[datensicherheit.de, 08.08.2018] Cyber-Sicherheitsexperten der Ben-Gurion-Universität des Negev (BGU) warnen vor einem möglichen verteilten Angriff auf urbane Wasserversorger mittels eines Botnetzes intelligenter Berieselungssysteme zur gleichzeitigen Bewässerung. Ein Botnetz ist ein großes Netzwerk von Computern oder Geräten, welche ohne Wissen der Besitzer von einem Befehls- und Kontrollserver gesteuert werden. Ben Nassi, Forscher bei „Cyber@BGU“, wird demnach am 11. August 2018 auf der renommierten Konferenz „Def Con 26“ im sogenannten IoT Village seinen Vortrag „Attacking Smart Irrigation Systems“ in Las Vegas halten.

Wasserspeicher können vorsätzlich entleert werden

Die Forscher hätten nach einer Analyse Schwachstellen in einer Reihe kommerzieller intelligenter Bewässerungssysteme gefunden, die es Angreifern ermöglichten, Bewässerungssysteme aus der Ferne nach Belieben ein- und auszuschalten. Überprüft worden seien drei der meistverkauften intelligenten Bewässerungssysteme.
„Durch die gleichzeitige Anwendung eines verteilten Angriffs, der solche Schwachstellen ausnutzt, kann ein Botnetz von 1.355 intelligenten Bewässerungssystemen in einer Stunde einen städtischen Wasserturm leeren – und ein Botnetz von 23.866 intelligenten Bewässerungssystemen kann den Grundwasserspeicher über Nacht leeren“, warnt Nassi. Man habe die Unternehmen benachrichtigt, um sie auf diese Sicherheitslücken hinzuweisen, damit sie die Firmware ihrer intelligenten Systeme aktualisieren können.

Berieselungssysteme relativ leicht zu attackieren

Wasseraufbereitungs- und -abgabesysteme seien Teil der Kritischen Infrastruktur (KRITIS) einer Nation und würden im Allgemeinen gesichert, um zu verhindern, dass Angreifer diese Systeme infizieren. Nassi: „Allerdings haben Kommunen und Kommunalverwaltungen neue ,grüne‘ Technologien eingeführt, die intelligente Bewässerungssysteme mit IoT als Ersatz für herkömmliche Rasensprenger verwenden, und diese verfügen nicht über die gleichen kritischen Sicherheitsstandards für die Infrastruktur.“
In der Studie stellen die Forscher demnach einen neuartigen Angriff auf städtische Wasserversorger vor, bei dem es nicht erforderlich ist, deren physischen Cyber-Systeme zu infizieren. Stattdessen könne der Angriff mithilfe eines Botnetzes intelligenter Bewässerungsregulierungssysteme in städtischen Wasserversorgungseinrichtungen durchgeführt werden, die viel leichter zu attackieren seien.

IoT-Geräte zur Regulierung von Wasser und Elektrizität mit Sicherheitslücken

Die Forscher könnten demonstrieren, wie ein Bot auf einem kompromittierten Gerät ein intelligentes Bewässerungssystem in weniger als 15 Minuten erkennt und die Bewässerung über jedes intelligente Bewässerungssystem mit einem wiederholten Angriff per Session-Hijacking aktiviert.
„Obwohl die derzeitige Generation von IoT-Geräten zur Regulierung von Wasser und Elektrizität in Kritischen Infrastrukturen wie Smart-Grid- und Stadtwasserversorgern verwendet wird, enthalten sie ernsthafte Sicherheitslücken und werden bald zu vorrangigen Zielen für Angreifer“, erläutert Nassi, laut BGU Doktorand bei Prof. Yuval Elovici am Institut für Software- und Informationssystemingenieurwesen sowie wissenschaftlicher Mitarbeiter am „Cyber Security Research Center“ der BGU.

Weitere Informationen zum Thema:

Cornell University Library, 06.08.2018
Piping Botnet – Turning Green Technology into a Water Disaster

Ben-Gurion University of the Negev on YouTube, 01.08.2018

Piping Botnet – Attacking Smart Irrigation Systems

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

datensicherheit.de, 09.07.2018
Smartphones: Hacker können Touchscreen-Benutzerinteraktionen analysieren

datensicherheit.de, 14.03.2018
Smart Devices: Herkömmliche Modelle viel zu einfach zu hacken

datensicherheit.de, 04.03.2018
LIVI-Technologie soll bessere Objekterkennung bei suboptimaler Beleuchtung ermöglichen

datensicherheit.de, 08.02.2018
Angreifer überwinden selbst Faradaysche Käfige und Luftstrecken

[datensicherheit.de, 04.03.2018] Laut einer Meldung der Ben-Gurion-Universität des Negev (BGU) ist es Forschern gelungen, die sogenannte LIVI-Technologie (Light Invariant Video Imaging) zu entwickeln, welche die Deutlichkeit von Bildern bei suboptimaler Beleuchtung deutlich steigert und die Objekterkennung verbessert. Diese neue Software werde viele Smart-Camera-Anwendungen verbessern, einschließlich der Gesichtserkennung für Sicherheitszwecke sowie „Augmented Reality“-Anwendungen.

