Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 63, views: 26.516 •

Beveiligingsonderzoekers hebben op de CCC-beveiligingsconferentie in Hamburg twintig nieuwe kwetsbaarheden in scada-systemen onthuld. Dergelijke systemen worden onder meer in kerncentrales en andere kritieke infrastructuur gebruikt.

Op de CCC-conferentie in Hamburg, waar Tweakers aanwezig is, claimden de onderzoekers van de onderzoeksgroep Scada Strange Love dat ze verschillende kwetsbaarheden in scada-systemen van Siemens hebben aangetroffen. De onderzoekers zeggen specifiek systemen van Siemens onder de loep te hebben genomen vanwege het grote marktaandeel dat de fabrikant heeft. Scada-systemen worden gebruikt om industriële processen in de gaten te houden en aan te sturen.

Een groot deel van de ontdekte kwetsbaarheden zitten in Simatic WinCC-systemen, die onder meer worden gebruikt in kerncentrales en andere kritieke infrastructuur: het waren deze systemen die in 2010 in Iran werden aangevallen door het Stuxnet-virus. Een van de aangetroffen kwetsbaarheden betrof een hardcoded-encryptie-key die aanwezig was in de broncode van het het besturingssysteem van een bepaald scada-apparaat van Siemens.

De onderzoekers vonden in totaal twintig beveiligingsproblemen. Een groot deel daarvan werd gevonden in web-interfaces waarmee de apparaten kunnen worden bediend. Zo waren er kwetsbaarheden voor sql-injectie, cross site scripting en cross site request forgery aanwezig. Die kwetsbaarheden maken het mogelijk voor aanvallers om via een aanval eigen commando's uit te voeren op een scada-systeem van Siemens, zoals de onderzoekers lieten zien tijdens een vooraf opgenomen demonstratie.

Het risico van cross site scripting en cross site request forgery moet daarbij niet worden onderschat, zeggen de onderzoekers. Beide technieken zijn alleen te misbruiken als een potentieel slachtoffer ofwel ertoe wordt verleid om op een malafide link te klikken, die vervolgens commando's uitvoert op het scada-systeem, ofwel een website bezoeken die een dergelijke link uit zichzelf opent. Volgens de onderzoekers wordt echter de helft van de systemen die wordt gebruikt om scada-systemen mee te beheren, ook als desktop gebruikt, waarbij dus mogelijk op internet wordt gesurft. Het risico op aanvallen neemt daardoor toe.

Volgens de onderzoekers zijn veel scada-systemen direct aan het internet gekoppeld; weliswaar niet altijd direct, maar vaak wel indirect, bijvoorbeeld door slecht geconfigureerde routers. "Europa is de slechtst beveiligde regio, als het gaat om de beveiliging van scada-systemen", beweerde een van de onderzoekers, Segey Gordeychick. Vooral in Italië zou het treurig gesteld zijn met de beveiliging van de cruciale systemen.

De onderzoekers stellen dat veel scada-systemen bovendien nog kwetsbaar zijn voor het lek dat werd gebruikt om het Stuxnet-virus op Siemens-systemen te krijgen. Dat lek werd in 2005 al ontdekt en in 2010 opgelost, maar volgens de onderzoekers is het 'nog overal te vinden'. Het gaat om een standaard-gebruikersnaam en -wachtwoord die het voor iedereen mogelijk maken om in te loggen op het apparaat en die hardcoded aanwezig zijn.

Tijdens de conferentie gaven de onderzoekers ook een drietal tools vrij die de beveiliging van scada-systemen moeten helpen verbeteren. Daaronder was een checklist voor beheerders van scada-systemen, maar ook een cheat sheet voor nieuwsgierigen die zelf naar kwetsbare scada-systemen willen zoeken. Ook een command line-tool waarmee de beveiliging van scada-systemen kan worden getest, is daartoe vrijgegeven. Op dit moment ondersteunt die tool enkel WinCC-systemen; ondersteuning voor andere apparaten komt later. De tool lijkt op dit moment nog niet gepubliceerd te zijn.

