'Nederlandse scada-systemen zijn kwetsbaar voor aanvallen'

Reacties

« 1 2 »

Door Jeloentje, dinsdag 14 februari 2012 19:08

Was dit niet al eerder op tweakers?
reviews: Scada-beveiliging: een structureel probleem

[Reactie gewijzigd door Jeloentje op dinsdag 14 februari 2012 19:09]

Door AGroenewold, dinsdag 14 februari 2012 19:09

Inderdaad. Ik kan me gelijke berichten herinneren.

Door Eagle Creek, dinsdag 14 februari 2012 19:13

Die link wordt dan ook aangehaald in bovenstaand artikel onder de link "gewezen"!

[Reactie gewijzigd door Eagle Creek op dinsdag 14 februari 2012 19:13]

Door Jeloentje, dinsdag 14 februari 2012 19:14

Wat is dan de nieuwswaarde van dit bericht, als het al bekend was?

Door Cloud, dinsdag 14 februari 2012 19:19

Ik denk het voorbeeld uit de praktijk, zoals je in het artikel kunt lezen:

In een reportage van EenVandaag was dinsdagavond te zien hoe de gemalen van de gemeente Veere via een scada-systeem met een eenvoudig te raden wachtwoord via internet zijn te bedienen.

Verder is het natuurlijk wel meer van hetzelfde, al is extra media-aandacht voor een probleem als dit natuurlijk nooit verkeerd.

Door Jeloentje, dinsdag 14 februari 2012 19:32

Ook een praktijkvoorbeeld stond al in het oude artikel:
"Dat beveiligingsproblemen in scada-systemen geen theoretisch probleem zijn, blijkt ook uit een onderzoek van Red Tiger Security, dat anderhalf jaar geleden op Black Hat werd gepresenteerd. Bij een analyse van circa 120 industriële systemen werden maar liefst 38.753 kwetsbaarheden aangetroffen." zie tabje 5, "geen theoretisch probleem"

[Reactie gewijzigd door Jeloentje op dinsdag 14 februari 2012 19:32]

Door puredynamite, dinsdag 14 februari 2012 20:44

Dat 'oude' artikel gaat over scada-systemen in het algemeen. Dit nieuwe artikel, en de reportage van EenVandaag, gaat over Nederland.

Er was dus wel bekend dat een percentage van de scada-systemen kwetsbaar zijn, maar nu is dus ook bekend hoe het er voor staat hier in Nederland.

Je zou het dus eerder moeten zien als een toevoeging op het oude artikel, dus wel degelijk nieuwswaardig (of wist jij al dat je de gemalen in Veere kon bedienen?).

[Reactie gewijzigd door puredynamite op dinsdag 14 februari 2012 20:45]

Door gevoelig, woensdag 15 februari 2012 08:17

Wat is dat nou voor rare reactie?

Gisteren werd dit aangehaald op één vandaag.

Voor Tweakers.net is dat nieuws. Waarom?
Eén vandaag is een iets ander medium dan tweakers en de stappen die worden genomen na zo'n uitzending zijn vaak direct.

Bovendien zie je vaak herhaling in artikelen vanwege het feit dat een gemiddelde lezer niet alle voorgaande artikelen nog kent.

Door w4rguy, dinsdag 14 februari 2012 19:10

Het blijkt maar weer. security is een andere tak van sport dan applicatie-ontwikkeling en/of systeembeheer. Beveiliging is weer eens een ondergeschoven kindje. Immers, je hebt pas wat aan beveiliging op het moment dat het al fout gaat. Als je beveiliging goed inricht zie je er niks van want komen er geen problemen.

Vraag me af wanneer alle bedrijven dit soort dingen eens standaard in de agenda gaan opnemen...

Door Kees, dinsdag 14 februari 2012 19:18

Beveiliging goed inrichten zorgt juist vaak voor meer gebruikersongemak, en dat wordt door sommige mensen als probleem ervaren. Daarom is security vaak een ondergeschoven kindje.