Amplitudenmodulierte Lichttrennung

LIVI erhöht demnach die Kamerafunktionalität, eliminiert die Auswirkungen von Hintergrund- oder dynamischen Lichtverhältnissen und liefert dadurch schattenfreie Bilder mit konstanter Farbausgabe und verbessertem Kontrast.
Die Software beruht laut BGU auf einer amplitudenmodulierten (AM) Lichttrennung, die im Prinzip der AM-Funkkommunikation ähnlich ist. Dies ermögliche es Kameras, moduliertes Licht vom Einfluss unerwünschter Lichtquellen in der Szene zu trennen, so dass der AM-Videokamera-Rahmen unabhängig von den Lichtbedingungen in denen er aufgenommen wurde gleich erscheine.

Kompensation unerwünschter Lichteffekte

„Starkes Hintergrundlicht erzeugt Schatten, zum Beispiel wenn Menschen in Gebäude gehen und die Fähigkeit unserer Augen und Kameras Gesichter zu erkennen beeinträchtigen“, erläutert Prof. Hugo Guterman vom Institut für Elektrotechnik und Informationstechnik und Leiter des BGU-Labors für Autonome Robotik.
„Unsere Erfindung erzeugt einen ,Blitz‘-Effekt, welcher die Hintergrundbeleuchtung löscht, Schatten entfernt und den Kontrast verbessert, wodurch alle aufgenommenen Bilder viel klarer werden“, so Guterman.
Die Technologie hat nach BGU-Angaben zahlreiche Anwendungen, darunter intelligente Sicherheitskameras und Mobiltelefone sowie Gesichtserkennung, „Augmented Reality“, Videospiele und militärische Nutzungen.

Ausfilterung der Hintergrundlichter

Amir Kolaman, Ph.D., hat laut BGU als Student an der Fakultät für Elektrotechnik und Informationstechnik der BGU an seiner Diplomarbeit über Unterwasserfotografie gearbeitet, als das Thema Hintergrundbeleuchtung aufkam. Zusammen mit Guterman habe er dann das System entwickelt, welches die Hintergrundbeleuchtung für jedes Pixel im Bild herausfiltert, ähnlich wie ein Radioempfänger eine Sendestation von einer anderen trennen kann.
„Die Lichtintensität kann wie bei Radiowellen auf verschiedenen Frequenzen moduliert werden“, berichtet Kolman. „Wir verwandeln jedes Kamera-Pixel in einen AM-Empfänger, der sich auf das Blitzlicht einstellt und die Hintergrundlichter aus den Ausgangsframes herausfiltert.“

Videoanalyse-Markt als erster Nachfrager

Laut Netta Cohen, „CEO“ von BGN Technologies, „ist dies ein perfektes Beispiel für eine in den BGU-Labors entwickelte Technologie, die echte Marktanforderungen erfüllt, kostengünstig herzustellen und einfach in viele Geräte zu integrieren ist“. BGN Technologies sucht demnach nun einen Partner für die Weiterentwicklung und Kommerzialisierung dieser bahnbrechenden Technologie.
Der Videoanalyse-Markt sei wahrscheinlich der erste, in dem diese Technologie integriert wird, da stabile Kamerarahmen die Leistung der Gesichtserkennung und -identifikation verbesserten. Laut einem im April 2017 veröffentlichten Report von MARKETSandMARKETS werde der globale Markt für Videoanalyse bis 2022 voraussichtlich 11,17 Milliarden US-Dollar erreichen.
Der Freizeit-Smartphone-Markt stelle eine weitere große Chance dar, da immer mehr Smartphones mit Gesichtserkennungs-Sicherheit ausgestattet würden. Der weltweite Smartphone-Markt habe 2017 laut einem im März 2017 veröffentlichten IDC-Bericht rund 1,53 Milliarden Einheiten erreicht.