Reacties (63)

Niet echt een topic waarover de gemiddelde tweaker zoals ik een mening over kan hebben.
Is al eerder in het nieuws hier geweest hoor. Met name Stuxnet.
Gelukkig zijn de reacties ook niet voor meningen, maar voor nuttige toevoegingen op het artikel. Waarvoor dank!
Tweakers is een nieuws site, heb je ergens geen kennis van of interreseert het je niet lees het dan ook niet, Persoonlijk heb ik zelf ook geen flauw benul van supercomputers en dergelijke. maar door elke dag hier op tweaker dingen te lezen.. en op te zoeken.. leer ik elke dag meer en meer.
Daarnaast is dit toch echt heel erg overduidelijk IT nieuws.. als je daar niet naar opzoek bent wat doe je dan op tweakers ?;)
ik vraag me af of dit ook geldt voor de op siemens pcs7 gebaseerde DCS systemen.
verder verbaas ik me erover dat de computers waarmee de scada systemen worden beheerd, ook als desktop worden gebruikt, zo maak je de boel wel erg kwetsbaar.
Om hier kort over te zijn: Ja!

Er wordt gepraat over WinCC, dat is een "onderdeel" van PCS7. Sowieso wordt bewust of onbewust het default password van de WinCC database niet aangepast, wat een van de kwetsbaarheden is.

SCADA systemen draaien eigenlijk altijd op een "Desktop", al dan niet standalone op een apart netwerk. Maar ik neem aan dat je doelt op een voor kantoor functie bestemde PC. De besturende delen (in hoeverre PC's de besturing verzorgen, meestal is dit meer een aansturing --> DCS) worden vrijwel altijd stand-alone neergezet.

Veel pakketten zijn zeer kieskeurig (siemens voorop) met het installeren van windows patches op systemen. Deze worden eerst door de fabrikant (eg Siemens) getest met de versies van SCADA/DCS pakket en daarna worden ze pas ondersteund. Dit weerhoudt eindgebruikers en systemintegrators dus om de patches te installeren, aangezien dan de support van de fabrikant verliezen met alle kosten vandien wanneer er een probleem is.

[Reactie gewijzigd door Epsilon op 28 december 2012 01:14]

klopt iderdaad. maar ik vind het altijd raar dat Siemens altijd in nieuws komt. van andere merken hoor je niet zoveel. wij zijn in zijn geheel van Siemens afgestapt ze hebben wel meer problemen buiten hun veiligheidsrisico's (maar die kun je als gebruiker zelf al voor een groot gedeelte beperken) maar hun support is ook zeer slecht te noemen.

Wij hadden hier problemen met het communiceren van enkele Siemens plc's onderling. monteur van Siemens was langsgekomen. Nou meneer het is een bekent probleem maar helaas hebben we er geen oplossing voor.
Hoge bomen vangen veel wind natuurlijk.
Als grootste leverancier ben je het belangrijkste doelwit van dit soort onderzoek en van hackpogingen. Dat staat ook gewoon in het artikel. Dat wil niet zeggen dat andere leveranciers veiliger systemen leveren, alleen dat er minder van bekend is.
Er wordt gepraat over WinCC, dat is een "onderdeel" van PCS7. Sowieso wordt bewust of onbewust het default password van de WinCC database niet aangepast, wat een van de kwetsbaarheden is.
Dat schijnt bewust te zijn. Fabrikanten als Siemens zijn bang dat via bijvoorbeeld een patch een nieuw wachtwoord afdwingen of deze simpelweg wijzigen verderop in de keten voor problemen kan zorgen - met alle gevolgen van dien.
PCS7 systemen die ook als desktop systemen worden gebruikt? Echt? Je geeft een godsvermogen uit aan een PCS7 systeem en dan gebruik je de computers waarop dat draait als desktop? Moeilijk voor te stellen,. Hooguit de visualisatie systemen, maar zelfs dat,...
Serieus? Apparatuur die in kerncentrales wordt gebruikt is kwetsbaar voor SQL injection, XSS en CSRF? :X Alle 3 die aanvallen zijn echt vreselijk makkelijk te voorkomen, zelfs voor beginnende programmeurs :X Keer op keer verbaas ik me over de incompetentie van sommige mensen in de IT-wereld 8)7
Met de kennis van nu ja, dit soort systemen bestaan echter al wat langer, en zijn steeds verder uitgebreid. Daarnaast is het geen simpele webapplicatie waarvan je de code even naloopt, je gaat niet zomaar even de code na om de oude fouten er uit te halen. Gezien de complexiteit vind ik 20 bugs meevallen.
SQL injectie is al langer bekend, en vrij eenvoudig te verhelpen. Dat de code base erg groot is geen excuus. Er zijn tools om de code base door te werken op dit soort fouten. Moet je het wel een keer doen natuurlijk.
Wat je zegt is waar, maar houd er wel rekening mee dat deze hardware op een heel ander niveau zit dan je websiteje die je natuurlijk moet beveiligen omdat die voor iedereen benaderbaar is.

