Onderzoeker: 'Stuxnet-systemen' Siemens nog steeds onveilig
Volgens een Russische beveiligingsonderzoeker bevatten de scada-systemen van Siemens die door de Stuxnet-malware werden aangevallen nog steeds tal van fouten. Zijn team van onderzoekers vond meer dan vijftig beveiligingsproblemen.
De Russische beveiligingsonderzoeker Sergey Gordeychik zou eigenlijk al tijdens de Def Con-beveiligingsconferentie in Las Vegas, afgelopen juli, over de beveiligingsproblemen in de Siemens-systemen vertellen, maar op verzoek van Siemens gelastte hij zijn presentatie af. Nu heeft Gordeychik op een conferentie in Seoul alsnog een presentatie gegeven, schrijft Computerworld.
Gordeychik onderzocht de WinCC-systemen van Siemens op beveiligingsproblemen. Die systemen worden gebruikt om industriële processen aan te sturen en staan ook bekend als scada-systemen. Dergelijke systemen worden gebruikt op kritieke plaatsen, zoals waterzuiveringsinstallaties en energiecentrales. Deze systemen van Siemens werden bovendien gebruikt voor het verrijken van uranium in Iran, waar ze werden aangevallen door het Stuxnet-virus. Over het algemeen wordt aangenomen dat de Verenigde Staten en Israël achter dat virus zaten.
Het team van Gordeychik vond meer dan vijftig beveiligingsproblemen in de WinCC-systemen. Veel van de kwetsbaarheden zouden kwaadwillenden in staat stellen om een systeem op afstand over te nemen. Omdat Siemens de kwetsbaarheden nog niet heeft gepatcht, blijven de onderzoekers vaag over de technische details.
Sommige van de kwetsbaarheden zijn aanwezig in WebNavigator, de webinterface voor de WinCC-systemen. Volgens Gleb Gritsai, een collega van Gordeychik, is het niet ongebruikelijk dat medewerkers van bijvoorbeeld kerncentrales toegang hebben tot de rest van het internet vanaf de computer waarop ze ook WinCC-systemen beheren.
Reacties (27)
"Volgens Gleb Gritsai, een collega van Gordeychik, is het niet ongebruikelijk dat medewerkers van bijvoorbeeld kerncentrales toegang hebben tot de rest van het internet vanaf de computer waarop ze ook WinCC-systemen beheren."
Alleen dat al is zorgwekkend te noemen, zodra normale werknemers al toegang hebben tot het internet op zulke systemen mag je jezelf toch echt wel achter de oren krappen waarom dit niet bij het testen, tenminste mag ervan uitgaan dat er wordt getest bij zulke systemen, naar voren komt.
Alleen dat al is zorgwekkend te noemen, zodra normale werknemers al toegang hebben tot het internet op zulke systemen mag je jezelf toch echt wel achter de oren krappen waarom dit niet bij het testen, tenminste mag ervan uitgaan dat er wordt getest bij zulke systemen, naar voren komt.
dit zijn zorgwekkende situaties, je wilt toch niet dat zulke systemen aangevallen kunnen worden?
Dat is waar. Maar het is nu ook niet zo dat met 1 klik op de knop van een overgenomen pc, een kerncentrale kan doen ontploffen. Het is vooral monitoring.
Die virussen werden onder andere gebruikt om de frequentie van de centrifuges voor opwerking van uranium aan te passen waardoor ze snel stuk gingen.
Neem aan dat ze vanaf de interfaces ook dingen kunnen bestellen als er iets niet helemaal lekker loopt. Een terrorist kan misschien kleppen sluiten terwijl er pompen staan te draaien en de druk erg oploopt.
Neem aan dat ze vanaf de interfaces ook dingen kunnen bestellen als er iets niet helemaal lekker loopt. Een terrorist kan misschien kleppen sluiten terwijl er pompen staan te draaien en de druk erg oploopt.
Verwacht maar niet dat kritieke systemen van zo'n proces alleen aan een PLC hangen. PLC's kunnen namelijk ook door meer oorzaken op hol slaan dan alleen een virusinfectie, denk maar aan een simpele software-bugDie virussen werden onder andere gebruikt om de frequentie van de centrifuges voor opwerking van uranium aan te passen waardoor ze snel stuk gingen.
Neem aan dat ze vanaf de interfaces ook dingen kunnen bestellen als er iets niet helemaal lekker loopt. Een terrorist kan misschien kleppen sluiten terwijl er pompen staan te draaien en de druk erg oploopt.
