Fakultät für Elektrotechnik und Informationstechnik Technische Universität München Security Challenges and Building Blocks for Robust Industrial Internet of Things Systems Matthias Niedermaier Vollständiger Abdruck der von der Fakultät für Elektrotechnik und Informationstechnik der Technischen Universität München zur Erlangung des akademischen Grades eines Doktor-Ingenieurs (Dr.-Ing.) genehmigten Dissertation. Vorsitzender: Prof. Dr.-Ing. Wolfgang Kellerer Prüfende der Dissertation: 1. Prof. Dr.-Ing. Georg Sigl 2. Prof. Dr.-Ing. Dominik Merli, Hochschule Augsburg Die Dissertation wurde am 15.01.2020 bei der Technischen Universität München eingereicht und durch die Fakultät für Elektrotechnik und Informationstechnik am 23.04.2020 angenommen. Abstract Digitalization is an ongoing process in home automation, automotive, and industrial processes. In the home environment, it is not surprising anymore that almost everything can now be controlled remotely. However, this trend can also be observed in the industrial environment, where systems are no longer controlled and monitored on-site, but can be done almost from anywhere in the world by using tablets and smartphones. Furthermore, in the course of predictive maintenance, where servicing is performed before damage causes outages, sensors are analyzed in industrial plants and the data is transmitted over the Internet to the vendor. Consequently, industrial components are getting increasingly connected and remotely accessible. This higher connectivity also enlarges the attack surface, because now attackers have new possibilities which did not exist in the times of air-gaped industrial plants. Overall, in the first part of this work, problems of current Industrial Control System (ICS) in terms of robustness will be shown and potential solutions are demonstrated. In the second part, further concepts and future building blocks for increasing IT security in ICS will be introduced. What makes today’s industrial plants and devices attractive to attackers is the interac- tion between the network side and the real world, which does not exist in this form in the standard IT landscape. This is exactly what is addressed in this work, by highlighting the problems of current control architectures in terms of robustness and thus the related dependency of the control side on the network side. To this end, a testbed is built and used, making the effects of network traffic on the electrical side and therefore the real world measurable. Fuzzing and Denial of Service attacks are possible ways of attacking control systems. The problems shown here can be solved, for example, by secure archi- tectures. One possibility is the feedback free separation of the communication processor from the control processor analyzed in this work. Moreover, a safe way to scan an indus- trial network is presented. This basic security monitoring tool allows initial assessments about the network, whether they contain vulnerable devices or not. In addition, new concepts for increasing security in industrial plants are presented in this work. New and open components are introduced that can be used for research, evaluation, and teaching. Furthermore, an Intrusion Detection System is shown, which runs on low-performance industrial edge node devices. The advantage of this is that each device can decide for itself and no additional hardware is needed. Also, a concept of an active network scanner on edge node devices is presented. This allows a simple network scan in each subnetwork having such an edge node device. Additionally, an open and low-cost testbed is being introduced to research and train industrial security, without disrupting or damaging a productive ICS. This testbed also includes a small physical process to monitor the impact of cyber-attacks in the real world. iii Kurzfassung Die Digitalisierung ist ein fortlaufender Prozess, der bereits Heimautomatisierung, Fahr- zeuge und industriellen Anlagen erreicht hat. Im heimischen Bereich ist es nicht mehr verwunderlich, dass inzwischen fast alles von unterwegs gesteuert werden kann. Dieser Trend ist jedoch auch im industriellen Umfeld zu beobachten, wo Systeme nicht mehr vor Ort gesteuert und überwacht werden, sondern dies auch aus der Ferne auf Tablets und Smartphones geschieht. In Zeiten von Predictive Maintenance, bei der die Wartung vor einem Ausfall durchgeführt wird, werden Sensoren in Industrieanlagen analysiert und die Daten an den Hersteller übertragen. Dies ist nur ein Grund dafür, dass industriellen Komponenten immer mehr miteinander vernetzt werden. Diese höhere Konnektivität er- höht jedoch auch die Angriffsfläche, da Angreifer jetzt neue Möglichkeiten haben, die es zu Zeiten der klaren logischen Abtrennung von Industrieanlagen nicht gab. Zusammenfassend werden