Deze hardware en de aansturing er van hoort gewoon in een gesloten circuit te staan. En daar is bij de ontwikkeling van de software ook vanuit gegaan, het is van de zotte dat iemand bij de knopjes van je apparaten kan komen, immers er staat toch een hek om je gebouw?

Daarbij is de UI software waarmee je deze hardware kunt aansturen, ontwikkeld lang voordat SQL injection/XSS/CSRF bekende begrippen werden. Beveiliging was toen nog amper een aandachtspunt.
De belangrijkste reden dat deze systemen kwestbaar zijn zit hem niet in dergelijke aanvallen, maar het feit dat deze systemen indirect met het internet zijn verbonden. DAT zorgt ervoor dat jij een SQL injection kunt uitvoeren.

Het is een stuk lastiger een SQL injection uit te voeren als je eerst fysiek in een kern centrale moet zijn.

Dat die systemen op een desktop machine draaien is op zich niet zo heel erg. Wat wel erg is dat de process controller de betreffende desktop gebruikt om op de hoogte te blijven de laatste roddels.

SCADA systemen zijn nooit ontworpen om vanaf internet bereikbaar te zijn, ze zijn alleen ontworpen om vanaf een GEISOLEERD INTERN netwerk bereikbaar te zijn!
Alleen zit siemens dan met een zware design flaw en had men nooit ethernet mogen kiezen als basis voor onderlinge communicatie.
Ik denk dat de systeembeheerder het netwerk waarop de SCADA-apparatuur is aangesloten, dit netwerk niet op enige manier aan internet had mogen hangen, ondanks het gebruik van bijv. firewalls.

Ik ken een aantal omgevingen, waarbij productienetwerken volledig geïsoleerd zijn van kantoornetwerken en internet (zelfs dat het kantoornetwerk en internet volledig gescheiden is, om enige vorm van infecties te voorkomen op het kantoornetwerk). In sommige gevallen gaat het zover, dat er minimale afstanden tussen netwerkapparatuur en -bekabeling is vastgelegd, om er zeker van te zijn dat internetverbindingen geen beïnvloeding heeft op de interne netwerken.

Ethernet is mijns inziens een goede basis voor communicatie, echter e.e.a. is afhankelijk van de situatie. Er zijn andere manieren voor communicatie. Maar hier gaat het niet om in dit geval. Punt is, dat vanaf buitenaf de SCADA software kan worden aangevallen. Isoleren van het internet dus.
Het probleem is niet dat er ethernet wordt gebruikt voor communicatie tussen WinCC (de controlesoftware) en de apparatuur. Het probleem is ook niet zozeer dat WinCC niet zo goed beveiligd is, als de aanname was dat de software op een afgesloten machine zou draaien die één op één communiceert met een apparaat.

