen den ursprünglichen Einsatzzweck verwendet wird. Zusätzlich informiert Cisco darüber, dass hierfür keine Sicherheitsupdates bereitgestellt werden. Betroffene Anwender solle zur Behebung des Problems den Konfigurationshinweisen (Referenz anbei) folgen.“ Quelle: https://www.bsi.bund.de/SharedDocs/ Warnmeldungen/DE/CB/warnmeldung_ cb-k17-0274.htm Da die Lage immer bedrohlicher wurde, gibt sogar die NSA am 7. August 2017 eine offizielle Warnmeldung mit dem Titel „Cisco Smart Install Protocol Misuse“ heraus und weist darauf hin, dass man sich bei Herausforderungen via E-Mail an die NSA wenden kann (Cybersecurity_requests@ nsa.gov) Spätestens jetzt hätte man die Relevanz erkennen müssen. Quelle: https://www.nsa.gov/Portals/70/documents/what-we-do/cybersecurity/professional-resources/csa-cisco-smart-installprotocol-misuse.pdf?v=1 Am 16. August 2017 veröffentlicht die australische Regierung eine Warnmeldung, dass diese Schwachstelle ausgenutzt wurde, um Konfigurationsdateien der Geräte auszulesen. In Deutschland geschieht nach wie vor so gut wie nichts, so dass CERT-Bund im Anzahl November 2017 noch einmal dringlich warnt. Zu diesem Zeitpunkt, d.h. neun Monate nach der ersten Warnmeldung gibt es mehr als 6.000 Cisco-Geräte mit offen aus dem Internet erreichbarer Smart-Install-Funktion in Deutschland (B i l d 4 ). Nun könnte man natürlich argumentieren, dass CISCO doch in Sachen Konfiguration mehr Aufklärungsarbeit leisten muss. Bereits vor dem Februar 2017 gab es jedoch eine eindeutige Konfigurationsanleitung von Cisco, die aber leider nur sehr wenige gelesen hatten: https://www.cisco.com/c/en/us/td/docs/ switches/lan/smart_install/configuration/ guide/smart_install/concepts.html Jetzt könnte man selbstverständlich anmerken: Warum lesen die Mitarbeitenden der IT-/OT-Abteilungen denn solch wichtige Informationen nicht? In seiner Funktion als leitender Auditor von Informationssicherheitssystemen kann der Auditor dieses Essay die Frage einfach beantworten: Derartige Info werden oftmals deshalb nicht gelesen, weil die IT-/OT-Abteilungen chronisch personell unterbesetzt sind. Es finden sich immer noch CISCO Geräte in Deutschland, bei denen dieser Missstand nicht behoben ist. Vielleicht auch in Ihrem Hause? Das Office Problem Office Produkte wie Word, Powerpoint, Excel, Outlook gehören zum normalen Handwerk und müssen aus Sicherheitsgründen nicht geschult werden, so eine oftmals gehörte Meinung von Budgetverantwortlichen in Unternehmen. Die Erfahrung lehrt jedoch, dass dem nicht der Fall ist: Die Urheber massenhafter Cyber-Angriffe nutzen meist weit verbreitete Software- Produkte, um mit einfachen Mitteln möglichst viele Computer-Systeme mit Schadsoftware zu infizieren. Aufgrund ihrer großen Verbreitung stehen die Softwareprodukte der Microsoft-Office-Familie daher automatisch im Fokus von Cyber-Kriminellen, um Schwachstellen oder unsichere Konfigurationen von Standardfunktionen der Büro-Software möglichst breit ausnutzen zu können. Beliebte Angriffswe- 7.000 6.000 5.000 4.000 3.000 2.000 1.000 0 Nov. 2017 Dez. 2017 Jan. 2018 Feb. 2018 Mär. 2018 Apr. 2018 Mai 2018 Jun. 2018 Bild 4. Cisco-Geräte mit offen aus dem Internet erreichbarer Smart-Install-Funktion in Deutschland, Quelle: BSI-Lagebericht 2018, Seite: 85. 41
Seite 1 und 2: International Journal for Generatio
Seite 3 und 4: VGB PowerTech 10 l 2019 Editorial I
Seite 5 und 6: 75 75 Quality Reliability Quality S
Seite 7 und 8: VGB PowerTech 10 l 2019 Contents AN
Seite 9 und 10: VGB PowerTech 10 l 2019 Kurzfassung
Seite 11 und 12: VGB-PowerTech-DVD More than 25,000
Seite 13 und 14: VGB PowerTech 10 l 2019 Members´Ne
Seite 27 und 28: VGB PowerTech 10 l 2019 Industry Ne
Seite 37 und 38: VGB PowerTech 10 l 2019 VGB-SEMINAR
Seite 39 und 40: VGB PowerTech 10 l 2019 Power News
Seite 41 und 42: VGB PowerTech 10 l 2019 Bedrohungsl
Seite 43: VGB PowerTech 10 l 2019 Bedrohungsl
Seite 47 und 48: 8 > Umschlag S-175-00-2014-04-DE_A3
Seite 49 und 50: VGB PowerTech 10 l 2019 Flexible st
Seite 55 und 56: VGB PowerTech 10 l 2019 Minderung v
Seite 61 und 62: VGB PowerTech 10 l 2019 Analysis of
Seite 73 und 74: SAVE THE DATE VGB CONGRESS 2020 100
Seite 75 und 76: A journey through 100 years VGB | V
Seite 83 und 84: A VGB journey PowerTech through 1/2
Seite 89 und 90: A VGB journey PowerTech through 8 1
Seite 91 und 92: A VGB journey PowerTech through 8 1
Seite 93 und 94: 8 > Umschlag S-145-00-2015-11-DE_A3
Seite 95 und 96:
VGB PowerTech 10 l 2019 Plants
Seite 97 und 98:
VGB PowerTech 10 l 2019 VGB News Pe
Seite 99 und 100:
Photos ©:Grand Hall VGB PowerTech
Seite 101 und 102:
Editorial planning | Topics 2020 FA
Alle anzeigen

VGB POWERTECH 10 (2019)

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?