Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 132, views: 26.151 •

De Amerikaanse geheime dienst zegt software te hebben gevonden in het elektriciteitsnet van de VS van onder meer Chinese en Russische afkomst. Het zou zijn bedoeld om kennis te vergaren maar kan in theorie schade aanbrengen.

De aangetroffen programma's zijn eerder als spyware dan als malware te typeren, aldus een anonieme hooggeplaatste bron van de Amerikaanse inlichtingendienst tegenover The Wall Street Journal, en zijn volgens hem vooral bedoeld om het netwerk in kaart te brengen. Vorig jaar zou er een significante hoeveelheid hacks hebben plaatsgevonden, vanuit China en Rusland maar ook uit niet genoemde andere landen. Er wordt gevreesd dat ook de watervoorziening, kerncentrales en financiële systemen geïnfiltreerd kunnen worden.

De bronnen van The Wall Street Journal geven toe dat de motivatie van de hackers niet goed wordt begrepen. De aangetroffen software kan potentieel gevaarlijk zijn, zo stellen ze, en analyse van de programma's zou hebben aangetoond dat sommige ervan 'aangezet' kunnen worden om delen van het netwerk plat te leggen, bijvoorbeeld in het geval van een oorlog. Aan de Chinese bereidheid om zover te gaan wordt echter getwijfeld: China is immers afhankelijk van aankopen door Amerikaanse consumenten en de VS heeft er bovendien schulden.

Ook vorig jaar werden er hacks van elektriciteitsnetten in de VS bespeurd. Toen stelde de CIA echter dat afpersing de achterliggende motivatie was.

gridoperator te Dallas, foto AP

Reacties (132)

Reactiefilter:-11320125+133+224+32
Misschien een idee om je elektriciteitsnet niet zomaar aan internet te hangen? Scheelt flink wat gedoe denk ik.
Ik dacht hetzelfde. Het heeft me altijd verbaast dat PC's die de reactor in een kerncentrale besturen verbonden zijn met het internet. Zo geef je de hackers kans om een belangrijke PC over te nemen.

Mocht om welke reden dan ook de PC echt met het internet verbonden moeten zijn kan je altijd een tijdelijke verbinding maken die daarna weer wordt afgesloten.
Computersystemen die verantwoordelijk zijn voor de aansturing van kerncentrales zijn ZEKER NIET verbonden met het internet. Leuke claim die je maakt, maar lekker ongegrond.
Jouw claim dat het niet zo is heb je anders ook niet onderbouwd. Doe je een dergelijke uitspraak, om in dit geval iemand tegen te spreken, kom dan ook met fatsoenlijke bronvermeldingen om jouw uitspraak te onderbouwen.
Ja, omdat iemand een domme uitspraak doet moet je met allemaal bronnen komen om het te ontkrachten.

Tuurlijk zijn dergelijk systemen niet aan het internet aangesloten. Moet dat echt geargumenteerd worden :D
Ja, want het Pentagon heeft zijn computers ook gewoon aan het internet hangen en die zijn ook gehacked. Terwijl ik gevoelsmatig het Pentagon wel een grotere vis vind als een kerncentrale.
Ach joh, als ze alles dicht zetten,

dan loopt er wel ergens een suit een taxi uit met alle geheimen documenten onder zijn arm... niet afgeschermd.

het is alteid wat.

Geef je ze een USB stick dan is deze kwijt.
Geef je ze een wachtwoord, dan is het makkelijk dat iemand anders die ook weet.
Geef je ze een standalone no internet pc, dan slepen ze er wel een virus op vanuit thuis
Beveilig je alles.... dan zetten hackers het wel open....
Doe je niet aan IT... dan doe je niet mee.
Uiteraard is het Pentagon aangesloten op het internet, moeten ze alles via de post doen?

Het gaat om de besturingscomputer van een kerncentrale in het voorbeeld, die is niet op het internet aangesloten. De overige computers in de kerncentrale zitten ook gewoon op het internet natuurlijk.
Natuurlijk niet, maar die zitten op een volledig afgesloten eigen netwerk en niet op "ons" internet.

