Abo
  • Services:

HTTPS ist nicht Standard

Nachdem wir durch die Google-Ergebnisse einen ersten Ansatzpunkt hatten, wollten wir uns genauer ansehen, ob Google tatsächlich alle direkt über IPv4 erreichbaren Windparks indexiert hat oder ob wir selbst in der Lage sind, noch zusätzliche Windparks auszumachen. Für diese Zwecke nutzten wir einen wöchentlichen Scan der University of Michigan und passten ein Such-Script an, das wir bereits für frühere Funde, etwa die von Wasserwerken im Internet, genutzt hatten. Insgesamt konnten wir so 218 Windfarm-Steuerungen ausmachen. Google waren davon bereits etwas weniger als die Hälfte der Systeme (104) bekannt.

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. Hanseatisches Personalkontor, Schwenningen

Mit dem Titel der Webseiten und der Geo-IP-Information lassen sich die Anlagen genaueren Standorten zuordnen, auch wenn das Geo-IP-System nicht immer eindeutige Adressen liefert. Von den Anlagen befinden sich circa 20 in Deutschland. Der Großteil der Anlagen lässt sich im restlichen Europa (Frankreich, Vereinigtes Königreich, Dänemark) finden, allerdings gibt es auch Anlagen in den USA und Asien. Einigen konnte auf Grund mangelnder Informationen kein genauer Ort zugeordnet werden. Mittels Google Maps ließen sich viele der aufgefundenen Systeme in der Satellitenansicht von oben wiedererkennen. Hier ist beispielsweise ein Windpark in Behrendorf (Schleswig-Holstein) zu sehen. Die über Google Maps ermittelten Informationen können mit Daten, etwa zur Anzahl der Turbinen, aus der jeweilig zugehörigen Webapplikation überprüft werden.

Zahlreiche Informationen einsehbar

Das Bundesamt für Sicherheit in der Informationstechnik kritisiert die einfache Auffindbarkeit der Anlagen auf Anfrage von Golem.de: "Die Verfügbarkeit dieser Daten eröffnet zunächst keine direkten zusätzlichen Manipulationsmöglichkeiten. Dennoch werden im vorliegenden Fall unnötige zusätzliche Informationen (Firmwareversion, Betriebssystem, interne Prozessparameter [OPC]) preisgegeben, die Angreifern Vorteile verschaffen können." Dies könne "die Angriffsfläche erweitern", sei kritisch und daher abzustellen.

Nachdem wir alle für uns erreichbaren Nordex-Systeme ausgemacht hatten und sicher waren, dass es sich um echte Systeme handelt, wollten wir wissen, welche Informationen einsehbar sind und wie es um die Sicherheit der Systeme bestellt ist. Dazu haben wir uns zunächst einige Google-Ergebnisse näher angeschaut. Nach Aufruf der Webseiten erscheint ein Login, allerdings sind auch ohne Angabe der Logindaten in der oberen rechten Ecke der Webapplikation verschiedene Statistiken, etwa die Anzahl der Turbinen, das Datum der Inbetriebnahme, die durchschnittliche Windgeschwindigkeit und die produzierte Gesamtleistung einzusehen - aus unserer Sicht durchaus interessante Informationen für einen Angreifer, die in der Form nicht öffentlich abrufbar sein sollten, allerdings nicht extrem kritisch sind.

Kein verpflichtendes HTTPS

Wir konzentrierten uns fortan auf sicherheitskritischere Aspekte. Ein Blick in die Adresszeile überraschte: Der Webserver liefert die Webseite im Standard mittels HTTP und damit im Klartext aus. Die Übermittlung von Kennwörtern oder sonstigen Daten wäre durch einen Man-in-the-Middle-Angriff mitlesbar. Es ist überraschend, dass professionelle Anbieter nicht durchgängig HTTPS einsetzen - laut aktueller Statistik von Mozilla werden 50 Prozent des Webseitentraffics mittlerweile verschlüsselt.

Wir wollten wissen, ob HTTPS wenigstens als Alternative genutzt werden kann und forderten durch die Eingabe von "https" vor der IP Adresse eine verschlüsselte Verbindung zum Webserver an. Nach der Eingabe und dem anschließenden Druck auf Enter wurden wir erneut überrascht, denn die Seite ist weder mit Internet Explorer noch mit Mozilla Firefox abrufbar, stattdessen wird dort eine Warnung ausgegeben wie: "SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY". Da wir annahmen, dass dies ein bedauerlicher Einzelfall sei, versuchten wir es mit anderen IP-Adressen - leider mit dem gleichen Ergebnis. Der Webbrowser weist darauf hin, dass die vorliegende Verschlüsselung mittels SSL/TLS so unsicher ist, dass er die Webseite lieber nicht aufrufen möchte, und warnt deshalb aktiv davor.

Grund dafür sind die mangelhafte Schlüssellänge und die Verwendung von alten Cipher-Algorithmen (wie RC4). Dieser Hinweis lässt sich in modernen Webbrowsern nur mit Tricks und einem grundlegenden Eingriff in die Sicherheitsmechanismen abstellen, weil aktuelle Browser zurecht vor den Sicherheitsgefahren entsprechender Zertifikate warnen. Erst danach ist ein Aufruf der Webseiten möglich. Zu empfehlen ist das wegen Sicherheitsbedenken allerdings grundsätzlich nicht.

Wegen der alten Verschlüsselung sind die Systeme für zahlreiche bekannte Sicherheitslücken anfällig, wie weitere Tests zeigen.

 Energieversorgung: Windparks sind schlechter gesichert als E-Mail-KontenEin Zertifikat für fast alle Windräder 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (heute u. a. Destiny 2 Digital Deluxe für 44,99€, AC Origins für 28,99€, ANNO 2205 Ultimate...
  2. 111€
  3. 88€
  4. (u. a. Logitech G Pro Gaming-Maus für 37€)

Trockenobst 12. Sep 2017

Der muss ja nicht Vollzeit dabei sein. Schon einfache Sachen wie VPNs...

Trockenobst 12. Sep 2017

Schon alleine einfaches Portknocking über mehrere Ports steigert die Security, solange...

StaTiC2206 12. Sep 2017

ich hab da schon je her Bauchschmerzen, wenn ich lese, dass kritische Infrastruktur für...

ElMario 12. Sep 2017

Jeder macht mal Fehler, Schwamm drüber...

ElMario 12. Sep 2017

Schliesslich sind wir das Neuland Internet !!!111³³³


Folgen Sie uns
       


Intel NUC8 - Test

Winzig und kraftvoll: der NUC8 alias Hades Canyon.

Intel NUC8 - Test Video aufrufen
Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

    •  /