Im Rahmen verschiedener Forschungsprojekte beschäftigt sich die Antago GmbH seit einigen Jahren neben klassischen digitalen Einbrüchen auch mit der Sicherheit von EIB/KNX-basierten Systemen.
Als Ergebnis dieser Forschung wurde Anfang 2014 “Erebos” (http://bit.ly/1jWDDu5) als weltweit erste professionelle Appliance für Angriffe gegen Gebäudeleitsysteme auf diversen Sicherheitsmessen vorgestellt. Dieser Veröffentlichung gingen viele Monate der Forschung und Kooperation mit Herstellern aus dem Bereich EIB/KNX voraus. Als Ergänzung und nächste Evolutionsstufe wurde dann Ende 2014 “Thanatos” (http://bit.ly/1jWDIxV) veröffentlicht. Beide Angriffswerkzeuge benötigen physikalische Zugriff auf das anzugreifende Gebäude. Es gelang uns jedoch mit Thanatos ein Bauteil mit einer so geringen Größe zu entwickeln, dass es hinter bereits installierten Lichtschaltern Platz findet.
Diese Entwicklung ermöglichte es Alexander Dörsam, Leiter Information Security der Antago, auf internationalen Plattformen zum Thema Sicherheit im Bereich EIB/KNX zu sprechen, unter anderem auch für die VDS.
Weiter ergab sich eine Kooperation mit der VDS zur Entwicklung eines Standards für “sichere” EIB/KNX Installationen.
Die Vision
Trotz der weitreichenden Möglichkeiten von Erebos und Thanatos bedurfte es immer dem einmaligen, physikalischen Zugriff auf das anzugreifende Gebäude. Als logische Konsequenz ergab sich der Wunsch, die gleichen Angriffe auf Licht-, Klima- und Alarmsysteme, auch aus dem Internet heraus, ausführen zu können. Die Vision war es, mit automatisierter Software von überall auf der Welt zentral auf tausende Gebäudesteuerungen administrativ zugreifen zu können.
Einer der größten Anbieter für im Internet vernetzte Smart Buildings ist die Firma Gira. So war es naheliegend, deren Produkt auf Angreifbarkeit zu untersuchen. Ein solcher Angriff wurde nach unserem Kenntnisstand in dieser Form noch nie flächendeckend durchgeführt und war somit absolut aktuell und gefährlich.
Hinweis:
Im weiteren Verlauf dieses Artikels wird nicht auf die eigentlichen Probleme des KNX Bus eingegangen, dazu können Sie jedoch auf http://knx-security.de/ entsprechende Whitepapers einsehen. Vielmehr geht es im Speziellen um die Angreifbarkeit des Übergangs von KNX auf IP-basierte Systeme.
Funktion des Systems
Wenn Sie Kunde der Firma Gira oder vergleichbaren Herstellern einer Visualisierungslösung für Gebäudesteuerungen sind, werden Ihnen verschiedene Konzepte des Fernzugriffes zur Verfügung gestellt.
Im Falle des Home- oder Facilityserver wird Ihnen der Fernzugriff über ein von Gira exponiertes Web-Portal angeboten. Dabei haben Sie die Möglichkeit, sich mit Hilfe einer einzigartigen Seriennummer oder einem von Ihnen vergebenen Alias auf Ihr Gebäude zu verbinden. Diese Funktion wird neben dem eigentlichen Benutzer zur Fernsteuerung des eigenen Gebäudes häufig auch von beauftragten Installateuren verwendet, um Wartungen an den Gebäuden durchzuführen.
Wird nun entweder der Alias oder die einzigartige Seriennummer eingegeben, werden Sie auf Ihr Gebäude weitergeleitet. Dort bietet Ihr Home- oder Facilityserver eine Webseite für den Login an.
Um diese Assoziation herzustellen, meldet sich Ihr Server in regelmäßigen Abständen bei dem Portal der Firma Gira, um kontinuierlich die aktuelle IP-Adresse zu übermitteln. Haben Sie sich erfolgreich weiterleiten lassen, können Sie sich mit Ihren Zugangsdaten an Ihrem Server anmelden und diesen fernsteuern.
Angriff
Um solche Systeme grundsätzlich angreifen zu können, gilt es einerseits die Identifikation von Gebäuden gewährleisten zu können und andererseits den Zugriff zu ermöglichen.
Identifikation von Gebäuden
Für einen flächendeckenden Angriff ist es essentiell, dass Multiplikatoren identifiziert werden, über die eine Vielzahl von Zielsystemen erreichbar sind. Gira bietet hierfür das beschriebene Web-Portal an, über das alle aktiven Home- und Facilityserver erreichbar sind. Die IP-Adressen aller Client-Systeme sind somit zentral in einer Datenbank abgelegt.