Door w4rguy, dinsdag 14 februari 2012 20:01

dan moet je ook beveiliging GOED inrichten. Alles dicht timmeren is alles behalve goed inrichten. Als je beveiliging inricht moet je gebruikersvriendelijkheid en de "menselijke factor"ook mee laten wegen. Als je iets keihard dicht timmert gaan mensen er omheen werken (zo creatief zijn ze dan weer wel). Belangrijkste voor informatiebeveiligers is dat je business-alignment aanhoudt. Oftewel, laat je IT aansluiten bij de eisen van de organisatie, en alles behalve andersom.

Zo is ook vaak gebleken dat "security through obscurity" niet goed werkt. Het is niet erg om te laten zien wat je doet om te beveiligen, zolang ze de details maar niet weten. Mooi voorbeeld is Tweakers.net die bijhoudt hoe zij hun bedrijfscontinuïteitsbeheer uitvoeren door middel van Project Phoenix, om maar even iets te noemen...

Door robinverl, dinsdag 14 februari 2012 21:27

"Kei hard dichttimmeren" en "omheen werken" passen mijn inziens niet in één zin.

Verder is het inderdaad in 99/100 gevallen zo dat volledige beveiliging gebruikers- of beheergemak doet verminderen.

Door Ghoztmaster, dinsdag 14 februari 2012 22:23

Eén antwoordt, men moet gewoon ISA99 norm volgen en alles is ok.

Door Biersteker, dinsdag 14 februari 2012 19:11

Dit is de search engine btw:
http://www.shodanhq.com/

edit: Ik heb deze zoekmachine neergezet om wat verduidelijking bij het artikel te geven, nu niet allemaal ipcams/scada systemem/etc etc. gaan overnemen, hoe slecht beveiligt dan ook.

trouwens ook een API voor Phyton/Ruby/Perl

[Reactie gewijzigd door Biersteker op dinsdag 14 februari 2012 22:08]

Door donny007, dinsdag 14 februari 2012 19:40

Zoek maar is op het woordje 'SCADA', 'Siemens' etc. in die zoekmachine, al zo drie apparaten gevonden waar de procesgegevens van uitleesbaar zijn.

Of probeer de zoekterm 'Linksys' maar is, dan vind je zo een paar onbeveiligde routertjes.

Met de zoekterm 'camera' kun je zo meekijken met iemand op kantoor/thuis

[Reactie gewijzigd door donny007 op dinsdag 14 februari 2012 20:05]

Door ieperlingetje, dinsdag 14 februari 2012 20:09

'k heb even een account aangemaakt, en het enige waar ik momenteel onbeveiligd op kan zijn netwerkprinters, dus lijkt mij dat de meeste bedrijven wel meteen het default password aanpassen.

Door martin149, dinsdag 14 februari 2012 20:38

Zelfs ze Tu/e is lekker bezig, ze hebben de printer ook gewoon aan het internet hangen

Door robinverl, dinsdag 14 februari 2012 21:30

So what? Een printer kan prima aan het internet hangen. Als er maar een fatsoenlijk authenticatie systeem achter zit.

Door martin149, dinsdag 14 februari 2012 21:33

dat is het em nu juist, ik kan alles doen met de labelprinter bij BMT in eindhoven, ik hoefte alleen het zeer speciale wachtwoord "1234" in te typen.

Door robinverl, dinsdag 14 februari 2012 21:36

Het probleem is dus de authenticatie, niet het internet

Want anders kun je als nog kloten als je in de buurt van het apparaat bent, of op het netwerk van de Tu/e.

Door Niemand_Anders, dinsdag 14 februari 2012 22:56

@robinvert: behalve dan dat deze printer niet alleen hangt aan het internet, maar natuurlijk ook aan het interne netwerk. Wil je thuis kunnen printen op kantoor, zorg dan voor een VPN verbinding.

KPN is gehackt via een speedtest server van WideXS. Domein isolatie is erg belangrijk. De meeste bedrijven hebben webservers direct aan het internet hangen (met een firewall er tussen) en via het interne netwerk is dan de database te benaderen. Je isoleert daarmee de database server van het internet.

Maar waarom is het speedtest netwerk niet geisoleerd van het rest van het KPN netwerk. De gemakkelijkste methodes zijn via een aparte subnet of een vlan..

