OOTTG
  • Einleitung
  • Modellierung
  • Phasen einen Penetrationstests
  • Katalog Firmware
  • Katalog Physikalisch
  • Katalog Netzwerk
  • Katalog Bus
  • Danksagungen
Powered by GitBook
On this page
  • Weitere Quellen
  • Tools
  • Webseiten
  • Paper

Katalog Bus

PreviousKatalog NetzwerkNextDanksagungen

Last updated 1 year ago

Die BUS-Kommunikation kann ein potenzielles Ziel für Angriffe in OT-Umgebungen sein. BUS-Kommunikation bezieht sich auf die Übertragung von Daten zwischen Geräten oder Komponenten über einen gemeinsamen Kommunikationspfad. Übliche Beispiele für BUS-Kommunikationsprotokolle in OT-Systemen sind Modbus, Profibus, CAN (Controller Area Network). Es ist erwähnenswert, dass Ethernet zwar typischerweise mit lokalen Netzwerken (LANs) in Verbindung gebracht wird und nicht als BUS im engeren Sinne betrachtet wird, aber in OT-Umgebungen für die Kommunikation zwischen Geräten weit verbreitet ist. Ethernet-basierte Protokolle wie EtherNet/IP, PROFINET und Modbus TCP werden häufig in der Industrieautomatisierung eingesetzt und sollten auch im OT-Pentesting nicht vergessen werden.

Test-Modul
Modulbeschreibung
Test-Durchführung
Externer Angriff möglich?
Aggressivität
Externe Quellen

B.1 - Eavesdropping

Wenn die BUS-Kommunikation nicht ausreichend gesichert oder verschlüsselt ist, kann ein Angreifer mit Zugang zur Netzinfrastruktur die Kommunikation abfangen oder abhören. Dadurch können möglicherweise sensible Informationen wie Steuerbefehle oder Sensormesswerte offengelegt werden, was zu unbefugtem Zugriff oder Datenmanipulation führen kann.

Es werden mögliche Zugänge auf den BUS überprüft. Es wird sichergestellt, dass sensible Informationen nur verschlüsselt übertragen werden

Nein

Passiv

B.2 - Man-in-the-Middle Attacke

Ein Angreifer könnte sich zwischen den über den BUS kommunizierenden Geräten positionieren und die übertragenen Daten abfangen oder verändern. Indem er sich in den Kommunikationspfad einschleust, kann er die Daten manipulieren, bösartige Befehle einschleusen oder die Integrität der Kommunikation verfälschen.

Es wird überprüft, dass die Integrität und Authentizität der Nachrichten sichergestellt wird

Nein

Abwägend

B.3 - Replay Attacke

Bei einem Replay-Angriff fängt ein Angreifer einen legitimen Kommunikationsaustausch zwischen Geräten über das BUS ab und spielt ihn erneut ab. Dies kann besonders effektiv sein, wenn die Kommunikation nicht über angemessene Authentifizierungs- oder Timestampmechanismen verfügt. Durch die erneute Wiedergabe der aufgezeichneten Nachrichten kann der Angreifer möglicherweise unbefugte Aktionen durchführen oder das Systemverhalten manipulieren.

Es wird überprüft, ob Timestamps oder ähnliche Validierungsmaßnahmen implementiert wurden

Nein

Abwägend

B.4 - Denial of Service (Dos) Attacke

Die BUS-Kommunikation kann ein Ziel für DoS-Angriffe sein, bei denen ein Angreifer den BUS mit übermäßigem oder bösartigem Datenverkehr überflutet und so eine Unterbrechung oder Beeinträchtigung der Kommunikation verursacht. Indem er den BUS oder die damit verbundenen Geräte überlastet, kann der Angreifer kritische Abläufe stören, was zu Systemausfällen oder -störungen führt.

Es wird überprüft ob ein DoS Angriff erkannt und gemeldet bzw. abgewehrt wird. Dabei werden Funktionen mit erhöhtem Zeit- und Rechenaufwand besonders in den Fokus genommen.

Nein

Aggressiv

B.5 - Bus Device Spoofing

Ein Angreifer kann versuchen, sich als ein legitimes Gerät auf dem BUS auszugeben, indem er dessen Identität fälscht oder klont. Auf diese Weise kann er sich unbefugten Zugriff auf den BUS verschaffen und möglicherweise die Kommunikation zwischen den Geräten manipulieren oder stören.

Es wird überprüft, ob die Authentizität der Kommunikationsparteien sichergestellt wird.

Nein

Abwägend

Weitere Quellen

Tools

  • : CANtact ist ein Hardware-Tool für die Interaktion mit CAN-Netzwerken. Es bietet eine USB-Schnittstelle für den Anschluss an CAN-Busse und ermöglicht die Überwachung, Analyse und Injektion von CAN-Nachrichten. Zusammen mit geeigneten Software-Frameworks wie SocketCAN oder CANalyzat0r ermöglicht CANtact die Interaktion mit CAN-Netzwerken zum Testen, Analysieren oder potenziellen Manipulieren der Kommunikation.

  • : Wireshark ist ein beliebtes Open-Source-Netzwerkprotokoll-Analyseprogramm. Es ermöglicht Ihnen, den Netzwerkverkehr zu erfassen und zu analysieren, einschließlich der über verschiedene BUS-Protokolle übertragenen Daten. Wireshark kann verwendet werden, um die auf dem BUS ausgetauschten Pakete zu untersuchen und so Schwachstellen zu identifizieren, Kommunikationsmuster zu analysieren oder Anomalien zu erkennen.

  • : QModBus ist ein spezielles Tool zum Testen und Simulieren der Modbus-Kommunikation. Es ermöglicht das Scannen und Auslesen von Modbus-Geräten, das Lesen von Registern, das Schreiben von Werten und die Überwachung der Modbus-Kommunikation auf dem BUS.

  • : Scapy ist ein leistungsfähiges Python-basiertes Werkzeug zur Paketmanipulation. Es bietet ein flexibles und interaktives Framework zum Erstellen und Senden von Netzwerkpaketen. Mit Scapy können benutzerdefinierte Pakete erstellt werden, einschließlich missgebildeter oder unerwarteter Pakete, die in die BUS-Kommunikation eingespeist werden können, um Fuzzing- oder Injektionsangriffe durchzuführen.

Webseiten

Paper

CANtact
Wireshark
QModBus
Scapy
CAN BUS Hacking
CAN BUS Hacking im Bereich Automotive
A Survey on CAN Bus Protocol: Attacks, Challenges, and Potential Solutions
Secure communication in microcomputer bus systems for embedded devices
Detection and Blocking of Replay, False Command, and False Access Injection Commands in SCADA Systems with Modbus Protocol
CAN Bus Security
Paper: Bus Probing Angriff
Automotive MitM
Paper: MitM für PCI CAN Bus
Paper: Implementation of Replay Attack in Controller Area Network Bus using Universal Verification Methodology
Paper: Practical Modbus Flooding Attack and Detection
Paper: Spoofing attack using bus-off attacks against a specific ECU of the CAN bus