Niet allemaal, maar de belangrijke zaken wel.
Assumptions are the mother of all fuckups!
Maar ik vind wel dat zulke bedrijven alleen een intern netwerk mogen hebben en zoals de vijand van blade (decon frost) zegt: Er is altijd wel iets!
inderdaad
Assumptions are the mother of all fuckups!

ik 'asume' dat computers in het pentagon wel op internet zitten, ook op het normale internet maar natuurlijk niet de computer met de 'reactor uit knop' en de 'self destruct software' ook niet
Volgens 24 (seizoen 4 als ik me niet vergis) wel.
Dat vond ik toen al extreem ongeloofwaardig.
Mag ik erop wijzen dat het een beetje vreemd is dat je een tv-serie als bron gebruikt? :)
Lees zijn post en die waar hij op reageert nog eens... hij gebruikt 24 dus juist niet als bron.
Season 7 wordt er nog wat meer gedaan hiermee :) de cip firewall wordt gehacked en opeens kan een vliegtuig worden aangestuurd als zijnde de verkeerstoren en kan een chemische productiefabriek worden overloaded zodat er een catastrofie zou ontstaan. (bauer kicks natuurlijk die lui hun kont kneiterhard maargoed) Dat lijkt me ook vrij onwaarschijnlijk.
De systemen voor reactorsturing zijn om duidelijke redenen niet verbonden met de buitenwereld, de kans dat iemand een centrale tot meltdown kan hacken is dan ook nul komma nul.

Wat wel met het internet verbonden is zijn alle systemen die de aanlevering naar het elektriciteitsnet regelen en die mogelijk relaisnetwerken en transformatorsystemen aansturen. Daar is internet-aansluiting ook daadwerkelijk nuttig, want energiemaatschappijen kunnen op die manier op afstand informatie krijgen over de status en belasting van een centrale.

Je kan zo'n centrale dus nooit op afstand opblazen, maar een hack kan potentieel wel de centrale lamleggen door hem van het net af te schakelen of een storing te "faken". 24- of Terminator-praktijken (a la Serano Point) zijn hier niet aan de orde.

Overigens kunnen lamgelegde infrastructuren altijd levens kosten, al is het maar de stroomvoorziening van ziekenhuizen (die beperkt noodstroom hebben) of het creeren van opstoppingen op een snelweg of spoorweg waardoor essentiele (hulp)diensten er niet meer doorheen kunnen.
Overigens kunnen lamgelegde infrastructuren altijd levens kosten, [...]
En opleveren :)
Mooie reactie. Kan je geen puntjes geven maar ik vond het scherp :)
De systemen voor reactorsturing zijn om duidelijke redenen niet verbonden met de buitenwereld, de kans dat iemand een centrale tot meltdown kan hacken is dan ook nul komma nul.

Bron graag? Ervan uit gaan dat iets niet is omdat wij dat logisch vinden is geen grond om zo een uitspraak te doen. Hoe vaak denk je niet "hoe dom kun je zijn" als we in het nieuws feiten krijgen medegedeeld? De kredietcrises was voor mij wel zo een voorbeeld.
natuurlijk is er een verbinding die van buiten af te benaderen is.
als zo een complex wordt "belegerd" of "gegijzeld" dan willen ze toch écht wel van buiten op het netwerk kunnen komen.
was het niet slimmer geweest om daar iets heel nieuws voor te schrijven?

ipv windows of linux of os x gewoon Electrix ofzo. die vervolgens niet via TCP/IP communiceert maar via weer iets anders. lijkt met dan al een stuk moeilijker om er iets mee te doen. of is dit al zo ?
Waarom miljarden uitgeven om een eigen os te creeren en een eigen netwerk creeren terwijl deze al bestaan???

1 jij als consument moet dit zelf betalen.
2 Er is verbinding met de rest van de wereld nodig. en om naar elk bedrijf of instelling een eigen type data leiding te leggen kost enorm veel geld en man kracht.

Nog niet te bedenken aan programeurs.. denk je dat een compleet nieuw OS kost? en het onderhoud hieraan? om de x aantal jaar zal hardware vervangen diennen te worden. daar moet het OS ook weer op aangepast worden. Drivers e.d,???

Niethaalbaar hellaas
Toch een goed voorstel.
En bvb niet het gehele OS, maar de communicatie layer (TCP/IP) vervangen door een oscuur model en dat aanpassen naar jou grillen zou een degelijke bescherming kunnen opleveren.

De geschiedenis leert ons dat onbekende talen soms het moeilijkst te kraken zijn.
De Duitsers en Japanners hebben hun tanden stuk gebeten op speciale eenheden die hun eigen taal gebruikten. Het Gaelic gebruikte een heel oude variant van het Gaelic die ze enkel in hun streek nog gebruikten. Er was ook een Navajo eenheid ofzo uit de states.

Dus als je dergelijke Communicatie gebruikt is je apparatuur extra beschermd.

Natuurlijk hangt dit af van de mate waarin dit verspreid is.
Beide groepen uit WOII waren beperkt in aantal en in hun acties, waardoor de "vertaling" waarschijnlijk niet "dringend" was. En hoe minder materiaal voor handen hoe minder men kan proberen.
En bvb niet het gehele OS, maar de communicatie layer (TCP/IP) vervangen door een oscuur model en dat aanpassen naar jou grillen zou een degelijke bescherming kunnen opleveren.
Security through obscurity is _NOOIT_ een oplossing. Bedenk je dat als een land/groepering dat wil hacken dat ze er genoeg mensen op zetten en tijd in steken om dat te kraken. En dan valt je hele model!

