Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties, 26.704 views •

Beveiligingsonderzoekers hebben op de CCC-beveiligingsconferentie in Hamburg twintig nieuwe kwetsbaarheden in scada-systemen onthuld. Dergelijke systemen worden onder meer in kerncentrales en andere kritieke infrastructuur gebruikt.

Op de CCC-conferentie in Hamburg, waar Tweakers aanwezig is, claimden de onderzoekers van de onderzoeksgroep Scada Strange Love dat ze verschillende kwetsbaarheden in scada-systemen van Siemens hebben aangetroffen. De onderzoekers zeggen specifiek systemen van Siemens onder de loep te hebben genomen vanwege het grote marktaandeel dat de fabrikant heeft. Scada-systemen worden gebruikt om industriële processen in de gaten te houden en aan te sturen.

Een groot deel van de ontdekte kwetsbaarheden zitten in Simatic WinCC-systemen, die onder meer worden gebruikt in kerncentrales en andere kritieke infrastructuur: het waren deze systemen die in 2010 in Iran werden aangevallen door het Stuxnet-virus. Een van de aangetroffen kwetsbaarheden betrof een hardcoded-encryptie-key die aanwezig was in de broncode van het het besturingssysteem van een bepaald scada-apparaat van Siemens.

De onderzoekers vonden in totaal twintig beveiligingsproblemen. Een groot deel daarvan werd gevonden in web-interfaces waarmee de apparaten kunnen worden bediend. Zo waren er kwetsbaarheden voor sql-injectie, cross site scripting en cross site request forgery aanwezig. Die kwetsbaarheden maken het mogelijk voor aanvallers om via een aanval eigen commando's uit te voeren op een scada-systeem van Siemens, zoals de onderzoekers lieten zien tijdens een vooraf opgenomen demonstratie.

Het risico van cross site scripting en cross site request forgery moet daarbij niet worden onderschat, zeggen de onderzoekers. Beide technieken zijn alleen te misbruiken als een potentieel slachtoffer ofwel ertoe wordt verleid om op een malafide link te klikken, die vervolgens commando's uitvoert op het scada-systeem, ofwel een website bezoeken die een dergelijke link uit zichzelf opent. Volgens de onderzoekers wordt echter de helft van de systemen die wordt gebruikt om scada-systemen mee te beheren, ook als desktop gebruikt, waarbij dus mogelijk op internet wordt gesurft. Het risico op aanvallen neemt daardoor toe.

Volgens de onderzoekers zijn veel scada-systemen direct aan het internet gekoppeld; weliswaar niet altijd direct, maar vaak wel indirect, bijvoorbeeld door slecht geconfigureerde routers. "Europa is de slechtst beveiligde regio, als het gaat om de beveiliging van scada-systemen", beweerde een van de onderzoekers, Segey Gordeychick. Vooral in Italië zou het treurig gesteld zijn met de beveiliging van de cruciale systemen.

De onderzoekers stellen dat veel scada-systemen bovendien nog kwetsbaar zijn voor het lek dat werd gebruikt om het Stuxnet-virus op Siemens-systemen te krijgen. Dat lek werd in 2005 al ontdekt en in 2010 opgelost, maar volgens de onderzoekers is het 'nog overal te vinden'. Het gaat om een standaard-gebruikersnaam en -wachtwoord die het voor iedereen mogelijk maken om in te loggen op het apparaat en die hardcoded aanwezig zijn.

Tijdens de conferentie gaven de onderzoekers ook een drietal tools vrij die de beveiliging van scada-systemen moeten helpen verbeteren. Daaronder was een checklist voor beheerders van scada-systemen, maar ook een cheat sheet voor nieuwsgierigen die zelf naar kwetsbare scada-systemen willen zoeken. Ook een command line-tool waarmee de beveiliging van scada-systemen kan worden getest, is daartoe vrijgegeven. Op dit moment ondersteunt die tool enkel WinCC-systemen; ondersteuning voor andere apparaten komt later. De tool lijkt op dit moment nog niet gepubliceerd te zijn.

