Big Hack: Die Entführung der U2 Nord

Dass sich Hackerangriffe nicht nur auf den Cyberspace beschränken, sondern auch die städtische Infrastruktur gefährden können, stellte ein 14-Jähriger 2008 eindrucksvoll unter Beweis. In der polnischen Stadt Lodz ließ der Nachwuchshacker mittels einer umgebauten Fernbedienung vier Züge der Straßenbahn entgleisen. Zwölf Menschen wurden dabei verletzt.

„Er hatte die Fernbedienung zu einem Gerät konvertiert, das alle Knotenpunkte auf der Leitung kontrollieren konnte und schrieb in die Seiten eines Schulhefts, wo die besten Knotenpunkte waren, um Straßenbahn umzulenken, und welche Signale er hierzu ändern musste. Es war Glück, dass niemand bei den Entgleisungen getötet wurde. Weitere Züge mussten per Notstopp bremsen, wobei Passagiere zu Schaden kamen“, sagte Miroslaw Micor, Sprecher der Polizei von Lodz.

Schuld war in diesem Fall das störanfällige und veraltete Steuerungssystem. Ingenieure achten nur selten auf die nötige Sicherheit bei derartigen Netzwerken. Die Leher des Jungen bestätigten, dass er ein Ass in der Schule war – allem voran in Elektrotechnik. Doch dass es ein Teenager mit einfachen Mitteln schafft, das komplette Verkehrssystem einer Stadt in Chaos zu stürzen, sollte ein Wachruf sein.

Merkwürdige Liebe

Deutschland ist nach den USA, China, Russland, Indien und Canada das Land mit dem sechstgrößten Bahnstreckennetz. Sergey Gordeychik reist gerne per Zug, da er so enger mit der Natur verbunden ist, als im Flugzeug. Auf dem 32. Chaos Communication Congress in Hamburg stellte der Sprecher von SCADA Strange Love klar, dass die Reise auf Schienen nicht zwingend auch sicherer sein muss.

Kollegen fragen mich, was denn cyberphysische Bedrohung überhaupt ist. Für mich ist es der Vorgang, wenn etwas auf der Computerebene Dinge in der echten Welt negativ beeinflusst.Sergey Gordeychik

SCADA (Supervisory Control and Data Acquisition) ist ein computerbasiertes System aus verschiedenen Komponenten, das technische Prozesse überwacht und steuert. Im Bahnbetrieb zeigt ein Gleisstromkreis an, ob sich auf einem bestimmten Bereich Züge befinden. Ist der Stromkreis geschlossen, befindet sich ein Zug auf der Strecke. Dieses Signal wird über Relais an die Leitstelle und die anderen Züge weitergegeben, die somit die Information erhalten, welcher Abschnitt befahrbar ist.

Oft findet die Kommunikation zwischen der CPU, dem Herzstück der Zugsteuerung, und den Gleisen über einen Webserver statt. Hier liegt die Gefahr, denn Hacker können über einen Angriff auf das Modem auch Zugriff auf die ATC (Automatic Train Control) erhalten und so den Zug in ihre Gewalt bringen. Gefährdet sind neben der eigentlichen Steuerung auch das Informations- und Entertainmentsystem für den Fahrgäste sowie die Überwachung über IP-Kameras. Tiefgreifende Kenntnisse sind hierfür, laut Gordeychik, nicht nötig. Es reicht schon die Google Hacking Database nach kostenlosen Tools zu durchforsten. Das Team von SCADA Strange Love möchte nicht, dass für unsichere Systeme Strafen verhängt werden, sondern lediglich auf die Problematik aufmerksam machen. Vorfälle müssten an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden. Das BSI soll Zugriffe auf gefährdete Infrastrukturen auswerten und die Ergebnisse den Betreibern „schnellstmöglich“ zur Verfügung stellen. Das würde zumindest ein Bewusstsein für  eine erforderliche Sicherheit schaffen. Die Regierung will die „Warnbefugnisse“ des BSI in diesem Zusammenhang erweitern.

Zum Vortrag von SCADA Strange Love:

Das Honeytrain-Project

Das Honeytrain-Project wollte die konkrete Gefahr eines Hackerangriffs spürbar machen. Hierfür bauten Marco di Filippo und sein Team ein Modell, das im kleinen Maßstab der Strecke einer U-Bahn entsprach, und präsentierten es auf der CeBIT 2015. Das Projekt sollte Quantität, Qualität und Aggressivität der Cyberattacken erforschen und so der Frage auf den Grund gehen: Wie weit würden Hacker wirklich gehen? Alles sollte dem Eindringling vermitteln, er bewege sich im System einer realen U-Bahn. Über den Medienserver können die Eindringlinge auf die vermeintlichen Überwachungssysteme zugreifen und erhalten dabei originale Aufnahmen aus dem Nürnberger Untergrund. „Es wurden im Modell echte Komponenten verbaut und das System nach außen freigegeben“, sagte di Filippo. „Die Hacker hätten aber merken können, dass das Netz nicht realistisch ist.“

Tausendfach spielte das für die Hacker keine Rolle, und tausendfach fielen sie auf den Honeypot hinein. Insgesamt 26.512 Angriffe zielten auf das Netzwerk ab, das zwischen 14.000 und 19.500 Mal pro Tag gescannt wurde. Die meisten Zugriffe erfolgten aus China, den USA, Frankreich und Polen. Dabei unterschieden sich Vorgehen und Zielsetzung der Cyberkriminellen stark. 34 Prozent der versuchten Attacken zielten auf die Firewall des Systems. Weitere 27 Prozent hatten es auf den Medienserver abgesehen. Er verarbeitet die Streams der Überwachungskameras und bietet diese über eine Webschnittstelle an. In einem Fall tauschten die Angreifer die Bilder der Überwachungskamera gegen ein eigenes Video, in dem sie die Nutzung von Webcams in der Öffentlichkeit kritisieren. Andere griffen, laut di Filippo, auf die simulierte speicherprogrammierbare Steuerung zu, mit der sie das Licht kontrollierten und eine Überlast erzeugen konnten. Fließt zu viel Energie, löst die Sicherung aus und die Züge müssen notbremsen. „Angreifer hatten auch die Chance auf die Weichen zuzugreifen und den Zug auf ein Abstellgleis zu leiten, wo bereits ein anderer Wagon steht“, deutet di Filippo das Worst-Case-Szenario an.

