In vielen IT-Abteilungen in der Industrie herrscht noch nimmer ein ‚Security-by-Obscurity‘ geprägtes Denken vor. Das bedeutet, dass die Sicherheit eines Systems alleine dadurch sichergestellt werden soll, dass seine Funktionsweise geheim gehalten wird. Dies geschieht beispielsweise durch den Einsatz von proprietären Protokollen, statt bekannten, standardisierten Verfahren. Darüber hinausgehende Sicherheitsmaßnahmen finden oft nicht statt. Anlagen werden zudem oftmals nicht gepatcht, weil dies sehr schwierig ist, sie zu wichtig für den Betriebsablauf sind oder nur mit hohen Kosten vom Netz genommen werden können. Die langen Austauschzyklen solcher Systeme erhöhen das Risiko weiter.

Die von Trend Micro im Sommer 2018 untersuchten Funkfernsteuerungen von sieben weltweit verbreiteten Herstellern arbeiten auf der Basis von Packet-Radio-Protokollen und übertragen digitale Daten, die durch Modulation in Radiowellen umgewandelt werden. Dabei kommen verschiedene Modulations-Schemata wie Frequenzumtastung (FSK), Phasenumtastung (PSK), Minimum-Shift Keying (MSK) oder Variationen davon zum Einsatz. Die Geräte senden in ISM-Bändern im Hochfrequenzbereich (vor allem auf 315, 433, 868 und 915 MHz). Um eine zuverlässige Übertragung sicherzustellen werden die Signale codiert übertragen. 
Zwar sind die Geräte durchaus mit Sicherheitsfunktionen ausgestattet. Diese sind jedoch primär hinsichtlich der Safety relevant. Die gängigsten Maßnahmen sind hierbei die Paarung von Sender und Empfänger, ein Passcode-Schutz der Fernbedienung, eine notwendige Autorisierung des Bedieners mittels RFID oder ähnlicher Verfahren sowie die Einschränkung des Bedienradius durch die Einrichtung eines virtuellen Zaunes, beispielsweise mittels Infrarot. Für eine wirksame Security sind diese Verfahren jedoch nicht ausreichend, da sie sich verhältnismäßig einfach umgehen lassen

Die genaue Analyse zeigte entsprechend eine Reihe von Security-relevanten Schwachstellen in den untersuchten Systemen auf:

• Die untersuchten Fernsteuerungen setzen keinen Rolling-Code ein. Dies bedeutet, dass bei Funkübertragungen keine besondere Verifizierung stattfindet und jedes übertragene Datenpaket auch zukünftig als gültig erkannt wird. Dies ermöglicht die einfache Durchführung von Replay-Angriffen. Das Fehlen dieser grundlegenden Sicherheitsfunktion ist insofern überraschend, als sie bei aktuellen Geräten für Endnutzer – etwa bei Fahrzeugschlüsseln oder Garagentor-Öffnern – zum gängigen Standard zählt. 
• Die zwischen Sender und Empfänger ausgetauschten Daten sind zudem nicht oder nur schwach verschlüsselt und damit einfach vorhersehbar.
• Die Software, mit der neue Firmware auf Sender und Empfänger geladen wird, verhindert nicht die unautorisierte Neuprogrammierung der Geräte.

Diese Schwachstellen sind im Prinzip einfach zu patchen. Jedoch stellt bei den beiden erstgenannten Schwachstellen die schiere Anzahl der zu patchenden Geräte und ihre oftmals schlechte Zugänglichkeit ein nicht zu unterschätzendes Hindernis dar. Die Implementierung einer wirksamen Verschlüsselung kann zudem Veränderungen an der Hardware nötig machen.

Die Angriffs-Szenarien

Im Rahmen der Untersuchung wurden fünf Arten von möglichen Angriffen auf diese Geräte identifiziert, die sich in Schwierigkeitsgrad und möglichen Auswirkungen unterscheiden. Die drei im Folgenden letztgenannten Angriffsarten basieren spezifisch auf der Funktionsweise der untersuchten Art von Fernsteuerungen. 

Replay-Angriffe

Bei Replay-Angriffen werden zuvor mittels Software- oder Hardware-Empfänger aufgezeichnete Funksignale wiedergegeben. Diese Signale sind von legitimer Kommunikation nicht zu unterscheiden. Die Auswirkungen von Replay-Angriffen hängen stark vom Wissen des Angreifers über sein Ziel ab. Je länger ein Angreifer die Kommandos abgreifen und eine Bibliothek daraus erstellen kann, umso besser kann er die Maschine später steuern. Dazu ist keineswegs die ständige physische Anwesenheit in oder nahe einer Fabrikhalle oder Baustelle erforderlich: Im Rahmen der aktuellen Forschung entwickelte und baute Trend Micro ein batteriebetriebenes Gerät in Kreditkartengröße, mit dem entsprechende Signale empfangen, interpretiert und wiedergegeben werden können. Dieses lässt sich einfach in einer Anlage versteckt oder mittels Drohne einbringen und ermöglicht in Verbindung mit einem Mobilfunk-Interface auch entfernte Angriffe.