Beter is het om gewoon het fysiek van het internet af te scheiden.
Dat roepen mensen wel vaak, maar is natuurlijk wel een (deel) oplossing.
Het is in ieder geval een extra hindernis.
Het is niet voor niets dat blue prints van belangrijke installaties geheim zijn, dat werpt een extra barriere op.
Security through Obscurity werkt wel, en zeker als je het tijdelijk toepast, zonder dat de vijand genoeg tijd heeft om uit te vogelen wat er gebeurt. Probeer je een truc langer (in dit geval jaren, ik neem niet aan dat je elke maand een nieuwe maffe taal gebruikt) dan geef je je hackers ruim voldoende tijd om pakketjes te vangen en te analyseren.

Sowieso kun je dan trucs gaan uithalen, als jij weet dat een centrale na pakketje X23Gc#Y een stukje harder gaat draaien, en bij n$TH5V3 zichzelf afsluit voor onderhoud, kun je daar al heel mooi mee spelen, security layer of niet.

Feit blijft gewoon dat alles wat aan het internet hangt kwetsbaar is, en het er niet aan hangen is bezopen duur of kost je teveel functionaliteit. Beveiligen werkt dan prima, doublechecks kun je goed inbouwen, eventueel de hele boel per 3DES (or worse) laten praten, maar gaten blijven er. Gelukkig doet de geheime dienst zo ook nog wat voor z'n (riante) centen.
Door Proxx, donderdag 9 april 2009 09:34

was het niet slimmer geweest om daar iets heel nieuws voor te schrijven?

ipv windows of linux of os x gewoon Electrix ofzo. die vervolgens niet via TCP/IP communiceert maar via weer iets anders. lijkt met dan al een stuk moeilijker om er iets mee te doen. of is dit al zo ?

En de appratuur door de china te laten maken?? Of in fabrieken te gebruiken van EU of de VS die in china gebouwt worden??

Want alleen voor het electriciteit netwerk voor de vs iets ontwikkelen is niet echt rendabel. Buiten het feit dat externe firma's toegang moeten hebben om de apperatuur te testen/installeren?( in Nederland is het verplicht om beveilligingen laten testen door ex. firma's ) wat weer met zig mee brengt dat zij het op hun netwerk hebben staan, dat ook te kraken is??

over systeemen van centrales of fabrieken in het algemeen is dit wel een aardig voorbeeld :http://www.automatech.com...-systems-architecture.htm

[Reactie gewijzigd door wiskid op 10 april 2009 11:17]

Ook in dit geval zijn de daadwerkelijk processbesturingssystemen niet direct gekoppeld aan internet.

Ik heb bij twee afval verwerkende bedrijven gewerkt waar van afval stroom wordt gemaakt en geloof me als ik zeg dat tussen het "office LAN" en "fabric LAN" filewalls zijn geplaatst en vaak alleen poort 21 open staat richting het Office LAN om via FTP "log" bestanden van de processen in het kantoor netwerk te zetten. Applicaties binnen het Office LAN verwerken deze log bestanden en creeëren de "nuttige" gegevens welke naar verschillende afdelingen gaan en vandaar gaat het naar de netbeheerder.

Zo'n fabriek bestaat eigenlijk uit duizenden parallel en serieel geschakelde processes welke eigenlijk allemaal individueel aangestuurd worden door eveneens duizenden PLC's die eigenlijk allemaal autonoom werken. De meetgegevens worden wel centraal verwerkt binnen vele UNIX systemen met maatwerk applicaties en hier rollen met veel menselijke inbreng een soort "adviezen" uit om het rendement van de fabriek te verbeteren. Zo'n "advies" wordt omgezet in iets als er moet 2% meer zuurstof aan process X toegevoegd worden, waardoor iemand een PCL programma gaat aanpassen en dit met een laptopje in de plc gaat zetten.
De bediening van zo'n fabriek is dus niet iets wat met een paar knopjes werkt. Er zijn wel enorme paneelen maar deze geven hoofdzakelijk informatie betreffende de status weer en bieden mogelijkheden om processen te stoppen indien er gevaarlijke situaties ontstaan. De fine tuning gebeurd dus handmatig.