Als je vervolgens echter je netwerk openzet voor alle verkeer (en dus niet bepaalt dat alleen computer X machine Y mag benaderen) en daarnaast de Windows-machine ook nog eens aan het internet hangt, of er USB-sticks in laat prikken...
Injection is misschien makkelijk te voorkomen maar in niet-triviale systemen zijn XSS en CSRF toch een stuk complexer. Van de andere kant verwacht ik (maar het is lang geleden dat ik ermee gewerkt heb) eigenlijk niet veel webapplicaties in SCADA.
Mijn god, wie hangt die systemen aan het internet. Ik heb voor NAVO gewerkt, maar je werd ontslagen als je een secure systeem aan het internet hing.
Stuxnet sloeg niet toe via internet, maar via Flash drives van medewerkers van de kerncentrale werd ie op het infranet verspreid.
dit los je op door je werknemers een training te geven.
ik moet eerlijk zeggen als persoon in een kerncentrale niet begrijpt dat je geen gevonden usb stick of een usbstick die buiten het "bedrijfsnetwerk" gebruikt is niet mag aan sluiten dan mogen deze toch wel ontslagen worden

Je kan als bedrijf je systeem nog zo goed beveiligd hebben maar zonder een goede training aan je werknemers te geven ben je nergens.
Denk dat het slimmer is om de usb poorten uit te schakelen dan er vanuit te gaan dat er nooit een usb stick gebruikt gaat worden.
USB poorten uitschakelen is tegenwoordig ook lastig, aangezien je randapparatuur tegenwoordig ook USB is.
Binnen de bank waar ik werkte, hadden ze een instelling gemaakt, dat alleen bepaald type usb sticks gebruikt konden worden. Andere USB sticks werden niet herkend.

Geen 100% beveiliging, maar wel een extra laag. ICM training van personeel én een streng beleid (op staande voet ontslaan) bereik je al een hoop

Internetten doe je maar op een gewone pc ipv kritieke systemen
Wat heb je er aan dat je iemand de schuld kan geven wanneer de veiligheid van je systeem is aangetast?

Je moet niet anderen de schuld geven of excuses zoeken wanneer je zelf gefaald hebt bij het beveiligen van je systeem.

Wanneer iets lastig/moeilijk/veel werk is, is dat geen reden om het niet te doen.

Alleen bekende USB hardware ID's toelaten is beter dan vertrouwen op goed gedrag van gebruikers.
het is ook niet alleen vertrouwen op goed gedrag van je gebruikers. maar met een goede instructie/cursus zorg je er voor dat het personeel ook een beter besef krijgt van de gevaren die er spelen. vervolgens zorg je met goed beveiligd systeem ervoor mocht een werknemer een fout maken dat niet meteen je hele systeem besmet raakt oid
Uitschakelen én dichtlijmen scheelt al een stuk. En één fysiek afgesloten systeem waar USB op zit wat door een select groepje mensen benaderbaar is. Maar zelfs dan, als je er bij wilt kom je er wel bij. Zeker met de belaberde fysieke beveiliging van sommige (overheids)bedrijven.
Ook flash drives mochten we niet meenemen. Dat zou de politie ook niet moeten doen :-)
Ik vind dit soort nieuws zeer ernstig, deze systemen worden gekozen om hun stabiliteit terwijl ze verre van hackerproof zijn. Onze hele infrastructuur draait op dit soort systemen die toch erg kwetsbaar zijn, ik denk dat een huistuin en keuken pc soms beter is beveiligd.
het nieuwsbericht lijkt mij tendentieus. WinCC wordt normaal gesproken niet gebruikt voor kritieke installaties zoals een kerncentrale.
Dat is echt flauwekul. Ik zie die systemen genoeg, en ik _weet_ dat ze voor uitermate kritieke dingen gebruikt worden. Weliswaar is de kans op doden behoorlijk klein (in mijn werkomgeving), maar de potentiele schade loopt in de honderden miljoenen...
WinCC gebruiken in een omgeving met een mogelijke schade van "...honderden miljoenen..." is onlogisch. Ben dan wel benieuwd wat jij onder "...die systemen..." en "...uitermate kritieke dingen..." verstaat.
Het zou inderdaad niet zomaar gebruikt moeten worden voor kritische installaties. En die installaties zouden ook niet zomaar aan het internet moeten hangen. En toch gebeurt het soms wel. B.v. om makkelijk op afstand beheer te kunnen doen.

