Ich habe wirklich das Gefühl, dass wir uns auf die Zukunft im Stil von Cyberpunk: 2077 zubewegen, in der Netrunner-Hacker im Grunde genommen zu Zauberern werden, die in der Lage sind, mit ein paar Zeilen Schurkencode so ziemlich alles in die Luft zu jagen. Okay – die Realität mag weitaus langweiliger sein, aber wenn man bedenkt, dass DRM schon vor einiger Zeit in die Züge eingeführt wurde, drücke ich den Cyber-Zauberern in den nächsten Jahrzehnten die Daumen.
Das Neueste in dieser Liste überraschend hackbarer Technologien? Der Bosch Rexroth NXA015S-36V-B– auch Nutrunner genannt, eine Art Drehmomentschlüssel, der vor fast 100 Jahren in Gebrauch kam und zufälligerweise viele Buchstaben mit „Netrunner“ gemeinsam hat. Wir leben in einer Welt voller schöner Zufälle.
Wie es in einem Bericht des Sicherheitsunternehmens heißt NEINzOmi. Eine Gruppe von Sicherheitsexperten hat satte 25 verschiedene Schwachstellen in dem Schraubenschlüssel gefunden, der sich drahtlos mit dem internen Netzwerk eines Herstellers verbindet. Außerdem läuft es unter Linux – oder, nun ja, dem Linux-basierten NEXO-OS.
Im Gegensatz zu dem überflüssigen wettbewerbswidrigen Unsinn, der bei diesen polnischen Zügen angewendet wurde, gibt es die immer online verfügbare Schraubenschlüsselsoftware des Nutrunner tatsächlich aus gutem Grund. Durch den Zugriff auf eine Anwendung können Ingenieure die endgültigen Drehmomentwerte von Befestigungen granular anpassen, was für die Sicherheit aller wichtig ist.
„In dem Bericht heißt es beispielsweise: „Schrauben, Muttern und Befestigungen, die in elektrischen Schalttafeln verwendet werden, müssen mit dem richtigen Drehmoment angezogen werden, um sicherzustellen, dass Verbindungen zwischen stromführenden Komponenten, wie z. B. Hochspannungs-Sammelschienen, einen niedrigen Widerstand beibehalten. Eine lockere Verbindung würde dazu führen.“ höhere Betriebstemperaturen und könnte im Laufe der Zeit einen Brand verursachen.“
Während der Satz „Da ist ein hackbarer Schraubenschlüssel“ sehr lustig ist, sind die potenziellen Sicherheitsrisiken hier in erschreckendem Maße schwerwiegend. Natürlich gibt es auch geschäftliche Aspekte: Nozomi glaubt, dass diese Schwachstellen für Ransomware-Angriffe genutzt werden könnten.
Eine besorgniserregendere Möglichkeit besteht darin, dass diese Schwachstellen es dem Bedrohungsakteur ermöglichen würden, Schraubprogramme zu kapern und gleichzeitig das Borddisplay zu manipulieren, was zu nicht erkennbaren Schäden am zu montierenden Produkt führen oder dessen Verwendung unsicher machen würde.
Es handelt sich um ein Albtraumszenario im schlimmsten Fall und ein Ausmaß an Bösartigkeit auf Superschurken-Niveau, aber die Vorstellung einer Flut unsichtbar verursachter Arbeitsunfälle, die sich Monate nach dem Angriff ereignen, ist wirklich ein wenig beängstigend. Dabei handelt es sich nicht nur um eine bloße Theorie – das Sicherheitsteam hat es voll und ganz umgesetzt:
„Es ist uns gelungen, die Konfiguration von Schraubprogrammen heimlich zu ändern, beispielsweise durch Erhöhen oder Verringern des Zieldrehmomentwerts. Gleichzeitig konnten wir dem Bediener durch das Patchen der grafischen Benutzeroberfläche im Speicher einen normalen Wert anzeigen. der von der Veränderung überhaupt nichts mitbekommen würde.“
In einer E-Mail-Erklärung hervorgehoben von Ars TechnicaBosch Rexroth „hat diesen Rat sofort aufgegriffen und arbeitet an einem Patch zur Lösung des Problems“, der Ende Januar 2024 veröffentlicht werden soll. Jetzt gibt es Patches für Schraubenschlüssel – was für eine Zeit, am Leben zu sein.