Het is dus niet zo dat bijv. NUON rechstreeks een koppeling heeft met een energiecentrale en dat iemand op een kantoortje op zijn pc'tje opdracht geeft om de energie productie tijdelijk te verlagen omdat de energievraag afneemt.
In de terminator wordt er niet gehacked. Het leger ontwikkelt een gevanceerde mainframe en koppelt die aan hun intern netwerk. De mainframe wordt intelligent en besluit ons te vernietigen !
Helaas zijn er wel koppelingen aanwezig tussen de reactor en de buitenwereld:

Slammer worm crashed Ohio nuke plant network
http://www.securityfocus.com/news/6767


Of deze is ook leuk:
Door een onverwachte koppeling tussen een controle systeem en het management netwerk ging de reactor in beveiliging en werd dus uitgezet:
http://www.washingtonpost...5/AR2008060501958_pf.html

Dit management netwerk is waarschijnlijk dan weer wel aan de buitenwereld gekoppeld...
Inderdaad.
Je theoretische opstelling kan nog zo slim zijn. Maar in de praktijk kan het of flink verprutst worden, of het blijkt dat de theorie gewoonweg onwerkbaar is. (ervaring)
Verbonden met het Internet zal ook wel wat kort door de bocht zijn. Maar stel je nu voor dat de elektriciteitcentrale een LAN heeft, en een internet verbinding. Alles is netjes gescheiden voor VLAN's, er staat een mooie firewall en wat al niet meer. Op zich hartstikke veilig en een redelijk normale oplossing.

Nu weet een hacker op een of andere manier via internet op een machine te komen. Vanaf daar gaat hij verder het netwerk ontleden, router hacken (omdat de core switch al x jaar stabiel draait en toch niet vanaf internet bereikbaar is) en opeens kan hij bij dingen die normaal niet aan het internet hangen.

Natuurlijk kan je volledig gescheiden netwerken hebben en weet ik al niet wat maar ik denk dat het scenario wat ik schets vrij reëel is. Het is echt niet zo dat een systeem direct aan het internet hangt met een dialup modem (uitzonderingen daargelaten), dat is denk ik wat simplistisch gedacht.

[Reactie gewijzigd door PolarBear op 8 april 2009 21:32]

Sorry, maar hangen aan een netwerk is hangen aan een netwerk, ook al is de oplossing die gekozen is op dit moment algemeen geaccepteerd.
Zover ik weet is geen enkele beveiliging veilig genoeg.

Dergelijke computers zouden alleen in een standalone netwerk mogen hangen en data overdracht tussen netwerken kan heel goed met ander media, die uitgebreid gescand kunnen worden voordat het transport van het ene naar het ander netwerk plaatsvindt.

Bij mijn werkgever bestaat er ook één netwerk waar we zo mee omgaan, dit is het netwerk dat de hele fabriek bestuurd, is volledig standalone en alleen beheerders kunnen data transporteren van het ene naar het ander netwerk.

Hier valt niet op in te breken, ook al omdat de pc die men gebruikt voor het datatransport toevallig op een plek staat waar 24/7 mensen langs lopen (is 24/7 fabriek).
Nog wel meer maatregelen genomen dan alleen bovengenoemde, maar dan wordt mijn verhaal te lang. Het gaat me om het idee dat firewalls veilig zouden zijn.
Als jij VLAN's gebruikt zal verkeer tussen de VLAN's alleen mogelijk zijn als het gerouteerd is. Zolang er geen toegang is tot de configuratie van de router is dat net zo veilig en goed als gescheiden netwerken (want ze zijn gescheiden).

Aparte netwerken is leuk en aardig, maar wat nu als je energiecentrales gecoördineerd energie wil laten opwekken? Omdat toevallig de wind op de Noordzee wat minder is en er wordt net wat meer energie gevraagd? Dat vraagt om bijna realtime data uitwisseling vanuit de productie naar de productie faciliteit.

Ik probeer vooral aan te geven dat door veel mensen nogal simplistisch gedacht wordt.
Ik probeer vooral aan te geven dat door veel mensen nogal simplistisch gedacht wordt.
Inderdaad, de meesten hebben geen idee van omvang of complexiteit.
Veel tweakers hier zijn waarschijnlijk ook enkel maar vertrouwd met huis tuin en keuken stuff.
Daarvoor heb je nog altijd de good ol' trusty huurlijn. Maar tegenwoordig mag het niks meer kosten, dat gaat altijd ten koste van de veiligheid.
Want via een huurlijn kun je niet inbreken? :?
Een traditionele huurlijn is point to point en geen onderdeel van een publiek ip-netwerk. Zie het als gewoon een kabel van A naar B.

Bij S.W.I.F.T. maakten ze toen ik er nog werkte (tot begin 1999) ook geen gebruik van het publieke internet, maar waren de verschillende internationale lokaties wel gewoon onderling met elkaar verbonden. We hadden op mijn afdeling 1 pc'tje dat met het publieke internet (en verder nergens mee) verbonden was via een tergend trage dial up modem. Ik herinner me dat het nogal een cultuurshock was voor een ploeg snelle jongens van een grote consultancyfirma die daar voor een project kwamen :)

Behalve dat huurlijnen in verhouding erg kostbaar zijn hebben ze ook vaak nog het nadeel dat ze behoorlijk weinig bandbreedte bieden. S.W.I.F.T. had daarvoor o.a. de aanvullende oplossing dat er een busje met tapes heen en weer reed tussen de lokaties in België en Nederland. Als je dat gaat uitrekenen als datatransport in gigabytes per uur is dat nog steeds een hele goede oplossing.

