schifffahrt und row row row your boat - nrw.units - … · • backup der server (ohne malware) 3-5...
TRANSCRIPT
ROW ROW ROWYOUR BOAT
SCHIFFFAHRT UND
IT-SECURITY
VORSTELLUNG
Thomas Wallutis
Diplom-Mathematiker
Senior Security Resulter @-yet GmbH
Philipp Wallutis
Nautischer Schiffsoffizier
BSc. Informatik
MSc. Maritimes Management
AGENDA
• Aktuelle Lage
• Maersk
• GPS
• Maritime Logistik
• Blockchain
AKTUELLE LAGE
• Abhängigkeiten in der maritimen Wirtschaft
• An Land und auf See
• Aktuelle Abwehrmaßnahmen
• Onion-Solution / Defense in Depth
• Internationale Rechtsgrundlage:
• ISPS
• SMS
• Flagstate Regulations (!)
ABHÄNGIGKEITEN IN DER MARITIMEN WIRTSCHAFT
• Die Digitalisierung ist voll im Gange
• Das Fax wurde zu 100% durch
verschlüsselte E-Mails ersetzt
• Heutige Logistik ist ohne moderne IT nicht
mehr zu stemmen
• Beispiel von 2014: Drogencontainer ROT -> HAM
AKTUELLE VERTEIDIGUNG
• Defense in Depth / Onion-Solution
• Schiffe sind „Festungen“
• Keine „Zentrale“
• Größte Gefahr ist die Crew
RECHTSLAGE
MAERSK
• Gründung 1928
• 1974 das erste Container-Schiff
• 1981 eigener Containerdienst auf der Route Europa-Naher Osten
• Ab 1988 Transatlantikdienst
• Durch Aufkäufe und neue Schiffe Container-Terminals, Tanker und
Containerschiffe
• Größte Schiffe: 18.270 TEU (399 Meter lang)
• TEU: Twenty-foot Equivalent Unit (ca. 2,5m breit und 6,1m lang)
MAERSK
• Aus Wikipedia:
Jeder einzelne Container besitzt eine eigene Nummer. Sie besteht aus
vier Großbuchstaben, dem Präfix,[3] der für den Eigentümer des
Containers steht, und sechs Ziffern plus eine Kontrollziffer. Diese
Nummern sind lediglich in Klarschrift auf den fünf Außenseiten
aufgebracht. Maschinenlesbarer Codes werden nicht verwendet, so dass
zum automatischen Identifizieren Beleuchtungs- und Kamerasysteme
verwendet werden müssen. Durch stets wiederholtes Lesen und
Weitermelden von Identität und Standort bei jedem Durchgang oder
Umschlag können Weg und Transportfortschritt jedes einzelnen
Containers auf seiner Reise verfolgt werden.
MAERSK
• IT Landschaft 2017
• Fast 80.000 Mitarbeiter
• 574 Büros in 130 Ländern
• 76 Häfen und ca. 800 Schiffe
• 1/5 der gesamten Weltkapazität in der Schifffahrt
• Beispiel Elizabeth, New Jersey: bis zu 3.000 LKWs pro Tag
• Quelle: https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-
crashed-the-world/
MAERSK
• Petya/NotPetya
• VierVarianten; letzteVariante “GoldenEye” verschlüsselt komplette Rechner
• Entschlüsselung fürVersion 1: April 2016
• Entschlüsselung fürVersion II: Juni 2016
• Keine Entschlüsselung fürVersion III + IV
• Dank eines Programmierfehlers können auch die Entwickler nicht entschlüsseln
• Juni 2017: neueVariante NotPetya
• Keine Erpressung; Entschlüsselung nicht geplant (Wiper)
• Verbreitung u.a. über die ukrainische Buchhaltungssoftware “M.E.Doc”
• Diese Software wird auch von Firmen genutzt, die Geschäfte in der Ukraine machen
MAERSK
• 27.06.2017 Ausbruch von „NotPetya“
• Nach ca. 2 Stunden waren alle Rechner vom Netz
• Schadenssumme: > 300 Millionen US-$
• Backup der Server (ohne Malware) 3-5 Tage alt
• Problem: kein sauberes Backup der Domänenkontroller (ca. 150)