Als het echt om veiligheids-kritieke processen gaat hebben die mechanische safeguards die (bewust) óm het elektronische regelsysteem heen functioneren, om juist een storing in de elektronische regeling op te kunnen vangen. Vaak worden er ook meerdere PLC's tegelijk gebruikt die elkaar constant in de gaten houden -- mochten de meetwaarden van 2 systemen die hetzelfde proces aansturen niet overeen komen, dan wordt gelijk het proces afgesloten en valt de centrale hooguit stil.
Mochten de digitale en (analoge) elektronische safeguards falen, dan grijpen er nog altijd mechanische beveiligingen zoals overdrukventielen of eindschakelaars in als het écht dreigt mis te gaan. Daar zijn centrales uitgebreid op getest, als de beveiligingen níet zouden werken dan mocht er niet eens uranium in het reactorvat worden geplaatst.
Vergelijk het met een heel simpel voorbeeld van een lift: Die wordt aangestuurd door een elektronisch regelsysteem (de knopjes waar je op drukt) maar er zit een mechanisch remsysteem op dat ingrijpt als de lift te veel versnelling ondervindt. Dat kan gebeuren doordat één van de liftkabels knapt, of doordat de regeling op hol slaat en de liftmotor gewoon keihard laat draaien. Hooguit grijpt er dan een noodrem in en zit je vast -- Als er geen werkende noodrem op zit mag het ook niet worden gebruikt als personenlift.
Dus je kan hooguit een hoop (economische) schade aanrichten in een industrieel proces door het met een botte bijl lam te leggen en een paar mooie storingen te veroorzaken, maar een melt-down veroorzaken met een virusje vanaf een laptopje is gewoon technisch niet mogelijk. Hoe graag Hollywood het je ook wil laten geloven.
Het systeem zelf hoeft niet 'kapot' gemaakt te worden maar het tijdelijk stilleggen van bijvoorbeeld alle electriciteitscentrales zorgt er wel voor dat een land effectief toch stilligt zolang.
Het hangt allemaal ervan af hoe die failguards werken en of die preventief of post-changed-setting ingrijpen, ik neem aan dat een kern reactor afgesloten kan worden met een procedure, die oproepen is genoeg in principe (samen met normale output simuleren om menselijk ingrijpen uit te stellen).
Het is ook een slechte overlevingsstrategie als virus -je host slopen- systematisch slecht centrifugeren lijkt mij efficiënter samen met onder detectie kruipen.
Het hangt allemaal ervan af hoe die failguards werken en of die preventief of post-changed-setting ingrijpen, ik neem aan dat een kern reactor afgesloten kan worden met een procedure, die oproepen is genoeg in principe (samen met normale output simuleren om menselijk ingrijpen uit te stellen).
Het is ook een slechte overlevingsstrategie als virus -je host slopen- systematisch slecht centrifugeren lijkt mij efficiënter samen met onder detectie kruipen.
[Reactie gewijzigd door analog_ op vrijdag 9 november 2012 01:41]
Ik meen me iets te herinneren over Fukishima en het daar niet toepassen van een zwaartekracht beveiliging? Mocht de spanning wegvallen werd daar de centrale niet automatisch veilig gesteld.
Wie weet wat die Iraniers wel niet gefabriceerd hebben daar.
Disclaimer: Af en toe praat ik poep, het is half 5 smorgens dus ik ga even geen bronnen zoeken.
Wie weet wat die Iraniers wel niet gefabriceerd hebben daar.
Disclaimer: Af en toe praat ik poep, het is half 5 smorgens dus ik ga even geen bronnen zoeken.
Dit zou ik toch eerder durven weerleggen, vaak is het zo dat de pc's die wincc draaien perfect kunnen dienen om de nodige forceringen en bruggen aan te brengen in de plc waardoor je half je installatie in de puin kan sturen.
Bij ons is de regel, skada pc van een installatie overnemen mag van op afstand maar enkel voor monitoring of ten minste 1 iemand die ter plaatse de situatie van de installatie irl kan observeren.
weet natuurlijk niet hoe het bij andere bedrijven is maar bij ons kan je in de wincc applicatie wel degelijk inloggen als "poweruser" en alle veiligheden desgewenst overrulen.