[Reactie gewijzigd door berend_engelbrecht op 8 april 2009 23:20]

Als je dat gaat uitrekenen als datatransport in gigabytes per uur is dat nog steeds een hele goede oplossing.
Maar wel een hoge ping :P
[quoteEen traditionele huurlijn is point to point[/quote]
En daar zit dan ook meteen het probleem in het aangehaalde voorbeeld. Er zijn oneindig veel locaties die op deze manier met elkaar verbonden moeten zijn. Dan gaat het aantal huurlijnen met verbonden kosten dusdanig hoog worden dat het niet meer rendabel is (of nog beter: De kosten worden doorbelast aan de afnemers; reken maar op een extreme energierekening).

We praten niet over één plant die met de andere praat of zelfs maar over 10. We praten dan over honderden verbindingen die gelegd moeten worden...... Dat maakt ook meteen de kans dat er iemand gewoon het draadje uit de grond trekt oneindig veel hoger waardoor de veiligheid van je netwerk alsnog te laag is.
Huurlijnen worden tegenwoordig ook gewoon door je telefoonprovider virtueel neergelegd. En is dus rechtstreeks verbonden aan een netwerk (van de provider). Je moet wat dieper hacken maar een huurlijn geeft uiteindelijk geen beveiliging
Een traditionele huurlijn is point to point en geen onderdeel van een publiek ip-netwerk.
point-to-point != 1 enkel touw tussen A en B.
Ook al is de uiteindelijke verbinding tussen de uiteinden van zo'n huurlijn point to point, ga er maar vanuit dat er aardig wat schakeling tussen liggen om die point-to-point verbinding tot stand te brengen.
Tegenwoordig heb je ook SSH tunnels, die ook een secure point-to-point verbinding op kunnen bouwen.

Sowieso is het zo dat (voor gecoordineerde productie) de centrales al veel langer systemen hebben om de belasting op het net te meten en de productie daaraan aan te passen (via frequentieafhankelijke regeling), en dit wordt binnen harde boundaries geregeld zodat het nooit mogelijk is dat een centrale overproductie gaat draaien, en je dus risico krijgt op schade (meltdown, oververhitting of runaway gasturbines).
Ik zou geen SSH tunnel nemen, maar bv OpenVPN, waarbij je de bedrijfsnetwerken wel aan internet hangt, maar alleen VPN verkeer toestaat. Verder wat losse computers waar je "alleen" toegang hebt tot internet. Apart vlan voor netwerkbeheer waar je alleen vanaf bepaalde poorten bij kan (bv in serverruimte een poortje voor management).

Iets aan internet hangen is geen probleem (zoals sommige hier wel doen denken), zolang het maar een complete scheiding is tussen computers met internet, en het bedrijfsnetwerk.

Als een computer dan lek zou raken door spyware of een directe aanval, dan kom je echt "nergens" bij.
Heb jij ooit van vlan hopping gehoord?

Een enkele fysieke switch met verschillende vlan's is bij lange na niet zo veilig als twee aparte switches.

Helaas is de praktijk anders, maar ik ben het er mee eens dat belangrijke regelsystemen van bijvoorbeeld electriciteit gewoon niet aan het internet thuishoren. Maakt niet uit hoeveel firewalls en routers er tussen zitten, alles is te hacken. Een fysiek apart netwerk maakt het al een stuk moeilijker en betekend dat je daadwerkelijk op de locatie aanwezig moet zijn om iets uit te vreten.
inderdaad alles is te hacken, jouw voordeur ook, de "voordeur" van een kerncentrale ook.
De ENIGE reden dat we beveiliging toepassen is om hacken/inbreken moeilijker te maken en te vertragen.

Zelfs al zou de regelcomputer van een kerncentrale indirect aan het net hangen dan kan je met beveiliging en monitoring het systeem zo inrichten dat mensen opgemerkt worden zodra ze aan een poortje aan het rommelen zijn, waarna je actie kan ondernemen.
Als jij VLAN's gebruikt zal verkeer tussen de VLAN's alleen mogelijk zijn als het gerouteerd is. Zolang er geen toegang is tot de configuratie van de router is dat net zo veilig en goed als gescheiden netwerken (want ze zijn gescheiden).
Het is anders niet zo heel gek lastig om pakketjes te spoofen die vervolgens door een switch gewoon doodleuk op een ander vlan worden aangeboden. Vlan's zijn niet zo veilig als je denkt; het blijft een logsiche scheiding door het OS van je switch, en geen fysieke scheiding.
Ik probeer vooral aan te geven dat door veel mensen nogal simplistisch gedacht wordt.
Ironie. ;)

edit: ah, wat ik omschreef valt dus onder vlan hopping, wist niet dat dat de term was. Thanks, GH45T.

