OT Security – das unfassbar Unsichere

Kurzfassung

Statische Superuser Passwörter, wackelige proprietäre Protokolle oder unsichere Netzwerkarchitekturen sind nur einige von unzähligen Schwachstellenkategorien, die in Penetration Tests von Industrie und kritischer Infrastruktur tatsächlich identifiziert werden. Besonders in OT Penetration Tests werden oft exotischere Komponenten, wie PLCs, HMIs oder Leitsysteme verwendet, die sich mit moderner Infrastruktur mischen. Aus dieser Kombination ergeben sich viele interessante Schwachstellen und Angriffsvektoren.

Manchmal sind diese so unglaublich, dass man meinen könnte, sie wären frei erfunden. Im Vortrag werden wie bei X-Faktor, tatsächlich vorgefallene mit frei erfundenen Beispielen gemischt. Am Ende des Vortrags darf das Publikum raten welche Geschichten sich tatsächlich so zugetragen haben und welche frei erfunden sind.

Nach einer Einleitung zum typischen Vorgehen bei solchen Assessments, das primär an technische Tester gerichtet ist, werden Beispiele von tatsächlichen bzw. erfundenen Schwachstellen präsentiert:

  • Wie man Smart-Cards falsch verwendet und somit sichere Mechanismen unsicher macht (aka “Not so smart”)
  • Denial-of-Service Schwachstellen auf mehreren Ebenen (aka. “DoS everywhere”)
  • Was Hersteller manchmal unter Encryption verstehen (aka. “I am cool, I made my own encryption”)
  • OT Protokolle nicht als solches erkannt und daher nicht geschützt (aka. “Do I need that everywhere?“)

Anschließend werden Maßnahmen und Lessons-Learned für verschiedene Zielgruppen erläutert. Im Kern sind das:

  • An alle: Security Testing ist wichtig, besonders in der OT
  • Betreiber: Einer Eigenerklärung sollte nicht blind vertraut werden. Ohne Testing hat man keine Wahrnehmungen zu Schwächen
  • Hersteller: Nur bewährte Methoden verwenden, Obfuskierung bringt tatsächlich wenig
  • Integratoren: Proprietär ist nicht gleich sicher, lieber zusätzliche Maßnahmen ergreifen oder Nachweise einholen, dass etwas sicher ist
Vortragende

Felix Eberstaller

Felix Eberstaller ist ein erfahrener OT Security Specialist bei Limes Security. Seine Schwerpunkte sind industrielle Sicherheit, IoT-Sicherheit, Embedded Systems Hardening und Penetration Testing. Außerdem unterrichtet er die Lehrveranstaltung Penetration Testing an der Johannes Kepler Universität Linz.

Bernhard Lorenz

Bernhard Lorenz ist einer der erfahrensten OT Security Penetration Tester & Berater der Limes Security, der nicht nur mit technischen Aspekten einer OT-Umgebung, sondern auch mit deren Prozessen und organisatorischen Anforderungen bestens vertraut ist. Seine Schwerpunkte sind Konformität zur NIS, die Umsetzung von Security relevanten Prozessen als auch die Durchführung von Penetration Testsin kritischer Infrastruktur.