Um diese Datenbank nun auszulesen, gibt es mehrere Ansätze. Der hier Beschriebene ist ein Brute-Force-Ansatz. Bei einer Brute-Force-Attacke geht es darum, Alias bzw. Seriennummern durch Ausprobieren zu „erraten“.
Es zeigte sich, dass Familiennamen als Alias zwar schnelle Ergebnisse liefern, ajedoch in keiner erwähnenswert hohen Anzahl. Entsprechend versuchten wir, gültige Seriennummern zu erhalten. Es gelang uns, im Internet gültige Seriennummern Präfixe zu identifizieren. Dazu nutzten wir eine von Gira initiierte Rückruf-Aktion in welcher die betroffenen Kunden anhand der Seriennummern-Bereiche angesprochen wurden. Es zeigte sich sehr schnell ein Muster in den Seriennummern, welches uns dazu veranlasste, ein Programm zum Generieren solcher Seriennummern zu erstellen.
Im Rahmen der Überprüfung wurden 16⁴ Seriennummern generiert, wovon wir 16³, also 4096 Seriennummern, als repräsentative Menge extrahierten. Aufgrund diverser programmiertechnischer Schwächen in der Implementierung des Web-Portals konnten wir die erzeugten Seriennummern automatisiert und in großem Maße durch die Infrastruktur von Gira verifizieren lassen. Von den 4096 Seriennummern konnten wiederum etwa 1000 als aktive Seriennummern identifiziert werden.
Im zweiten Schritt des Angriffs wurde nun die tatsächliche Assoziation zu den eigentlichen Home- und Facilityservern hergestellt. Dazu wurde die Software so erweitert, dass sie über stark verteilte Anfragen tausende Seriennummern innerhalb weniger Sekunden mit der jeweils zugehörigen IP-Adresse über das Web-Portal abfragen konnte.
Die zu Grunde liegenden Probleme hierbei sind einerseits die Vorhersagbarkeit der Seriennummern und andererseits das massenhafte Abfragen von deren Gültigkeit und der aktuell zugeordneten IP-Adressen.
Als Abschluss dieses Teilprojektes verfügten wir somit über eine Software, welche eine Liste aktiver Seriennummern generieren kann und als Ergebnis eine Übersicht über alle aktiven Home- und Facilityserver und deren IP-Adresse im Internet liefert.
Eindringen in die Oberflächen
Nachdem es nun möglich war, einen Multiplikator zur Identifikation einer Vielzahl von „Smart Buildings“ zu nutzen, musste nun ein Zugriff auf diese Maschinen aus der Ferne ermöglicht werden. Als Labor Umgebung dienten uns hierbei eigene Homeserver-Installationen.
Bei der Untersuchung fiel sofort auf, dass die Oberflächen über keinerlei Transportverschlüsselung verfügen. Dies würde uns allerdings nur bei einem Angriff gegen den Benutzer des Gebäudes zum Erfolg führen. Diese Szenarien waren bewusst aus der Überprüfung ausgeschlossen.
Als offensichtlichstes Werkzeug zum Einbruch verfolgten wir den Einsatz von Brute-Force-Angriffen. Hierfür entwickelten wir eine Software, welche verschiedenste Arten des Brute-Force-Angriffes gegen den Home Server umsetzt. Dabei setzten wir auf gängige Wörterbücher und konnten diese problemlos gegen die Server prüfen. Hier standen kaum Hürden im Wege.
Als Abschluss dieses Projektteils verfügten wir somit über eine Software, welche auf unterschiedlichen Wegen einen administrativen Fernzugriff auf den per Internet erreichbaren Home- oder Facilityserver ermöglicht. Zur Dokumentation des Zugriffs erstellt die Software einen Screenshot der aufgerufenen Oberfläche.
Resumee
Am Ende des Forschungsprojektes wurden die beiden Softwarekomponenten in ein gemeinsames Programm überführt. Es zeigte sich, dass neben allen bereits vorhandenen Problemen des KNX-Bus nun zusätzlich auch die IT-typischen Schwachstellen die Gebäudesicherheit beeinträchtigen. Speziell die Probleme von Web-Applikationen spielen eine zentrale Rolle.
