blog.fohrn.com

Wurde die Nürnberger U-Bahn gehackt?

Wer vorgestern den Report aus München im ersten Programm gesehen hat der mochte seinen Augen nicht trauen: Eine U-Bahn in „einer deutschen Großstadt“ wurde demonstrationshalber von einem Herren namens Marco di Filippo gehackt – oder scheinbar doch nicht, so genau weiß man das nicht. Zweck der Übung war, zu demonstrieren, wie verwundbar wichtige Infrastruktur für islamistische Angriffe eines „Cyber-Terrorangriffs“ sei. Bei der U-Bahn, die als Demonstrationsobjekt herhielt, handelte es sich um die Nürnberger U-Bahn, genauer: Ziel des Angriffs war die Steuerung der vollautomatischen, fahrerlosen U-Bahnen der Linien 2 und 3.

Der Bericht ist übrigens auf den Seiten das Bayerischen Rundfunks zu sehen.

Bevor ich mich mit der VAG beschäftige, möchte ich einmal etwas auftrennen, was in meinen Augen nicht ursächlich zusammenhängt, nämlich den islamisch motivierte Terrorismus auf der einen Seite und die Angreifbarkeit von Infrastruktur – sofern ihre Steuerung vernetzt oder fernwartbar ist – auf der anderen Seite: Beides hat nicht zwingend etwas miteinander zu tun, denn der reine Umstand, dass ein technisches Netzwerk immer angreifbar ist, hat noch nichts mit der Motivation den Angreifer zu tun. Insofern sehe ich auch nicht, dass die Nürnberger U-Bahn ein besonders beliebtes Angriffsziel sein sollte – warum auch?

Interessant ist für mich noch ein anderer Aspekt: Wenn jemand „aus Hackerkreisen“ eine entsprechende Demonstration fährt, dann ist – aller Erfahrung nach – zuallermeißt mindestens einer der folgenden zwei Punkte gegeben, die dem Demonstrationsgegenstad innewohnen: Entweder ist das Demo-Objekt leicht zu hacken oder aber der Hack ist echt spektakulär. Zu letzteren Fällen zähle ich auch Hacks, die für sich genommen keine per se spektakulären Objekte betreffen, sondern Objekte die vielverbreitet, omnipräsent sind. Nun kann ich an dieser Stelle nur mutmaßen, allerdings drängt sich mir die Frage auf, ob im Falle der Steuerung der fahrerlosen U-Bahn in Nürnberg nicht tatsächlich beides der Fall war. Wer den entsprechenden Bericht der Nürnberger Zeitung zwischen den Zeilen liest und das Video des BR mitsamt den Kommentaren von Herrn Filippo einmal aus dieser Perspektive auf sich wirken lässt, der könnte unter Umständen zu so einem Schluss kommen.

Zahllose computerbasierte Systemsteuerungen seien so schlecht gesichert, dass sie von außen problemlos angegriffen, ja übernommen werden könnten. (Quelle: NZ)

Das für sich genommen ist nichts Neues; das es die Nürnberger U-Bahn getroffen hat, ist angesichts der Komplexität ihrer Steuerung aber auch nicht verwunderlich. Je komplexer eine Steuerung ist, je mehr Hierarchien auf diese Steuerung zugreifen können, desto größer ist die Wahrscheinlichkeit, dass ein Angreifer eine Sicherheitslücke findet und zu nutzen versteht. Die möglichst exakte und kleinteilige Fernwartbarkeit und ein möglichst lückenloses Monitoring begünstigen genau diesen Umstand.
Und: An dieser Stelle muss ich leider etwas ätzen: Schon bei Stuxnet war es eine Siemens-Steuerung, die Kern des Angriffs war. Und im Video zu sehen ist die Softwaresteuerung einer Simatic. Ich gehe davon aus, dass man beim BR so sorgfältig arbeitet, dass das keine „Symbolscreenshots“ waren.

