26. Mai 2017

Können Hacker Daten in Gebäuden speichern?

Anfang 2014 stellte ich mir eine etwas sonderbare Frage: Können Hacker Daten in Smart Homes verstecken? Da ich mich bereits seit längerer Zeit mit der Sicherheit automatisierter Gebäude befasste, konnte ich dieser Frage gemeinsam mit Kollegen systematisch nachgehen.

Schnell wurde klar: Daten können in automatisierten Gebäuden versteckt werden. Hacker könnten auf diese Weise folglich geheime Daten dort ablegen, wo sie niemand finden wird -- schließlich sucht kein Mensch nach versteckten Daten in einer Gebäudesteuerung. Wenn ein Smart Home mit dem Internet verbunden ist, so kann ein Angreifer von fast jedem Ort auf dem Globus aus Daten in einem Gebäude verstecken.

Tatsächlich entdeckten wir bereits 2014 verschiedene Methoden, um zumindest einzelne Bits in Gebäuden zu verstecken. Wie das geht? Nun, im Grunde genommen nutzt ein Hacker verschiedene Funktionen innerhalb eines Gebäudes aus, die eigentlich gar nicht zum Speichern von Daten gedacht sind. Gemeinsam mit zwei weiteren Autoren haben wir die entsprechenden Forschungsergebnisse nun publiziert (die PDF-Datei ist leider noch nicht öffentlich). Gestern stellte ich diese Ergebnisse (aus organisatorischen Gründen allerdings per Videoübertragung) auf einer Tagung in San José, CA, erstmals der Öffentlichkeit vor. Die Präsentationsfolien gibt es hier und ein "Backup-Video" des Vortrags habe ich auf YouTube hochgeladen:



Um nun Daten in einem Gebäude zu verstecken, muss ein Hacker zunächst einmal herausfinden, welche Geräte überhaupt im Gebäude verbaut sind, und welche von diesen Geräten sich inwiefern zum versteckten Speichern von Daten eigenen. Dies ist nicht ganz trivial. Ausnutzen kann ein Angreifer etwa unbenutzte Register von verbauten Geräten. In diesen Registern kann der Hacker etwa 0-16 Bits pro Gerät ablegen. Etwas aufwendiger wird es hingegen, wenn ein Angreifer Daten im Status von Aktoren speichern möchte: Aktoren sind Geräte, die das Gebäude steuern -- sie öffnen beispielsweise Fenster oder verändern die Intensität, mit der eine Heizung heizt. Viele Aktoren eigenen sich überhaupt nicht zum Speichern von Daten, manche allerdings schon. So können bei manchen Aktoren etwa relativ feine Abstufungen eingestellt werden, deren Unterschiede wir Menschen nicht ohne genaue Betrachtung bemerken. Denkbar ist etwa, dass ein Angreifer die Heizung minimal weniger oder stärker heizen lässt. In dieser kleinen Veränderung lassen sich bereits einige wenige Bits für eine gewisse Zeit speichern.

Kombiniert ein Angreifer nun den Speicherplatz geeigneter Komponenten eines größeren Gebäudes und verwendet er dabei eine intelligente Speicherstrategie, dann ist denkbar, dass er einen symmetrischen kryptografischen Schlüssel im Gebäude ablegen kann. Für die Speicherung längerer Schlüssel oder sonstiger Daten, die mehrere Kilobytes groß sind, dürfte allerdings nicht genügend Platz zur Verfügung stehen.

---

Sonstige Publikationen zum Thema IT-Sicherheit für Smart Buildings:

11. März 2017

Neue Publikation: Was bedeutet das IT-Sicherheitsgesetz für Smart Buildings?

In einigen Wochen erscheint eine neue Publikation, an der Steffen mitgewirkt hat. Vorgestellt wird die Arbeit auf dem 15. Deutschen IT-Sicherheitskongress.

A. Kobekova, L. Bültermann, J. Tonejc, S. Wendzel: Was bedeutet das IT-Sicherheitsgesetz für Smart Buildings? Konzepte des sicheren Alterns der Gebäude-IT, in: Tagungsband des 15. IT-Sicherheitskongress des BSI, pp. 515-526, SecuMedia Verlags-GmbH, Bonn, 2017.

Zusammenfassung:
Nachdem das neue IT-Sicherheitsgesetz des Bundes in Kraft trat, besteht eine gegenwärtige rechtliche Verpflichtung vor allem für Betreiber sogenannter „kritischer Infrastrukturen“, innerhalb von zwei Jahren entsprechende IT-Sicherheitsmaßnahmen zu implementieren. Zu den kritischen Infrastrukturen zählen auch zahlreiche automatisierte Gebäude, die häufig IT-Sicherheitslücken aufweisen.

In diesem Beitrag stellen wir unser Konzept des sicheren Alterns vor. Es basiert auf der Anwendung von maschinellen Lernverfahren zur Anomalieerkennung im BACnet-Netzwerkverkehr. Aus den Ergebnissen werden Entscheidungsregeln für das Filtern der Datenpakete abgeleitet. Damit wird ein selbstlernendes System erzeugt, das in der Lage ist, auch auf bisher unbekannte Angriffe angemessen zu reagieren. Unser Fokus liegt dabei auf der Evaluierung der Effektivität verschiedener maschineller Lernverfahren. Insbesondere zeigen wir, welche Methoden für die Erkennung bereits bekannter Anomalien sowie für die Entdeckung neuer Angriffe am besten geeignet sind.


