Betriebsstörungen Stadtbahn 2016

[websurfer83]

Welche Systeme? Die Fahrzeugsteuerung ist SPS, ungefähr(!!!) basierend auf Siemens SIMATIC und SIBAS.

Also diese hier?
https://de.wikipedia.org/wiki/Speicherpr..._Steuerung

Die Onboard-DFIs und Fahrzeuganzeigen sind dann in üblicher Siemens-Manier Windows Embedded Geräte.

Hoffentlich dann kein Uralt-Windows, wie man es teilweise bei der DB noch sieht. Auf den Beamer-PCs vom Ströer läuft auch noch Windows XP, habe vor einiger Zeit den am Charlottenplatz beim Reboot beobachten dürfen. Naja die Embedded-Geschichten bekommen ja noch etwas länger ihre Patches und die Rechner sind hoffentlich nicht mit dem Internet verbunden, aber trotzdem finde ich es teilweise erschreckend, was man manchmal noch so antrifft...

[hopperpl]

Welche Systeme? Die Fahrzeugsteuerung ist SPS, ungefähr(!!!) basierend auf Siemens SIMATIC und SIBAS.

Also diese hier?
https://de.wikipedia.org/wiki/Speicherpr..._Steuerung

Ja, wobei Siemens zwischen Industrial und Rail unterscheidet. Rail ist SIBAS-32 bzw. im speziellen bei DT8.10 (und später) TCN.

Ist kompliziert, fängt immer mit Standardkomponenten an und endet dann in einer Spezialausrüstung. Aber im Kern bestehen Züge aus Steuerungsmodulen, die miteinander über Busse vernetzt sind.

[hopperpl]

Hoffentlich dann kein Uralt-Windows, wie man es teilweise bei der DB noch sieht. Auf den Beamer-PCs vom Ströer läuft auch noch Windows XP, habe vor einiger Zeit den am Charlottenplatz beim Reboot beobachten dürfen. Naja die Embedded-Geschichten bekommen ja noch etwas länger ihre Patches und die Rechner sind hoffentlich nicht mit dem Internet verbunden, aber trotzdem finde ich es teilweise erschreckend, was man manchmal noch so antrifft...

KuKA (die bauen Industrieroboter) arbeiten immer noch mit Windows 3.11 als Oberfläche und teilweise auch bei der Steuerung. Weil's funktioniert. Erst die Vernetzung macht das ganze etwas kritisch.

Wer weiß wie kann sich einfach mit einem Notebook und entsprechender Bus-Adapterkarte während der Fahrt in DT8-System reinhängen und frei mit allen Komponenten spielen. Verschlüsselung oder Authentifizierung gibt es nicht. Schick ich dem Türmodul ein Telegramm "Tür auf" kommt diesem dem sofort nach, da gibt's weder Rückfragen noch Prüfungen. Wenn man weiß wie und welche Sensoren man brücken muss.

Technik ist Stand 1980 bzw 1995. Selbst die DT8.12 sind dafür anfällig. Allerdings muss man dazu physikalisch im Zug sein. Problematisch ist aber die WLAN Funkanbindung der DFIs im Fahrzeug, die Busse sind zwar vollständig entkoppelt, aber ich persönlich traue der Siemens-Steuerung dazwischen, welche Positionen meldet, nicht zu 100%. Das heißt aber nicht, dass hier irgendwo eine Gefahr von ausgeht. Da ist ein Flugzeugabsturz auf ein einzelnes Stadtbahnfahrzeug wahrscheinlicher.

[dt8.de]

Wer weiß wie kann sich einfach mit einem Notebook und entsprechender Bus-Adapterkarte während der Fahrt in DT8-System reinhängen und frei mit allen Komponenten spielen. Verschlüsselung oder Authentifizierung gibt es nicht. Schick ich dem Türmodul ein Telegramm "Tür auf" kommt diesem dem sofort nach, da gibt's weder Rückfragen noch Prüfungen. Wenn man weiß wie und welche Sensoren man brücken muss.

Technik ist Stand 1980 bzw 1995. Selbst die DT8.12 sind dafür anfällig. Allerdings muss man dazu physikalisch im Zug sein.