Bij ons is de regel, skada pc van een installatie overnemen mag van op afstand maar enkel voor monitoring of ten minste 1 iemand die ter plaatse de situatie van de installatie irl kan observeren.
weet natuurlijk niet hoe het bij andere bedrijven is maar bij ons kan je in de wincc applicatie wel degelijk inloggen als "poweruser" en alle veiligheden desgewenst overrulen.
Wel als het om systemen gaat die in Iran staan.
Of denk ik nou teveel in complottheorieën.
Als die aanval op die verrijkingsinstallatie niet was gelukt hadden ze misschien nu al een atoombom gehad of gebruikt.
Of denk ik nou teveel in complottheorieën.
Als die aanval op die verrijkingsinstallatie niet was gelukt hadden ze misschien nu al een atoombom gehad of gebruikt.
ik denk dat je krabben bedoeld. 
Als ik die lijst doorkijk dan lijkt het me stug dat het gebruikelijk is dat medewerkers toegang tot internet hebben op dezelfde machines.
Simpel weg omdat de meeste systemen dusdanig oud zijn en die machines zijn helemaal niet geschikt om op internet te komen. Met IE 4 WIL je niet op internet, terwijl er nogal wat kerncentrales in de jaren 80-90 zijn gebouwd.
Het is voor iedereen veel simpeler om er gewoon een 'normale' desktop naast te zetten dan de 2 systemen op 'dezelfde' machine te zetten.
Dit virus was dan ook op de systemen gekomen doordat ze USB sticks overhevelde vanaf besmette systemen.
nieuws: 'Stuxnet werd door infiltrant via usb-stick verspreid'
nieuws: 'Stuxnet werd door infiltrant via usb-stick verspreid'
Het hele verhaal achter de ontdekking van stuxnet is vreselijk goed leesvoer:
http://www.wired.com/thre...s-deciphered-stuxnet/all/
http://www.wired.com/thre...s-deciphered-stuxnet/all/
Mischien klinkt het voor jouw raar.
Op mijn werk staan deze systemen ook. En ik kan er ook het internet me op. Echter meestal hangt de kabel eruit. Maar als ik echt zal willen kan ik ermee internetten.
Het wordt hier gebruikt om de software van het Controle systeem te updaten.
Sommige fabrikanten bijvoorbeeld van de diesels of de frequentie converters.
Loggen ook in, om settings te veranderen of mee te helpen storing zoeken.
En dat midden op de oceaan.
Ik zeg welkom in de 21ste eeuw.
Op mijn werk staan deze systemen ook. En ik kan er ook het internet me op. Echter meestal hangt de kabel eruit. Maar als ik echt zal willen kan ik ermee internetten.
Het wordt hier gebruikt om de software van het Controle systeem te updaten.
Sommige fabrikanten bijvoorbeeld van de diesels of de frequentie converters.
Loggen ook in, om settings te veranderen of mee te helpen storing zoeken.
En dat midden op de oceaan.
Ik zeg welkom in de 21ste eeuw.
Siemens heeft vermoedelijk van de VS te verstaan gekregen dat het dichten van de beveiligingslekken niet wordt gewaardeerd en tot een scherp dalende verkoop van Siemens-producten in de VS en de kontlikkende landen zal leiden.
Heb je ook maar enige bron van dit behalve je eigen duimpje? Met een beetje nadenken besef je toch wel dat Siemens daarmee de US regering geweldig kan afpersen.Siemens heeft vermoedelijk van de VS te verstaan gekregen dat het dichten van de beveiligingslekken niet wordt gewaardeerd en tot een scherp dalende verkoop van Siemens-producten in de VS en de kontlikkende landen zal leiden.
Waarom moeten dit soort samenzweringstheorieen toch altijd weer de kop opsteken op Tweakers.net? Meestal zijn ze behoorlijk stupide en zelfs voor iemand die van niets weet maar wel een gezond verstand heeft door te prikken.
Lekker kort door de bocht weer. Iemand probeert even uit de doos te denken of mag je alleen reageren als je er 100 % technisch of inhoudelijk er vanaf weet.
In het verleden zijn vaker zaken gebeurd die het dag licht niet hebben kunnen dragen, ik zegge de ontvoeringen van mensen in diverse landen door de Amerikanen.
Vind de opmerking redelijk gemaakt van mvdejong gezien dit onderwerp.
In het verleden zijn vaker zaken gebeurd die het dag licht niet hebben kunnen dragen, ik zegge de ontvoeringen van mensen in diverse landen door de Amerikanen.