Reacties (63)

ik vraag me af of dit ook geldt voor de op siemens pcs7 gebaseerde DCS systemen.
verder verbaas ik me erover dat de computers waarmee de scada systemen worden beheerd, ook als desktop worden gebruikt, zo maak je de boel wel erg kwetsbaar.
Serieus? Apparatuur die in kerncentrales wordt gebruikt is kwetsbaar voor SQL injection, XSS en CSRF? :X Alle 3 die aanvallen zijn echt vreselijk makkelijk te voorkomen, zelfs voor beginnende programmeurs :X Keer op keer verbaas ik me over de incompetentie van sommige mensen in de IT-wereld 8)7
Mijn god, wie hangt die systemen aan het internet. Ik heb voor NAVO gewerkt, maar je werd ontslagen als je een secure systeem aan het internet hing.
Ik vind dit soort nieuws zeer ernstig, deze systemen worden gekozen om hun stabiliteit terwijl ze verre van hackerproof zijn. Onze hele infrastructuur draait op dit soort systemen die toch erg kwetsbaar zijn, ik denk dat een huistuin en keuken pc soms beter is beveiligd.
Met de kennis van nu ja, dit soort systemen bestaan echter al wat langer, en zijn steeds verder uitgebreid. Daarnaast is het geen simpele webapplicatie waarvan je de code even naloopt, je gaat niet zomaar even de code na om de oude fouten er uit te halen. Gezien de complexiteit vind ik 20 bugs meevallen.
Is al eerder in het nieuws hier geweest hoor. Met name Stuxnet.
Stuxnet sloeg niet toe via internet, maar via Flash drives van medewerkers van de kerncentrale werd ie op het infranet verspreid.
het nieuwsbericht lijkt mij tendentieus. WinCC wordt normaal gesproken niet gebruikt voor kritieke installaties zoals een kerncentrale.
Iedere IT-er weet dat dit soort apparaten gewoonweg niet het internet op mogen gaan.
Eventjes een paar google dorks uitgeprobeerd zonet om te kijken hoeveel systemen te benaderen zijn. Blijkt dat het niet zo common sense is als men eigenlijk zou willen bij dit soort systemen.

[Reactie gewijzigd door looc op 28 december 2012 00:44]

Met een webinterface kan je toch niets aanpassen dat een kernreactor kan doen ontploffen. Het klinkt allemaal heel serieus, maar het valt allemaal mee hoor.
Wat je zegt is waar, maar houd er wel rekening mee dat deze hardware op een heel ander niveau zit dan je websiteje die je natuurlijk moet beveiligen omdat die voor iedereen benaderbaar is.

Deze hardware en de aansturing er van hoort gewoon in een gesloten circuit te staan. En daar is bij de ontwikkeling van de software ook vanuit gegaan, het is van de zotte dat iemand bij de knopjes van je apparaten kan komen, immers er staat toch een hek om je gebouw?

Daarbij is de UI software waarmee je deze hardware kunt aansturen, ontwikkeld lang voordat SQL injection/XSS/CSRF bekende begrippen werden. Beveiliging was toen nog amper een aandachtspunt.
Om hier kort over te zijn: Ja!

Er wordt gepraat over WinCC, dat is een "onderdeel" van PCS7. Sowieso wordt bewust of onbewust het default password van de WinCC database niet aangepast, wat een van de kwetsbaarheden is.

SCADA systemen draaien eigenlijk altijd op een "Desktop", al dan niet standalone op een apart netwerk. Maar ik neem aan dat je doelt op een voor kantoor functie bestemde PC. De besturende delen (in hoeverre PC's de besturing verzorgen, meestal is dit meer een aansturing --> DCS) worden vrijwel altijd stand-alone neergezet.