Nicht nur physikalisch im Zug, sondern auch physikalisch (also per Kabel) mit der Steuerung verbunden sein. Aaaber ...

Problematisch ist aber die WLAN Funkanbindung der DFIs im Fahrzeug, die Busse sind zwar vollständig entkoppelt, aber ich persönlich traue der Siemens-Steuerung dazwischen, welche Positionen meldet, nicht zu 100%.

... da muß es ab DT8.10 noch weitere Schnittstellen geben. Sowohl die Daten der Antriebssteuerung als auch IBIS-Informationen werden über dasselbe Display beim Fahrer dargestellt. Also muß es eine Verbindung irgendeiner Art zwischen IBIS und Antriebssteuerung geben. Und das IBIS tauscht wiederum über den Betriebsfunk Daten mit der Leitstelle aus. Da ist die Reichweite größer als bei WLAN.

Ob hierüber aber tatsächlich Angriffsvektoren bestehen könnten - keine Ahnung, da ich nicht weiß, was auf welchem Weg verknüpft ist. Das Problem dabei ist aber nicht, ob etwas auf dem Papier entkoppelt ist, sondern wenn ein Angriff diese Entkopplung tatsächlich schaffen würde zu umgehen. Leider muß man heute jede Möglichkeit - auch eigentlich ausgeschlossene - in Betracht ziehen, sobald irgendeine physikalische Verbindung existiert. Nämlich genau die Komponente, die entkoppelt (und sei es das o.g. Display) könnte durch einen Angriff zu ungeplantem Verhalten gebracht werden. Ich gebe zu, daß das nicht wahrscheinlich ist, aber ausschließen kann ich es nicht. Die in letzter Zeit bekannt gewordenen Angriffe auf Autos hätte ich vorher auch nicht für möglich gehalten.

Ein Beispiel: zwei PC ohne Netzwerk, beide hängen am selben Monitor, am Monitor wird zwischen beiden PC umgeschaltet. Ist ein Angriff von einem auf den anderen PC denkbar? Antwort: nicht auszuschließen. Wer rechnet damit, daß über HDMI (Bildschirmanschluß) auch Ethernetpakete übertragen werden können. Es muß also nur ein Fehler in der HDMI-Implementierung des Bildschirms vorliegen und zufällig in beiden PC Ethernet over HDMI aktiv sein.... (und ja, zu DT8.10-Zeiten gab es noch kein HDMI. Ist ja nur ein Beispiel, daß man sich nicht in falscher Sicherheit wiegen darf).

Ach ja: trotzdem steige in weiterhin in die Stadtbahn ein. Weil ich sowohl solche Angriffe als auch deren Erfolgsaussichten für null halte. Aber einfach so tun, als ob es keine Wege dafür gibt, sollte man nicht. Sonst macht wirklich mal jemand einen Fehler.

[hopperpl]

Völlig richtig.

Bei DT8 sind der IBIS Bus sowie der MVB-Bus [korrekt MV-Bus] zwar entkoppelt, aber das IBIS Gerät hängt in beiden. Da die FIS-Geräte ("DFI") mit Windows laufen und selbige mit IBIS kommunizieren ist der theoretische Angriffsvektor damit gegeben. Da muss man schon aufpassen.

And wie von uns beiden gesagt: Panik oder Angst deswegen wäre völlig daneben.

[websurfer83]

@ hopperpl:
Vielen Dank für deine ausführlichen Hintergrundinformationen!

Es ist klar, dass sobald ein physischer Zugang besteht, immer ein Angriff möglich ist (zumindest theoretisch). Das ist bei Windows-Rechnern auch nicht anders. Wenn ich Zugang zur Maschine habe, kann die mit noch so einem starken Passwort geschützt sein, das hilft alles nichts (*). Da braucht es nicht mal einen Brute-Force-Angriff oder das gezielte Ausnutzen einer Schwachstelle. So ein Rechner ist in weniger als 5 Minuten kompromittiert.

Noch eine Frage:
Um welche WLAN-Funkanbindung der DFIs geht es genau? Die Züge werden doch in den BPs bzw. in der HW per WLAN mit "Updates" versorgt. Gibt es noch ein weiteres WLAN-System?