Die kerninstallatie in Iran die Stuxnet als doel had gebruikte o.a. WinCC als aanvalsvector:
Experts determined that the virus was designed to target Simatic WinCC Step7 software, an industrial control system made by the German conglomerate Siemens that was used to program controllers that drive motors, valves and switches in everything from food factories and automobile assembly lines to gas pipelines and water treatment plants.
De verbinding werd gemaakt via het hardcoded password:
<Server=.\WinCC;uid=WinCCConnect;pwd=2WSXcder>

[Reactie gewijzigd door Cameleon73 op 28 december 2012 10:07]

Iedere IT-er weet dat dit soort apparaten gewoonweg niet het internet op mogen gaan.
Eventjes een paar google dorks uitgeprobeerd zonet om te kijken hoeveel systemen te benaderen zijn. Blijkt dat het niet zo common sense is als men eigenlijk zou willen bij dit soort systemen.

[Reactie gewijzigd door looc op 28 december 2012 00:44]

Ik persoonlijk zou het niet meer dan normaal vinden dat de overheid hier iets meer op gaat controleren. als er bedrijven zijn waarbij een groot risico bestaat op een groot ongeluk schadelijk voor de omgeving zoals een kerncentrale of een fabriek waarbij gevaarlijke stoffen verwerk worden.

Schijnbaar beseffen sommige bedrijven gewoon niet hoe gevaarlijk dit kan zijn en is misschien de oplossing hiervoor dat de overheid zich hier mee gaat bemoeien.
Ik weet niet of de overheid hier direkt een rol in moet spelen (je krijgt ook geen boete als je voordeur open staat). Wat wel mogelijk moet zijn is alle recht op verzekering laten vervallen (zoals gebeurt bij diefstal/brand bij geopende voordeur). En natuurlijk gewoon publiekelijk aan de schandpaal nagelen en de overheid verbieden zaken te doen met bedrijven die aantoonbaar laks zijn (bijvoorbeeld door in een tender regel op te nemen). Ook leuk: kun je in een tender alle grote jongens diskwalificeren als kleine partij omdat de overheid geen zaken met ze mag doen. Moet je eens kijken hoe snel die grote jongens de problemen op gaan lossen.
(je krijgt ook geen boete als je voordeur open staat).
Dan heb je er ook alleen zelf last van.

Hypothetisch geval;
Het is winter, dus stel nou eens dat het die avond flink gaat vriezen. Jij hebt net je auto gewassen en er staat nog een flinke plas water. Maar eigenlijk vindt jij het wel welletjes, dus hup; terug naar binnen waar het warm is. De volgende ochtend maakt iemand een enorme uitglijder voor jouw deur en gaat keihard op z'n muil; breekt misschien een arm of een been. Raad eens wie er aansprakelijk is?
niet in alle gevallen. de overheid zou alleen een rol moeten spelen waar er als het mis gaat ook een groot gevaar is voor de omgeving en mensen die daar wonen.

Dat ergens in een fabriek het productie proces fout gaat maar niemand in de omgeving merk er iets van. nja dat is jammer voor het bedrijf maar het is niet gevaarlijk
Met een webinterface kan je toch niets aanpassen dat een kernreactor kan doen ontploffen. Het klinkt allemaal heel serieus, maar het valt allemaal mee hoor.
Normaal niet nee.

Het idee is ook niet dat je vanaf WinCC de kernreactor (of andere proces) ontregelt, maar dat je juist de operator laat zien dat nog alles goed is.

Op het moment dat de PLC bewust (door een hack) dingen "foutief" aanstuurt waardoor bijv. de druk of temperatuur oploopt, dan ziet de operator dit als het goed is op de SCADA software.
Door de SCADA software dusdanig te manipuleren dat alles goed lijkt, kan achterliggend de boel in de war gestuurd worden zonder dat de operator het door heeft.
Dat is waar het grote gevaar ligt.