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2018
Angreifer überwinden selbst Faradaysche Käfige und Luftstrecken

datensicherheit.de, 31.01.2018
Experten fordern neue Cyber-Sicherheitsansätze für bildgebende Medizingeräte

datensicherheit.de, 18.08.2017
Infiltration per Überwachungskamera: Bösartige Angriffe mit Infrarotlicht

Amir Kolaman auf YouTube, 30.01.2017

Light Invariant Video Imaging (LIVI) Demo

Amir Kolaman, PhD Student
Light Invariant Video Imaging (LIVI) / Shadow Free Objects Which Appear the Same Independent of Light Conditions

MARKETSandMARKETS, April 2017
Video Analytics Market by Type (Software and Services), Application (Intrusion Management, Incident Detection, Crowd/People Counting, Traffic Monitoring, ANPR, Facial Recognition), Deployment Model, Vertical, and Region – Global Forecast to 2022

IDC, März 2017
MARKET FORECAST – DOC # US42366217 / Worldwide Smartphone Forecast, 2017–2021

[datensicherheit.de, 31.01.2018] Forscher des „Malware Lab“ der Ben-Gurion-Universität des Negev (BGU) richten eine Warnung an Hersteller von bildgebenden medizinischen Geräten sowie an Gesundheitsdienstleister, damit sie diese vor Cyber-Bedrohungen schützen. In ihrem neuen Artikel „Erkenn Deinen Feind: Charakteristika von Cyber-Angriffen auf bildgebende medizinische Geräte“ erläutern sie die relativ einfache missbräuchliche Nutzung von nicht gepatchten Computertomographen (CT) und Magnetresonanztomographen (MRT).

Bildgebende Geräte bisher viel zu leicht zu attackieren

Viele dieser bildgebenden medizinischen Geräte erhalten demnach keine laufenden Sicherheits-Updates. Folglich könnte ein Angreifer z.B. den Computer zur CT-Steuerung leicht kompromittieren – was dann ggf. zu hohen, den Patienten schwer schädigenden Strahlungsdosen führen würde. Auch könnten Angreifer im Rahmen einer Ransomware-Attacke, wie sie ja weltweit bereits stattfanden, auch den Zugriff auf die bildgebenden Verfahren blockieren oder ganz deaktivieren.

Medizintechnik: Die neue „Front“ der Cyber-Abwehr

Diese BGU-Studie beschreibt demnach eine neue „Front“ der Cyber-Sicherheitsforschung. Sie ist demnach Teil eines größeren Forschungsprojektes namens „Cyber-Med“, initiiert von Dr. Nir Nissim, Leiter des „Malware Lab“ im Cyber Security Research Center (CSRC) der BGU.
„Cyber-Med“ ziele darauf ab, Sicherheitsmechanismen für die ganze Bandbreite der medizinischen Geräte zu entwickeln – einschließlich implantierter Herzschrittmacher, Roboter-Chirurgie-Systeme, medizinischer Informationssysteme und -protokolle, Infusionssysteme und bildgebender Verfahren.
In den letzten Jahren seien die bildgebenden Geräte zunehmend mit den Krankenhausnetzwerken verbunden worden, was sie anfällig für hochentwickelte Cyber-Angriffe mache – diese zielten auf die Infrastruktur und Komponenten eines Geräts ab und könnten die Gesundheit eines Patienten sowie das Funktionieren des Krankenhaussystems gefährden.

CT- und MRT-Systeme nur unzureichend geschützt

Die Experten des „Malware Lab“ der BGU gehen demnach davon aus, dass Angriffe auf bildgebende Verfahren zunehmen werden. Sie sagen voraus, dass Angreifer komplexere Fähigkeiten entwickeln werden, um solche Geräte anzugreifen, deren Mechanik und Software oft noch auf veralteten Microsoft-PCs installiert sind.
„CTs und MRT-Systeme sind nicht gut dazu geeignet, Angriffe zu vereiteln“, sagt Nissim, der zusammen mit dem MSc-Studenten Tom Mahler Cyber-Attacken auf Bildgebungsgeräte simuliert. Mahler sei Angehöriger des Teams des „Malware Lab“, zu dem 17 herausragende Forschungsstudenten gehörten. Er habe die Forschung unter der Leitung von Dr. Nissim, Prof. Yuval Elovici (Direktor von „Cyber@BGU“), und Prof. Yuval Shahar (Direktor vom Informatik-Forschungszentrum „BGU Medical“) durchgeführt.
Der Entwicklungsprozess für bildgebende Verfahren dauere vom Konzept bis zur Marktreife drei bis sieben Jahre – Cyber-Bedrohungen könnten sich in diesem Zeitraum erheblich verändern, wodurch bildgebende medizinische Geräte äußerst gefährdet seien, warnt Nissim.

