ROW ROW ROWYOUR BOAT

SCHIFFFAHRT UND

IT-SECURITY

VORSTELLUNG

Thomas Wallutis

Diplom-Mathematiker

Senior Security Resulter @-yet GmbH

Philipp Wallutis

Nautischer Schiffsoffizier

BSc. Informatik

MSc. Maritimes Management

AGENDA

• Aktuelle Lage

• Maersk

• GPS

• Maritime Logistik

• Blockchain

AKTUELLE LAGE

• Abhängigkeiten in der maritimen Wirtschaft

• An Land und auf See

• Aktuelle Abwehrmaßnahmen

• Onion-Solution / Defense in Depth

• Internationale Rechtsgrundlage:

• ISPS

• SMS

• Flagstate Regulations (!)

ABHÄNGIGKEITEN IN DER MARITIMEN WIRTSCHAFT

• Die Digitalisierung ist voll im Gange

• Das Fax wurde zu 100% durch

verschlüsselte E-Mails ersetzt

• Heutige Logistik ist ohne moderne IT nicht

mehr zu stemmen

• Beispiel von 2014: Drogencontainer ROT -> HAM

AKTUELLE VERTEIDIGUNG

• Defense in Depth / Onion-Solution

• Schiffe sind „Festungen“

• Keine „Zentrale“

• Größte Gefahr ist die Crew

RECHTSLAGE

MAERSK

• Gründung 1928

• 1974 das erste Container-Schiff

• 1981 eigener Containerdienst auf der Route Europa-Naher Osten

• Ab 1988 Transatlantikdienst

• Durch Aufkäufe und neue Schiffe Container-Terminals, Tanker und

Containerschiffe

• Größte Schiffe: 18.270 TEU (399 Meter lang)

• TEU: Twenty-foot Equivalent Unit (ca. 2,5m breit und 6,1m lang)

MAERSK

• Aus Wikipedia:

Jeder einzelne Container besitzt eine eigene Nummer. Sie besteht aus

vier Großbuchstaben, dem Präfix,[3] der für den Eigentümer des

Containers steht, und sechs Ziffern plus eine Kontrollziffer. Diese

Nummern sind lediglich in Klarschrift auf den fünf Außenseiten

aufgebracht. Maschinenlesbarer Codes werden nicht verwendet, so dass

zum automatischen Identifizieren Beleuchtungs- und Kamerasysteme

verwendet werden müssen. Durch stets wiederholtes Lesen und

Weitermelden von Identität und Standort bei jedem Durchgang oder

Umschlag können Weg und Transportfortschritt jedes einzelnen

Containers auf seiner Reise verfolgt werden.

MAERSK

• IT Landschaft 2017

• Fast 80.000 Mitarbeiter

• 574 Büros in 130 Ländern

• 76 Häfen und ca. 800 Schiffe

• 1/5 der gesamten Weltkapazität in der Schifffahrt

• Beispiel Elizabeth, New Jersey: bis zu 3.000 LKWs pro Tag

• Quelle: https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-

crashed-the-world/

MAERSK

• Petya/NotPetya

• VierVarianten; letzteVariante “GoldenEye” verschlüsselt komplette Rechner

• Entschlüsselung fürVersion 1: April 2016

• Entschlüsselung fürVersion II: Juni 2016

• Keine Entschlüsselung fürVersion III + IV

• Dank eines Programmierfehlers können auch die Entwickler nicht entschlüsseln

• Juni 2017: neueVariante NotPetya

• Keine Erpressung; Entschlüsselung nicht geplant (Wiper)

• Verbreitung u.a. über die ukrainische Buchhaltungssoftware “M.E.Doc”

• Diese Software wird auch von Firmen genutzt, die Geschäfte in der Ukraine machen

MAERSK

• 27.06.2017 Ausbruch von „NotPetya“

• Nach ca. 2 Stunden waren alle Rechner vom Netz

• Schadenssumme: > 300 Millionen US-$

• Backup der Server (ohne Malware) 3-5 Tage alt

• Problem: kein sauberes Backup der Domänenkontroller (ca. 150)

• Glücklicherweise hatte ein Stromausfall in Ghana den dortigen

Domänenkontroller vom Rest des Netzes getrennt…

MAERSK

• Austausch der gesamten IT (zumindest PCs)