Een ander voorbeeld is een gevangenis, waar deuren geopend kunnen worden met behulp van een SCADA interface.
Hier is het natuurlijk wel gevaarlijk, want een gevangenis waar de deuren van opengezet kunnen worden, is niet echt meer een gevangenis.
Dit klinkt misschien een beetje ver gezocht, maar er is een gevangenis waar bij is aangetoond dat dit mogelijk is.
Kerncentrales zijn niet afhankelijk van PLC's en SCADA software. De controle kamer is 24/7 bemand en er zijn panelen met echte meters en schakelaars die hardwired zijn.
Hebben ze daar dan kilometers lange relais kasten? Hoe wil je anders al je voorwaardes van stuurcircuits regelen t.o.v. je metingen?

T'is geen simpele stoomboot waarbij je alles handmatig kan instellen/regelen dacht ik....
Ja, is namelijk verplicht

[Reactie gewijzigd door toiletduck op 29 december 2012 01:00]

Je zou ervan verschieten hoeveel van zulke DCS systemen over internet aanspreekbaar zijn.

Bij het bedrijf waar ik zit draaien zobiezo 3 WinCC systemen, die allen aanspreekbaar zijn via internet.
Moet bij verteld worden dat men eerst via een token moet inloggen op het bedrijfsnetwerk, vervolgens via RDP naar een server connecten en dan nogmaals met een VNC connectie naar een andere server waarna men op deze WinCC systemen kan.
De reden dat deze systemen dikwijls al dan niet rechtstreeks op internet hangen is een zaak van monitoring en support : zowel de firma die de software heeft ontwikkeld als iemand intern die veel weet van het productieproces en van wacht is moeten op het systeem kunnen om te monitoren wat er gaande is om snel in te kunnen grijpen indien nodig, van thuis uit, of van bijd e leverancier om een aanpassing te doen, niet alle leveranciers zijn gevestigd in Belgie/Nederland. Bij ons is er zo bijvoorbeeld eentje vanuit Canada.
Feit is dat je moet zorgen dat je beveiliging dan zo hoog mogelijk is om de systemen niet rechtstreeks op het internet te hangen. Beste zou zijn niet, maar ik vrees dat dit praktisch onmogelijk is.
Tevens moet je ook bedenken dat DCS systemen maar door een heel selecte groep mensen ontwikkeld worden, en elk DCS systeem verschillend is. De enige die dus er kunnen mee werken zijn de mensen die het ontwikkeld hebben en die het moeten bedienen.
Je kan er vanuit gaan dat mensen die het willen misbruiken ofwel internen zijn, ofwel zoals in eht geval van Stuxnet overheidsinstanties die een grotere agenda hebben.
Maar de doordeweekse hacker zal zich nooit focussen op DCS systemen.
Een DCS systeem is iets heel anders dan een SCADA systeem...
Maar ze noemen de kwetsbaarheden binnen WinCC. Het pakket WinCC icm Simatic Scada is een DCS systeem ;-)

Sorry, ik brabbel onzin. Zie http://en.wikipedia.org/wiki/WinCC

[Reactie gewijzigd door Xorgye op 30 december 2012 02:47]

Ik heb van iemand (procestechnoloog) gehoord dat ie 20 jaar geleden al op afstand een pindakaasfabriek gehackt heeft in nederland en toen een batch met extra veel pindabrokjes erin heeft laten uitdraaien, maar die vent is al werkzaam in de industrie vanaf de jaren 60 toen er nog met mainframes gewerkt werd.
Ik was eens ziek (ca. 12 jaar geleden) en heb destijds vanaf de bank onder de dekens met notebook op schoot een veevoer fabriek helpen in bedrijf te stellen. De ISDN datalijn die ik gebruikte was voor onderhoud aan het systeem bedoelt. Dat is nu niet meer zo een goed idee :-)

Op dit item kan niet meer gereageerd worden.



Populair: Samsung Gamecontrollers Smartphones Processors Sony Microsoft Games Apple Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013