Über die Reaktion der VAG wundere ich mich sehr. Ich kann das Beschwichtigen der Pressesprecherin nicht verstehen. Eine gute Krisen-PR sieht erst mal anders aus, außerdem ist auch die VAG vor einem generell existierenden Problemkomplex nicht gefeit. Dies einfach zu behaupten trägt im Übrigen nichts zur Erhöhung der Sicherheit bei. Ich hätte mir als Statement seitens der Verkehrsbetriebe erstens ein klares Bekenntnis zu in solchen Fällen einzuleitenden unabhängigen Audits von absoluten Profis erwartet (nicht nur von VAG-Leuten, Betriebsblindheit, wissenschon, sowas muss extern bearbeitet werden). Ich hätte weiterhin erwartet, dass man Herrn di Filippo – öffentlich – einlädt und ihn seinen Hack seine Simulation demonstrieren lässt. Außerdem hätte ich mir die Demut gewünscht, einzugestehen, dass es eine wirklich sichere Anlagensteuerung nicht geben kann. Nichts dergleichen ist passiert. Stattdessen wird die VAG-Pressesprecherin wie folgt zitiert:

Er hat uns nicht gehackt. Dies wäre auch strafbar. (Quelle)

Ohgottohgottohgott!! „Dies wäre auch strafbar“ – einmal Naivität für 500, bitte! Der BR zeichnete im Groben folgendes Szenario: Wir sind von islamistischen Cyber-Terror verwundbar, weil unsere Infrastruktur angreifbar ist (wie gesagt, ich halte das für einen Fehlschluss, wir sind nicht von Islamisten allein angreifbar, wir sind von jedem angreifbar, der die Technik beherrscht – und darunter fallen logischerweise als Teilmenge auch Islamisten, klar). Dem cyber-terrorisierenden Taliban, liebe VAG, dürfte es allem Ermessen nach scheißegal sein, ob dies auch strafbar wäre.

Um gleich dem nächsten Fehlschluss hinterherzusteigen: Der NZ-Journalist resümiert am Ende seines Artikels:

So oder so: Viele kommunale IT-Systeme sind offenbar sehr verwundbar. Ob die U-Bahn-Steuerung VAG dazu- gehört, die Kraftwerks-Steuerung N-Ergie oder gar die Stadt Nürnberg selbst, bleibt vorerst offen.  (Quelle)

Wieso? Wieso sollen gerade die kommunalen Systeme sich für derartige Angriffe besonders anbieten? Was hat das Kraftwerk der N-ERGIE oder gar die Stadt selbst nun mit den (möglicherweise vorhandenen) Sicherheitslücken der RUBIN-U-Bahn zu tun? Ich sehe da keinen zwingenden Zusammenhang. Ich bin tatsächlich der Meinung: Es kann leider jeden treffen. Wichtig ist, seine eigenen Security auf möglichst hohem Niveau zu halten, um nicht die grinsende Beute potenzieller Angreifer zu werden. Wichtig ist auch, zu begreifen, dass IT-Sicherheit ein prozesshaftes Ding ist und tagtäglich erstritten und gewahr werden will.

Weiterhin: Wirklich kritische Infrastruktur gehört, auch wenn die Alternative im Zweifel sauteuer ist (z.B. Standleitungen) einfach nicht ans Internet. Und auch nicht zwingend ans öffentliche Telefonnetz (Anachronismusalarm! Das öffentliche Telefonnetz ist ja quasi das Internet. Ich prangere das an, ernsthaft!). Der Aufwand, den dann ein Angreifer betreiben müsste, wäre nämlich ungleich höher und würde auch die Anwesenheit des Angreifers vor Ort voraussetzen, was Ergreifbarkeit oder Verhinderung ermöglicht – und für den Angreifer ungleich höhere Risiken mit sich bringt. Einfach nur zu behaupten, die eigenen Systeme seien sicher, bringt: Nichts.

Btw.: Ich bin kein IT-Sicherheitsexperte. Das was ich hier zum Thema IT-Sicherheit fallen lasse, sind allgemein anerkannte und ganz basale Axiome. Sie sind so geläufig, dass sie schon fast wie Plattitüden wirken. Ich bin mir dessen vollauf bewusst. Umso mehr erschreckt es mich, dass dieses Basiswissen weder bei den Damen und Herren Journalisten noch bei Unternehmen wie der VAG gesetzt ist. Vielleicht ist ja genau dieser Umstand die eigentliche, gravierendere Sicherheitslücke.

Update, 17.01.2015, 17:40: Der Herr Felme von der Stadt Nürnberg hat´s übrigens begriffen.