CT-Geräte derzeit am stärksten bedroht

Die Studie, in Zusammenarbeit mit Clalit Health Services, Israels größter Organisation für Gesundheitspflege, durchgeführt, umfasste nach BGU-Angaben eine umfassende Risikoanalyse auf der Grundlage des Risikomodells „Vertraulichkeit, Integrität und Verfügbarkeit“, welches sich mit der Informationssicherheit innerhalb einer Organisation befasst.
Die Forscher hätten eine Reihe von Schwachstellen und potenziellen Angriffen analysiert, die auf bildgebende Geräte, medizinische und bildgebende Informationssysteme sowie medizinische Protokolle und Standards abzielen. Schwachstellen in vielen der Systeme entdeckend, hätten sie festgestellt, dass CT-Geräte aufgrund ihrer zentralen Rolle in der Akutversorgung dem größten Risiko von Cyber-Attacken ausgesetzt seien. Simulierte Cyber-Angriffe hätten vier bedrohliche Ergebnisse aufgezeigt:

1. Störung von Scan-Konfigurationsdateien – durch die Manipulation dieser Dateien könne ein Angreifer Malware installieren, welche die gesamte CT-Operation steuert und einen Patienten einem großen Risiko aussetzt.
2. Mechanische Motorunterbrechung – bildgebende medizinische Geräte wiesen mehrere Komponenten mit mechanischen Motoren auf, einschließlich Bett-, Scanner- und Rotationsmotoren, welche Anweisungen von einer Steuereinheit, wie zum Beispiel dem Host-Computer (PC) erhalten. Wenn Malware den Host-Computer infiziert, könne ein Angriff auf die Motoren das Gerät beschädigen und einen Patienten verletzen.
3. Störung des Bildergebnisses – da ein CT gescannte Ergebnisse über einen Host-Computer an die Patientenakte eines Patienten sendet, könne ein Angriff auf diesen Computer die Ergebnisse stören und eine zweite Untersuchung erforderlich machen. Ein noch raffinierterer Angriff könne die Ergebnisse verändern oder eine Übertragung verwechseln und so Bilder dem falschen Patienten zuweisen.
4. Ransomware – diese Malware verschlüsselt die Dateien eines Opfers und fordert ein Lösegeld, um sie zu entschlüsseln. Die „WannaCry“-Attacke, von der im Mai 2017 mehr als 200.000 Geräte in mehr als 150 Ländern betroffen gewesen sein sollen, habe direkt Zehntausende von Krankenhausgeräten in Großbritannien und den USA, einschließlich MRTs, infiziert.

Anomalieerkennung soll Malware-Infektionen aufspüren

„In Fällen, in denen selbst eine kleine Verzögerung tödlich sein kann oder ein gefährlicher Tumor entfernt oder fälschlicherweise einem Bild hinzugefügt wird, kann ein Cyber-Angriff tödlich sein“, betont Mahler. Strenge Regulierungen machten es jedoch schwierig, grundlegende Updates auf medizinischen PCs durchzuführen, und die bloße Installation eines Antiviren-Schutzes reiche nicht aus, um Cyber-Angriffe zu verhindern.
Die Forscher des „Malware Lab“ der BGU arbeiten laut Mahler an neuen Techniken zur Sicherung von CT-Geräten auf Basis von maschinellen Lernmethoden. Der maschinelle Lernalgorithmus soll das Profil des gescannten Patienten analysieren sowie viele zusätzliche CT-Betriebsparameter und daraus ein Modell zur Anomalieerkennung generieren, welches auf einem nicht mit Malware infizierten CT-Gerät basiert. Sobald das Gerät jedoch angegriffen wird, könne die Änderung seines Verhaltens und seiner Betriebsparameter erkannt und dem Administrator entsprechend gemeldet werden.
In zukünftigen Untersuchungen möchten Dr. Nissim und sein Team fast zwei Dutzend Angriffe durchführen, um weitere Schwachstellen aufzudecken und Lösungen für die erkannten Probleme vorzuschlagen. Sie seien daran interessiert, mit Geräte-Herstellern oder Krankenhaussystemen für die In-Situ-Evaluierung zusammenzuarbeiten.

Weitere Informationen zum Thema:

Cornell University Library, 17.01.2018
Know Your Enemy: Characteristics of Cyber-Attacks on Medical Imaging Devices

datensicherheit.de, 01.09.2017
Hacker könnten Sicherheitslücke in Herzschrittmachern ausnutzen

[datensicherheit.de, 19.09.2017] Forscher der Ben-Gurion-Universität des Negev (BGU) konnten nach eigenen Angaben zeigen, dass mit Malware infizierte Überwachungskameras verdeckte Signale empfangen können, um dann vertrauliche Informationen von den eigentlich dem Schutz von Einrichtungen dienenden Überwachungsgeräten preizugeben.