Vind de opmerking redelijk gemaakt van mvdejong gezien dit onderwerp.
Een hoop van deze systemen (lees vrijwel allemaal) zijn geleverd in een tijd dat security gewoon simpelweg geen eis van de klant was of dat het belang ervan volledig onderschat werd. Dan heb je als vendor ook geen enkele motivatie om security toe te passen natuurlijk. Security is echt pas de laatste twee a drie jaar binnen de industrie een hot issue geworden, en dan meer een hete aardappel die snel rondgeschoven wordt. Downtime door security patches of een firewall die moeilijk doet is gewoonweg niet acceptabel. Er zijn plants bij die je gewoon niet uit kan zetten omdat ze dan stuk gaan...
WinCC is een visualisatiepakket waarmee je hmi's programmeert. De Step7 suite bestaat altijd uit Step7 manager: daar schrijf je de plc code in en definieer je de hardware in het systeem. Dit is uitbreidbaar met distributed safety en/of WinCC.
De desktopsoftware waarmee de plc's en hmi's worden geprogrammeerd en gemonitord draait gewoon op windows xp / vista of 7. Die systemen hebben waarschijnlijk wel gewoon toegang tot internet.
Het is ook mogelijk om lokaal een runtime te draaien van je WinCC project, als je code schrijft die dat kan beïnvloeden kun je dus ook invloed uitoefenen op de kerncentrale.
Er zijn bovendien java libraries beschikbaar waarmee je direct in een plc geheugen (en dus I/O) kan beïnvloeden, op voorwaarde dat je je in het lokale netwerk bevindt.
De desktopsoftware waarmee de plc's en hmi's worden geprogrammeerd en gemonitord draait gewoon op windows xp / vista of 7. Die systemen hebben waarschijnlijk wel gewoon toegang tot internet.
Het is ook mogelijk om lokaal een runtime te draaien van je WinCC project, als je code schrijft die dat kan beïnvloeden kun je dus ook invloed uitoefenen op de kerncentrale.
Er zijn bovendien java libraries beschikbaar waarmee je direct in een plc geheugen (en dus I/O) kan beïnvloeden, op voorwaarde dat je je in het lokale netwerk bevindt.
De meeste engeneerings PC hangen niet rechtstreeks aan het internet ( bij alle bedrijven waar ik over de vloer kom in iedergeval niet). Het grote probleem is USB-sticks in combinatie met ontbrekende virusscanners. Want reken er maar op dat er heel weinig engineerings pc's zijn met virus scanners.
En als er al remote toegang is op de HMI of engineerings pc dan is dat toch minimaal via 1 server (nooit rechtstreeks) om remote te werken en is data overdracht onmogelijk.
En als er al remote toegang is op de HMI of engineerings pc dan is dat toch minimaal via 1 server (nooit rechtstreeks) om remote te werken en is data overdracht onmogelijk.
OT, maar gezien de virusscanners die in de meeste bedrijven geïnstalleerd wordt, is het geen wonder dat die uitgeschakeld worden (ik doe dat ook). Een niet-lineaire eindige-elementenanalyse van een enigszins serieus model dumpt al gauw enkele honderden gigabytes tot enkele terrabytes op schijf tijdens zijn berekening. Die software is daarom goed geoptimaliseerd om de berekening in steeds kleinere stukken te hakken die in de verschillende geheugengebieden passen (cpu, cache, mem, hdd, ...) om ondanks de enorme hoeveelheid data nog min of meer te presteren. Een virusscanner daar tussen die alles wat er op de schijf landt even wil scannen, verhoogt daardoor in de praktijk de rekentijd met een factor tien of meer. En als je op een high-end machine al enkele dagen moet wachten, is dat een probleem...Want reken er maar op dat er heel weinig engineerings pc's zijn met virus scanners.
Of je op zo'n machine moet (kunnen) surfen is een andere vraag natuurlijk. Hier kunnen die dingen aan (wel gescande) netwerkschijven en de licentieserver en that's it.
niet te vergeten de heuristics die vervolgens cruciale data van je hdd wist 
Om de simpele reden dat een virusscanner nogal flink wat resources van zo'n systeem vreet. Laten de meeste engineerings-PC's ook tegenwoordig nog redelijk verouderde machines zijn (een bedrijf vervangt zijn Pentium 4 niet als ie ouder dan 2 jaar is) en een moderne virusscanner vreet dus flink wat geheugen en CPU-tijd van zo'n ding op.De meeste engeneerings PC hangen niet rechtstreeks aan het internet ( bij alle bedrijven waar ik over de vloer kom in iedergeval niet). Het grote probleem is USB-sticks in combinatie met ontbrekende virusscanners. Want reken er maar op dat er heel weinig engineerings pc's zijn met virus scanners.
Edit: Ik heb het nu dus wel over de SCADA systemen, waar ik regelmatig nog P4's op Windows 2000 tegen kom. De rekenkanonnen die op R&D worden gebruikt zijn weer een heel ander verhaal
Laat er nu net van die mooie real-time software op zo'n engineerings-PC draaien die liever geen CPU-cycle wil missen. Als daar een virusscanner tussendoor gaat zitten storen kan het nog wel eens leuk mis gaan, zoals complete processen die stilvallen omdat ze hun setpoints missen of omdat de PC helemaal niks meer van zich laat horen.
[Reactie gewijzigd door Stoney3K op donderdag 8 november 2012 21:45]
Ik sta hier niet echt van te kijken. De titel van dit artikel had net zo goed (gebaseerd op mijn professionele ervaring) "SCADA systemen nog steeds onveilig" kunnen heten.
Los van het feit dat veel van die systemen nooit ontwikkeld zijn met veiligheid in het achterhoofd, komt het ook vaak voor dat ze geïnstalleerd staan op PC"s die nooit meer onderhouden worden: de installateur komt misschien af en toe langs, maar zal bijna nooit updates draaien (anders werkt het misschien niet meer aan het eind van de dag) en de ICT afdeling houdt zich er (wijselijk) verre van.
En zo heb je dan opeens een Windows 2000 SP1 machine met VNC en de complete besturing van je apparatuur (b.v. voor klimaatbeheersing, energieopwekking of rioleringspompen) aan het internet hangen... En dat is dan alleen nog maar de bedieningskant. De PLC kant (= de hardware die alles direct aanstuurt) kan nog veel geniepiger gemanipuleerd worden, zoals Stuxnet aantoonde.
Los van het feit dat veel van die systemen nooit ontwikkeld zijn met veiligheid in het achterhoofd, komt het ook vaak voor dat ze geïnstalleerd staan op PC"s die nooit meer onderhouden worden: de installateur komt misschien af en toe langs, maar zal bijna nooit updates draaien (anders werkt het misschien niet meer aan het eind van de dag) en de ICT afdeling houdt zich er (wijselijk) verre van.
En zo heb je dan opeens een Windows 2000 SP1 machine met VNC en de complete besturing van je apparatuur (b.v. voor klimaatbeheersing, energieopwekking of rioleringspompen) aan het internet hangen... En dat is dan alleen nog maar de bedieningskant. De PLC kant (= de hardware die alles direct aanstuurt) kan nog veel geniepiger gemanipuleerd worden, zoals Stuxnet aantoonde.
Valt mee hoor. Er zijn voldoende bedrijven die zich aan zeer strakke procedures houden (Invensys, Honeywell, Yokogawa) waar klant bepaalde It standaarden hanteren die soms nog hoger liggen dan nodig is middels end point Security etc. Siemens laat hier blijkbaar gewoon een steek vallen.
Misschien komt dat ook doordat die andere 3 bedrijven zich veel meer bezighouden met defensie- en luchtvaarttoepassingen, terwijl dat bij Siemens een veel minder grote markt is. Siemens zit dan weer meer in de scheepvaart, zware industrie en spoorwegtechniek.Valt mee hoor. Er zijn voldoende bedrijven die zich aan zeer strakke procedures houden (Invensys, Honeywell, Yokogawa) waar klant bepaalde It standaarden hanteren die soms nog hoger liggen dan nodig is middels end point Security etc. Siemens laat hier blijkbaar gewoon een steek vallen.
Op een systeem van een defense contractor zoals Thales zul je ook echt niet binnen komen tenzij je er met een moker op slaat.
Wat dacht je van de olie/gas industrie? Daar zijn zowel Siemens als de andere partijen zeer actief in. Daar moet Siemens ook aan hoge standaarden voldoen. Ik begrijp niet echt waar Siemens hierin faalt. Bedrijfsnetwerk en control netwerk moet zo goed mogelijk beveiligd zijn, daar waar Siemens misschien iets niet goed doet? Iemand met zijn stickie op een platform kan iedereen ellende veroorzaken namelijk.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