Mit Hilfe der von uns im Rahmen dieses Projektes entwickelten Software ist es möglich, innerhalb weniger Minuten tausende aktive Gebäude zu identifizieren und dann verschiedene Angriffe automatisch auszuführen. Somit ist die Grundlage für flächendeckende Angriffe aus der Ferne geschaffen. Nach Entwicklung dieser Software erhielten wir durch Installateure die Möglichkeit, -mit Zustimmung der Endkunden- diese Software gegen echte Installationen einzusetzen. Dabei zeigte sich eine sehr hohe Erfolgsquote beim Zugriff auf den Home Server. Die hier maßgebliche Ursache war, dass Installateure und/oder die Endkunden einfache oder das von Gira in deren Anleitung angeführte Standard-Passwort einsetzten.
Die Umsetzbarkeit eines flächendeckenden Zugriffs und einer Fernsteuerung von zehntausenden von “Smart Buildings” ist durch die Antago GmbH unter Beweis gestellt worden.
Daraus resultieren vielfältige Angriffsszenarien mit umfangreicher Tragweite; so zum Beispiel:
Nicht vorstellbar sind hier die Folgen beim Einsatz dieser Software außerhalb der uns zur Verfügung stehenden Testkunden.
Mehr Details zu der Tragweite von KNX-Angriffen können Sie unseren Whitepapers entnehmen.
Der Hersteller Gira wurde über die gefundenen Schwachstellen und deren möglichen Lösungen schriftlich und in Form eines kostenfreien Workshops in der Gira Zentrale informiert. Die telefonische und schriftliche Kontaktaufnahme bezüglich dieser Schwachstellen erfolgte am: 23.06.2015.
Ausblick
Der Fokus des dargestellten Angriffs lag darin, den massenhaften Zugriff auf Gebäudesteuerungen zu ermöglichen. Dies ist unbestritten bewiesen.
In Zukunft wäre es vorstellbar, die Fähigkeiten von Erebos mit dieser Software so zu vereinen, dass die von uns entwickelten KNX-Angriffe, von Erebos initiiert, auf zehn- oder hunderttausende Gebäude ausgeweitet werden. Hierfür existieren bereits von uns entwickelte Prototypen, welche, auf einem generischen Protokoll basierend, „Erebos“ die Fernsteuerung der aus der Ferne zu kompromittierenden Gebäude ermöglichen. Die vor einiger Zeit in bspw. unserem Youtube Kanal (https://www.youtube.com/...) gezeigten Angriffe per „Erebos“ und iPad wären somit nicht nur bei einem, sondern bei tausenden Gebäuden „gleichzeitig“ möglich.
Als Ergebnis dieser Forschung wurde Anfang 2014 “Erebos” (http://bit.ly/1jWDDu5) als weltweit erste professionelle Appliance für Angriffe gegen Gebäudeleitsysteme auf diversen Sicherheitsmessen vorgestellt. Dieser Veröffentlichung gingen viele Monate der Forschung und Kooperation mit Herstellern aus dem Bereich EIB/KNX voraus. Als Ergänzung und nächste Evolutionsstufe wurde dann Ende 2014 “Thanatos” (http://bit.ly/1jWDIxV) veröffentlicht. Beide Angriffswerkzeuge benötigen physikalische Zugriff auf das anzugreifende Gebäude. Es gelang uns jedoch mit Thanatos ein Bauteil mit einer so geringen Größe zu entwickeln, dass es hinter bereits installierten Lichtschaltern Platz findet.
Diese Entwicklung ermöglichte es Alexander Dörsam, Leiter Information Security der Antago, auf internationalen Plattformen zum Thema Sicherheit im Bereich EIB/KNX zu sprechen, unter anderem auch für die VDS.
Weiter ergab sich eine Kooperation mit der VDS zur Entwicklung eines Standards für “sichere” EIB/KNX Installationen.
Die Vision
Trotz der weitreichenden Möglichkeiten von Erebos und Thanatos bedurfte es immer dem einmaligen, physikalischen Zugriff auf das anzugreifende Gebäude. Als logische Konsequenz ergab sich der Wunsch, die gleichen Angriffe auf Licht-, Klima- und Alarmsysteme, auch aus dem Internet heraus, ausführen zu können. Die Vision war es, mit automatisierter Software von überall auf der Welt zentral auf tausende Gebäudesteuerungen administrativ zugreifen zu können.
Einer der größten Anbieter für im Internet vernetzte Smart Buildings ist die Firma Gira. So war es naheliegend, deren Produkt auf Angreifbarkeit zu untersuchen. Ein solcher Angriff wurde nach unserem Kenntnisstand in dieser Form noch nie flächendeckend durchgeführt und war somit absolut aktuell und gefährlich.
Hinweis:
Im weiteren Verlauf dieses Artikels wird nicht auf die eigentlichen Probleme des KNX Bus eingegangen, dazu können Sie jedoch auf http://knx-security.de/ entsprechende Whitepapers einsehen. Vielmehr geht es im Speziellen um die Angreifbarkeit des Übergangs von KNX auf IP-basierte Systeme.