im ersten Teil Probleme aktueller industrieller Systeme, wie die Robustheit demonstriert und mögliche Lösungen aufgezeigt. Im zweiten Teil werden weitere Konzepte zur Erhöhung der IT-Sicherheit in industriellen Systemen vorgestellt. Was Industrieanlagen und -geräte für Angriffe so attraktiv macht, ist das Zusammen- spiel von der Netzwerkseite mit der realen Welt, was es in dieser Form in der Standard- IT-Landschaft nicht gibt. Genau hier setzt diese Arbeit an, indem Probleme aktueller Steuerungsarchitekturen in Bezug auf Robustheit und Abhängigkeiten zwischen digtaler und realer Welt aufgezeigt und Lösungsvorschläge unterbreitet werden. Zu diesem Zweck wird eine Testumgebung aufgebaut und verwendet, die die Auswirkungen des Netzwerk- verkehrs auf der elektrischen Seite und damit auf die reale Welt messbar macht. Fuzzing- und Denial of Service-Angriffe sind eine Möglichkeit, eine industrielle Steuerung anzu- greifen. Die hier gezeigten Probleme können beispielsweise von sicheren Architekturen gelöst werden. Eine Möglichkeit ist die rückwirkungsfreie Trennung des Kommunikati- onsprozessors vom Steuerprozessor, die in dieser Arbeit aufgezeigt und analysiert wird. Darüber hinaus wird eine sichere Möglichkeit zum Scannen eines industriellen Netzwerks vorgestellt, durch die eine Einschätzung über das Netzwerk getroffen werden kann. Ebenfalls werden in dieser Arbeit weitere Konzepte zur Erhöhung der Sicherheit in Industrieanlagen vorgestellt. Es werden neue und offene Komponenten gezeigt, die für Forschung, Evaluierung und Lehre genutzt werden können. Darüber hinaus wird ein Intrusion Detection System entwickelt und analysiert, welches auf Edge-Node-Geräten mit geringer Leistung genutzt werden kann. Außerdem wird ein Konzept eines aktiven Netzwerkscanners auf industriellen Edge-Node-Geräten vorgestellt, was einen einfachen Netzwerk-Scan in jedem Teilnetzwerk ermöglicht. Des Weiteren wird ein offener und kostengünstiger Demonstrator für Forschung und Lehre in Bezug auf IT-Sicherheit in industriellen Anlagen präsentiert. Dazu gehört auch ein physikalischer Prozess, um die Auswirkungen von Cyberangriffen in der realen Welt darstellen zu können. v Contents Abstract iii Kurzfassungv Contents vii List of Figures xi List of Tables xv Acknowledgements xvii 1 Introduction1 1.1 Contribution . .5 1.1.1 Addressed Research Questions . .5 1.1.2 Scientific Publications . .5 1.1.3 Revealed Vulnerabilities, Assigned Common Vulnerabilities and Exposures, and Published Advisories . .7 1.2 Structure of the Thesis . .9 2 Industrial Control System Background Knowledge 11 2.1 Timeline on Industrial Control System Attacks . 12 2.2 Programmable Logic Controller Application . 15 2.3 Programmable Logic Controller Overview . 16 2.4 Programmable Logic Controller (Scan) Cycle Time . 17 2.5 Structured Text User Program . 18 2.6 Attack on the Programmable Logic Controller Cycle Time . 19 2.7 Noteworthy Industrial Control System Characteristics . 20 2.7.1 Industrial Control System and the Confidentiality, Integrity and Availability Triad . 20 2.7.2 Lifecycle . 22 2.7.3 Functional Safety . 22 2.7.4 User Program . 22 2.7.5 Update Management . 22 vii Contents 3 Communication Robustness of Programmable Logic Controllers in Terms of Security 23 3.1 Communication Robustness Testbed for Industrial Internet of Things Components . 25 3.1.1 Introduction . 25 3.1.2 Communication Robustness Testbed . 26 3.1.3 Devices under Test in the Testbed . 30 3.1.4 Experiments with Communication Robustness Testbed . 33 3.1.5 Conclusion . 34 3.2 Fuzzing Proprietary Industrial Devices . 35 3.2.1 Introduction . 35 3.2.2 Related Work and Motivation . 35 3.2.3 Concept . 36 3.2.4 Framework Architecture . 37 3.2.5 Framework Evaluation . 39 3.2.6 Conclusion . 42 3.3 Impact of Network Traffic on Industrial Control System Devices . 43 3.3.1 Introduction . 43 3.3.2 Related Work . 43 3.3.3 Certification Programs . 44 3.3.4 Attacker Model . 45 3.3.5 Materials and Methods . 45 3.3.6 Experiments, Results, and Discussion . 49 3.3.7 Conclusion . 60 3.4 Dual-MCU Setup for Robust Industrial Internet of Things Devices . 61 3.4.1 Introduction . 61 3.4.2 Concept and Background . 61 3.4.3 Proof of Concept Implementation . 63 3.4.4 Benchmarking . 67 3.4.5 Conclusion . 70 3.5 Efficient Passive Network Scanning for Industrial Control Systems . 73 3.5.1 Introduction . 73 3.5.2 Passive Network Scanning . 74 3.5.3 Media Access Control Addressing . 75 3.5.4 Device Identification Challenges . 77 3.5.5 Using Media Access Control Addresses for Device Discovery and Identification . 78 3.5.6 Framework and Evaluation . 79 3.5.7 Conclusion . 87 4 Modular Building Blocks to Enhance Industrial Control System Security 89 4.1 Open Industrial Control System Components for Secure Operation . 91 4.1.1 Introduction . 91 4.1.2