Die „gehackte“ Industrieanlage – oder: es muss nicht alles ans Netz!

Veröffentlicht: 3. Mai 2013 in IT-Security, Netzwerke
Schlagwörter:, ,
0

„Das Internet an sich ist keine Bedrohung“ – Philipp Schindler, Präsident von Google Nord- und Zentraleuropa

Was auch immer Sie im Internet suchen, früher oder später werden Sie es finden. Und genau so war es bei meiner Suche
nach Industrieanlagen, die ungesichert via Webinterface über einen Browser zugänglich sind.

Leichtsinnige Betreiber von Heizungsanlagen lassen ihre Geräte nicht nur mit dem Internet verbinden, um die
Heizung auch von unterwegs (bzw. vom Handy/ IPad) steuern zu können, nein  – schlimmer noch – es gibt keine einzige
Sicherheitshürde, die man überwinden müsste, um die Heizung zu steuern. Kein Login, kein IP-Filter – nichts!

So war es mir in einem ersten gezielten Suchlauf möglich mehrere Anlagen aufzuspüren. Ich hätte praktisch in den
Schaltkreis  eingreifen können, um die Temperatur und das ganze Heizprogramm zu manipulieren. Damit aber noch
nicht genug: in zwei Fällen war es sogar möglich auf installierte Webcams, die an die Heizung angebunden wurden,
zuzugreifen und Live-Bilder anzusehen.

Zu allem Überfluss gab es sogar einen Gebäudeplan, auf dem man neben den Webcams und der Kesselsteuerung
sogar Türen in dem Gebäude hätte entsperren können!

Man muss sich selbst mit Nachdruck fragen, ob es wirklich notwendig bzw. richtig ist,
immer alles mögliche mit dem Internet verbinden zu wollen!!!


Hier die Bildschirmfotos:

[Heating and Cooling Steuerung]
Steuerung vom Zeitprogramm und Übersicht der Werte

Heating-Solar

[Security and Alarms]
Steuerung von Webcams und div. Einstellungen innerhalb des Raumplans möglich (Türen, Alarmanlagensound,
Wassersteuerung, Bewegungserkennung, Temperatursteuerung etc.)

Security-Alarms

[weiterer Fall, aber anderer Hersteller]
Steuerung vom Zeitprogramm und Übersicht der Werte, bzw. der Option einer manuellen Steuerung

Heating

Weiterführende Links hierzu:
http://www.heise.de/security/meldung/Kritische-Schwachstelle-in-hunderten-Industrieanlagen-1854385.html

http://www.ffh.de/news-service/ffh-nachrichten/nController/News/nAction/show/nCategory/mittelhessen/nId/27893/nItem/computerspezialisten-hacken-sich-in-giessener-knast-ein.html

Dieses Video sagt schon alles – Wichtig: obige Fälle stehen nicht mit u.g. Video/ Anbieter in Verbindung.
Ich finde diese Werbung einfach nur belustigend, wenn man sich meinen Beitrag durchgelesen hat.
Ab 1:15 könnte es auch heißen: „..und sollte irgendwann mal eine Störung auftreten, sagt Ihnen bestimmt gerne ein
netter Hacker bescheid…“ ;-P #scnr

Eigenen Senf dazu geben