Veel pakketten zijn zeer kieskeurig (siemens voorop) met het installeren van windows patches op systemen. Deze worden eerst door de fabrikant (eg Siemens) getest met de versies van SCADA/DCS pakket en daarna worden ze pas ondersteund. Dit weerhoudt eindgebruikers en systemintegrators dus om de patches te installeren, aangezien dan de support van de fabrikant verliezen met alle kosten vandien wanneer er een probleem is.

[Reactie gewijzigd door Epsilon op 28 december 2012 01:14]

De belangrijkste reden dat deze systemen kwestbaar zijn zit hem niet in dergelijke aanvallen, maar het feit dat deze systemen indirect met het internet zijn verbonden. DAT zorgt ervoor dat jij een SQL injection kunt uitvoeren.

Het is een stuk lastiger een SQL injection uit te voeren als je eerst fysiek in een kern centrale moet zijn.

Dat die systemen op een desktop machine draaien is op zich niet zo heel erg. Wat wel erg is dat de process controller de betreffende desktop gebruikt om op de hoogte te blijven de laatste roddels.

SCADA systemen zijn nooit ontworpen om vanaf internet bereikbaar te zijn, ze zijn alleen ontworpen om vanaf een GEISOLEERD INTERN netwerk bereikbaar te zijn!
Normaal niet nee.

Het idee is ook niet dat je vanaf WinCC de kernreactor (of andere proces) ontregelt, maar dat je juist de operator laat zien dat nog alles goed is.

Op het moment dat de PLC bewust (door een hack) dingen "foutief" aanstuurt waardoor bijv. de druk of temperatuur oploopt, dan ziet de operator dit als het goed is op de SCADA software.
Door de SCADA software dusdanig te manipuleren dat alles goed lijkt, kan achterliggend de boel in de war gestuurd worden zonder dat de operator het door heeft.
Dat is waar het grote gevaar ligt.

Een ander voorbeeld is een gevangenis, waar deuren geopend kunnen worden met behulp van een SCADA interface.
Hier is het natuurlijk wel gevaarlijk, want een gevangenis waar de deuren van opengezet kunnen worden, is niet echt meer een gevangenis.
Dit klinkt misschien een beetje ver gezocht, maar er is een gevangenis waar bij is aangetoond dat dit mogelijk is.
klopt iderdaad. maar ik vind het altijd raar dat Siemens altijd in nieuws komt. van andere merken hoor je niet zoveel. wij zijn in zijn geheel van Siemens afgestapt ze hebben wel meer problemen buiten hun veiligheidsrisico's (maar die kun je als gebruiker zelf al voor een groot gedeelte beperken) maar hun support is ook zeer slecht te noemen.

Wij hadden hier problemen met het communiceren van enkele Siemens plc's onderling. monteur van Siemens was langsgekomen. Nou meneer het is een bekent probleem maar helaas hebben we er geen oplossing voor.
dit los je op door je werknemers een training te geven.
ik moet eerlijk zeggen als persoon in een kerncentrale niet begrijpt dat je geen gevonden usb stick of een usbstick die buiten het "bedrijfsnetwerk" gebruikt is niet mag aan sluiten dan mogen deze toch wel ontslagen worden

Je kan als bedrijf je systeem nog zo goed beveiligd hebben maar zonder een goede training aan je werknemers te geven ben je nergens.
Ik persoonlijk zou het niet meer dan normaal vinden dat de overheid hier iets meer op gaat controleren. als er bedrijven zijn waarbij een groot risico bestaat op een groot ongeluk schadelijk voor de omgeving zoals een kerncentrale of een fabriek waarbij gevaarlijke stoffen verwerk worden.

Schijnbaar beseffen sommige bedrijven gewoon niet hoe gevaarlijk dit kan zijn en is misschien de oplossing hiervoor dat de overheid zich hier mee gaat bemoeien.
Alleen zit siemens dan met een zware design flaw en had men nooit ethernet mogen kiezen als basis voor onderlinge communicatie.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True