Wie die angreifbaren Systeme gefunden wurden

Der Anfang der Untersuchungen liegt im Herbst 2015. Wir beschäftigten uns mit Industrieroutern, die unter anderem innerhalb von sogenannten ICS (Industrial Control Systems) eingesetzt werden. Im Oktober 2015 erregte eine Webapplikation zur Verwaltung der Parkdecks des Züricher Prime Towers unsere Aufmerksamkeit. Wir stellten daraufhin einige Nachforschungen an und entdeckten, dass sich innerhalb des HTTP-Headers ein gewisses Muster erkennen ließ. Aus Sicherheitsgründen und zur Abwendung von Nachahmern wird dieses hier nicht näher erläutert.

Stellenmarkt
  1. Cyber Security Engineer (m/f/d)
    ATCP Management GmbH, Berlin
  2. Software-Ingenieure / -Architekten (m/w/d) Java/C++
    IVU Traffic Technologies AG, Berlin, Aachen
Detailsuche

Anschließend programmierten wir ein Python-Script und nutzten das Tool zmap, um dieses Muster an beliebigen öffentlichen IP-Adressen zu testen. Dadurch gelang uns im April dieses Jahres ein erster erstaunlicher Fund, bei dem wir unseren Augen kaum trauten: Wir hatten die Administrationsoberfläche eines deutschen Wasserwerkes auf unserem Bildschirm. Diesen Fund meldeten wir an das CERT-Bund, das zum Bundesamt für Sicherheit in der Informationstechnik (BSI) gehört. Es erklärte, dass "das BSI keine Notwendigkeit [sehe], diese [Applikation] exponiert und direkt im Internet erreichbar zu betreiben".

Kritische Systeme sind betroffen

Innerhalb von 48 Stunden informierte das BSI den Betreiber und veranlasste, dass die Applikation nicht mehr aus dem öffentlichen Internet zu erreichen war. Ab diesem Zeitpunkt war uns klar, dass unsere Funde äußerst kritische Systeme betrafen, die keine Honeypots waren, also keine Lockvorrichtungen, um das Verhalten von Angreifern zu studieren. Wir hielten es für möglich, dass wir noch deutlich mehr Systeme aufspüren könnten - womit wir recht behielten.

Wir beschäftigten uns noch tiefergehender mit der genutzten Software und der Methodik zum Auffinden von weiteren Systemen. Wir schrieben ein Plugin für das Tool nmap und nutzten bestehende Scans des Projektes scans.io, wodurch sich die Suche nach Anlagen erneut erleichtern und beschleunigen ließ. Mit Hilfe der Datensätze konnte somit ein IPv4-Adressbereich von circa 4 Milliarden IPv4-Adressen des Internets auf die genannten Auffälligkeiten untersucht werden. Am Ende der Untersuchungen stand eine Liste von über 100 Systemen zur Verfügung, darunter auch die bereits angeführten Anlagen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Totale Kontrolle über einen Tower voller LuxuswohnungenSchwierige Kontaktaufnahme mit den Betreibern 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  11.  


Bachsau 04. Okt 2016

Ich finde das Vorgehen grundfalsch, die Betroffenen nur kurz darauf hinzuweisen. Klar...

Atalanttore 12. Aug 2016

Die Namen der unwilligen Hersteller fehlerhafter Steuerungssoftware im Internet nennen...

Clokwork79 18. Jul 2016

...dann sind die Probleme gelöst *wegduck*

User_x 18. Jul 2016

Welche Gefahren gehen von euren Anlagen aus, falls diese Kompromittiert würden?

joypad 17. Jul 2016

kwt



Aktuell auf der Startseite von Golem.de
Google
Neues Pixel 6 kostet 650 Euro

Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

Google: Neues Pixel 6 kostet 650 Euro
Artikel
  1. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  2. Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
    Klimaforscher
    Das Konzept der Klimaneutralität ist eine gefährliche Falle

    Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
    Von James Dyke, Robert Watson und Wolfgang Knorr

  3. Kalter Krieg 2.0?: Die Aufregung um Chinas angebliche Hyperschallwaffe
    Kalter Krieg 2.0?
    Die Aufregung um Chinas angebliche Hyperschallwaffe

    Die Volksrepublik China soll eine Hyperschallwaffe getestet haben. China dementiert die Vorwürfe aber und sagt, es wäre ein Raumschiff gewesen.
    Eine Analyse von Patrick Klapetz

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /