Aktuelles, Experten, Studien, Veranstaltungen - geschrieben von dp am Mittwoch, August 8, 2018 19:38 - noch keine Kommentare

Städtische Wasserversorgung bedroht: Botnetze aus intelligenten Rasensprengern

Tags: Ben Nassi, Ben-Gurion-Universität, Botnet, IoT, Schwachstellen, Wasserversorgung

Wissenschaftler der Ben-Gurion-Universität haben Hersteller über kritische Anfälligkeiten in ihren Produkten informiert

[datensicherheit.de, 08.08.2018] Cyber-Sicherheitsexperten der Ben-Gurion-Universität des Negev (BGU) warnen vor einem möglichen verteilten Angriff auf urbane Wasserversorger mittels eines Botnetzes intelligenter Berieselungssysteme zur gleichzeitigen Bewässerung. Ein Botnetz ist ein großes Netzwerk von Computern oder Geräten, welche ohne Wissen der Besitzer von einem Befehls- und Kontrollserver gesteuert werden. Ben Nassi, Forscher bei „Cyber@BGU“, wird demnach am 11. August 2018 auf der renommierten Konferenz „Def Con 26“ im sogenannten IoT Village seinen Vortrag „Attacking Smart Irrigation Systems“ in Las Vegas halten.

Wasserspeicher können vorsätzlich entleert werden

Die Forscher hätten nach einer Analyse Schwachstellen in einer Reihe kommerzieller intelligenter Bewässerungssysteme gefunden, die es Angreifern ermöglichten, Bewässerungssysteme aus der Ferne nach Belieben ein- und auszuschalten. Überprüft worden seien drei der meistverkauften intelligenten Bewässerungssysteme.
„Durch die gleichzeitige Anwendung eines verteilten Angriffs, der solche Schwachstellen ausnutzt, kann ein Botnetz von 1.355 intelligenten Bewässerungssystemen in einer Stunde einen städtischen Wasserturm leeren – und ein Botnetz von 23.866 intelligenten Bewässerungssystemen kann den Grundwasserspeicher über Nacht leeren“, warnt Nassi. Man habe die Unternehmen benachrichtigt, um sie auf diese Sicherheitslücken hinzuweisen, damit sie die Firmware ihrer intelligenten Systeme aktualisieren können.

Berieselungssysteme relativ leicht zu attackieren

Wasseraufbereitungs- und -abgabesysteme seien Teil der Kritischen Infrastruktur (KRITIS) einer Nation und würden im Allgemeinen gesichert, um zu verhindern, dass Angreifer diese Systeme infizieren. Nassi: „Allerdings haben Kommunen und Kommunalverwaltungen neue ,grüne‘ Technologien eingeführt, die intelligente Bewässerungssysteme mit IoT als Ersatz für herkömmliche Rasensprenger verwenden, und diese verfügen nicht über die gleichen kritischen Sicherheitsstandards für die Infrastruktur.“
In der Studie stellen die Forscher demnach einen neuartigen Angriff auf städtische Wasserversorger vor, bei dem es nicht erforderlich ist, deren physischen Cyber-Systeme zu infizieren. Stattdessen könne der Angriff mithilfe eines Botnetzes intelligenter Bewässerungsregulierungssysteme in städtischen Wasserversorgungseinrichtungen durchgeführt werden, die viel leichter zu attackieren seien.

IoT-Geräte zur Regulierung von Wasser und Elektrizität mit Sicherheitslücken

Die Forscher könnten demonstrieren, wie ein Bot auf einem kompromittierten Gerät ein intelligentes Bewässerungssystem in weniger als 15 Minuten erkennt und die Bewässerung über jedes intelligente Bewässerungssystem mit einem wiederholten Angriff per Session-Hijacking aktiviert.
„Obwohl die derzeitige Generation von IoT-Geräten zur Regulierung von Wasser und Elektrizität in Kritischen Infrastrukturen wie Smart-Grid- und Stadtwasserversorgern verwendet wird, enthalten sie ernsthafte Sicherheitslücken und werden bald zu vorrangigen Zielen für Angreifer“, erläutert Nassi, laut BGU Doktorand bei Prof. Yuval Elovici am Institut für Software- und Informationssystemingenieurwesen sowie wissenschaftlicher Mitarbeiter am „Cyber Security Research Center“ der BGU.

Weitere Informationen zum Thema:

Cornell University Library, 06.08.2018
Piping Botnet – Turning Green Technology into a Water Disaster

Ben-Gurion University of the Negev on YouTube, 01.08.2018

Piping Botnet – Attacking Smart Irrigation Systems