[Reactie gewijzigd door 19339 op 8 april 2009 22:31]

Sinds wanneer bieden we VLANs voor eindgebruikers? De packets van/naar eindgebruikers mogen geen vlan informatie bevatten.
Sinds wanneer trekt een hacker zich iets aan van wat wel of niet mag?
Niet. Maar dat zegt niet dat KingofDos ongelijk heeft.

Er word in het geval van een access-poort waarop keihard een vlan geconfigureerd staat geen vlan informatie meegegeven/ontvangen. Daar kan jij als gebruiker, welke op die poort zit aangesloten niks aan veranderen. Tenzij je access tot de CLi van de switch hebt. In dit geval is het dan ook niet mogelijk om te Vlan hoppen.

Er word door o.a. ghost45T en RefriedNoodle geproken dat als je aan een switch hangt je zo heel makelijk kan vlan hoppen. Zo eenvoudig werkt het niet. Vlan hoppen kan alleen als je poort waarop je zit aangesloten een trunk poort is. (van type dot1Q).

Als je er dus voor zorgt dan alle pc's van gebruikers Fixed als access-poort in een fixed vlan staat kan je dus niet vlan hoppen.
Hier valt niet op in te breken, ook al omdat de pc die men gebruikt voor het datatransport toevallig op een plek staat waar 24/7 mensen langs lopen (is 24/7 fabriek).
Sorry? Een plek waar 24/7 mensen langs lopen is inbraakveilig? Of je zet het hier erg onhandig neer, of je hebt hier een erg grote kans op social engineering.
Aangezien alleen enkele beheerders de data mogen uitwisselen volgens die reactie...zullen de werknemers het wel merken als opeens een vreemde achter het beeldscherm staat. Dus zo gek vind ik het niet.

[Reactie gewijzigd door BartOtten op 9 april 2009 09:07]

Alleen als de beheerders alle werkzaamheden aan dat apparaat ook altijd aan iedereen doorgeeft. Gebeurt dit niet, dan is het simpel om een beetje vaag te mompelen, dat je van zus of zo reparatie / ict toko ben en mensen vinden het al snel best.
Tenzij de inbraak door een medewerker wordt gedaan. Ik neem ook aan dat USB-poorten, andere transportmogelijkheden van data zoals bijvoorbeeld hardwarematige keyloggers, cdrom, dvd, enz. zijn uitgeschakeld?

Jullie gebruiken dus een schermtoetsenbord (touchscreen) om dit soort hacks te voorkomen. Dit scherm wordt dan ook na gebruik schoongeveegd zodat vingerafdrukken op het scherm niet te herleiden vallen tot een inlogcode?

Of ben ik nu paranoide aan het worden ;)
als jij kan zien in welke combinatie die ingedrukt worden lijkt het me prima te doen idd. maar anders is het nog steeds vrij lastig, probeer maar eens een 6 cijfercode te kraken als je weet dat er 1tm 6 is gebruikt. scheelt je 4 getallen maar nog steeds vrij veel combinaties ;)
je hebt natuurlijk gelijk, echter een stuk of 36 combinaties proberen moet niet zo lang duren toch? Je kent immers de 6 getallen. Je hoeft de code dus alleen te kraken aan de hand van de volgorde, dus 6x6 mogelijke combinaties. Of ben ik mis, dit is niet echt mijn specialiteit.

Help??
Airgap blijft toch de beste oplossing in dit geval.
Valt niet tussendoor te komen.

Zolang er een vaste verbinding is blijft het een risico.
Uit het originele bericht:
Cyberspies have penetrated the U.S. electrical grid and left behind software programs that could be used to disrupt the system, according to current and former national-security officials
of de vertaling
De Amerikaanse geheime dienst zegt software te hebben gevonden in het elektriciteitsnet van de VS van onder meer Chinese en Russische afkomst.
Nergens in het artikel wordt het internet genoemd en als ik het goed en wel lees is het electriciteitsnet gehacked. Zou het niet mogelijk zijn dat dat gehele electriciteitsnet een netwerk op zichzelf is? Dat de hackers hier op hebben ingebroken en op die manier de verbonden computers konden infecteren?

Data over het electriciteitsnet is immers al enorm lang in gebruik en zelfs in Nederland zouden in de toekomst die "slimme" electriciteitsmeters ook op een of andere manier verbonden moeten zijn met een netwerk om hun data te spuien. Dat netwerk bestaat al lang, sterker nog.. het is een Europees netwerk. Ons zou precies hetzelfde kunnen overkomen, of sterker nog: het is mischien al gebeurd.

