Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties, 26.865 views •

Beveiligingsonderzoekers hebben op de CCC-beveiligingsconferentie in Hamburg twintig nieuwe kwetsbaarheden in scada-systemen onthuld. Dergelijke systemen worden onder meer in kerncentrales en andere kritieke infrastructuur gebruikt.

Op de CCC-conferentie in Hamburg, waar Tweakers aanwezig is, claimden de onderzoekers van de onderzoeksgroep Scada Strange Love dat ze verschillende kwetsbaarheden in scada-systemen van Siemens hebben aangetroffen. De onderzoekers zeggen specifiek systemen van Siemens onder de loep te hebben genomen vanwege het grote marktaandeel dat de fabrikant heeft. Scada-systemen worden gebruikt om industriële processen in de gaten te houden en aan te sturen.

Een groot deel van de ontdekte kwetsbaarheden zitten in Simatic WinCC-systemen, die onder meer worden gebruikt in kerncentrales en andere kritieke infrastructuur: het waren deze systemen die in 2010 in Iran werden aangevallen door het Stuxnet-virus. Een van de aangetroffen kwetsbaarheden betrof een hardcoded-encryptie-key die aanwezig was in de broncode van het het besturingssysteem van een bepaald scada-apparaat van Siemens.

De onderzoekers vonden in totaal twintig beveiligingsproblemen. Een groot deel daarvan werd gevonden in web-interfaces waarmee de apparaten kunnen worden bediend. Zo waren er kwetsbaarheden voor sql-injectie, cross site scripting en cross site request forgery aanwezig. Die kwetsbaarheden maken het mogelijk voor aanvallers om via een aanval eigen commando's uit te voeren op een scada-systeem van Siemens, zoals de onderzoekers lieten zien tijdens een vooraf opgenomen demonstratie.

Het risico van cross site scripting en cross site request forgery moet daarbij niet worden onderschat, zeggen de onderzoekers. Beide technieken zijn alleen te misbruiken als een potentieel slachtoffer ofwel ertoe wordt verleid om op een malafide link te klikken, die vervolgens commando's uitvoert op het scada-systeem, ofwel een website bezoeken die een dergelijke link uit zichzelf opent. Volgens de onderzoekers wordt echter de helft van de systemen die wordt gebruikt om scada-systemen mee te beheren, ook als desktop gebruikt, waarbij dus mogelijk op internet wordt gesurft. Het risico op aanvallen neemt daardoor toe.

Volgens de onderzoekers zijn veel scada-systemen direct aan het internet gekoppeld; weliswaar niet altijd direct, maar vaak wel indirect, bijvoorbeeld door slecht geconfigureerde routers. "Europa is de slechtst beveiligde regio, als het gaat om de beveiliging van scada-systemen", beweerde een van de onderzoekers, Segey Gordeychick. Vooral in Italië zou het treurig gesteld zijn met de beveiliging van de cruciale systemen.

De onderzoekers stellen dat veel scada-systemen bovendien nog kwetsbaar zijn voor het lek dat werd gebruikt om het Stuxnet-virus op Siemens-systemen te krijgen. Dat lek werd in 2005 al ontdekt en in 2010 opgelost, maar volgens de onderzoekers is het 'nog overal te vinden'. Het gaat om een standaard-gebruikersnaam en -wachtwoord die het voor iedereen mogelijk maken om in te loggen op het apparaat en die hardcoded aanwezig zijn.

Tijdens de conferentie gaven de onderzoekers ook een drietal tools vrij die de beveiliging van scada-systemen moeten helpen verbeteren. Daaronder was een checklist voor beheerders van scada-systemen, maar ook een cheat sheet voor nieuwsgierigen die zelf naar kwetsbare scada-systemen willen zoeken. Ook een command line-tool waarmee de beveiliging van scada-systemen kan worden getest, is daartoe vrijgegeven. Op dit moment ondersteunt die tool enkel WinCC-systemen; ondersteuning voor andere apparaten komt later. De tool lijkt op dit moment nog niet gepubliceerd te zijn.

Reacties (63)

Reactiefilter:-163059+138+23+30
Moderatie-faq Wijzig weergave
Ik was eens ziek (ca. 12 jaar geleden) en heb destijds vanaf de bank onder de dekens met notebook op schoot een veevoer fabriek helpen in bedrijf te stellen. De ISDN datalijn die ik gebruikte was voor onderhoud aan het systeem bedoelt. Dat is nu niet meer zo een goed idee :-)
Van de site van Siemens geplukt:

"Dan is er nu een krachtige, alternatieve oplossing, die bovendien in de orde van 30 tot 40%+ goedkoper is. En even veilig en betrouwbaar…

De op Internet gebaseerde SCADA - ASP service van Siemens is uw kortste weg naar een precies op uw behoeften aansluitend systeem, mťt hoge schaalbaarheid en dus toekomstgericht."


bron: https://www.swe.siemens.c.../Pages/home_scadaasp.aspx

SCADA applicaties worden in vele bedrijven toch met het internet verbonden. Ook deze tekst doet uitschijnen dat dit zonder beveiligingsrisico kan.

Schandalig dat dergelijke grote bedrijven zulke amateuristische fouten durven te maken.
"Dus, voor een bedrijf als Siemens is het onmogelijk om het goed te doen, en nog steeds een boterham te verdienen."

Heb jij enig idee hoe schofterig veel deze software kost?

De standaard oplossing die Siemens bied om deze software aan internet te hangen is via een Microsoft 2010TMG, verder zijn er ooit drie patches afgekeurd (fouten van MS) waardoor siemens erg patchbang is.

Bedenk ook dat deze software zo 10Gb is, dat is uitgebreider dan het gemiddelde OS. verder zijn er veel aangekochte componenten in verwerkt die ze zelf niet 100% kennen.

Mijn advies? laat eens echte it-ers ernaar kijken in plaats van de mensen die het ontwerpen en ermee werken. Helaas snapt men in de kantoorautomatiserng erg weinig van deze zeer kritische systemen.
Ik kan me het best indenken, want het gaat hier ook vaak over systemen die al jaren draaien, lang voordat dingen als sql-injection, cross-site scripting etc gemeengoed was.. Want lekken die we nu bv nog niet eens kennen zullen over een paar jaar misschien als gemeengoed bekend zijn (zoals sql-injection).
En psyBSD hierboven legt het nog eens heel duidelijk uit.. Ik vindt dan ook dat die zogenaamde onderzoekers hier alleen maar weer hebben geprobeerd om een naam voor zichzelf te maken, want de lekken waarover ze spreken zijn voor de insiders (hackers EN siemens) echt geen nieuwe lekken..
Ik vind dit soort nieuws zeer ernstig, deze systemen worden gekozen om hun stabiliteit terwijl ze verre van hackerproof zijn. Onze hele infrastructuur draait op dit soort systemen die toch erg kwetsbaar zijn, ik denk dat een huistuin en keuken pc soms beter is beveiligd.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True