Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties

Beveiligingsonderzoekers hebben op de CCC-beveiligingsconferentie in Hamburg twintig nieuwe kwetsbaarheden in scada-systemen onthuld. Dergelijke systemen worden onder meer in kerncentrales en andere kritieke infrastructuur gebruikt.

Op de CCC-conferentie in Hamburg, waar Tweakers aanwezig is, claimden de onderzoekers van de onderzoeksgroep Scada Strange Love dat ze verschillende kwetsbaarheden in scada-systemen van Siemens hebben aangetroffen. De onderzoekers zeggen specifiek systemen van Siemens onder de loep te hebben genomen vanwege het grote marktaandeel dat de fabrikant heeft. Scada-systemen worden gebruikt om industriële processen in de gaten te houden en aan te sturen.

Een groot deel van de ontdekte kwetsbaarheden zitten in Simatic WinCC-systemen, die onder meer worden gebruikt in kerncentrales en andere kritieke infrastructuur: het waren deze systemen die in 2010 in Iran werden aangevallen door het Stuxnet-virus. Een van de aangetroffen kwetsbaarheden betrof een hardcoded-encryptie-key die aanwezig was in de broncode van het het besturingssysteem van een bepaald scada-apparaat van Siemens.

De onderzoekers vonden in totaal twintig beveiligingsproblemen. Een groot deel daarvan werd gevonden in web-interfaces waarmee de apparaten kunnen worden bediend. Zo waren er kwetsbaarheden voor sql-injectie, cross site scripting en cross site request forgery aanwezig. Die kwetsbaarheden maken het mogelijk voor aanvallers om via een aanval eigen commando's uit te voeren op een scada-systeem van Siemens, zoals de onderzoekers lieten zien tijdens een vooraf opgenomen demonstratie.

Het risico van cross site scripting en cross site request forgery moet daarbij niet worden onderschat, zeggen de onderzoekers. Beide technieken zijn alleen te misbruiken als een potentieel slachtoffer ofwel ertoe wordt verleid om op een malafide link te klikken, die vervolgens commando's uitvoert op het scada-systeem, ofwel een website bezoeken die een dergelijke link uit zichzelf opent. Volgens de onderzoekers wordt echter de helft van de systemen die wordt gebruikt om scada-systemen mee te beheren, ook als desktop gebruikt, waarbij dus mogelijk op internet wordt gesurft. Het risico op aanvallen neemt daardoor toe.

Volgens de onderzoekers zijn veel scada-systemen direct aan het internet gekoppeld; weliswaar niet altijd direct, maar vaak wel indirect, bijvoorbeeld door slecht geconfigureerde routers. "Europa is de slechtst beveiligde regio, als het gaat om de beveiliging van scada-systemen", beweerde een van de onderzoekers, Segey Gordeychick. Vooral in Italië zou het treurig gesteld zijn met de beveiliging van de cruciale systemen.

De onderzoekers stellen dat veel scada-systemen bovendien nog kwetsbaar zijn voor het lek dat werd gebruikt om het Stuxnet-virus op Siemens-systemen te krijgen. Dat lek werd in 2005 al ontdekt en in 2010 opgelost, maar volgens de onderzoekers is het 'nog overal te vinden'. Het gaat om een standaard-gebruikersnaam en -wachtwoord die het voor iedereen mogelijk maken om in te loggen op het apparaat en die hardcoded aanwezig zijn.

Tijdens de conferentie gaven de onderzoekers ook een drietal tools vrij die de beveiliging van scada-systemen moeten helpen verbeteren. Daaronder was een checklist voor beheerders van scada-systemen, maar ook een cheat sheet voor nieuwsgierigen die zelf naar kwetsbare scada-systemen willen zoeken. Ook een command line-tool waarmee de beveiliging van scada-systemen kan worden getest, is daartoe vrijgegeven. Op dit moment ondersteunt die tool enkel WinCC-systemen; ondersteuning voor andere apparaten komt later. De tool lijkt op dit moment nog niet gepubliceerd te zijn.

Reacties (63)

Reactiefilter:-163059+138+23+30
Moderatie-faq Wijzig weergave
Schandalig?
T is schandalig dat hier zonder enige vorm van nuance hier geschoten wordt op een willekeurig pakket wat niet gebruikt wordt zoals het gebruikt moet worden.

Van deze systemen wordt door Siemens gezegd dat je ze via hun deep-packet scanning firewall routers op internet moet hangen en specifieke microsoft vpn oplossingen moet gebruiken.
'Internet' is hier internet in de algemene zin van het woord en zegt niets over beveiliging.

