Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 63, views: 26.344 •

Beveiligingsonderzoekers hebben op de CCC-beveiligingsconferentie in Hamburg twintig nieuwe kwetsbaarheden in scada-systemen onthuld. Dergelijke systemen worden onder meer in kerncentrales en andere kritieke infrastructuur gebruikt.

Op de CCC-conferentie in Hamburg, waar Tweakers aanwezig is, claimden de onderzoekers van de onderzoeksgroep Scada Strange Love dat ze verschillende kwetsbaarheden in scada-systemen van Siemens hebben aangetroffen. De onderzoekers zeggen specifiek systemen van Siemens onder de loep te hebben genomen vanwege het grote marktaandeel dat de fabrikant heeft. Scada-systemen worden gebruikt om industriële processen in de gaten te houden en aan te sturen.

Een groot deel van de ontdekte kwetsbaarheden zitten in Simatic WinCC-systemen, die onder meer worden gebruikt in kerncentrales en andere kritieke infrastructuur: het waren deze systemen die in 2010 in Iran werden aangevallen door het Stuxnet-virus. Een van de aangetroffen kwetsbaarheden betrof een hardcoded-encryptie-key die aanwezig was in de broncode van het het besturingssysteem van een bepaald scada-apparaat van Siemens.

De onderzoekers vonden in totaal twintig beveiligingsproblemen. Een groot deel daarvan werd gevonden in web-interfaces waarmee de apparaten kunnen worden bediend. Zo waren er kwetsbaarheden voor sql-injectie, cross site scripting en cross site request forgery aanwezig. Die kwetsbaarheden maken het mogelijk voor aanvallers om via een aanval eigen commando's uit te voeren op een scada-systeem van Siemens, zoals de onderzoekers lieten zien tijdens een vooraf opgenomen demonstratie.

Het risico van cross site scripting en cross site request forgery moet daarbij niet worden onderschat, zeggen de onderzoekers. Beide technieken zijn alleen te misbruiken als een potentieel slachtoffer ofwel ertoe wordt verleid om op een malafide link te klikken, die vervolgens commando's uitvoert op het scada-systeem, ofwel een website bezoeken die een dergelijke link uit zichzelf opent. Volgens de onderzoekers wordt echter de helft van de systemen die wordt gebruikt om scada-systemen mee te beheren, ook als desktop gebruikt, waarbij dus mogelijk op internet wordt gesurft. Het risico op aanvallen neemt daardoor toe.

Volgens de onderzoekers zijn veel scada-systemen direct aan het internet gekoppeld; weliswaar niet altijd direct, maar vaak wel indirect, bijvoorbeeld door slecht geconfigureerde routers. "Europa is de slechtst beveiligde regio, als het gaat om de beveiliging van scada-systemen", beweerde een van de onderzoekers, Segey Gordeychick. Vooral in Italië zou het treurig gesteld zijn met de beveiliging van de cruciale systemen.

De onderzoekers stellen dat veel scada-systemen bovendien nog kwetsbaar zijn voor het lek dat werd gebruikt om het Stuxnet-virus op Siemens-systemen te krijgen. Dat lek werd in 2005 al ontdekt en in 2010 opgelost, maar volgens de onderzoekers is het 'nog overal te vinden'. Het gaat om een standaard-gebruikersnaam en -wachtwoord die het voor iedereen mogelijk maken om in te loggen op het apparaat en die hardcoded aanwezig zijn.

Tijdens de conferentie gaven de onderzoekers ook een drietal tools vrij die de beveiliging van scada-systemen moeten helpen verbeteren. Daaronder was een checklist voor beheerders van scada-systemen, maar ook een cheat sheet voor nieuwsgierigen die zelf naar kwetsbare scada-systemen willen zoeken. Ook een command line-tool waarmee de beveiliging van scada-systemen kan worden getest, is daartoe vrijgegeven. Op dit moment ondersteunt die tool enkel WinCC-systemen; ondersteuning voor andere apparaten komt later. De tool lijkt op dit moment nog niet gepubliceerd te zijn.