Befehls-Injektion

Angriffe mittels Befehls-Injektion erfordern tiefergehendes Wissen über das anzugreifende Protokoll. Dazu werden empfangene Pakete analysiert und das Protokoll mittels Reverse Engineering rekonstruiert. Daraus werden eigene Steuerbefehle abgeleitet, mit denen eine Anlage kontrollierbar ist.

Missbrauch der Not-Aus-Funktion

Schematische Darstellung eines Angriffs mittels Not-Aus-Missbrauch: Durch Senden des Not-Aus-Befehls in Dauerschleife kann ein Angreifer die Anlage für ­längere Zeit lahmlegen.

© Trend Micro

Basierend auf einer dieser beiden Angriffsmethoden kann mittels Missbrauch der Not-Aus-Funktion eine Anlage lahmgelegt werden, ähnlich einem Denial-of-Service-Angriff in der klassischen IT-Security. Alle untersuchten Geräte besitzen einen solchen Not-Aus als Safety-Funktion, wobei die meisten den Standard ISO 13850:2015 erfüllen. Gelingt es einem Angreifer, ein entsprechendes Funksignal entweder abzufangen oder selbst zu erstellen, wird die Maschine über zwei Safety-Relais abgeschaltet.

Bösartiges Re-Pairing

Schematische Darstellung eines bösartigen Re-Pairing-Angriffs: Durch Abfangen der Paarungs-Sequenz kann ein Angreifer eine voll funktionsfähige Fernbedienung erhalten.

© Trend Micro

Die meisten Fernsteuerungen erlauben das ‚Klonen‘ des Senders, wodurch eine Anlage durch mehrere Steuerungen bedienbar ist. Dazu wird eine Paarungs-Sequenz eingeleitet und ein entsprechender Code an den Empfänger gesendet. Gelingt es einem Angreifer, diesen Code abzufangen und zu kopieren, kann er durch bösartiges Re-Pairing eine eigene, voll funktionsfähige Fernsteuerung mit der Anlage verbinden und diese damit kontrollieren.

Bösartige Neuprogrammierung

Während diese Angriffsmethoden alle eine – zumindest vorübergehende – Präsenz des Angreifers oder seiner Hardware in der Nähe des Angriffsziels erfordern, sind auch entfernte Angriffsvektoren denkbar. Gelingt es einem Angreifer etwa, einen Computer des Zielunternehmens oder des Systemintegrators oder Wiederverkäufers der Anlage zu kompromittieren, kann diese damit bösartig neu programmiert werden. Viele Steuerungen werden mit einem Dongle ausgeliefert, der eine Neuprogrammierung (beispielsweise die Neubelegung von Knöpfen, Hinzufügen neuer Fernbedienungen etc.) ermöglicht. Sind dieser Prozess und die dafür genutzten IT-Endpunkte nicht geschützt, lässt sich jede Art von gültiger Firmware auf das Gerät spielen. Damit ist es unter anderem möglich, die Steuerung zu stören oder sogenannte Backdoors zu installieren.

Der Prototyp des selbst­entwickelten 'RFQuack'-Tools. Das gesamte Gerät und ist kleiner als eine Kreditkarte und damit äußerst unauffällig.

© Trend Micro

Die beschriebenen Angriffs-Szenarien sind entweder mit verschiedener Hardware – etwa dem bekannten ‚Yard Stick One‘ Hacking-Dongle – oder Software Defined Radios durchführbar. Da beide Arten von Geräten im Rahmen der Untersuchung an ihre Grenzen stießen, entwickelte Trend Micro ein neues, modular aufgebautes Hardware-Tool, mit dem die Forschungsarbeit fortgesetzt werden konnte. Das ‚RFQuack‘ genannte Tool besteht aus einem CC112x-Sende-Empfänger sowie einem ESP8266-basierten Entwicklungsboard. Um auch entfernte Angriffe zu ermöglichen, wurde zudem ein WLAN-Sende-Empfänger installiert, der sich mit einem 4G-Hotspot verbinden lässt. Die Hardware hat einen Gesamtwert von unter 35 Euro. Für rund 20 Euro mehr könnte zusätzlich ein Mobilfunkmodem eingebaut werden, welches den 4G-Hotspot überflüssig macht. Die Firmware ist eine Eigenentwicklung. Angesichts der preisgünstigen Hardware ist es wahrscheinlich, dass es einem versierten Angreifer ebenfalls gelingen würde, ein solches Angriffswerkzeug zu entwickeln.