Was ist ein Honeypot?
In der Computersicherheit versteht man unter diesem Begriff ein Programm oder einen Server, der entweder einen einzelnen Nutzer oder ein Rechnernetz simuliert. Sie dienen dazu, um Angriffsmuster von Hackern zu untersuchen. Mehrere Honeypots können zu einem Honeynet zusammengeschlossen werden, um das Angriffsverhalten noch effizienter zu untersuchen und im Umkehrschluss die Sicherheit stetig zu verbessern.

Während der Dauer des Projekts gab es vier erfolgreiche Logins auf die Zugsteuerung. Zwei davon erfolgten über Wörterbuchattacken. In einem Fall gelang es den Angreifern sogar, ein starkes Passwort zu überwinden. Anders als die ungebetenen Gäste auf dem Mediaserver verfügte diese Gruppe über eine sehr genaue Kenntnis industrieller Leitsysteme und wusste genau, in was für ein System sie eingedrungen war. „Angreifer haben auch versucht, die Züge kollidieren zu lassen. Dabei haben sie sich drei Tage Zeit gelassen, um ihren Angriff zu planen“, betont di Filippo. „Die Ip-Adresse taucht im Protokoll oft auf und ließ sich nach Malaysia nachverfolgen. Ob der Angriff über einen Proxy-Server kam, oder ob er tatsächlich von dort stammte, lässt sich nicht bestimmen.“ Aus Kostengründen haben di Filippo und sein Team diesen Angriff geblockt.  Denn auch Modellzüge können mehrere hundert Euro kosten. Am zweiten Messetag ließ es sich jedoch nicht vermeiden. Im Live-Versuchsaufbau ließen Hacker einen Zug entgleisen. Sicher nicht der Schaden, den die Kriminellen beabsichtigten, aber dennoch ein kostspieliger.

Wörterbuchangriff? What the f***
Eine sogenannte Attacke erfolgt durch ein spezielles Programm, das automatisch Benutzernamen und dazugehörige Passwörter testet. Im Gegenzug zum manuellen Eintippen können viel mehr Passwörter ausprobiert werden. Die Geschwindigkeit hängt von Soft- und Hardware sowie vom verwendeten Verschlüsselungsalgorithmus ab. Mehrere hundert Millionen Rechenoperationen pro Sekunde sind aber durchaus Standard. Standardpasswörter wie der Geburtstag sind so im Nu geknackt.

Das Grundproblem liegt di Filippos Meinung nach am sorglosen Umgang mit Daten. Zuhauf lassen sich Pläne zu kritischen Infrastrukturen im Netz aufrufen – simpel per Suchmaschine. Diese sind dann entweder gar nicht geschützt oder mit unzureichenden Passwörtern. Gegen Wörterbuchangriffe hilft ausschließlich ein sicheres Passwort.

U-Bahnhof

Die grundlegende Idee zum Honeytrain-Project kam di Filippo während einer Konferenz zur IT-Sicherheit in Nürnberg. Nach ein paar Bier stand er mit einem Kollegen in der U-Bahn und sah die fahrerlose U-Bahn in den Bahnhof einkehren. Daraufhin mussten sie an den Film „Die Entführung der U-Bahn Pelham 123“ denken. Im Film stürmt eine  bewaffnete Truppe Gangster den ersten Waggon und nimmt Passagiere und Fahrer als Geiseln. Würde so ein Angriff auch ohne Waffen funktionieren? Ohne einen Fahrer, der die U-Bahn steuert? Der Bayerische Rundfunk drehte einen Beitrag zu dieser Thematik und interviewte di Filippo zu seinem Versuch. Fälschlicher Weise suggerierte der Film, es hätte tatsächlich einen Cyberangriff auf die U-Bahn in Nürnberg gegeben. Dies dementierte das Betreiberunternehmen VAG vehement. Durch die ATC (Automatic Train Control) fließen Daten vom Fahrzeug, der Leitstelle und der Fahrstrecke zusammen und werden ständig abgeglichen. Bei der kleinsten Veränderung hält das System der automatischen U-Bahn an, hieß es in einer Stellungsnahme. Es ist wichtig, ein Bewusstsein für die latente Gefahr zu schaffen, jedoch nicht effekthascherisch und pseudomoralisch, nur um ein komplexes Thema durch Betroffenheit aufzuwerten.

Betreffen kann ein Cyberangriff nicht nur öffentliche Verkehrsmittel sondern auch Energie- und Industrieanlagen. Im Vortrag, den di Filippo auf der CeBIT 2015 hielt, zeigt er, wie erschreckend einfach es für ihn war, in die Systeme einer Kläranlage und einer Feuerwache einzudringen.

Zum Vortrag von Marco di Filippo:

Technik verstehen. Technik gestalten. Technik testen. Diese drei Dinge bewegen mich im Alltag. Hier möchte ich spannende Geschichten und Projekte mit euch teilen. Zusammen halten wir Ausschau nach aktuellen Trends und nehmen allmöglichen Stuff unter die Lupe. Kommentiert gerne mit und werdet ein Teil von FUTUR3 hoch drei. Würde mich freuen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.