Reacties (63)

In het verleden heb ik aan dit soort software gebouwd. (van een andere leverancier die eerder dit jaar in het nieuws kwam om vergelijkbare redenen)

En, gezien de oorsprong van deze software kan ik alleen maar zeggen: 'duh, what else is new?'

Je moet bedenken dat de ontwikkelaars die dit gemaakt hebben 25 jaar geleden de opdracht kregen om een grafisch systeem te maken dat het gemakkelijk maakt om een fabriek te runnen vanaf 1 werkplek.

Die werkplek was nog steeds binnen de fabriek, maar omdat je geen kilometers meer hoefde te lopen om te achterhalen welke machine er precies stuk is... maar in plaats daarvan rechtstreeks naar het juiste apparaat kan, was iedereen blij.

Internet zoals wij dat kennen bestond nog niet, het idee dat je vanuit huis kon werken was belachelijk... bijna niemand had nog een computer.

Alle systemen zijn daarna gebouwd vanuit de gedachte die in de werkplaats is ontstaan. Het is pas sinds 10 jaar dat thuis-werken een optie is, en je een consultant niet hoeft over te vliegen om je systeem te laten analyseren. Echter, de investering die nodig is om de systemen aan te passen en te laten voldoen aan de nieuwe standaard wil niemand doen.

Als je als bedrijf een nieuwe generatie SCADA software maakt waarbij deze problemen niet spelen loop je tegen een probleem aan... je concurrenten zijn goedkoper en de klant kan niet begrijpen waarom hij meer moet uitgeven voor JOUW product. Zoals altijd binnen de IT is het product een black-box en is de klant niet instaat om het verschil te zien tussen werkelijke innovatie en 'gladde' sales-praatjes.

Dus, voor een bedrijf als Siemens is het onmogelijk om het goed te doen, en nog steeds een boterham te verdienen.

Maar stel dat ze het wel doen, security wordt een belangrijke pijler van SCADA 2.0... en bedrijven willen dit vanwege de goede naam van Siemens daadwerkelijk kopen. Dan nog duurt het 20-30 jaar voordat het ge-adopteerd wordt. Software op deze fabrieksvloeren wordt nauwelijks ge-update, zodra het werkt blijft men ervan af. Je zet nl niet 'even' een tweede fabriek neer om te schaduwdraaien. Dus, pas als de (economische) levensduur van je volledige installatie op een eind loopt ga je investeren in een nieuw SCADA systeem. Dat kan best nog een paar decenia duren.

Je hebt het hier over bedrijven die zelf reserve-computers op de plank hebben liggen omdat ze afhankelijk zijn van Windows 2000 en niet 'zomaar' even een Windows-8 machine kunnen neerzetten.

Nee, het is niet gek dat deze fouten erin zitten, en we zullen dit nog wel een paar keer horen de komende 30 jaar.
Veel siemens-OP's hebben ook win2000 als OS :)
ach de beveiliging is triest met zulk soort systemen... een kennis heeft een heleboel die vanaf buiten te bereiken zijn....

sommige beveiligt met default wachtwoord ( wat je kan vinden in de handleiding die online staat...)

allemaal heel triest. word is tijd dat er een wet tegen komt ( en nee niet tegen hacken ) maar zo triest met belangrijke systemen / gegevens omgaan...
Ik kan me het best indenken, want het gaat hier ook vaak over systemen die al jaren draaien, lang voordat dingen als sql-injection, cross-site scripting etc gemeengoed was.. Want lekken die we nu bv nog niet eens kennen zullen over een paar jaar misschien als gemeengoed bekend zijn (zoals sql-injection).
En psyBSD hierboven legt het nog eens heel duidelijk uit.. Ik vindt dan ook dat die zogenaamde onderzoekers hier alleen maar weer hebben geprobeerd om een naam voor zichzelf te maken, want de lekken waarover ze spreken zijn voor de insiders (hackers EN siemens) echt geen nieuwe lekken..
"Dus, voor een bedrijf als Siemens is het onmogelijk om het goed te doen, en nog steeds een boterham te verdienen."

