Katalog Bus

Die BUS-Kommunikation kann ein potenzielles Ziel für Angriffe in OT-Umgebungen sein. BUS-Kommunikation bezieht sich auf die Übertragung von Daten zwischen Geräten oder Komponenten über einen gemeinsamen Kommunikationspfad. Übliche Beispiele für BUS-Kommunikationsprotokolle in OT-Systemen sind Modbus, Profibus, CAN (Controller Area Network). Es ist erwähnenswert, dass Ethernet zwar typischerweise mit lokalen Netzwerken (LANs) in Verbindung gebracht wird und nicht als BUS im engeren Sinne betrachtet wird, aber in OT-Umgebungen für die Kommunikation zwischen Geräten weit verbreitet ist. Ethernet-basierte Protokolle wie EtherNet/IP, PROFINET und Modbus TCP werden häufig in der Industrieautomatisierung eingesetzt und sollten auch im OT-Pentesting nicht vergessen werden.

Test-Modul	Modulbeschreibung	Test-Durchführung	Externer Angriff möglich?	Aggressivität	Externe Quellen
B.1 - Eavesdropping	Wenn die BUS-Kommunikation nicht ausreichend gesichert oder verschlüsselt ist, kann ein Angreifer mit Zugang zur Netzinfrastruktur die Kommunikation abfangen oder abhören. Dadurch können möglicherweise sensible Informationen wie Steuerbefehle oder Sensormesswerte offengelegt werden, was zu unbefugtem Zugriff oder Datenmanipulation führen kann.	Es werden mögliche Zugänge auf den BUS überprüft. Es wird sichergestellt, dass sensible Informationen nur verschlüsselt übertragen werden	Nein	Passiv	Paper: Bus Probing Angriff
B.2 - Man-in-the-Middle Attacke	Ein Angreifer könnte sich zwischen den über den BUS kommunizierenden Geräten positionieren und die übertragenen Daten abfangen oder verändern. Indem er sich in den Kommunikationspfad einschleust, kann er die Daten manipulieren, bösartige Befehle einschleusen oder die Integrität der Kommunikation verfälschen.	Es wird überprüft, dass die Integrität und Authentizität der Nachrichten sichergestellt wird	Nein	Abwägend	Automotive MitM Paper: MitM für PCI CAN Bus
B.3 - Replay Attacke	Bei einem Replay-Angriff fängt ein Angreifer einen legitimen Kommunikationsaustausch zwischen Geräten über das BUS ab und spielt ihn erneut ab. Dies kann besonders effektiv sein, wenn die Kommunikation nicht über angemessene Authentifizierungs- oder Timestampmechanismen verfügt. Durch die erneute Wiedergabe der aufgezeichneten Nachrichten kann der Angreifer möglicherweise unbefugte Aktionen durchführen oder das Systemverhalten manipulieren.	Es wird überprüft, ob Timestamps oder ähnliche Validierungsmaßnahmen implementiert wurden	Nein	Abwägend	Paper: Implementation of Replay Attack in Controller Area Network Bus using Universal Verification Methodology
B.4 - Denial of Service (Dos) Attacke	Die BUS-Kommunikation kann ein Ziel für DoS-Angriffe sein, bei denen ein Angreifer den BUS mit übermäßigem oder bösartigem Datenverkehr überflutet und so eine Unterbrechung oder Beeinträchtigung der Kommunikation verursacht. Indem er den BUS oder die damit verbundenen Geräte überlastet, kann der Angreifer kritische Abläufe stören, was zu Systemausfällen oder -störungen führt.	Es wird überprüft ob ein DoS Angriff erkannt und gemeldet bzw. abgewehrt wird. Dabei werden Funktionen mit erhöhtem Zeit- und Rechenaufwand besonders in den Fokus genommen.	Nein	Aggressiv	Paper: Practical Modbus Flooding Attack and Detection
B.5 - Bus Device Spoofing	Ein Angreifer kann versuchen, sich als ein legitimes Gerät auf dem BUS auszugeben, indem er dessen Identität fälscht oder klont. Auf diese Weise kann er sich unbefugten Zugriff auf den BUS verschaffen und möglicherweise die Kommunikation zwischen den Geräten manipulieren oder stören.	Es wird überprüft, ob die Authentizität der Kommunikationsparteien sichergestellt wird.	Nein	Abwägend	Paper: Spoofing attack using bus-off attacks against a specific ECU of the CAN bus

Weitere Quellen

Tools

• CANtact: CANtact ist ein Hardware-Tool für die Interaktion mit CAN-Netzwerken. Es bietet eine USB-Schnittstelle für den Anschluss an CAN-Busse und ermöglicht die Überwachung, Analyse und Injektion von CAN-Nachrichten. Zusammen mit geeigneten Software-Frameworks wie SocketCAN oder CANalyzat0r ermöglicht CANtact die Interaktion mit CAN-Netzwerken zum Testen, Analysieren oder potenziellen Manipulieren der Kommunikation.

• Wireshark: Wireshark ist ein beliebtes Open-Source-Netzwerkprotokoll-Analyseprogramm. Es ermöglicht Ihnen, den Netzwerkverkehr zu erfassen und zu analysieren, einschließlich der über verschiedene BUS-Protokolle übertragenen Daten. Wireshark kann verwendet werden, um die auf dem BUS ausgetauschten Pakete zu untersuchen und so Schwachstellen zu identifizieren, Kommunikationsmuster zu analysieren oder Anomalien zu erkennen.

• QModBus: QModBus ist ein spezielles Tool zum Testen und Simulieren der Modbus-Kommunikation. Es ermöglicht das Scannen und Auslesen von Modbus-Geräten, das Lesen von Registern, das Schreiben von Werten und die Überwachung der Modbus-Kommunikation auf dem BUS.

• Scapy: Scapy ist ein leistungsfähiges Python-basiertes Werkzeug zur Paketmanipulation. Es bietet ein flexibles und interaktives Framework zum Erstellen und Senden von Netzwerkpaketen. Mit Scapy können benutzerdefinierte Pakete erstellt werden, einschließlich missgebildeter oder unerwarteter Pakete, die in die BUS-Kommunikation eingespeist werden können, um Fuzzing- oder Injektionsangriffe durchzuführen.

Webseiten

• CAN BUS Hacking

• CAN BUS Hacking im Bereich Automotive

Paper

• A Survey on CAN Bus Protocol: Attacks, Challenges, and Potential Solutions

• Secure communication in microcomputer bus systems for embedded devices

• Detection and Blocking of Replay, False Command, and False Access Injection Commands in SCADA Systems with Modbus Protocol

• CAN Bus Security