„AIR-Jumper“-Technologie ermöglicht Netzwerk-In- und Exfiltration

Mit dieser Methode können nach Ansicht der Forscher sowohl professionelle als auch „Home Security“-Kameras und sogar LED-Türklingeln, welche für das menschliche Auge nicht sichtbares Infrarot-Licht (IR) erkennen können, angegriffen werden.
Gemäß einer neuen Untersuchung ermöglicht die von den Forschern „AIR-Jumper“ genannte Technik sogar die Schaffung einer bidirektionalen, verdeckten optischen Kommunikation zwischen durch einen „Air Gap“ getrennten internen Netzwerken, die aus isolierten und vom Internet getrennten Computer bestehen, welche der jeweiligen Institution keinen Fernzugriff ermöglichen.

Angriff kann über Kilometer hinweg erfolgen

Das „Cyber-Team“ unter der Leitung von Dr. Mordechai Guri, Leiter „Forschung und Entwicklung“ des „BGU Cyber Security Research Center“ (CSRC), kann demnach zeigen, wie IR verwendet werden kann, um einen verdeckten Kommunikationskanal zwischen der auf einem internen Computernetzwerk installierten Malware und einem externen Angreifer in einer Entfernung von mehreren hundert Metern oder sogar Kilometern aufzubauen – vorausgesetzt, dieser hält sich in einer ungestörten Sichtachse auf. Der Angreifer könne dann diesen Kanal verwenden, um Befehle zu senden und Antwortnachrichten zu empfangen.

Malware kann Intensität des Infrarotlichts gezielt steuern

Um sensible Informationen zu übermitteln, verwendet der Angreifer die IR-emittierenden LEDs der Kamera, die normalerweise für die Nachtsicht verwendet werden.
Die Forscher hätten zeigen können, wie Malware die Intensität des IR kontrollieren kann, um mit einem entfernten Angreifer zu kommunizieren, der Signale mit einer einfachen Kamera empfangen könne – ohne dabei erkannt zu werden. Dann sei es dem Angreifer möglich, diese Signale aufzeichnen und zu decodieren, um empfindliche Informationen auszulesen.

Optischer Zugang aus verschiedenen Richtungen und Winkeln der Umgebung

Die Forscher haben zwei Videos aufgezeichnet, um diese Technik zu präsentieren:
Das erste zeigt einen Angreifer Hunderte von Metern entfernt, welcher Infrarot-Signale an eine Kamera sendet.
Das zweite Video zeigt die mit Malware infizierte Kamera, welche auf verdeckte Signale durch Exfiltrationsdaten reagiert – einschließlich Passwörter und ausgewählte Passagen des Buches „The Adventures of Tom Sawyer“.
„Security“-Kameras seien einzigartig, weil sie „ein Bein“ innerhalb der Einrichtung hätten, verbunden mit den internen Netzwerken für Sicherheitszwecke, und „das andere Bein“ außerhalb der Einrichtung, speziell ausgerichtet auf den Öffentlichen Raum in der Umgebung, so Dr. Guri. Daher böten diese einen sehr bequemen optischen Zugang aus verschiedenen Richtungen und Winkeln.

„Sesam öffne dich!“ – Befehl per Infrarot aus der Ferne

Angreifer könnten diesen neuartigen, verdeckten Kanal auch verwenden, um mit Malware innerhalb der Einrichtung zu kommunizieren: Daten könnten infiltiert und verborgene Signale über die IR-LEDs der Kamera übertragen werden.
Binärdaten wie Befehls- und Steuer-Meldungen könnten in dem von den Überwachungskameras aufgezeichneten Videostream ausgeblendet und von der im Netzwerk befindlichen Malware abgefangen und dekodiert werden.
„Theoretisch können Sie einen Infrarot-Befehl senden, um einem Hochsicherheits-System zu befehlen, ganz einfach das Tor oder die Haustür zu Ihrem Haus zu entsperren“, sagt Guri.

Weitere Informationen zum Thema:

Cornell University Library, 18.09.2017
aIR-Jumper: Covert Air-Gap Exfiltration/Infiltration via Security Cameras & Infrared (IR) / Mordechai Guri, Dima Bykhovsky, Yuval Elovici

Cyber Security Labs @ Ben Gurion University auf YouTube, 19.09.2017

hidden communication via security cameras

Cyber Security Labs @ Ben Gurion University auf YouTube, 19.09.2017

leaking data via security cameras