(*) Dagegen hilft nur die Verschlüsselung der HDD/SSD und das Aktivieren von Secure Boot. Eine Domänenmitgliedschaft erschwert den Angriff ebenfalls.

[hopperpl]

Es gibt ein zweites WLAN für die Fahrzeuge in bestimmten Zonen innerhalb der Stadt, um Echtzeitinformationen zu übertragen. Teilweise bekommt aber auch IBIS die Daten über einen separaten Funkkanal geliefert. Ist etwas kompliziert, weil man jetzt an der Definition von WLAN wackelt. Es hat aber nichts mit dem SSB-WLAN Gastnetz zu tun.

Das große Problem im Bereich der Komponenten-Sicherheit ist die unverschlüsselte und ungesicherte Übertragung zwischen den Baugruppen. Da ist Siemens ganz, ganz, ganz schlecht bei. Andere Hersteller haben schon lange auf den Busübertragungen Schutzfunktionen integriert. Beispielsweise dass ein Telegramm auf dem Bus ("Zettel mit Auftrag von der Steuerung/Master an die Komponente/Slave) authentifiziert ist. Es gibt kein "Siegel" o.ä sprich jeder kann sich als Master ausgeben. Ich muss aber gleich dazu sagen, ich vereinfache hier Dinge sehr stark zum Verständnis. Auf einem Bus bekommen immer alle Komponenten alle Telegramme, der Master würde also auch eine Fälschung sehen. Würde sie aber ignorieren. Die Komponenten sind auf einfachste Weise miteinander verbunden, ohne große Prüfung. Mit dem nötigen Wissen und der Hardware hat man wirklich eine tolle Spielwiese vor sich. Drückt man den Türöffner, geht das Licht aus. Oder die gegenüberliegende Tür geht auf. Oder beim Betreten der Lichtschranke geht die Tür zu. Kritische System, beispielsweise die Zugsicherung arbeiten aber zusätzlich noch mit einzelner Signalleitung. Das zu überlisten geht nicht so einfach. Geht aber auch, muss ja - sonst wären Rot-Fahrten nicht möglich.

Zwei Sachen bieten somit den Schutz: Erstens die teure Hardware (für ein MVB-Modul mit Notebook und Software ist man ab 20.000 EUR dabei). Zweitens das nötige Wissen. Gelangweilte Kinder schaffen das nicht.

-----

Noch mal eine Anmerkung zu dem FIS in den Fahrzeugen. Und das wird jetzt meine persönliche Meinung: Die Bildschirmsystem laufen auf einer merkwürdigen Webserver/Browser Basis. Die Oberfläche ist eine ASP.NET Anwendung. Also, eine Anwendung die ein Webcontrol enthält, welches eine Webseite vom "Onboard-IBIS-Server" via HTTP herunterlädt. Vereinfacht dargestellt, aber prinzipiell so richtig. Klassische IIS/ASP.NET - allerdings in der eingeschränkten Variante. Das ganze ist eine recht unsichere Konstellation-- nicht weil der IIS so unsicher wäre. Das ist grundsätzlich falsch, so eine Aussage. Es geht um die Anzahl und Verbreitung von Tools und Personen, die solche Systeme angreifen können. Und den entsprechenden Wartungszyklus der Busse und Bahnen. Es war halt wieder besonders günstig zu beschaffen, weil Kleinfirmen die sonst Pizzawebseiten erstellen, hier mit an der Ausschreibung teilnehmen können.

Ich habe nichts gegen dieses Konzept an sich, schlecht ist es definitiv nicht, aber die SSB hat nicht das nötige Personal und die Qualifikation um ein derartiges System sicher und geschützt zu halten. Das Prinzip "wird schon nichts passieren", oder "wenn was passiert, schauen wir mal" ist nicht mehr zeitgemäß.

[dt8.de]

Hallo,

(*) Dagegen hilft nur die Verschlüsselung der HDD/SSD und das Aktivieren von Secure Boot. Eine Domänenmitgliedschaft erschwert den Angriff ebenfalls.

