Sicherheitslücken in Schiffsüberwachungssystemen aufgedeckt

Originalartikel von Marco Balduzzi und Kyle Wilhoit

Trend Micro-Forscher haben Sicherheitsmängel in dem Schiffsüberwachungssystem AIS (Automated Identification System) aufgedeckt. Durch diese sind Angreifer in der Lage, die Kommunikation zwischen Schiffen zu infiltrieren, Phantomschiffe zu erschaffen, falsche SOS-Signale oder Kollisionswarnungen auszulösen und sogar die AIS-Überwachung auf Schiffen ihrer Wahl komplett abzuschalten.

Abbildung 1: Ein 300-Tonnenschiff sollte nicht die Hauptstraße einer Stadt entlangfahren

Bei AIS handelt es sich um ein Schiffsüberwachungssystem, das für alle Handelsschiffe (Fischfangschiffe ausgenommen) mit einer Masse von über 300 metrischen Tonnen sowie für Passagierschiffe (unabhängig von ihrer Größe und ihrer Masse) verbindlich vorgeschrieben ist. AIS empfängt GPS-Koordinaten und tauscht Informationen zur Position eines Schiffes, dessen Kurs und anderen Details mit in der Nähe befindlichen Schiffen und mit im Meer installierten Anlagen aus. Zurzeit sind schätzungsweise 400.000 Schiffe mit dem System ausgerüstet.

Da das Internet der Dinge immer mehr Realität wird, beobachten die Mitglieder des Forward-Looking-Threat-Research-Teams von Trend Micro Technologien, die von Angreifern in naher Zukunft missbraucht werden könnten. Heute morgen haben zwei Trend Micro-Forscher (Kyle Wilhoit und Dr. Marco Balduzzi) zusammen mit dem unabhängigen Forscher Alessandro Pasta auf der Sicherheitskonferenz HITB in Kuala Lumpur eine Reihe von Experimenten vorgestellt, welche die umfassende Angreifbarkeit von AIS zeigen. Piraten, Terroristen oder andere Angreifer könnten mühelos eine Vielzahl von Attacken ausführen. Trend Micro hat vorsorglich wichtige Erkenntnisse dieser Experimente an alle wichtigen Standardisierungsgremien für AIS sowie an wichtige Provider weitergeleitet, die AIS-Informationen im Internet veröffentlichen.

Die Angriffe lassen sich in zwei Kategorien unterteilen. Erstens haben wir festgestellt, dass die wichtigsten Internetprovider für AIS, die AIS-Informationen sammeln und sie der Öffentlichkeit zur Verfügung stellen, Sicherheitslücken aufweisen, durch die ein Angreifer valide AIS-Daten in betrügerischer Absicht ändern und ungültige AIS-Daten einfügen kann. Dadurch werden zum Beispiel die folgenden Szenarien möglich:

  • Sämtliche Schiffsdaten wie Position, Kurs, Ladung, Beflaggung, Geschwindigkeit, Name, MMSI (Mobile Maritime Service Identity)-Status etc. lassen sich modifizieren

  • Phantomschiffe können mit allen Detailangaben künstlich erschaffen werden, wie zum Beispiel ein iranisches Schiff mit nuklearer Ladung, das vor der US-Küste auftaucht
  • Navigationshilfen wie Bojen oder Leuchttürme lassen sich modifizieren oder künstlich erschaffen; dadurch werden Szenarien wie das Blockieren einer Hafeneinfahrt möglich, was zur Havarie eines Schiffes führen kann
  • Rettungsfluggeräte wie Hubschrauber oder Kleinflugzeuge können modifiziert oder künstlich erschaffen werden, um zum Beispiel einen Rettungshubschrauber der Küstenwache dazu zu veranlassen, zu starten und einem vordefinierten Kurs zu folgen

Zweitens haben wir Sicherheitslücken in der aktuellen Spezifikation des AIS-Protokolls ermittelt, das von den Sendern auf den Schiffen genutzt wird. Zusätzlich zu den oben beschriebenen Bedrohungen konnten wir die folgenden Szenarien nachweisen:

  • Angreifer können sich als Vertreter von Schifffahrtsbehörden ausgeben, um das AIS-System dauerhaft auf einem Schiff abzuschalten, das heißt um sowohl das Senden der Schiffsposition als auch den Empfang von AIS-Benachrichtigungen von in der Nähe befindlichen Schiffen zu unterbinden (im Wesentlichen handelt es sich hier um eine Denial-of-Service-Attacke). Dieser Angriff kann auch an eine bestimmte geografische Region gebunden sein, so dass zum Beispiel ein Schiff vom AIS-System verschwindet, sobald es in somalische Gewässer einfährt. Während das Schiff für andere unsichtbar ist, können es die Piraten, die den Angriff durchführten, immer noch sehen
  • Ein gefälschtes Notsignal „Mann über Bord“ lässt sich für einen beliebigen Ort senden, was Alarmmeldungen auf allen Schiffen im Umkreis von 50 Kilometern auslöst