• Glücklicherweise hatte ein Stromausfall in Ghana den dortigen
Domänenkontroller vom Rest des Netzes getrennt…
MAERSK
• Austausch der gesamten IT (zumindest PCs)
• Dauer: 10 Tage (einige Leute arbeiteten 2 Monate daran)
• 45.000 PCs
• 4.000 Server
• 2.500 Applikationen
• Schadenssumme: > 300 Millionen US-$
• Teilweise Container-Verwaltung per WhatsApp
• Normalerweise hätte der Austausch ca. 6 Monate gedauert
• Aber: "alle fünfzehn Minuten erreicht eines unserer Schiffe mit zehn bis
zwanzigtausend Containern einen Hafen irgendwo auf der Welt"
MAERSK
• Gründe für die Auswirkungen
• Schlechtes Patch-Management (Basis war die Eternal Blue Lücke)
• Veraltete Software (angeblich teilweise noch Windows 2000)
• Schlechte Netzwerksegmentierung
• Von Ghana abgesehen…
• Neue IT Security war schon vorgesehen
• Wurde aber von den Führungskräften nicht vorangetrieben
• Da nicht Bonus-relevant…
MAERSK
• Lessons learned
• Gründung IT-Security Center Maersk
• Änderungswünsche der IT Security wurden plötzlich ohne große Diskussionen
akzeptiert
• Windows 10 Upgrade
• Multi-Faktor-Authentifizierung
• in 2018 erneute Malware-Attacke
• Schadenssumme: < 1 Millionen US-$
MAERSK
• Weitere Infos
• https://safety4sea.com/cm-maersk-line-surviving-from-a-cyber-attack/
• https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-
due-to-notpetya-attack/
• https://www.heise.de/newsticker/meldung/Nach-NotPetya-Angriff-Weltkonzern-
Maersk-arbeitete-zehn-Tage-lang-analog-3952112.html
• https://www.dvz.de/rubriken/see/detail/news/maersk-line-wappnet-sich-gegen-
weitere-cyber-attacken.html
WEITERE ANGRIFFE
• Tracking von Containern mit z.B. Drogen
• Versteckt unter frischen Lebensmitteln
• 2013: Drogenfunde in Antwerpen
• Computer wurden schon 2011 angegriffen (erst direkt, dann über Keylogger)
• Ziel: geplante Entladung bestimmter Container planen
• Das lief so lange, bis ein LKW-Fahrer einen Container mit Drogen versehentlich
auflud und mit Sturmgewehren angegriffen wurde…
• Andere Angriffe: Herkunftsland oder Inhalt ändern
• Der Zoll macht nur Stichproben
WEITERE ANGRIFFE
• Seehafen Oakland, Kalifornien
• Test durch Trend Micor Mitarbeiter
• Nach fünf Minuten war er im System
• Gegenmaßnahmen
• PortSec: Schwachstellen in Hafentelematik-Systemen aufspüren
• Gefördert durch Bundesministerium für Bildung und Forschung
• Weitere Infos zu PortSec
• https://www.forschung-it-sicherheit-kommunikationssysteme.de/projekte/portsec-2
• https://www.portsec.de/
• https://www.mehrcontainerfuerdeutschland.de/hafen-und-wirtschaft/it-angriffe-auf-haefen-portsec-soll-schuetzen/
WEITERE ANGRIFFE
• Weitere Infos zu Antwerpen
• https://motherboard.vice.com/de/article/gv5nnw/drogenhaendler-gehen-ihrem-
geschaeft-jetzt-durch-das-hacken-von-containern-nach
• https://www.vrt.be/vrtnws/de/2013/10/19/schmuggler_in_antwerpenhafenhackerheroi
n-1-1757675/
• https://www.heise.de/newsticker/meldung/Der-digitale-Hafen-Schmuggeln-mithilfe-
von-manipulierten-Daten-3664871.html
GPS
• Offizieller Name: NAVSTAR GPS
• Enwickelt in den 70er Jahren vom US-Verteidigungsministerium