Funktion des Systems
Wenn Sie Kunde der Firma Gira oder vergleichbaren Herstellern einer Visualisierungslösung für Gebäudesteuerungen sind, werden Ihnen verschiedene Konzepte des Fernzugriffes zur Verfügung gestellt.
Im Falle des Home- oder Facilityserver wird Ihnen der Fernzugriff über ein von Gira exponiertes Web-Portal angeboten. Dabei haben Sie die Möglichkeit, sich mit Hilfe einer einzigartigen Seriennummer oder einem von Ihnen vergebenen Alias auf Ihr Gebäude zu verbinden. Diese Funktion wird neben dem eigentlichen Benutzer zur Fernsteuerung des eigenen Gebäudes häufig auch von beauftragten Installateuren verwendet, um Wartungen an den Gebäuden durchzuführen.
Wird nun entweder der Alias oder die einzigartige Seriennummer eingegeben, werden Sie auf Ihr Gebäude weitergeleitet. Dort bietet Ihr Home- oder Facilityserver eine Webseite für den Login an.
Um diese Assoziation herzustellen, meldet sich Ihr Server in regelmäßigen Abständen bei dem Portal der Firma Gira, um kontinuierlich die aktuelle IP-Adresse zu übermitteln. Haben Sie sich erfolgreich weiterleiten lassen, können Sie sich mit Ihren Zugangsdaten an Ihrem Server anmelden und diesen fernsteuern.
Angriff
Um solche Systeme grundsätzlich angreifen zu können, gilt es einerseits die Identifikation von Gebäuden gewährleisten zu können und andererseits den Zugriff zu ermöglichen.
Identifikation von Gebäuden
Für einen flächendeckenden Angriff ist es essentiell, dass Multiplikatoren identifiziert werden, über die eine Vielzahl von Zielsystemen erreichbar sind. Gira bietet hierfür das beschriebene Web-Portal an, über das alle aktiven Home- und Facilityserver erreichbar sind. Die IP-Adressen aller Client-Systeme sind somit zentral in einer Datenbank abgelegt.
Um diese Datenbank nun auszulesen, gibt es mehrere Ansätze. Der hier Beschriebene ist ein Brute-Force-Ansatz. Bei einer Brute-Force-Attacke geht es darum, Alias bzw. Seriennummern durch Ausprobieren zu „erraten“.
Es zeigte sich, dass Familiennamen als Alias zwar schnelle Ergebnisse liefern, ajedoch in keiner erwähnenswert hohen Anzahl. Entsprechend versuchten wir, gültige Seriennummern zu erhalten. Es gelang uns, im Internet gültige Seriennummern Präfixe zu identifizieren. Dazu nutzten wir eine von Gira initiierte Rückruf-Aktion in welcher die betroffenen Kunden anhand der Seriennummern-Bereiche angesprochen wurden. Es zeigte sich sehr schnell ein Muster in den Seriennummern, welches uns dazu veranlasste, ein Programm zum Generieren solcher Seriennummern zu erstellen.
Im Rahmen der Überprüfung wurden 16⁴ Seriennummern generiert, wovon wir 16³, also 4096 Seriennummern, als repräsentative Menge extrahierten. Aufgrund diverser programmiertechnischer Schwächen in der Implementierung des Web-Portals konnten wir die erzeugten Seriennummern automatisiert und in großem Maße durch die Infrastruktur von Gira verifizieren lassen. Von den 4096 Seriennummern konnten wiederum etwa 1000 als aktive Seriennummern identifiziert werden.
Im zweiten Schritt des Angriffs wurde nun die tatsächliche Assoziation zu den eigentlichen Home- und Facilityservern hergestellt. Dazu wurde die Software so erweitert, dass sie über stark verteilte Anfragen tausende Seriennummern innerhalb weniger Sekunden mit der jeweils zugehörigen IP-Adresse über das Web-Portal abfragen konnte.
Die zu Grunde liegenden Probleme hierbei sind einerseits die Vorhersagbarkeit der Seriennummern und andererseits das massenhafte Abfragen von deren Gültigkeit und der aktuell zugeordneten IP-Adressen.
Als Abschluss dieses Teilprojektes verfügten wir somit über eine Software, welche eine Liste aktiver Seriennummern generieren kann und als Ergebnis eine Übersicht über alle aktiven Home- und Facilityserver und deren IP-Adresse im Internet liefert.