Eine Verschlüsselung hilft gegen Mitnehmen/Entwenden der Platte bzw. des Rechners, da sie nach Ausbau bzw. Neustart ohne Schlüssel nicht ausgelesen werden kann. Wenn der Rechner aber läuft und der Angriff auf den laufenden Rechner erfolgt, ist eine Verschlüsselung nutzlos. Der Dateisystemtreiber muß ja den Schlüssel zur Laufzeit haben, sonst könnte er ja nicht zugreifen.
Und als Diebstahlschutz gegen den Rechner hilft es nur, wenn das Passwort jedes mal beim Booten eingegeben wird. In der Stadtbahn eher nicht praktikabel.
Somit ist das ein Schutz gegen den Klau sensibler Daten von Mobilgeräten, aber nicht gegen Angriffe. In der Stadtbahn somit eher nutzlos.
Eine Domänenmitgliedschaft erschwert auch keinen Angriff an sich, sie vereinfacht nur die Durchsetzung von Richtlinien, die z.B. einen Angriff erschweren können. Ist aber alles auch auf einem Einzelrechner ohne Domäne umsetzbar, aber wenn man das auf mehr als einem Rechner machen muß, ist es ohne Domäne aufwendiger.

Das große Problem im Bereich der Komponenten-Sicherheit ist die unverschlüsselte und ungesicherte Übertragung zwischen den Baugruppen. Da ist Siemens ganz, ganz, ganz schlecht bei. Andere Hersteller haben schon lange auf den Busübertragungen Schutzfunktionen integriert. Beispielsweise dass ein Telegramm auf dem Bus ("Zettel mit Auftrag von der Steuerung/Master an die Komponente/Slave) authentifiziert ist. Es gibt kein "Siegel" o.ä sprich jeder kann sich als Master ausgeben. Ich muss aber gleich dazu sagen, ich vereinfache hier Dinge sehr stark zum Verständnis. Auf einem Bus bekommen immer alle Komponenten alle Telegramme, der Master würde also auch eine Fälschung sehen. Würde sie aber ignorieren. Die Komponenten sind auf einfachste Weise miteinander verbunden, ohne große Prüfung. Mit dem nötigen Wissen und der Hardware hat man wirklich eine tolle Spielwiese vor sich. Drückt man den Türöffner, geht das Licht aus. Oder die gegenüberliegende Tür geht auf. Oder beim Betreten der Lichtschranke geht die Tür zu. Kritische System, beispielsweise die Zugsicherung arbeiten aber zusätzlich noch mit einzelner Signalleitung. Das zu überlisten geht nicht so einfach. Geht aber auch, muss ja - sonst wären Rot-Fahrten nicht möglich.

Halte ich aber für eher unkritisch, solange der physikalische Zugang zum Bus gesichert ist (abgeschlossener Schrank, keine Funkverbindung). Darauf muß dann aber unbedingt Wert gelegt werden.
Denn das andere Problem ist bei "zu guter Sicherung" wieder die Latenz (dann muß ja verifiziert werden, daß der Befehl auch mit dem richtigen Zertifikat signiert ist - bei eher langsamer Hardware). Ebenso holt man sich zu einfach Probleme rein, wenn doch Fehler auftreten, Zertifikate ablaufen/plötzlich ungültig sind und ähnliches. Das geht ebenso auf Kosten der Zuverlässigkeit wie ein Angriff.
Wir wollen ja auch nicht, daß die Notbremsung nicht ausgeführt wird, weil eine Komponente auf einmal plötzlich das Zertifikat aus dem Speicher verloren hat.

Hier muß man also Zuverlässigkeit durch Einfachheit gegen Sicherheit abwägen. Da kenn eine physikalische Absicherung durch "nicht-Verbindung" doch die bessere weil zuverlässigere Lösung sein.

Zwei Sachen bieten somit den Schutz: Erstens die teure Hardware (für ein MVB-Modul mit Notebook und Software ist man ab 20.000 EUR dabei). Zweitens das nötige Wissen. Gelangweilte Kinder schaffen das nicht.

Unterschätze die mal nicht. Richtige Sicherheit bietet da eher ein Stahlschrank mit Schloss.

Das ganze ist eine recht unsichere Konstellation-- nicht weil der IIS so unsicher wäre. Das ist grundsätzlich falsch, so eine Aussage.