• Dauer: 10 Tage (einige Leute arbeiteten 2 Monate daran)

• 45.000 PCs

• 4.000 Server

• 2.500 Applikationen

• Schadenssumme: > 300 Millionen US-$

• Teilweise Container-Verwaltung per WhatsApp

• Normalerweise hätte der Austausch ca. 6 Monate gedauert

• Aber: "alle fünfzehn Minuten erreicht eines unserer Schiffe mit zehn bis

zwanzigtausend Containern einen Hafen irgendwo auf der Welt"

MAERSK

• Gründe für die Auswirkungen

• Schlechtes Patch-Management (Basis war die Eternal Blue Lücke)

• Veraltete Software (angeblich teilweise noch Windows 2000)

• Schlechte Netzwerksegmentierung

• Von Ghana abgesehen…

• Neue IT Security war schon vorgesehen

• Wurde aber von den Führungskräften nicht vorangetrieben

• Da nicht Bonus-relevant…

MAERSK

• Lessons learned

• Gründung IT-Security Center Maersk

• Änderungswünsche der IT Security wurden plötzlich ohne große Diskussionen

akzeptiert

• Windows 10 Upgrade

• Multi-Faktor-Authentifizierung

• in 2018 erneute Malware-Attacke

• Schadenssumme: < 1 Millionen US-$

MAERSK

• Weitere Infos

• https://safety4sea.com/cm-maersk-line-surviving-from-a-cyber-attack/

• https://www.zdnet.com/article/maersk-forced-to-reinstall-4000-servers-45000-pcs-

due-to-notpetya-attack/

• https://www.heise.de/newsticker/meldung/Nach-NotPetya-Angriff-Weltkonzern-

Maersk-arbeitete-zehn-Tage-lang-analog-3952112.html

• https://www.dvz.de/rubriken/see/detail/news/maersk-line-wappnet-sich-gegen-

weitere-cyber-attacken.html

WEITERE ANGRIFFE

• Tracking von Containern mit z.B. Drogen

• Versteckt unter frischen Lebensmitteln

• 2013: Drogenfunde in Antwerpen

• Computer wurden schon 2011 angegriffen (erst direkt, dann über Keylogger)

• Ziel: geplante Entladung bestimmter Container planen

• Das lief so lange, bis ein LKW-Fahrer einen Container mit Drogen versehentlich

auflud und mit Sturmgewehren angegriffen wurde…

• Andere Angriffe: Herkunftsland oder Inhalt ändern

• Der Zoll macht nur Stichproben

WEITERE ANGRIFFE

• Seehafen Oakland, Kalifornien

• Test durch Trend Micor Mitarbeiter

• Nach fünf Minuten war er im System

• Gegenmaßnahmen

• PortSec: Schwachstellen in Hafentelematik-Systemen aufspüren

• Gefördert durch Bundesministerium für Bildung und Forschung

• Weitere Infos zu PortSec

• https://www.forschung-it-sicherheit-kommunikationssysteme.de/projekte/portsec-2

• https://www.portsec.de/

• https://www.mehrcontainerfuerdeutschland.de/hafen-und-wirtschaft/it-angriffe-auf-haefen-portsec-soll-schuetzen/

WEITERE ANGRIFFE

• Weitere Infos zu Antwerpen

• https://motherboard.vice.com/de/article/gv5nnw/drogenhaendler-gehen-ihrem-

geschaeft-jetzt-durch-das-hacken-von-containern-nach

• https://www.vrt.be/vrtnws/de/2013/10/19/schmuggler_in_antwerpenhafenhackerheroi

n-1-1757675/

• https://www.heise.de/newsticker/meldung/Der-digitale-Hafen-Schmuggeln-mithilfe-

von-manipulierten-Daten-3664871.html

GPS

• Offizieller Name: NAVSTAR GPS

• Enwickelt in den 70er Jahren vom US-Verteidigungsministerium

• Zivile Variante unverschlüsselt

• Satelliten unter der Kontrolle der USA

• Signalverzerrung

• Teilweise Abschaltung

• Negative Einflüsse durch Sonneneruptionen

GPS

• Alternative Systeme (Quelle: Wikipedia)

