Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties, 15.227 views •

Volgens een Russische beveiligingsonderzoeker bevatten de scada-systemen van Siemens die door de Stuxnet-malware werden aangevallen nog steeds tal van fouten. Zijn team van onderzoekers vond meer dan vijftig beveiligingsproblemen.

De Russische beveiligingsonderzoeker Sergey Gordeychik zou eigenlijk al tijdens de Def Con-beveiligingsconferentie in Las Vegas, afgelopen juli, over de beveiligingsproblemen in de Siemens-systemen vertellen, maar op verzoek van Siemens gelastte hij zijn presentatie af. Nu heeft Gordeychik op een conferentie in Seoul alsnog een presentatie gegeven, schrijft Computerworld.

Gordeychik onderzocht de WinCC-systemen van Siemens op beveiligingsproblemen. Die systemen worden gebruikt om industriële processen aan te sturen en staan ook bekend als scada-systemen. Dergelijke systemen worden gebruikt op kritieke plaatsen, zoals waterzuiveringsinstallaties en energiecentrales. Deze systemen van Siemens werden bovendien gebruikt voor het verrijken van uranium in Iran, waar ze werden aangevallen door het Stuxnet-virus. Over het algemeen wordt aangenomen dat de Verenigde Staten en Israël achter dat virus zaten.

Het team van Gordeychik vond meer dan vijftig beveiligingsproblemen in de WinCC-systemen. Veel van de kwetsbaarheden zouden kwaadwillenden in staat stellen om een systeem op afstand over te nemen. Omdat Siemens de kwetsbaarheden nog niet heeft gepatcht, blijven de onderzoekers vaag over de technische details.

Sommige van de kwetsbaarheden zijn aanwezig in WebNavigator, de webinterface voor de WinCC-systemen. Volgens Gleb Gritsai, een collega van Gordeychik, is het niet ongebruikelijk dat medewerkers van bijvoorbeeld kerncentrales toegang hebben tot de rest van het internet vanaf de computer waarop ze ook WinCC-systemen beheren.

Reacties (27)

Reactiefilter:-127026+119+24+30
Moderatie-faq Wijzig weergave
niet te vergeten de heuristics die vervolgens cruciale data van je hdd wist ;)
Ik meen me iets te herinneren over Fukishima en het daar niet toepassen van een zwaartekracht beveiliging? Mocht de spanning wegvallen werd daar de centrale niet automatisch veilig gesteld.

Wie weet wat die Iraniers wel niet gefabriceerd hebben daar.


Disclaimer: Af en toe praat ik poep, het is half 5 smorgens dus ik ga even geen bronnen zoeken.
Het systeem zelf hoeft niet 'kapot' gemaakt te worden maar het tijdelijk stilleggen van bijvoorbeeld alle electriciteitscentrales zorgt er wel voor dat een land effectief toch stilligt zolang.

Het hangt allemaal ervan af hoe die failguards werken en of die preventief of post-changed-setting ingrijpen, ik neem aan dat een kern reactor afgesloten kan worden met een procedure, die oproepen is genoeg in principe (samen met normale output simuleren om menselijk ingrijpen uit te stellen).

Het is ook een slechte overlevingsstrategie als virus -je host slopen- systematisch slecht centrifugeren lijkt mij efficiŽnter samen met onder detectie kruipen.

[Reactie gewijzigd door analog_ op 9 november 2012 01:41]

Mischien klinkt het voor jouw raar.
Op mijn werk staan deze systemen ook. En ik kan er ook het internet me op. Echter meestal hangt de kabel eruit. Maar als ik echt zal willen kan ik ermee internetten.
Het wordt hier gebruikt om de software van het Controle systeem te updaten.
Sommige fabrikanten bijvoorbeeld van de diesels of de frequentie converters.
Loggen ook in, om settings te veranderen of mee te helpen storing zoeken.
En dat midden op de oceaan.
Ik zeg welkom in de 21ste eeuw.
Lekker kort door de bocht weer. Iemand probeert even uit de doos te denken of mag je alleen reageren als je er 100 % technisch of inhoudelijk er vanaf weet.

In het verleden zijn vaker zaken gebeurd die het dag licht niet hebben kunnen dragen, ik zegge de ontvoeringen van mensen in diverse landen door de Amerikanen.

Vind de opmerking redelijk gemaakt van mvdejong gezien dit onderwerp.
Siemens heeft vermoedelijk van de VS te verstaan gekregen dat het dichten van de beveiligingslekken niet wordt gewaardeerd en tot een scherp dalende verkoop van Siemens-producten in de VS en de kontlikkende landen zal leiden.
Wel als het om systemen gaat die in Iran staan.
Of denk ik nou teveel in complottheorieŽn.
Als die aanval op die verrijkingsinstallatie niet was gelukt hadden ze misschien nu al een atoombom gehad of gebruikt.
Wat dacht je van de olie/gas industrie? Daar zijn zowel Siemens als de andere partijen zeer actief in. Daar moet Siemens ook aan hoge standaarden voldoen. Ik begrijp niet echt waar Siemens hierin faalt. Bedrijfsnetwerk en control netwerk moet zo goed mogelijk beveiligd zijn, daar waar Siemens misschien iets niet goed doet? Iemand met zijn stickie op een platform kan iedereen ellende veroorzaken namelijk.
De meeste engeneerings PC hangen niet rechtstreeks aan het internet ( bij alle bedrijven waar ik over de vloer kom in iedergeval niet). Het grote probleem is USB-sticks in combinatie met ontbrekende virusscanners. Want reken er maar op dat er heel weinig engineerings pc's zijn met virus scanners.
Om de simpele reden dat een virusscanner nogal flink wat resources van zo'n systeem vreet. Laten de meeste engineerings-PC's ook tegenwoordig nog redelijk verouderde machines zijn (een bedrijf vervangt zijn Pentium 4 niet als ie ouder dan 2 jaar is) en een moderne virusscanner vreet dus flink wat geheugen en CPU-tijd van zo'n ding op.

Edit: Ik heb het nu dus wel over de SCADA systemen, waar ik regelmatig nog P4's op Windows 2000 tegen kom. De rekenkanonnen die op R&D worden gebruikt zijn weer een heel ander verhaal ;)

Laat er nu net van die mooie real-time software op zo'n engineerings-PC draaien die liever geen CPU-cycle wil missen. Als daar een virusscanner tussendoor gaat zitten storen kan het nog wel eens leuk mis gaan, zoals complete processen die stilvallen omdat ze hun setpoints missen of omdat de PC helemaal niks meer van zich laat horen.

[Reactie gewijzigd door Stoney3K op 8 november 2012 21:45]

Want reken er maar op dat er heel weinig engineerings pc's zijn met virus scanners.
OT, maar gezien de virusscanners die in de meeste bedrijven geÔnstalleerd wordt, is het geen wonder dat die uitgeschakeld worden (ik doe dat ook). Een niet-lineaire eindige-elementenanalyse van een enigszins serieus model dumpt al gauw enkele honderden gigabytes tot enkele terrabytes op schijf tijdens zijn berekening. Die software is daarom goed geoptimaliseerd om de berekening in steeds kleinere stukken te hakken die in de verschillende geheugengebieden passen (cpu, cache, mem, hdd, ...) om ondanks de enorme hoeveelheid data nog min of meer te presteren. Een virusscanner daar tussen die alles wat er op de schijf landt even wil scannen, verhoogt daardoor in de praktijk de rekentijd met een factor tien of meer. En als je op een high-end machine al enkele dagen moet wachten, is dat een probleem...

Of je op zo'n machine moet (kunnen) surfen is een andere vraag natuurlijk. Hier kunnen die dingen aan (wel gescande) netwerkschijven en de licentieserver en that's it.
Valt mee hoor. Er zijn voldoende bedrijven die zich aan zeer strakke procedures houden (Invensys, Honeywell, Yokogawa) waar klant bepaalde It standaarden hanteren die soms nog hoger liggen dan nodig is middels end point Security etc. Siemens laat hier blijkbaar gewoon een steek vallen.
Misschien komt dat ook doordat die andere 3 bedrijven zich veel meer bezighouden met defensie- en luchtvaarttoepassingen, terwijl dat bij Siemens een veel minder grote markt is. Siemens zit dan weer meer in de scheepvaart, zware industrie en spoorwegtechniek.

