Aktuelles, Experten, Studien, Veranstaltungen - geschrieben von dp am Mittwoch, August 8, 2018 19:38 - noch keine Kommentare
Städtische Wasserversorgung bedroht: Botnetze aus intelligenten Rasensprengern
Wissenschaftler der Ben-Gurion-Universität haben Hersteller über kritische Anfälligkeiten in ihren Produkten informiert
[datensicherheit.de, 08.08.2018] Cyber-Sicherheitsexperten der Ben-Gurion-Universität des Negev (BGU) warnen vor einem möglichen verteilten Angriff auf urbane Wasserversorger mittels eines Botnetzes intelligenter Berieselungssysteme zur gleichzeitigen Bewässerung. Ein Botnetz ist ein großes Netzwerk von Computern oder Geräten, welche ohne Wissen der Besitzer von einem Befehls- und Kontrollserver gesteuert werden. Ben Nassi, Forscher bei „Cyber@BGU“, wird demnach am 11. August 2018 auf der renommierten Konferenz „Def Con 26“ im sogenannten IoT Village seinen Vortrag „Attacking Smart Irrigation Systems“ in Las Vegas halten.
Wasserspeicher können vorsätzlich entleert werden
Die Forscher hätten nach einer Analyse Schwachstellen in einer Reihe kommerzieller intelligenter Bewässerungssysteme gefunden, die es Angreifern ermöglichten, Bewässerungssysteme aus der Ferne nach Belieben ein- und auszuschalten. Überprüft worden seien drei der meistverkauften intelligenten Bewässerungssysteme.
„Durch die gleichzeitige Anwendung eines verteilten Angriffs, der solche Schwachstellen ausnutzt, kann ein Botnetz von 1.355 intelligenten Bewässerungssystemen in einer Stunde einen städtischen Wasserturm leeren – und ein Botnetz von 23.866 intelligenten Bewässerungssystemen kann den Grundwasserspeicher über Nacht leeren“, warnt Nassi. Man habe die Unternehmen benachrichtigt, um sie auf diese Sicherheitslücken hinzuweisen, damit sie die Firmware ihrer intelligenten Systeme aktualisieren können.
Berieselungssysteme relativ leicht zu attackieren
Wasseraufbereitungs- und -abgabesysteme seien Teil der Kritischen Infrastruktur (KRITIS) einer Nation und würden im Allgemeinen gesichert, um zu verhindern, dass Angreifer diese Systeme infizieren. Nassi: „Allerdings haben Kommunen und Kommunalverwaltungen neue ,grüne‘ Technologien eingeführt, die intelligente Bewässerungssysteme mit IoT als Ersatz für herkömmliche Rasensprenger verwenden, und diese verfügen nicht über die gleichen kritischen Sicherheitsstandards für die Infrastruktur.“
In der Studie stellen die Forscher demnach einen neuartigen Angriff auf städtische Wasserversorger vor, bei dem es nicht erforderlich ist, deren physischen Cyber-Systeme zu infizieren. Stattdessen könne der Angriff mithilfe eines Botnetzes intelligenter Bewässerungsregulierungssysteme in städtischen Wasserversorgungseinrichtungen durchgeführt werden, die viel leichter zu attackieren seien.
IoT-Geräte zur Regulierung von Wasser und Elektrizität mit Sicherheitslücken
Die Forscher könnten demonstrieren, wie ein Bot auf einem kompromittierten Gerät ein intelligentes Bewässerungssystem in weniger als 15 Minuten erkennt und die Bewässerung über jedes intelligente Bewässerungssystem mit einem wiederholten Angriff per Session-Hijacking aktiviert.
„Obwohl die derzeitige Generation von IoT-Geräten zur Regulierung von Wasser und Elektrizität in Kritischen Infrastrukturen wie Smart-Grid- und Stadtwasserversorgern verwendet wird, enthalten sie ernsthafte Sicherheitslücken und werden bald zu vorrangigen Zielen für Angreifer“, erläutert Nassi, laut BGU Doktorand bei Prof. Yuval Elovici am Institut für Software- und Informationssystemingenieurwesen sowie wissenschaftlicher Mitarbeiter am „Cyber Security Research Center“ der BGU.
Weitere Informationen zum Thema:
Cornell University Library, 06.08.2018
Piping Botnet – Turning Green Technology into a Water Disaster
Ben-Gurion University of the Negev on YouTube, 01.08.2018
Piping Botnet – Attacking Smart Irrigation Systems
datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität
datensicherheit.de, 09.07.2018
Smartphones: Hacker können Touchscreen-Benutzerinteraktionen analysieren
datensicherheit.de, 14.03.2018
Smart Devices: Herkömmliche Modelle viel zu einfach zu hacken
datensicherheit.de, 04.03.2018
LIVI-Technologie soll bessere Objekterkennung bei suboptimaler Beleuchtung ermöglichen
datensicherheit.de, 08.02.2018
Angreifer überwinden selbst Faradaysche Käfige und Luftstrecken
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren