Nach einer Begrüßung durch den Black-Hat-Gründer Jeff Moss startete gestern die 19. Black Hat Europe in London. Unter anderem zeigten Sicherheitsforscher von der Uni Bochum, dass in einem PLC von Siemens eine Hintertür steckt.
“Doors of Durin” nannten die Forscher Ali Abbasi, Tobias Scharnowski und Thorsten Holz von der Ruhr-Universität Bochum ihren Vortrag, nach dem westlichen Tor von Moria, einem Teil von Mittelerde im Fantasie-Universum von Tolkien. Auch ihnen offenbarte sich eine Tür, als sie den Programmable Logic Controller S7-1200 von Siemens per Reverse Engineering unter die Lupe nahmen.
Solche Controller sind industriell im breiten Einsatz, unter anderem in der Autoindustrie, der chemischen Industrie und in zahlreichen weiteren Industrien, die grundlegende Infrastruktur anbieten. PLCs sammeln Daten von Sensoren, verarbeiten diese und leiten sie dann an Aktoren weiter. Dabei kommen sie auch mit einem “unangenehmen Arbeitsklima” zurecht, großer Hitze oder Kälte, und verarbeiten die Informationen sehr schnell.
Siemens PLC untersucht
Einen mit 250 Euro vergleichsweise günstigen PLC, den Siemens S7-1200, hat das Team unter die Lupe genommen und per Reverse Engineering auf Sicherheitslücken hin untersucht. Der Hintergrund: In den vergangenen Jahren gab es immer wieder Hacker-Angriffe, auch von staatlichen Akteuren, auf industrielle Infrastrukturen. Stuxnet ist wohl der bekannteste Vorfall.
Generell seien solche PLCs inzwischen sehr komplex. Und je komplexere eine Software wird, desto mehr Angriffsfläche bietet sie auch. So stellte das Team der Uni Bochum fest, dass der Bootloader Firmware nur mit kryptografisch unsicheren CRC32-Checksummen prüft. Der eingebaute Webserver sei zudem vermutlich anfällig für Cross-site Scripting. Zudem verwenden die PLCs mit der Miniweb Scripting Language eine an PHP angelegte Sprache, die — schaut man auf PHP — vermutlich nochmal eigene Sicherheitsprobleme mitbringt.
Mit freundlichen Grüßen
Als Tobias Scharnowski den Bootloader untersuchte, fiel ihm auf, dass dieser aus mehr Code bestand als erwartet. Der Grund stellte sich bald heraus: Gibt der Forscher beim Booten das Kürzel “MFGT1” ein, antwortet der Bootloader mit einem “-CPU” und tritt in einen Parsing Loop ein, in dem sich eine ganze Reihe von Befehlen eingeben lassen. Der Modus erlaubt es auch, den PLC zu manipulieren und eigenen Code einzuschleusen. Den Forschern gelang es, ein interaktives Tic-Tac-Toe-Spiel auf den PLC zu schieben.
Eine Hintertür in Siemens PLCs? Das sorgte auf der Hacker-Konferenz natürlich für Spekulationen. Eine Attribution konnte Scharnowski allerdings nicht vorlegen. Es ist also unklar, ob die Hintertür von einem Geheimdienst oder von Technikern bei Siemens stammt. Scharnowski geht eher von einem nicht-dokumentierten Debugging- und Troubleshooting-Feature aus, das natürlich dennoch ein Problem darstellt, wenn es in falsche Hände gelangt. Nach einem Responsible-Disclosure-Prozess arbeite Siemens nun an einem Fix.
Das sei aus Sicht von Scharnowski zwar einerseits erfreulich. Andererseits würden so auch Forscher natürlich keine so tiefen Einblicke in die Firmware solcher Geräte mehr erhalten. Das mache dann die von ihm ebenfalls gelieferten Hinweise auf andere Sicherheitslücken schwer. Er plädierte in seinem Talk dafür, dass Firmen wie Siemens Forschern den Zugang zu solcher Hardware erlauben, damit diese Sicherheitslücken aufspüren bevor es andere tun. Denn abgesehen von der Backdoor ließe sich der PLC auch an verschiedenen anderen Stellen sicherer machen.