Hacks. And Kisses.

Da bewegt sich ja was – so viele „Hacks“ dieser Tage – dabei ist das meiste doch DDoS. Im Falle der Lästerplattform isharegossip.com scheinen aber wirklich gehackt worden zu sein – die Site ist „offline“.

Feinsinnig, gar lyrisch gibt oder geben sich der oder die Hacker mit dem Namen „23timesPi“:

Screenshot 14. Juni 2011, 15:14

Nun, ein allzu großer Verlust ist der Wegfall dieser Seite ja nicht, schließlich war das Ding ja nichts anderesals eine digitale Klowand, auf der jeder Depp seinen Fäzes breitschmieren konnte – erstaunlich ist aber, dass die Lästerseite überhaupt gehackt werden konnte und zur Stunde immer noch nicht wieder up ist. Gut, wenn sie so scheiße programmiert war, wie sie aussah, ist das wiederum kein Wunder. Nur: Wer sollte so eine Seite hacken? Frustrierte Kids, die auf der Seite gedisst wurden? Oder besorgte Eltern? Der Pädagoge scheidet quasi aus, bringt er doch in der Regel die für so eine Aktion nötigen Skills nicht mit.

Wie dem auch sei – man droht den Betreibern: Würden sich Admins, Moderatoren und Organisatoren nicht binnen einer Woche der Polizei stellen, so werde der oder die Hacker die Daten veröffentlichen.

Auf einer Ausweichseite indes liest man:

„Leider wurde unsere Domain iShareGossip.com gestohlen, der Server und iShareGossip.net ist davon allerdings nicht betroffen. Bis wir näheres in Erfahrung bringen können, bleibt iShareGossip offline. User haben definitv nichts zu befürchten, da wir keine IP Adressen speichern. Weitere Informationen in Kürze.“

Das glaube ich halt auch nicht – denn dann hätte man doch den „Dienst“ einfach umgerouted. Also – irgendwie getroffen wurde man allem Anschein nach schon.

Die Zeit scheint gerade gut für Hacker, vergeht doch kaum ein Tag, an dem nicht irgendwo eine DDoS-Attacke gefahren oder eine Webseite aufgemacht wird. Vom Sony Network will ich gar nicht erst sprechen. Und wenn kino.to plattgemacht wird, geht die GVU gleich mit offline – es gibt eigentlich jeden Tag Grund zur Schadenfreude. Mit ishareggossip hat es keinen Falschen erwischt.

Update: Der lyrische Inhalt ist verschwunden, die Seite ist nun leer oder lädt gar nicht.

CDU Hamburg – Webseite gehackt

Das war im Groben und Ganzen kein schöner Hack – wohl aber ein nötiger. Etwas plakative, wenn auch im Kern richtige Fragen warfen gestern Hacker mit den Pseudonymen „GHoST61“ und „Emre Y.“ auf:

Hi Hamburg: We are from Turkey. CDU ??? Ahlhaus ??? Wo bleibt das Geld für die Integration ? Wo ist das Geld für die Moscheen ? Wo bleibt die Toleranz? Wo bleibt die Religionsfreiheit? Warum siehst du den Splitter im Auge deines Bruders, aber den Balken in deinem Auge Frau Merkel, wir erwarten Sie in Hamburg.“

Seltsam – fraglich an dieser „Message“ ist erst einmal, ob die Hacker wirklich aus der Türkei sind. Und dann, was mit diesem Hack wohl bezweckt werden sollte. Immerhin hat der Schlag gesessen, wie die SZ zu berichten weiß.

Ganz unsympathisch ist mir der Hack – auch wenn er nicht sehr professionell scheint – dennoch nicht, wird doch auf einem nicht ganz regulären Weg etwas Schwung in die allzu verquaste Integrationsdebatte gebracht. Und so ist es auch kein Wunder, dass es nicht nur die Webseite der Hamburger CDU sondern auch die der CDU Mecklenburg-Vorpommern getroffen hat.

Die Leute bei der CDU haben bekanntermaßen nicht viel zwischen den Ohren – das manifestiert sich nicht nur bei der Netz- und Integrationspolitik. Nun mussten sie halt mal eine kleine Backpfeife hinnehmen. Ist doch auch mal ganz nett.

Danke, Marcus.