Verwandte Publikationen:

Eva Maria Anhaus, Steffen Wendzel:
BACtag: Data Leakage Protection für Gebäude
,
in Proc. D-A-CH Security, St. Augistin, 2015.

Steffen Wendzel, Viviane Zwanger, Michael Meier, Sebastian Szlósarczyk:
Envisioning Smart Building Botnets,
GI Sicherheit 2014, LNI 228, pp. 319-329, GI, Vienna, 2014.

3. März 2017

Informationen nun auch bei Facebook

Statt ausschließlich unseren Blog zu abonnieren, ist es nun auch möglich, mir (Steffen) über meine Autorenseite bei Facebook zu folgen.


1. März 2017

Schon über 10.000 Downloads von unserem Praxisbuch Netzwerksicherheit

Unser bekannter Titel erreichte heute die Marke von 10.000 Downloads. Wir freuen uns sehr über die große Anzahl an Lesern. Wer noch eine Kopie (PDF) herunterladen möchte, kann dies hier tun:


 J. Plötner, S. Wendzel: Praxisbuch Netzwerksicherheit, Galileo Press, 2007, 657 Seiten Download




21. Januar 2017

Handelsblatt-Artikel mit einigen Aussagen von Steffen Wendzel

In der aktuellen Ausgabe des Handelsblatts (sowie online, in einer ausführlicheren Version) gibt es einen Beitrag zur IT-Sicherheit von Smart Homes. Der Artikel beinhaltet einige Auszüge eines Interviews mit Steffen Wendzel.

16. Januar 2017

Aktuelle und kommende Veröffentlichungen

Arbeit am neuen Buch:
Das nächste geplante Buch von mir (Steffen) wird das Thema Netzwerksicherheit behandeln und etwa im Spätsommer diesen Jahres erscheinen. Derzeit muss noch ein Großteil des Manuskripts verfasst werden, doch einige Inhalte liegen bereits vor.

Warum ist das "Internet der Dinge" so unsicher?
Gemeinsam mit einer Kollegin ging ich dieser Frage in einer englischsprachigen Publikation in einer neuen, weniger technischen Weise, auf den Grund. Sie können den kurzen Artikel hier lesen.

15. Sicherheitskongress des BSI
Auch auf dem Sicherheitskongress des BSI wird in diesem Jahr wieder eine Arbeit vorgestellt, an der ich beteiligt war. Es wird sich dabei um die IT-Sicherheit von Smart Buildings drehen und wie diese mit dem neuen IT-Sicherheitsgesetz in Verbindung steht.

Achte Auflage von `Einstieg in Linux'
Unser Linuxbuch wird vermutlich Mitte 2018 in die achte Auflage gehen. Einzelne Arbeiten zur Verbesserung des Titels sind bereits erledigt. Unter anderem flossen in die Neuauflage einzelne Inhalte aus der Vorlesung `Betriebssystemkomponenten' ein, die ich an der Hochschule Worms halte.

Akademische Publikationen
Wie so oft gibt es auch einige neue akademische Publikationen, die Sie in meinem Blog finden.

12. November 2016

Arbeit an neuem Buch aufgenommen und Arbeit an Buchkapitel abgeschlossen

In den letzten Monaten ist natürlich wieder einiges bei uns passiert. Hier eine kleine Zusammenfassung.

Neues Buch in Arbeit:
Der Springer-Verlag wird Ende nächsten Jahres ein neues Buch von Steffen Wendzel, seit kurzem Professor an der Hochschule Worms, zum Thema Netzwerksicherheit publizieren. Die Arbeiten am neuen Buch starteten bereits vor einigen Monaten.

Downloads:
Unsere zwei zum Download freigegebenen Bücher zu den Themen Linux und praktische Netzwerksicherheit wurden derweil schon etwa 20.000 Mal angesehen/heruntergeladen. Das kostenpflichtige Buch Tunnel und verdeckte Kanäle im Netz (bzw. einzelne Kapitel daraus) wurden bereits 12.000 mal heruntergeladen. Die Downloads des ursprünglichen HTML-Openbooks zwischen 2007-heute wurden leider nicht gezählt, dürften aber dank der medialen Aufmerksamkeit noch einmal deutlich höher ausgefallen sein. Auch wenn uns selbst die kostenpflichtigen Downloads nur wenige Euro pro Jahr bescheren (tatsächlich verdienen wir nur etwas an neu erworbenen, ungebrauchten Druckexemplaren!): Wir freuen uns sehr über eine so große Leserschaft und hoffen, dass noch viele Menschen unsere Bücher herunterladen!

Neues Buchkapitel:
In in den nächsten Monaten wird ein bereits vollendetes, englischsprachiges Kapitel zum Thema Cyber Security of Smart Buildings von Steffen Wendzel et al. im Buch Security and Privacy in Cyber-Physical Systems: Foundations and Applications (Herausgeber sind H. Song et al.) bei Wiley erscheinen.

Anmerkung: Wir verdienen an diesem Buch nichts und möchten vielmehr für die Verbreitung des Wissens über die IT-Sicherheit von Smart Buildings sorgen!

Neue wissenschaftliche Publikationen:
Weitere Neuigkeiten zu englischsprachigen Publikationen aus der letzten Zeit finden sich im Blog von Steffen Wendzel. Hierbei handelt es sich allerdings, wie üblich, um Publikationen aus der Forschung im Bereich der IT-Sicherheit.