(Echter zijn hun oplossingen verschrikkelijk duur dus geen hond koopt ze, maar ze hebben t wel... alleen t is volgens de bedrijven die t kopen 'te duur' of 'over done' of 'kan het niet makkelijker' of 'dat kan toch niet zo moeilijk zijn want thuis...' etc)
Maar ze noemen de kwetsbaarheden binnen WinCC. Het pakket WinCC icm Simatic Scada is een DCS systeem ;-)

Sorry, ik brabbel onzin. Zie http://en.wikipedia.org/wiki/WinCC

[Reactie gewijzigd door Xorgye op 30 december 2012 02:47]

Veel siemens-OP's hebben ook win2000 als OS :)
Ja, is namelijk verplicht

[Reactie gewijzigd door toiletduck op 29 december 2012 01:00]

Uitschakelen ťn dichtlijmen scheelt al een stuk. En ťťn fysiek afgesloten systeem waar USB op zit wat door een select groepje mensen benaderbaar is. Maar zelfs dan, als je er bij wilt kom je er wel bij. Zeker met de belaberde fysieke beveiliging van sommige (overheids)bedrijven.
PCS7 systemen die ook als desktop systemen worden gebruikt? Echt? Je geeft een godsvermogen uit aan een PCS7 systeem en dan gebruik je de computers waarop dat draait als desktop? Moeilijk voor te stellen,. Hooguit de visualisatie systemen, maar zelfs dat,...
Tweakers is een nieuws site, heb je ergens geen kennis van of interreseert het je niet lees het dan ook niet, Persoonlijk heb ik zelf ook geen flauw benul van supercomputers en dergelijke. maar door elke dag hier op tweaker dingen te lezen.. en op te zoeken.. leer ik elke dag meer en meer.
Daarnaast is dit toch echt heel erg overduidelijk IT nieuws.. als je daar niet naar opzoek bent wat doe je dan op tweakers ?;)
Tja, dat van 'echte it-ers' ernaar laten kijken kun je eigenlijk wel van bijna alle software wel zeggen (ben zelf ook it-er en ook bij mijn werk zal genoeg op aan te merken zijn door anderen), want vergeet niet dat veel van het zogenaamde 'pruts'werk wordt gewoon door ons allemaal gemaakt, kijk naar al die overheids it-projecten die bagger zijn, zijn wel gemaakt door de grote bedrijven als baan,pink-roccode,getronics, etc.. en dat zijn bedrijven waarvan je zou zeggen dat ze toch verstand hebben van it (maar eigenlijk meer verstand hebben van uren declareren)..
echte it-ers in de zin die jij bedoelt bestaan gewoon niet...
het is ook niet alleen vertrouwen op goed gedrag van je gebruikers. maar met een goede instructie/cursus zorg je er voor dat het personeel ook een beter besef krijgt van de gevaren die er spelen. vervolgens zorg je met goed beveiligd systeem ervoor mocht een werknemer een fout maken dat niet meteen je hele systeem besmet raakt oid
Wahaha, " Op de CCC-conferentie in Hamburg, waar Tweakers aanwezig is " staat hier ff tussen neus en lippen bij. Alsof ze daar normaal nooit bij zaten. Tweakers toch, je schaamt je toch niet voor je roots?
WinCC gebruiken in een omgeving met een mogelijke schade van "...honderden miljoenen..." is onlogisch. Ben dan wel benieuwd wat jij onder "...die systemen..." en "...uitermate kritieke dingen..." verstaat.
Gelukkig zijn de reacties ook niet voor meningen, maar voor nuttige toevoegingen op het artikel. Waarvoor dank!
Ik denk dat je je beeld van Iran wat moet bijstellen. Binnen het Midden Oosten is het een van de meer vooruitstrevende en ontwikkelde landen, met een hoog opleidingsniveau en een relatief vrijgevochten en vrij-denkende bevolking.

Dat meneer Amhadinejad ondersteund door de islamitisch getinte elite graag de touwtjes in handen houdt maakt een land niet direct een schurkenstaat.
Wel jammer dat 'het westen' resources gebruikt om een schurkenstaat als Iran te helpen.
Dat er in oudere software dit soort bugs zitten is, volgens mij, een open deur intrappen.
Beste Haas,
Ik ken mensen die bij Siemens werken en kan je verzekeren dat ze nu niet meer aan Irak mogen leveren!
Het zou inderdaad niet zomaar gebruikt moeten worden voor kritische installaties. En die installaties zouden ook niet zomaar aan het internet moeten hangen. En toch gebeurt het soms wel. B.v. om makkelijk op afstand beheer te kunnen doen.

Die kerninstallatie in Iran die Stuxnet als doel had gebruikte o.a. WinCC als aanvalsvector:
Experts determined that the virus was designed to target Simatic WinCC Step7 software, an industrial control system made by the German conglomerate Siemens that was used to program controllers that drive motors, valves and switches in everything from food factories and automobile assembly lines to gas pipelines and water treatment plants.
De verbinding werd gemaakt via het hardcoded password:
<Server=.\WinCC;uid=WinCCConnect;pwd=2WSXcder>

[Reactie gewijzigd door Cameleon73 op 28 december 2012 10:07]

Op dit item kan niet meer gereageerd worden.



LG Nexus 5X Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True