Printers en scanners hebben vaak een beperkte netwerk beveiliging. Dergelijke apparaten direct aan het internet hangen is gewoon dom. Niet slordig, maar dom.

Interne netwerken zijn vaak slecht of helemaal niet beveiligd. En beheer op afstand? Wat is er mis met VPN toegang? Uiteraard is ook een VPN server te hacken alleen is dat wel een extra hobbel op de weg. Ook zal een VPN zich niet bekend maken als een SCADA machine.

Misschien wordt het tijd dat managers en/of commissarissen persoonlijk verantwoordelijk kunnen gehouden voor de beveiliging van hun stukje (publieke) infrastructuur. Want op de een of andere manier weten de bestuurders wel altijd hun eigen hachje te redden. Waarom is de burgemeester wel verantwoordelijk voor het politie korps, maar waarom is er dan geen enkele wethouder verantwoordelijk voor de beveiliging van de infrastructuur?

Door foxofinfinety, woensdag 15 februari 2012 00:05

waarom niet weet ik het antwoord wel op.
zodra de directie enkel het het woord "blokkeren" hoort, ongeacht de context, gaat het niet door.

ik werk bij een sociale werkplaat en ik mag het netwerk niet een controleren v.w.b. de beveiliging.

waarom? omdat bij voorbaat de directie al vind dat dit ongemakken zou opleveren en voor onwerkbare situaties zou zorgen.
en ja, als je het goed doet is dat niet zo, maar daar word dus gewoon niet naar geluisterd.
pas nadat alle gegevens van de directeur zelfs door gast accounts benaderbaar bleken mocht er verder gekeken worden.
tot dan, werd letterlijk gemeld dat er niet naar gezocht mocht worden, en we het moeten negeren en vergeten.

Door EdVe, dinsdag 14 februari 2012 21:50

OMG. Wat een search engine zeg. Heb al een hoop ip-telefoon gezien waar je gewoon kan inloggen met default ww. Zelfs cisco-routers zonder ww. Zit nu te kijken op een Home Control system van iemand.

Door niekje87, dinsdag 14 februari 2012 19:39

Zo moeilijk kan het toch niet zijn om dit soort systemen een stuk beter te beveilingen dan ze nu zijn? Als een willekeurige 'amateur' met behulp van een goede handleiding zijn wifi vrij goed kan beveiligen (Mac adres filter; netwerk onzichtbaar maken; lastig wachtwoord op WPA2 ofzo), dan moet het voor experts toch geen enkel probleem zijn om dit soort systemen te beveiligen op een dusdanige manier dat het voor de beheerder niet ondoenlijk lastig is bij zijn gemalen etc. te komen?

Iemand die echt binnen wil komen, komt het altijd wel, maar het is relatief eenvoudig om je netwerkverbinding dusdanig af te schermen dat in iedergeval zulke simpele aanvallen als vandaag in eenVandaag aangetoond werden, afgewend kunnen worden.

Is trouwens de stormvloedkering in de nieuwe waterweg te hacken? Dat lijkt me wel een aardig signaal afgeven, de haven even afgrendelen, kost maar een paar miljoen per uur

Door Zunflappie, dinsdag 14 februari 2012 19:47

Was ook mijn gedachte.
Krijgen we straks 20 scriptkiddies die die deuren steeds dicht laten klepperen (en weer open smijten) en zo voort.

Soort van kattenluikje

Door benji83, dinsdag 14 februari 2012 20:15

Nou, zo makkelijk gaat dat niet, die dingen hebben enkele uren nodig om dicht te gaan.
Daarbij zijn de stormvloedkeringen volledig automatisch, geen manual override voor zover ik weet, dus zal niet lukken.

Door Jurren, dinsdag 14 februari 2012 23:16

Alleen de Maeslantkering gaat volledig automatisch, de stormvloedkering heeft alleen een automatisch sluitsysteem bij menselijk falen. Bij de Maeslantkering kijken er ook gewoon mensen mee die in kunnen grijpen. Anders zou een systeembugje wel hele vervelende consequenties kunnen hebben. Ik ga er overigens van uit dat deze kritieke systemen wel goed beveiligd zijn. Polderpompen, -gemalen en -sluizen zijn wel van een andere orde dan de deltawerken. Dat hoop ik althans, zou een sterk staaltje onkunde zijn als de Maeslantkering met een default wachtwoord te sluiten zou zijn...