Op een systeem van een defense contractor zoals Thales zul je ook echt niet binnen komen tenzij je er met een moker op slaat.
Dit zou ik toch eerder durven weerleggen, vaak is het zo dat de pc's die wincc draaien perfect kunnen dienen om de nodige forceringen en bruggen aan te brengen in de plc waardoor je half je installatie in de puin kan sturen.

Bij ons is de regel, skada pc van een installatie overnemen mag van op afstand maar enkel voor monitoring of ten minste 1 iemand die ter plaatse de situatie van de installatie irl kan observeren.

weet natuurlijk niet hoe het bij andere bedrijven is maar bij ons kan je in de wincc applicatie wel degelijk inloggen als "poweruser" en alle veiligheden desgewenst overrulen.
Siemens heeft vermoedelijk van de VS te verstaan gekregen dat het dichten van de beveiligingslekken niet wordt gewaardeerd en tot een scherp dalende verkoop van Siemens-producten in de VS en de kontlikkende landen zal leiden.
Heb je ook maar enige bron van dit behalve je eigen duimpje? Met een beetje nadenken besef je toch wel dat Siemens daarmee de US regering geweldig kan afpersen.

Waarom moeten dit soort samenzweringstheorieen toch altijd weer de kop opsteken op Tweakers.net? Meestal zijn ze behoorlijk stupide en zelfs voor iemand die van niets weet maar wel een gezond verstand heeft door te prikken.
Valt mee hoor. Er zijn voldoende bedrijven die zich aan zeer strakke procedures houden (Invensys, Honeywell, Yokogawa) waar klant bepaalde It standaarden hanteren die soms nog hoger liggen dan nodig is middels end point Security etc. Siemens laat hier blijkbaar gewoon een steek vallen.
Die virussen werden onder andere gebruikt om de frequentie van de centrifuges voor opwerking van uranium aan te passen waardoor ze snel stuk gingen.

Neem aan dat ze vanaf de interfaces ook dingen kunnen bestellen als er iets niet helemaal lekker loopt. Een terrorist kan misschien kleppen sluiten terwijl er pompen staan te draaien en de druk erg oploopt.
De meeste engeneerings PC hangen niet rechtstreeks aan het internet ( bij alle bedrijven waar ik over de vloer kom in iedergeval niet). Het grote probleem is USB-sticks in combinatie met ontbrekende virusscanners. Want reken er maar op dat er heel weinig engineerings pc's zijn met virus scanners.

En als er al remote toegang is op de HMI of engineerings pc dan is dat toch minimaal via 1 server (nooit rechtstreeks) om remote te werken en is data overdracht onmogelijk.
Een hoop van deze systemen (lees vrijwel allemaal) zijn geleverd in een tijd dat security gewoon simpelweg geen eis van de klant was of dat het belang ervan volledig onderschat werd. Dan heb je als vendor ook geen enkele motivatie om security toe te passen natuurlijk. Security is echt pas de laatste twee a drie jaar binnen de industrie een hot issue geworden, en dan meer een hete aardappel die snel rondgeschoven wordt. Downtime door security patches of een firewall die moeilijk doet is gewoonweg niet acceptabel. Er zijn plants bij die je gewoon niet uit kan zetten omdat ze dan stuk gaan...
Dit virus was dan ook op de systemen gekomen doordat ze USB sticks overhevelde vanaf besmette systemen.

nieuws: 'Stuxnet werd door infiltrant via usb-stick verspreid'
Als ik die lijst doorkijk dan lijkt het me stug dat het gebruikelijk is dat medewerkers toegang tot internet hebben op dezelfde machines.
Simpel weg omdat de meeste systemen dusdanig oud zijn en die machines zijn helemaal niet geschikt om op internet te komen. Met IE 4 WIL je niet op internet, terwijl er nogal wat kerncentrales in de jaren 80-90 zijn gebouwd.

Het is voor iedereen veel simpeler om er gewoon een 'normale' desktop naast te zetten dan de 2 systemen op 'dezelfde' machine te zetten.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True