Heb jij enig idee hoe schofterig veel deze software kost?

De standaard oplossing die Siemens bied om deze software aan internet te hangen is via een Microsoft 2010TMG, verder zijn er ooit drie patches afgekeurd (fouten van MS) waardoor siemens erg patchbang is.

Bedenk ook dat deze software zo 10Gb is, dat is uitgebreider dan het gemiddelde OS. verder zijn er veel aangekochte componenten in verwerkt die ze zelf niet 100% kennen.

Mijn advies? laat eens echte it-ers ernaar kijken in plaats van de mensen die het ontwerpen en ermee werken. Helaas snapt men in de kantoorautomatiserng erg weinig van deze zeer kritische systemen.
Tja, dat van 'echte it-ers' ernaar laten kijken kun je eigenlijk wel van bijna alle software wel zeggen (ben zelf ook it-er en ook bij mijn werk zal genoeg op aan te merken zijn door anderen), want vergeet niet dat veel van het zogenaamde 'pruts'werk wordt gewoon door ons allemaal gemaakt, kijk naar al die overheids it-projecten die bagger zijn, zijn wel gemaakt door de grote bedrijven als baan,pink-roccode,getronics, etc.. en dat zijn bedrijven waarvan je zou zeggen dat ze toch verstand hebben van it (maar eigenlijk meer verstand hebben van uren declareren)..
echte it-ers in de zin die jij bedoelt bestaan gewoon niet...
Beste Haas,
Ik ken mensen die bij Siemens werken en kan je verzekeren dat ze nu niet meer aan Irak mogen leveren!
Wel jammer dat 'het westen' resources gebruikt om een schurkenstaat als Iran te helpen.
Dat er in oudere software dit soort bugs zitten is, volgens mij, een open deur intrappen.
Ik denk dat je je beeld van Iran wat moet bijstellen. Binnen het Midden Oosten is het een van de meer vooruitstrevende en ontwikkelde landen, met een hoog opleidingsniveau en een relatief vrijgevochten en vrij-denkende bevolking.

Dat meneer Amhadinejad ondersteund door de islamitisch getinte elite graag de touwtjes in handen houdt maakt een land niet direct een schurkenstaat.
Van de site van Siemens geplukt:

"Dan is er nu een krachtige, alternatieve oplossing, die bovendien in de orde van 30 tot 40%+ goedkoper is. En even veilig en betrouwbaar…

De op Internet gebaseerde SCADA - ASP service van Siemens is uw kortste weg naar een precies op uw behoeften aansluitend systeem, mét hoge schaalbaarheid en dus toekomstgericht."


bron: https://www.swe.siemens.c.../Pages/home_scadaasp.aspx

SCADA applicaties worden in vele bedrijven toch met het internet verbonden. Ook deze tekst doet uitschijnen dat dit zonder beveiligingsrisico kan.

Schandalig dat dergelijke grote bedrijven zulke amateuristische fouten durven te maken.
Schandalig?
T is schandalig dat hier zonder enige vorm van nuance hier geschoten wordt op een willekeurig pakket wat niet gebruikt wordt zoals het gebruikt moet worden.

Van deze systemen wordt door Siemens gezegd dat je ze via hun deep-packet scanning firewall routers op internet moet hangen en specifieke microsoft vpn oplossingen moet gebruiken.
'Internet' is hier internet in de algemene zin van het woord en zegt niets over beveiliging.

(Echter zijn hun oplossingen verschrikkelijk duur dus geen hond koopt ze, maar ze hebben t wel... alleen t is volgens de bedrijven die t kopen 'te duur' of 'over done' of 'kan het niet makkelijker' of 'dat kan toch niet zo moeilijk zijn want thuis...' etc)
Wahaha, " Op de CCC-conferentie in Hamburg, waar Tweakers aanwezig is " staat hier ff tussen neus en lippen bij. Alsof ze daar normaal nooit bij zaten. Tweakers toch, je schaamt je toch niet voor je roots?

Op dit item kan niet meer gereageerd worden.