Door Herko_ter_Horst, dinsdag 14 februari 2012 19:57

Als een willekeurige 'amateur' met behulp van een goede handleiding zijn wifi vrij goed kan beveiligen (Mac adres filter; netwerk onzichtbaar maken; lastig wachtwoord op WPA2 ofzo)

Zolang een willekeurige amateur nog denkt dat er meer dan 1 goede beveiligingstip in jouw post staat, kunnen we beveiliging van echte systemen beter aan professionals overlaten

Meer on-topic: beveiliging moet op alle niveaus meegenomen worden. 'Achteraf nog ff de beveiling regelen' werkt niet. Projectmanagers, applicatieontwikkelaars en systeembeheerders moeten hier aandacht aan besteden vanaf dag 1.

Dit soort systemen hoort overigens gewoon simpelweg niet rechtstreeks aan internet te hangen. Er zijn prima faciliteiten om e.e.a. via bijv. een VPN te regelen zodat je niet voor elk wissewasje een mannetje naar de sluis hoeft te sturen.

[Reactie gewijzigd door Herko_ter_Horst op dinsdag 14 februari 2012 20:03]

Door niekje87, dinsdag 14 februari 2012 20:00

Door jip_86, dinsdag 14 februari 2012 19:52

Verbaast me zo ongeveer niets meer hier in dit land. Wel handig, dat je alvast de gemalen stop kan zetten als je eerder wil schaatsen bijv.

Door Golodh, dinsdag 14 februari 2012 20:09

Ik ben niet snel geschokt, maar nu dus wel. Mijn tante heeft nog een betere beveiliging op haar laptop dan dit.

Is het nou echt teveel gevraagd om een routertje tussen zo'n pomp en het Internet te zetten die:
(1) niet thuis geeft bij pings, en niet met z'n complete adres in openbare tabellen staat
(2) alleen communicatie met bepaalde vantevoren ingestelde IP adressen (en liefst ook MAC adressen) toelaat
(3) netjes om een wachtwoord vraagt voordat íe je binnenlaat
(4) wachtwoorden gebruikt die net iets subtieler zijn dan 'admin' of 'veere' (d.w.z. de gemeentenaam waar de SCADA machine staat)

Volgnes mij ben je met een simpel consumentenroutertje van 63 Euro o.i.d. al een stuk beter uit dan nu.

Werkelijk. Wat ís dit hierzo???

Door borft, woensdag 15 februari 2012 08:41

je weet dat mac adres filters op internet geen nut hebben (je kunt alleen mac adressen binnen een LAN, dus niet gerouteerd verkeer zien)? volgens mij moet je dergelijke systemen met fatsoenlijke authenticatie uitrusten. Dus niet een simpel wachtwoordje, maar bv ook met certificaten.

Door mrprozac, woensdag 15 februari 2012 10:39

Snap niet waarom ze die systemen aan een VPN hangen, veel providers bieden Layer 2/3 VPN diensten. Hierbij hoeven de systemen niet te reageren op pakketten dat via het open netwerk (internet) komt.

Door donny007, donderdag 16 februari 2012 11:23

Met een <insert netwerktoko> point-to-point vpn-setje heb je vrijwel plug-en-play een beveiligde verbinding over het internet, zelfs een routertje met DD-WRT-firmware kan het.

Het is niet duur (zeker niet als je het kostenplaatje van een mogelijke breach erbij pakt) en makkelijk op te zetten.

Door Nozem1959, dinsdag 14 februari 2012 20:14

Ik ben wel geschokt als je de gevolgen beseft!
Kortom. Cyberterrorisme.Bommen leggen hoeft niet meer. Het hebben van een PC en een internet aansluiting is voldoende om de boel onder water te zetten. En als ze dat doen bij de Deltawerken is het echt gebeurd met 60% van Nederland.Aan het werk. Want de vijand luisterd mee.Dit betreft nationale veiligheid.