[Reactie gewijzigd door liberque op 8 april 2009 22:14]

Ja volgens mijn gaat het inderdaad niet om een of andere kernreactor/verbrandingsinstallatie, maar om toegang te krijgen tot andere pc, en zo informatie te verkrijgen.
Zou het niet mogelijk zijn dat dat gehele electriciteitsnet een netwerk op zichzelf is? Dat de hackers hier op hebben ingebroken en op die manier de verbonden computers konden infecteren?

Data over het electriciteitsnet is immers al enorm lang in gebruik
Neen; uit tests blijkt dat de verbinding verre van stabiel is en zeer eenvoudig te storen is, zeker als het over een lijn van 10.000 volt (oid) zou gaan. Ook zorgt het voor storingen bij andere apparaten, zie ook hier

Nu moet ik daar bij zeggen dat dat artikel uit 2003 stamt (tering, dan zit ik ook al bijna 7 jaar op deze site), ik weet niet of er ondertussen nog grote verbeteringen in de techniek geweest zijn. Zie ook het nieuwsarchief over dit onderwerp.

Maar om m'n punt even af te maken: Ik betwijfel dat de energiecentrales via de hoogspanningslijnen met elkaar verbonden zijn, zeker aangezien deze ljinen vaak al jaren staan en het een fortuin zou kosten om deze geschikt te maken voor internet, en aangezien de kwaliteit en betrouwbaarheid nog lang niet bewezen is, en aldus niet geschikt is voor een kritisch systeem als de stroomvoorziening.

En als er ergens een stroomstoring zou zijn zou je ook gelijk je verbinding met de andere centrales kwijt zijn, zodat die het niet zo snel over kunnen nemen indien nodig.
Waar jij het over hebt is powerline - internet voor consumenten over het elektrische net, das inderdaad nooit goed van de grond gekomen. Er gaat wel degelijk andere data over het net, zoals het signaal om van dag - nacht om te wisselen voor de energie meters e.d.
Data over het elektriciteits net gaat via zo'n powerline adapters, maar dat gaat niet door fase verschuivingen, dus verder dan de kast geraakt het niet. Ik denk niet dat er al grootschalig data transport over het elektriciteits net bestaat. De slimme meter zou volgens mij gewoon een internet verbinding nodig hebben.
Electriciteitsnetwerken moeten steeds vaker *wel* aan het internet hangen.

Dit om op afstand de meters af te lezen. Wellicht heb je iets meegekregen over "slimme" meters die wij ook zouden moeten installeren.

In de toekomst is het mogelijk/nodig om bijvoorbeeld je wasmachine aan te laten sturen door je meter zodat of je was gedaan wordt, of je auto opgeladen wordt omdat anders je benodigde afname te hoog zou worden.

In Amerika is men al wat verder met die smartgrid netwerken.
Ik blijf het toch apart vinden dat zulke cruciale systemen aan het internet verbonden zijn.

Zo snap ik ook niet wat een internet verbinding in een kerncentrale doet evenals in een waterzuiveringsinstallatie.

Het is daar niet nodig en dit toont nogmaals aan dat de veiligheid in gedrang kan komen.

Heeft iemand daar meer info over?
In aflevering 1 van de brilliante serie "Britain from Above" kun je zien dat het Britse electriciteitsnetwerk verbonden is met het Franse electriciteitsnetwerk. Na afloop van Eastenders gaan alle waterketeltjes aan in Engeland en dan moet er razendsnel extra electriciteit uit Frankrijk worden overgepompt. Dat commando moet toch via computernetwerken verlopen en ik denk dat dit geen apart netwerk is.

Ben het wel met je eens verder.
Zelfs dit soort commando's moeten toch niet via internet verlopen, en al helemaal niet via pc's met een volledig besturingssysteem dat ook andere toepassingen kan draaien.
En zelfs als je het wel via internet wil doen, kan ik me moeilijk voorstellen dat je echt geen configuratie kan in elkaar zetten waarbij nieuwe programma's opgemerkt zouden worden.
Waarom niet via Internet? Weet jij hoeveel informatie er tegenwoordig over internet gestuurd word? Er zijn diverse bedrijven die met VPN over het internet aan elkaar vast hangen.

Kijk naar de Belastingdienst, daar moest je eerste dag meldingen doen via BAPI wat eigenlijk een verkapt mailprogramma is.

Iets over Internet doen is niet per definitie onveilig.
Dit soort commando's worden wel verstuurd via het internet. En worden geen andere toepassingen gedraaid op deze systemen.
En btw dit soort systemen draaien op Unix, wat mijns inziens niet echt onveilig is.
dit klinkt misschien vreemd

Maar bestaat er een intelligente reden om watervoorziening, en kerncentrales of überhaupt zulk soort voorzieningen aan te sluiten op het internet ?

