Abo
  • IT-Karriere:

HTTPS ist nicht Standard

Nachdem wir durch die Google-Ergebnisse einen ersten Ansatzpunkt hatten, wollten wir uns genauer ansehen, ob Google tatsächlich alle direkt über IPv4 erreichbaren Windparks indexiert hat oder ob wir selbst in der Lage sind, noch zusätzliche Windparks auszumachen. Für diese Zwecke nutzten wir einen wöchentlichen Scan der University of Michigan und passten ein Such-Script an, das wir bereits für frühere Funde, etwa die von Wasserwerken im Internet, genutzt hatten. Insgesamt konnten wir so 218 Windfarm-Steuerungen ausmachen. Google waren davon bereits etwas weniger als die Hälfte der Systeme (104) bekannt.

Stellenmarkt
  1. Allianz Versicherungs-AG, Unterföhring
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Mit dem Titel der Webseiten und der Geo-IP-Information lassen sich die Anlagen genaueren Standorten zuordnen, auch wenn das Geo-IP-System nicht immer eindeutige Adressen liefert. Von den Anlagen befinden sich circa 20 in Deutschland. Der Großteil der Anlagen lässt sich im restlichen Europa (Frankreich, Vereinigtes Königreich, Dänemark) finden, allerdings gibt es auch Anlagen in den USA und Asien. Einigen konnte auf Grund mangelnder Informationen kein genauer Ort zugeordnet werden. Mittels Google Maps ließen sich viele der aufgefundenen Systeme in der Satellitenansicht von oben wiedererkennen. Hier ist beispielsweise ein Windpark in Behrendorf (Schleswig-Holstein) zu sehen. Die über Google Maps ermittelten Informationen können mit Daten, etwa zur Anzahl der Turbinen, aus der jeweilig zugehörigen Webapplikation überprüft werden.

Zahlreiche Informationen einsehbar

Das Bundesamt für Sicherheit in der Informationstechnik kritisiert die einfache Auffindbarkeit der Anlagen auf Anfrage von Golem.de: "Die Verfügbarkeit dieser Daten eröffnet zunächst keine direkten zusätzlichen Manipulationsmöglichkeiten. Dennoch werden im vorliegenden Fall unnötige zusätzliche Informationen (Firmwareversion, Betriebssystem, interne Prozessparameter [OPC]) preisgegeben, die Angreifern Vorteile verschaffen können." Dies könne "die Angriffsfläche erweitern", sei kritisch und daher abzustellen.

Nachdem wir alle für uns erreichbaren Nordex-Systeme ausgemacht hatten und sicher waren, dass es sich um echte Systeme handelt, wollten wir wissen, welche Informationen einsehbar sind und wie es um die Sicherheit der Systeme bestellt ist. Dazu haben wir uns zunächst einige Google-Ergebnisse näher angeschaut. Nach Aufruf der Webseiten erscheint ein Login, allerdings sind auch ohne Angabe der Logindaten in der oberen rechten Ecke der Webapplikation verschiedene Statistiken, etwa die Anzahl der Turbinen, das Datum der Inbetriebnahme, die durchschnittliche Windgeschwindigkeit und die produzierte Gesamtleistung einzusehen - aus unserer Sicht durchaus interessante Informationen für einen Angreifer, die in der Form nicht öffentlich abrufbar sein sollten, allerdings nicht extrem kritisch sind.

Kein verpflichtendes HTTPS

Wir konzentrierten uns fortan auf sicherheitskritischere Aspekte. Ein Blick in die Adresszeile überraschte: Der Webserver liefert die Webseite im Standard mittels HTTP und damit im Klartext aus. Die Übermittlung von Kennwörtern oder sonstigen Daten wäre durch einen Man-in-the-Middle-Angriff mitlesbar. Es ist überraschend, dass professionelle Anbieter nicht durchgängig HTTPS einsetzen - laut aktueller Statistik von Mozilla werden 50 Prozent des Webseitentraffics mittlerweile verschlüsselt.

Wir wollten wissen, ob HTTPS wenigstens als Alternative genutzt werden kann und forderten durch die Eingabe von "https" vor der IP Adresse eine verschlüsselte Verbindung zum Webserver an. Nach der Eingabe und dem anschließenden Druck auf Enter wurden wir erneut überrascht, denn die Seite ist weder mit Internet Explorer noch mit Mozilla Firefox abrufbar, stattdessen wird dort eine Warnung ausgegeben wie: "SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY". Da wir annahmen, dass dies ein bedauerlicher Einzelfall sei, versuchten wir es mit anderen IP-Adressen - leider mit dem gleichen Ergebnis. Der Webbrowser weist darauf hin, dass die vorliegende Verschlüsselung mittels SSL/TLS so unsicher ist, dass er die Webseite lieber nicht aufrufen möchte, und warnt deshalb aktiv davor.

Grund dafür sind die mangelhafte Schlüssellänge und die Verwendung von alten Cipher-Algorithmen (wie RC4). Dieser Hinweis lässt sich in modernen Webbrowsern nur mit Tricks und einem grundlegenden Eingriff in die Sicherheitsmechanismen abstellen, weil aktuelle Browser zurecht vor den Sicherheitsgefahren entsprechender Zertifikate warnen. Erst danach ist ein Aufruf der Webseiten möglich. Zu empfehlen ist das wegen Sicherheitsbedenken allerdings grundsätzlich nicht.

Wegen der alten Verschlüsselung sind die Systeme für zahlreiche bekannte Sicherheitslücken anfällig, wie weitere Tests zeigen.

 Energieversorgung: Windparks sind schlechter gesichert als E-Mail-KontenEin Zertifikat für fast alle Windräder 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Hardware-Angebote
  1. 149,90€ + Versand
  2. 289€

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Harry Potter Wizards Unite angespielt

Harry Potter Go? Zum Glück hat der neue AR-Titel auch ein paar eigene Ideen zu bieten.

Harry Potter Wizards Unite angespielt Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


      •  /