• Zivile Variante unverschlüsselt
• Satelliten unter der Kontrolle der USA
• Signalverzerrung
• Teilweise Abschaltung
• Negative Einflüsse durch Sonneneruptionen
GPS
• Alternative Systeme (Quelle: Wikipedia)
• Galileo (EU)
• Glonass (Russland)
• Beidou (China)
• Indian Regional Navigation Satellite System (Indien)
• Quasi-Zenit-Satelliten-System (Japan)
• A-GPS: Assisted GPS
• Zusatzdaten z.B. über GSM-Netz
GPS- ANGRIFFSMÖGLICHKEITEN
• GPS-Jammer
• GPS-Spoofing
• Einfaches Spoofing: Replay-Attacke
• Fortgeschrittene Attacke: falsches, aber
synchronisiertes Signal
GPS – REALEVORFÄLLE
• 2000: Frankreich stört GPS in Griechenland
• Ziel: Konkurrent im Bieterverfahren um 250 Panzer ausschalten
• Briten verloren bei Tests mehrere Panzer
• Quelle: Ross Anderson „Security Engineering“
• 2017: Störungen in Norwegen
• Vermutetet Ursache: Störung des Signals während eines russischen Militärmanövers
• 2017: mehr als 20 Schiffe im schwarzen Meer wähnten sich plötzlich an
Land
• Bei Pokemon Go fälschen Spieler das GPS-Signal, um der App vorzugaukeln
sie wären an einer anderen Stelle
GPS – REALEVORFÄLLE
• 2011: angeblich hat der Iran mit gefälschten GPS-Signalen eine US-
amerikanische Drohne abgefangen
• 2013: ein Forscherteam der Universität von Texas stört das GPS einer
Luxus-Yacht
• https://newatlas.com/gps-spoofing-yacht-control/28644/
• Unbestätigte weitere Fälle: https://www.pocketnavigation.de/2017/08/gps-
spoofing/
• Schiffsunglücke durch GPS Spoofing
GPS – WIE FÄLSCHEN?
• Software Defined Radio Sender/Empfänger
• HackRF (ca. 300,-€)
• BladeRF (500,- - 750,- US-$)
• Antenne (unter 10,-€)
• RaspBerry Pi (ca. 40,-€)
• Powerbank (20,- -30,-€)
• Software (kostenlos)
• Quelle: https://www.rtl-sdr.com/using-a-hackrf-to-spoof-gps-navigation-in-cars-and-
divert-drivers/
GPS – WIE FÄLSCHEN?
• Keine Demo!
• Vermutlich illegal
• Nur im Faradayschen Käfig
• Problem A-GPS
• Erschwert das Fälschen
• Gegenmaßnahmen
• Detektion von Störsignalen/Aufspähen des Angreifers
• http://news.rub.de/wissenschaft/2018-02-28-it-sicherheit-flugzeuge-und-drohnen-vor-cyberangriffen-schuetzen
• Nutzung mehrerer Empfänger und Test auf Abweichungen aufgrund von Entfernung
• https://www.itespresso.de/2016/01/24/forscher-entwickeln-abwehrmassnahmen-fuer-angriffe-auf-
navigationssysteme/?inf_by=5be86356671db8115e8b4bff
GPS – WIE FÄLSCHEN?
• Weitere Infos
• https://www.heise.de/newsticker/meldung/GPS-unter-Beschuss-
Jamming-und-Spoofing-nehmen-zu-4038137.html
• https://www.rtl-sdr.com/cheating-at-pokemon-go-with-a-hackrf-and-
gps-spoofing/
• https://www.crazydanishhacker.com/gps-spoofing-bladerf-software-
defined-radio-series-23/
• https://www.researchgate.net/publication/286330869_Low-
cost_GPS_simulator_-_GPS_spoofing_by_SDR
• https://www.rtl-sdr.com/receiving-gps-with-an-rtl-sdr-dongle-and-gps-
antenna/
GPSAUSWIRKUNGEN AUF DIE MODERNE SEEFAHRT?
GPS IM ALLTAG
• Keine wirkliche Alternative während
der Hochseenavigation oder schlechter
Sicht
• Unter idealen Bedingungen kann ein
Ausfall zu 100% ausgeglichen werden
• Gutes Personal vorausgesetzt!
ENDE
BLOCKCHAINNACHTRAG: AKTUELLE FORSCHUNGSARBEIT