[Reactie gewijzigd door Nozem1959 op dinsdag 14 februari 2012 20:18]

Door Shuriken, dinsdag 14 februari 2012 20:19

Ik vind het als IT-er te bizar voor woorden dit. Je gaat toch geen kritieke systemen rechtstreeks toegankelijk maken vanaf het internet.

Dit geeft wederom aan dat lokale overheden niet genoeg know-how in huis hebben om dit soort systemen in beheer te hebben. Een ander voorbeeld zijn natuurlijk de gemeente websites met digid.

Zorg ervoor dat je er een VPN infrastructuur nodig is om dit soort zaken te bedienen. Of iets van een twee-traps raket, waarbij je eerst op andere systeem moet inloggen.

Door Luukje01, dinsdag 14 februari 2012 21:37

het is niet erg als je je zooi gelijk aan het inernet leg. maar doe opz'n minst andere wachtwooden dan default, wat nu het probleem is.

VPN is minder, stel je kan er maar met 1 pc op. en die is niet bereik baar. en met calamiteiten is dit toch wel een vereiste.

[Reactie gewijzigd door Luukje01 op dinsdag 14 februari 2012 21:43]

Door LooneyTunes, dinsdag 14 februari 2012 23:05

VPN is minder, stel je kan er maar met 1 pc op. en die is niet bereik baar. en met calamiteiten is dit toch wel een vereiste.

Lijkt me dat je dit soort verbindingen vanuit meldkamers (24/7 bezet) laat regelen.
Niet bij die ene ambtenaar op zijn werkplek

En een VPN kan je natuurlijk via verschillende PC's opzetten.

Door Jurren, dinsdag 14 februari 2012 23:33

Goede beveiliging heeft geen 24/7 menselijke bewaking nodig, en een security expert kan heel goed een ambtenaar op zijn werkplek zijn, dus ik vat je punt niet helemaal.
Maar een VPN met two-factor authentication is echt niet moeilijk op te zetten en inderdaad gewoon overal vandaan prima en snel bruikbaar. En bij een standaard stand-by regeling moet je ook gewoon ter plaatse kunnen gaan. Bij echte calamiteiten is dat vaak sowieso slim.

Door benji83, dinsdag 14 februari 2012 20:19

Dit krijg je met een maatschappij waarin de technologie zich sneller ontwikkeld dan degenen die de systemen moeten bijhouden.
Hoe oud zijn die systemen al? Wanneer zijn deze voor het laatst vervangen/geüpgraded? Wanneer is er voor het laatst een echte beveiligingsaudit gedaan?

Ik denk dat dit nog maar het topje van de ijsberg is, wat we hier te horen krijgen.
In een tijd waarin alles gehacked word moet je zorgen dat je alle puntjes op de i hebt staan. Is een systeem wat niet goed te beveiligen is dus niet meer rendabel en moet vervangen worden.

Door niekje87, dinsdag 14 februari 2012 20:21

Heeft iemand eigenlijk al getest of alles nog open staat? Als het meezit is éénvandaag eerst met de beheerders van die gemalen gaan praten voor ze de reportage uitzonden. Wellicht is er al beterschap geweest, anders is het een kwestie van elke week een onbewoond poldertje (bijna) onder water zetten totdat de beveiling verbeterd wordt. Al vrees ik dat degene die de de 'waarschuwingshacks' pleegt eerder opgepakt en vastgezet wordt wegens cyberterrorisme, dan dat de overheden reageren.

« 1 2 »

Op dit item kan niet meer gereageerd worden.

20:02	Cisco: mobiel dataverbruik achttien keer hoger over vier jaar
18:14	Citrix brengt CloudStack 3 uit

Nieuws I/O

Shortcuts

Categorieën

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

27-05 Nieuws

07:28 Productreviews

08:09 Vraag & Aanbod

25-05 Jobs

20:30 Etc.

07:44 Reacties

08:15 Forum

25-05 Gesponsorde acties

01:46 Tweakblogs

26-05 Computable headlines

25-05 CRN headlines