Eindringen in die Oberflächen
Nachdem es nun möglich war, einen Multiplikator zur Identifikation einer Vielzahl von „Smart Buildings“ zu nutzen, musste nun ein Zugriff auf diese Maschinen aus der Ferne ermöglicht werden. Als Labor Umgebung dienten uns hierbei eigene Homeserver-Installationen.
Bei der Untersuchung fiel sofort auf, dass die Oberflächen über keinerlei Transportverschlüsselung verfügen. Dies würde uns allerdings nur bei einem Angriff gegen den Benutzer des Gebäudes zum Erfolg führen. Diese Szenarien waren bewusst aus der Überprüfung ausgeschlossen.
Als offensichtlichstes Werkzeug zum Einbruch verfolgten wir den Einsatz von Brute-Force-Angriffen. Hierfür entwickelten wir eine Software, welche verschiedenste Arten des Brute-Force-Angriffes gegen den Home Server umsetzt. Dabei setzten wir auf gängige Wörterbücher und konnten diese problemlos gegen die Server prüfen. Hier standen kaum Hürden im Wege.
Als Abschluss dieses Projektteils verfügten wir somit über eine Software, welche auf unterschiedlichen Wegen einen administrativen Fernzugriff auf den per Internet erreichbaren Home- oder Facilityserver ermöglicht. Zur Dokumentation des Zugriffs erstellt die Software einen Screenshot der aufgerufenen Oberfläche.
Resumee
Am Ende des Forschungsprojektes wurden die beiden Softwarekomponenten in ein gemeinsames Programm überführt. Es zeigte sich, dass neben allen bereits vorhandenen Problemen des KNX-Bus nun zusätzlich auch die IT-typischen Schwachstellen die Gebäudesicherheit beeinträchtigen. Speziell die Probleme von Web-Applikationen spielen eine zentrale Rolle.
Mit Hilfe der von uns im Rahmen dieses Projektes entwickelten Software ist es möglich, innerhalb weniger Minuten tausende aktive Gebäude zu identifizieren und dann verschiedene Angriffe automatisch auszuführen. Somit ist die Grundlage für flächendeckende Angriffe aus der Ferne geschaffen. Nach Entwicklung dieser Software erhielten wir durch Installateure die Möglichkeit, -mit Zustimmung der Endkunden- diese Software gegen echte Installationen einzusetzen. Dabei zeigte sich eine sehr hohe Erfolgsquote beim Zugriff auf den Home Server. Die hier maßgebliche Ursache war, dass Installateure und/oder die Endkunden einfache oder das von Gira in deren Anleitung angeführte Standard-Passwort einsetzten.
Die Umsetzbarkeit eines flächendeckenden Zugriffs und einer Fernsteuerung von zehntausenden von “Smart Buildings” ist durch die Antago GmbH unter Beweis gestellt worden.
Daraus resultieren vielfältige Angriffsszenarien mit umfangreicher Tragweite; so zum Beispiel:
- das massenhafte Ausschalten oder Blockieren von Gebäuden,
- das Abschalten von Heizungen im Winter,
- die Deaktivierung von Alarmsystemen
- und Manipulation von Schließsystemen
Nicht vorstellbar sind hier die Folgen beim Einsatz dieser Software außerhalb der uns zur Verfügung stehenden Testkunden.
Mehr Details zu der Tragweite von KNX-Angriffen können Sie unseren Whitepapers entnehmen.
Der Hersteller Gira wurde über die gefundenen Schwachstellen und deren möglichen Lösungen schriftlich und in Form eines kostenfreien Workshops in der Gira Zentrale informiert. Die telefonische und schriftliche Kontaktaufnahme bezüglich dieser Schwachstellen erfolgte am: 23.06.2015.
Ausblick
Der Fokus des dargestellten Angriffs lag darin, den massenhaften Zugriff auf Gebäudesteuerungen zu ermöglichen. Dies ist unbestritten bewiesen.
In Zukunft wäre es vorstellbar, die Fähigkeiten von Erebos mit dieser Software so zu vereinen, dass die von uns entwickelten KNX-Angriffe, von Erebos initiiert, auf zehn- oder hunderttausende Gebäude ausgeweitet werden. Hierfür existieren bereits von uns entwickelte Prototypen, welche, auf einem generischen Protokoll basierend, „Erebos“ die Fernsteuerung der aus der Ferne zu kompromittierenden Gebäude ermöglichen. Die vor einiger Zeit in bspw. unserem Youtube Kanal (https://www.youtube.com/...) gezeigten Angriffe per „Erebos“ und iPad wären somit nicht nur bei einem, sondern bei tausenden Gebäuden „gleichzeitig“ möglich.