• Galileo (EU)

• Glonass (Russland)

• Beidou (China)

• Indian Regional Navigation Satellite System (Indien)

• Quasi-Zenit-Satelliten-System (Japan)

• A-GPS: Assisted GPS

• Zusatzdaten z.B. über GSM-Netz

GPS- ANGRIFFSMÖGLICHKEITEN

• GPS-Jammer

• GPS-Spoofing

• Einfaches Spoofing: Replay-Attacke

• Fortgeschrittene Attacke: falsches, aber

synchronisiertes Signal

GPS – REALEVORFÄLLE

• 2000: Frankreich stört GPS in Griechenland

• Ziel: Konkurrent im Bieterverfahren um 250 Panzer ausschalten

• Briten verloren bei Tests mehrere Panzer

• Quelle: Ross Anderson „Security Engineering“

• 2017: Störungen in Norwegen

• Vermutetet Ursache: Störung des Signals während eines russischen Militärmanövers

• 2017: mehr als 20 Schiffe im schwarzen Meer wähnten sich plötzlich an

Land

• Bei Pokemon Go fälschen Spieler das GPS-Signal, um der App vorzugaukeln

sie wären an einer anderen Stelle

GPS – REALEVORFÄLLE

• 2011: angeblich hat der Iran mit gefälschten GPS-Signalen eine US-

amerikanische Drohne abgefangen

• 2013: ein Forscherteam der Universität von Texas stört das GPS einer

Luxus-Yacht

• https://newatlas.com/gps-spoofing-yacht-control/28644/

• Unbestätigte weitere Fälle: https://www.pocketnavigation.de/2017/08/gps-

spoofing/

• Schiffsunglücke durch GPS Spoofing

GPS – WIE FÄLSCHEN?

• Software Defined Radio Sender/Empfänger

• HackRF (ca. 300,-€)

• BladeRF (500,- - 750,- US-$)

• Antenne (unter 10,-€)

• RaspBerry Pi (ca. 40,-€)

• Powerbank (20,- -30,-€)

• Software (kostenlos)

• Quelle: https://www.rtl-sdr.com/using-a-hackrf-to-spoof-gps-navigation-in-cars-and-

divert-drivers/

GPS – WIE FÄLSCHEN?

• Keine Demo!

• Vermutlich illegal

• Nur im Faradayschen Käfig

• Problem A-GPS

• Erschwert das Fälschen

• Gegenmaßnahmen

• Detektion von Störsignalen/Aufspähen des Angreifers

• http://news.rub.de/wissenschaft/2018-02-28-it-sicherheit-flugzeuge-und-drohnen-vor-cyberangriffen-schuetzen

• Nutzung mehrerer Empfänger und Test auf Abweichungen aufgrund von Entfernung

• https://www.itespresso.de/2016/01/24/forscher-entwickeln-abwehrmassnahmen-fuer-angriffe-auf-

navigationssysteme/?inf_by=5be86356671db8115e8b4bff

GPS – WIE FÄLSCHEN?

• Weitere Infos

• https://www.heise.de/newsticker/meldung/GPS-unter-Beschuss-

Jamming-und-Spoofing-nehmen-zu-4038137.html

• https://www.rtl-sdr.com/cheating-at-pokemon-go-with-a-hackrf-and-

gps-spoofing/

• https://www.crazydanishhacker.com/gps-spoofing-bladerf-software-

defined-radio-series-23/

• https://www.researchgate.net/publication/286330869_Low-

cost_GPS_simulator_-_GPS_spoofing_by_SDR

• https://www.rtl-sdr.com/receiving-gps-with-an-rtl-sdr-dongle-and-gps-

antenna/

GPSAUSWIRKUNGEN AUF DIE MODERNE SEEFAHRT?

GPS IM ALLTAG

• Keine wirkliche Alternative während

der Hochseenavigation oder schlechter

Sicht

• Unter idealen Bedingungen kann ein

Ausfall zu 100% ausgeglichen werden

• Gutes Personal vorausgesetzt!

ENDE

BLOCKCHAINNACHTRAG: AKTUELLE FORSCHUNGSARBEIT