03.11.2010 11:45
Angreifer nehmen Industriesteuerungen im Internet aufs Korn
Das Industrial Control System Emergency Response Team (ICS-CERT) der US-Regierung warnt (PDF-Datei) davor, dass die Suche nach über das Internet erreichbaren SCADA-Systemen zugenommen hat. SCADA-Systeme (Supervisory Control and Data Acquisition) dienen der Überwachung und der Konfiguration von Industriesteuerungen, etwa für Pumpen und Motoren. Angreifer könnten gezielt versuchen, über bekannte Default-Passwörter oder Schwachstellen in die Systeme einzudringen und zu manipulieren. Das Ändern von Sollwerten könnte je nach Anwendungsfall zu Störungen oder einem Ausfall führen.
Zu den beliebtesten Zielen gehören offenbar Cisco-Systeme, Webcams und VoIP-Telefone
Grundlage der Einschätzung des ICS-CERT sind offenbar die auf der speziellen Suchmaschine Shodan benutzten Begriffe zum Aufspüren verwundbarer Systeme. Shodan wertet die Banner von Web-, FTP-, SNMP-, SSH- und Telnet-Servern weltweit aus; darin sind meist Angaben über das Produkt, die Version und diverse weitere Daten enthalten. Um beispielsweise einen OpenSSH-Server mit der Uralt-Version 3.7 zu finden, genügt es, auf Shodan als Suchbegriff "openssh 3.7" einzugeben; und prompt bekommt man eine Liste mit vermutlich verwundbaren Servern. Die Suche lässt sich verfeinern und etwa auf bestimmte Länder begrenzen. Neu ist die Suche nach SCADA-Systeme im Internet jedoch nicht, Shodan vereinfacht sie nur erheblich.
Laut ICS-CERT haben Angreifer über Shodan sowohl einzelne PCs als auch über dedizierte WANs erreichbare zentrale Systeme ausfindig gemacht und aufs Korn genommen. Man arbeite mit Herstellern und Dienstleistern daran, die betroffenen Betreiber über das Problem zu informieren. Das ICS-CERT empfiehlt in seiner Warnung unter anderem, alle SCADA-Systeme grundsätzlich nur über VPNs erreichbar zu machen, Standardkonten auf den Systemen zu löschen und sichere Passwörter zu verwenden.
Seit den Stuxnet-Angriffen häufen sich in den letzten Wochen Meldungen über die Sicherheit und Unsicherheit kritischer Infrastrukturen, in denen ebenfalls SCADA- und ICS-Systeme zum Einsatz kommen. Eigentlich ist das Thema ein alter Hut, bislang haben sich jedoch nur Spezialisten damit beschäftigt und seit Langem auf die Gefahr hingewiesen. Bis zu Stuxnet hat sie jedoch kaum einer wahrgenommen. So gesehen hatte Stuxnet auch etwas Gutes: Wie seinerzeit MS-Blaster und SQL-Slammer bei Windows ist Stuxnet mittlerweile der Weckruf für SCADA-Sicherheit. Schade nur, dass nun offenbar jeder versucht, auf den SCADA-Sicherheitszug aufzuspringen und Kapital daraus zu schlagen.
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