Of komt dit spyware door middel van usb aansluitingen op het netwerk ?

Want dit lijken me systemen die absoluut goed afgeschermd horen te worden.
de reden is dat je op afstand ook kan monitoren als ze aan internet hangen.
Kan me voorstellen dat bijvoorbeeld niet elk elektriciteitshub bemand zal zijn.
En om een netwerk te creeeren zodat je een stabiel geheel krijgt. Als dan een centrale uitvalt of problemen ondervindt kunnen de andere centrales dat opvangen en wordt de elektriciteit omgeleid. Als eerst iemand de telefoon moet nemen en moet gaan bellen, dan ligt je halve net al plat en de rest volgt snel als een domino die omvalt.
En als het echt niet te redden valt, dan wordt gewoon een deel van het net afgesloten zodat niet het héle net plat gaat. Zonder netwerk (internet) aansluiting is dit gewoon niet haalbaar.
Ik snap het zelf ook niet ik zit zelf in de procesindustrie maar ik heb bij het bedrijf waar ik ben geweest (Shell Pernis) niet gezien of gemerkt dat die dingen aan het internet hangen.
Ik zie ook de reden er niet van in.
Omdat een raffinaderij ook geen deel hoeft uit te maken van een geheel dat zichzelf stabiel moet houden. Als om wat reden dan ook je raffinaderij plat gaat gebeurt er verder niet veel speciaals. Als een centrale uitvalt heb je wel eens kans dat half Europa zonder stroom zit als ieder op zn eigen zit te boeren.
Heel simpele vraag, zit er een netwerkkabel in? Dan is er ongeveer 99% kans dat die machine direct of indirect aan het internet hangt.

Ok, de meeste machines zullen indirect aan het internet hangen. Maar ze hangen er toch aan. Het kan gescheiden zijn door vlans / firewalls / routers etc. Maar toch hangen de meeste indirect aan het internet.

Waarom is ook vrij simpel, het algemeen kunnen regelen en controleren. En gewoon algemene gemakzucht / niet te duur maken.

Op het moment dat je vanaf die machine iets kan uitprinten op een printer waar iemand anders ook iets kan uitprinten die email heeft dan is die machine verbonden met internet.
Iemand moet in een redelijk geval eerst een firewall kraken, dan een mailserver, dan een client-computer, dan een printer, dan een switch en misschien dat hij dan op de beoogde machine zit.

Echt 100% galvanisch gescheiden netwerken zijn gewoon ontzettend duur, dat betekent gewoon dat als je 2 (gescheiden) computers wilt laten printen in het magazijn dat je dan 2 printers + 2x netwerkbekabeling nodig hebt.

Op het moment dat shell hier in NL een volledig van het internet gescheiden pand op wil zetten met computers die toch communiceren met het hoofdkwartier in Amerika dan betekent dit gewoon dat ze een 100% huurlijn over/onder de oceaan moeten leggen. Elke lijn die via de AMS-IX loopt is verbonden met internet
[Heel simpele vraag, zit er een netwerkkabel in? Dan is er ongeveer 99% kans dat die machine direct of indirect aan het internet hangt.
Nooit van een lokaal netwerk gehoord?

[Reactie gewijzigd door BlackOwl op 9 april 2009 01:57]

Daarom zegt 'ie ook 'indirect' - het kan zomaar zijn dat er via via via een laptop met het lan verbonden is en met wlan een verbinding met het internet heeft, om maar een voorbeeld te noemen.
waarschijnlijk hebben ze er internet aan hangen zodat mensen extern kunnen werken. Ze kunnen in zo'n geval beter een intranet maken. Veel veiliger. Of gewoon intern het werk doen en niet extern.
Doet me aan Die hard 4.0 denken
Het is natuurlijk niet zo verstandig om cruciale systemen aan het internet te gaan hangen.
Waarom gaan jullie er allemaal van uit dat het via het internet is gebeurd?
Zou ook kunnen via inbraak, spionage of een onderstation.
En hoe zouden ze dan de informatie die hun spy/malware verzamelt moeten verkrijgen? Opnieuw inbreken en de log-files op 'n nieuw stickje zetten?

Vrij grote kans dat deze systemen wel degelijk aan het internet hangen / hebben gehangen.
sommige installaties worden op afstand bedient deze hebben dus toegang tot een netwerk nodig, als deze dan niet goed beveiligd zijn tja....
Apart netwerk aanleggen gaat miljarden dollars kosten.
Er bestaat al een infrastructuur en dat is goed genoeg. Je kan er van alles overheen pompen.

Wat ze nog wel kunnen doen, is hun eigen satelliet netwerk gebruiken, wat ze eigenlijk allang doen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013