Die möglichen Folgen

Die Tatsache, dass Angriffe auf industrielle Funkfernsteuerungen verhältnismäßig einfach möglich sind, bedeutet nicht, dass es auch dazu kommt. Vielmehr bedarf es auch eines Motivs seitens möglicher Angreifer. Erfahrungsgemäß kommen dabei drei, teilweise branchenspezifische Tatmotive in Betracht:

Im Bereich der Industrie und des Baugewerbes ist die Sabotage besonders wahrscheinlich. Angreifer könnten entweder den Produktionsablauf stören oder sogar Unfälle verursachen, die Anlagen beschädigen oder Arbeiter gefährden. Gerade in diesem Szenario kommt zu materiellen Schäden noch der mögliche Image-Verlust. 

Besonders in der Logistik-Branche kann ein solcher Angriff auch zum Diebstahl von Waren führen. Gerade hier kommt eine Vielzahl an ferngesteuerten Kranen und ähnlichem Gerät zum Einsatz. Gelingt es einem Angreifer, die Kontrolle darüber zu übernehmen, könnten Waren unauffällig auf eigene Fahrzeuge verladen und gestohlen werden.

Bei Angreifern mit wirtschaftlicher Motivation sind beide Angriffs-Szenarien noch mit möglicher Erpressung kombinierbar. So kann eine Geldzahlung verlangt werden, um lahmgelegte Anlagen wieder zu aktivieren, Sabotageversuche einzustellen oder ‚entführte‘ Güter zurückzugeben.

Was ist zu tun?

Aufgrund der langen Lebensdauer der untersuchten Produkte werden die entdeckten Verwundbarkeiten noch Jahre, möglicherweise Jahrzehnte, zu finden sein. Doch es ist möglich, diese zu patchen. Trend Micro hat bereits vor der Veröffentlichung der Untersuchung die betroffenen Hersteller kontaktiert und sie bei der Verbesserung der Sicherheit unterstützt. Einige haben bereits die notwendigen Gegenmaßnahmen getroffen und auch Software-Updates bereitgestellt. Andere werden die Sicherheit in zukünftigen Generationen von Geräten verbessern. Generell erschweren jedoch Anforderungen an die Verfügbarkeit und hohe Ausfallkosten das Patching. 

Um sich bestmöglich vor den dargestellten Angriffs-Szenarien zu schützen, sind Hersteller, Integratoren und Nutzer von Funkfernsteuerungen gut beraten, einige Sicherheitsmaßnahmen einzuführen.

Hersteller sollten

• geeignete Sicherheitsmechanismen entwickeln und implementieren sowie sichere Firmware-Upgrades für bestehende Geräte bereitstellen. Die Upgrades sollten einen Rolling-Code-Schutz beinhalten, wie er in anderen Geräteklassen bereits gängig ist, um Replay-Angriffe zu verhindern. Zudem ist zu empfehlen, das Innenleben der Geräte besser vor Eingriffen zu schützen, um Reverse Engineering zu erschweren.
• den Einbau von Sende-Empfängern in Erwägung ziehen, die Verschlüsselung hardwareseitig unterstützen.
• neue Produkte auf offenen, bekannten und standardisierten Protokollen wie Bluetooth Low Energy aufbauen, bei denen Security-by-Design bereits implementiert ist.
• bei der Entwicklung zukünftiger Produktgenerationen technologische Fortschritte berücksichtigen. Beispielsweise würde ein Netzwerk-Anschluss der Fernsteuerungen Firmware-Upgrades over-the-air sowie die verteilte Generierung von Verschlüsselungs-Keys ermöglichen. Damit wäre die Sicherheit einfacher zu managen. 

Systemintegratoren und Nutzer sollten

• sich die technischen Grundlagen bewusst machen. Dazu gehört beispielsweise das gründliche Lesen von technischen Handbüchern vor einer Kaufentscheidung. Es sollten nur Geräte beschafft werden, die konfigurierbare Paarungs-Codes unterstützen und diese Codes im Betrieb regelmäßig ausgetauscht werden.  
• Computer zeitgemäß sichern und regelmäßig updaten. Falls die Fernsteuerungen programmierbar sind, sollte der zur Programmierung genutzte Computer entweder vom Netzwerk getrennt oder so gehärtet sein, als wäre er ein kritischer Endpunkt. Die meisten Möglichkeiten für entfernte Angriffe benötigen den Programmiercomputer als Angriffsvektor. 
• bei Kaufentscheidungen Produkte der nächsten Generation berücksichtigen. Zudem sind Produkte zu bevorzugen, die auf zwei verschiedenen Technologien basieren (zum Beispiel Infrarot und Funk) und offene, standardisierte Protokolle wie Bluetooth Low Energy nutzen.gh

Ein Whitepaper mit weiteren technischen Details steht auf der Website von Trend Micro zum Download zur Verfügung.

Autor: 
Udo Schneider ist Security Evangelist bei Trend Micro.