  • Gefälschte Annäherungswarnungen (Closest Point of Approach) können Kollisionsalarme auslösen. Dies führt in manchen Fällen dazu, dass die Steuerungssoftware eines Schiffes einen neuen Kurs errechnet, um den Zusammenstoß zu vermeiden. Ein Angreifer wäre somit in der Lage, ein Schiff in eine bestimmte Richtung umzulenken

  • Angreifer senden gefälschte Wettermeldungen, woraufhin ein Schiff seinen Kurs ändert, um den angeblichen Sturm zu umfahren
  • AIS-Daten werden viel häufiger als üblich gesendet, was zur Überlastung der Systeme aller Schiffe und Behörden in Reichweite führt

All dies ist nur möglich, weil das AIS-Protokoll offensichtlich ohne Berücksichtigung von Sicherheitsüberlegungen entwickelt wurde. Dabei haben wir vor allem die folgenden Probleme festgestellt:

  • Keine Validitätsprüfungen: Es ist möglich, von einem beliebigen Ort aus eine AIS-Nachricht für ein Schiff zu senden, das sich woanders befindet. Zum Beispiel lässt sich von einem Ort nahe New York aus eine Positionsangabe für ein Schiff senden, das vorgibt, sich im Golf von Mexiko zu befinden, und diese Nachricht wird ohne jede Rückfrage akzeptiert. Geografische Validitätsprüfungen fehlen vollständig
  • Keine Zeitprüfungen: Gültige AIS-Informationen lassen sich zu einem späteren Zeitpunkt erneut einspielen, da in den Nachrichten kein Zeitstempel eingebettet ist. Dadurch kann die Position eines Schiffes repliziert werden
  • Keine Authentifizierung: Das AIS-Protokoll sieht keine Authentifizierung vor. Somit kann jeder, der in der Lage ist, ein AIS-Paket zu erstellen, jedes andere Schiff auf der Welt täuschen und alle Schiffe, die dieses Paket empfangen, werden die Nachricht als Fakt behandeln
  • Keine Verschlüsselung: Sämtliche AIS-Nachrichten werden in unverschlüsselter und unsignierter Form versendet. Dadurch ist es für Angreifer trivial, sie abzufangen und zu modifizieren

Sämtliche beschriebenen Angriffsszenarien wurden in einer speziellen Versuchsanordnung in unserem Testlaboratorium durchgeführt, wo wir eine spezielle Software-gesteuerte Funkausrüstung verwendeten. Dabei konnten wir nachweisen, dass ein Angreifer diese Attacken mit einem modifizierten und leicht erhältlichen VHF-Standardfunkgerät für den Preis von rund 150 Euro durchführen kann.

Trend Micro bereitet zurzeit ein White Paper vor, das unsere Untersuchungen im Detail beschreibt und das auf einer der nächsten Sicherheitskonferenzen vorgestellt wird. Die Folien unseres Vortrags auf der HITB aber sind ab sofort auf der SlideShare-Seite von Trend Micro abrufbar:

Herr Kapitän, wo ist Ihr Schiff? – Wie sich Schiffsüberwachungssysteme kompromittieren lassen – eine Präsentation von Trend Micro

Es ist keine triviale Aufgabe, die Sicherheitsmängel in AIS zu beseitigen, da sie sich sogar im Kern des Protokolls finden lassen. Selbst wenn die Internetprovider zu AIS ihre Sites ändern würden, wäre das zugrunde liegende Protokoll immer noch zahlreichen Missbrauchsmöglichkeiten ausgesetzt. Eine neue Version des AIS-Protokolls müsste zumindest Abwehrmechanismen für drei der beschriebenen Hauptprobleme enthalten: Validierung, Authentifizierung und Verschlüsselung. Natürlich sind wir uns darüber im Klaren, dass die Kosten zur Erneuerung von AIS auf allen Schiffen hoch wären – aber angesichts von Bedrohungen wie Piraterie und Terrorismus bleiben im Grunde keine anderen Alternativen.

AIS ist jedoch nur ein Beispiel für ein wichtiges Funksystem, das in einer Welt ohne Internet oder Software-gesteuerten Funk entwickelt wurde. Das Problem ist daher größer und betrifft nicht den Schiffsverkehr allein. Andere Systeme wie ADS-B (das von Flugzeugen genutzt wird) oder Systeme rund um die Auto-zu-Auto-Kommunikation, die in Bälde freigegeben werden, sind mit einigen ähnlichen Begrenzungen und Sicherheitslücken behaftet.

Das Forward-Looking-Threat-Research-Team von Trend Micro untersucht diesen Bereich als Teil von Trend Micros Engagement für eine Welt, in der digitale Informationen auf sichere Art und Weise ausgetauscht werden können.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*