Es gibt allerdings sicherere Alternativen, und damit ist der IIS eben doch unsicherer als andere.

Es geht um die Anzahl und Verbreitung von Tools und Personen, die solche Systeme angreifen können.

Und die gibt es ja, weil es entsprechende Ansatzpunkte gibt. Bei anderen Webservern wird dagegen eher versucht, die darauf laufenden Anwendungen anzugreifen. Ich sehe ja, daß hier faktisch keiner versucht, den Webserver an sich anzugreifen, sondern alle Angriffe versuchen, bestimmte als unsicher bekannte Anwendungen auf dem Webserver zu finden. Allerdings auf einem Niveau - na ja, so wird das nix :-)
Ich bin mir dagegen sicher, daß beispielsweise dieses Forum hackbar ist, wenn es einer gezielt darauf anlegt, statt tausende Server auf dieselbe Lücke zu scannen.

Und den entsprechenden Wartungszyklus der Busse und Bahnen. Es war halt wieder besonders günstig zu beschaffen, weil Kleinfirmen die sonst Pizzawebseiten erstellen, hier mit an der Ausschreibung teilnehmen können.

Ich habe nichts gegen dieses Konzept an sich, schlecht ist es definitiv nicht, aber die SSB hat nicht das nötige Personal und die Qualifikation um ein derartiges System sicher und geschützt zu halten. Das Prinzip "wird schon nichts passieren", oder "wenn was passiert, schauen wir mal" ist nicht mehr zeitgemäß.

Mach keine Kleinfirmen schlecht - es soll auch welche geben, die sich mit der IT-Sicherheit beschäftigen.

Aber das ist in der Tat fast immer das Problem: fehlendes Wissen der Entscheider um die Relevanz der Problematik. Und da sind IT-fremde Firmen einschließlich SSB und VVS leider ganz vorne mit dabei. Hauptsache billig, und der Werbefuzzy macht die Seite. Das macht wieder Leuten, die Ahnung haben, leider das Leben schwer. "Warum brauchen sie dafür eine Woche, ihr Mitbewerber macht das an einem Tag".

Ich warte nur, bis es bei SSB/VVS mal IT-sicherheitsmäßig kracht. Und das wird kommen, erst vor ein paar Wochen hat es ja BVG/VBB mit dem Datenschutz ihrer Fahrschein-Chipkarte erwischt. Und zumindest das wird dem VVS auch noch passieren...

(Ich habe hier eine Mail vom VVS vorliegen, die dem Landesdatenschutzbeauftragten damals gar nicht gefallen hat. Nun ja, inzwischen bietet der VVS ja die Polygo-Karte auch ohne Passbild an, was sie mir verweigert hatten. Hat die Beschwerde wohl doch was bewirkt.)

Bei dieser Art von Sensibilität für solche Themen sehe ich nur schwarz...

[websurfer83]

(*) Dagegen hilft nur die Verschlüsselung der HDD/SSD und das Aktivieren von Secure Boot. Eine Domänenmitgliedschaft erschwert den Angriff ebenfalls.

Eine Verschlüsselung hilft gegen Mitnehmen/Entwenden der Platte bzw. des Rechners, da sie nach Ausbau bzw. Neustart ohne Schlüssel nicht ausgelesen werden kann. Wenn der Rechner aber läuft und der Angriff auf den laufenden Rechner erfolgt, ist eine Verschlüsselung nutzlos. Der Dateisystemtreiber muß ja den Schlüssel zur Laufzeit haben, sonst könnte er ja nicht zugreifen.

Ich war letztes Jahr auf einer Security-Schulung bei einem sehr bekannten Sicherheitsdienstleister. Dort wurde ein Angriff gezeigt, der es mit einfachen Mitteln erlaubt, einen Windows-Rechner mit einem beliebigen Kennwort zu starten. Dagegen hilft die Verschlüsselung und das Aktivieren von Secure Boot sehr wohl. Auch bei einer Domänenmitgliedschaft ist dieser Angriff erschwert, da hier der DC die Authentifizierung vornimmt und physischer Zugang zum DC in aller Regel nicht besteht.

[Mario]

Kipplaster reißt Oberleitung ab: http://www.stuttgarter-zeitung.de/inhalt...0aa63.html