Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers: zestig slecht beveiligde Nederlandse scada-systemen op internet

Er zijn in Nederland zeker duizend scada-systemen aangesloten op internet, waarvan in ieder geval zestig met bekende kwetsbaarheden. Het gaat veelal om relatief kleine systemen voor 'besturingsdoeleinden', blijkt uit onderzoek.

Het onderzoek werd uitgevoerd door de Universiteit Twente, in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid. De onderzoekers gebruikten zoekmachines als Shodan om te zoeken naar scada's of Supervisory Control and Data Acquisition-systemen die op internet waren aangesloten. Ook keken de onderzoekers naar de veiligheid van die systemen en doen ze aanbevelingen voor de beveiliging ervan.

De onderzoekers vonden 989 systemen die in Nederland actief waren. Het merendeel daarvan, 557 stuks, was afkomstig van de fabrikant Tridium. In totaal worden de systemen gemaakt door 25 fabrikanten. Van al die systemen zijn er zestig die 'kwetsbaar' zijn. De onderzoekers bedoelen daarmee systemen die verschillende bekende zwakke punten hebben. Volgens de onderzoekers is niet bekend wie precies achter de systemen zit en waarvoor ze gebruikt worden, maar ze zeggen wel dat het gaat om 'veelal relatief kleine systemen die gebruikt worden voor besturingsdoeleinden'.

De onderzoekers willen niet te veel kwijt over welke systemen worden aangestuurd met dergelijke scada's. Volgens hen vallen de resultaten binnen het debat over de beveiliging van vitale infrastructuur in Nederland. Binnen de politiek vindt daarover al jaren discussie plaats en instanties zoals de NCTV waarschuwen ook al langer voor de mogelijke 'maatschappelijke ontwrichting' als dergelijke infrastructuur door een cyberaanval wordt getroffen. "Stel dat een of meer van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale?" zeggen de onderzoekers. Ook vinden zij dat de overheid meer moet ingrijpen bij dergelijke projecten. “Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet gehangen worden zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen."

De onderzoekers stellen onder andere voor dat belangrijke industrial control systems en scada's niet meer via internet te bereiken moeten zijn. Die zouden door firewalls, vlan's of vpn's verborgen moeten worden, zodat niet iedereen met toegang tot Shodan ze kan vinden. Ook zouden beheerders een whitelist moeten opstellen van personen of systemen die scada's kunnen gebruiken, wat naast bescherming tegen hackaanvallen ook bescherming biedt tegen dos-aanvallen of bruteforcepogingen. Uiteindelijk willen de onderzoekers een compleet separaat internet opzetten voor kritieke infrastructuur. Ze vergelijken dat met het huidige 112-netwerk en stellen voor dat internetproviders aan de discussie daarover deelnemen.

Door Tijs Hofmans

Redacteur privacy & security

05-08-2019 • 15:23

55 Linkedin Google+

Reacties (55)

Wijzig sortering
Shodan ? Had ik nog nooit van gehoord.
https://www.shodan.io/
Ik weet niet zeker of je sarcastisch bent, dus voor de zekerheid ga ik er even vanuit dat je dat niet bent.

Waarschuwing:::
Shodan is een ontzettend handige en krachtige zoekmachine voor verschillende (research) doeleinden.
Wees er echter van bewust dat sommige dingen op Shodan regelrecht illegaal zijn binnen Nederland.
Zoals dus met vrijwel alles; volg je logische verstand en bij twijfel; Niet doen

Houd hier dus rekening mee bij het gebruiken van een dergelijke zoekmachine, maar heb vooral verder veel plezier :*) :)
Wat is er illegaal aan Shodan?
Het gebruik van Shodan opzichzelf is niet illegaal, maar het wordt heel snel, heel grijs.

Bijvoorbeeld, jij ziet een Webcam op Shodan met de verschillende attributen van deze webcam; Legaal.
Vervolgens klik jij op de webcam om te zien wat hier achter zit. Afhankelijk van wat je daar tegenkomt kan jij ineens "illegaal" bezig zijn.
In verschillende landen gelden natuurlijk ook weer verschillende regels en binnen Nederland is het meeste wat er gebeurt wel toegestaan.

Mijn waarschuwing is voornamelijk, doordat de stap van "Rondneuzen op Shodan" naar "Illegaal benaderen van hard/software" voor een leek erg snel gemaakt is.

Better safe than sorry :)

edit; typo

[Reactie gewijzigd door w0nnapl4y op 5 augustus 2019 16:09]

Shodan is niet illegaal, maar je kan er wel illegale dingen mee doen. Zoals computervredebreuk.
Stel dat je bij de websoftware van een boerderij zo maar even kan rondneuzen en (per ongeluk of niet) de ventilatie van de stal, met 1.000 biggen erin, uitzet. Zomaar een voorbeeld. ;)

[Reactie gewijzigd door AW_Bos op 5 augustus 2019 17:53]

Shodan zelf niet lijkt mij, maar zaken als een portscan doen kan illegaal zijn.
Hmm inderdaad, grijs gebied blijkbaar maar niet zonder meer toegestaan dus. Interessant!
Dat blogstuk is veelte kort door de bocht. Er zijn genoeg scenario's waarin een portscan geheel legitiem is.
Hoe moet je weten welke porten er vanaf buiten open staan op je corp netwerk?
Juist, door vanaf buiten te scannen. En dat doe je niet een keer, maar meerdere keren per jaar.
En wat doen pentesters? Inderdaad, ook vanaf buiten scannen om te kijken of ze niet naar binnen kunnen komen.
Een portscan op je eigen infra is legaal, want je hebt jezelf toestemming gegeven.

Ik heb regelmatig pentesters ‘over de vloer’ en die leveren van te voren een testplan in. Ik als beveiliger lees dat niet, maar mijn baas wel, en die geeft ze al dan niet toestemming.

Als jij met Shodan een webcam in een sauna vind en beelden van naakte sporters online zet ben je serieus de sjaak, en volkomen terecht.

Zie je waar het verschil zit?
In een sauna hoort geen webcam. In NL is het op plekken waar mensen naakt KUNNEN zijn in ieder geval verboden.
Nee, dat zeg ik ook niet, sterker nog: het is niet eens altijd verboden geweest (of in ieder geval "grijs" gebied)
Ik heb eens een discussie gehad met een (respectabele en goede) sauna. Die hadden boven het bubbelbad nog een camera hangen, volgens hen niet meer aangesloten. Ik heb er toch maar op aangedrongen dat hij weg moest.

Overigens: kwaadwillenden kunnen met gemak beelden maken met camera's die totaal niet zichtbaar zijn, maar het mag allemaal niet
1 van de weinige websites waarvan mijn vorig werkgever wou dat ik die op de blacklist zou zetten (meer uit ethiek: zo willen wij ons geld niet verdienen). Zeer grijs dus ;)
Ha,

Een poortscan in veel gevallen nu net niet, daar heeft de HR al eens iets over gezegd, naar ik meen. Hoe dan ook volgt het logisch uit de tekst van 138ab sr (er wordt namelijk niet binnengedrongen). Er zal meestal echter een reden zijn voor die poortscan en de vervolghandelingen op die poortscan zijn in de meeste gevallen wel illegaal. Ook een poortscan kan illegaal zijn als het bewijsbaar een voorbereidingshandeling is voor nog te plegen criminele activiteiten (maar dan wordt het al een behoorllijk ingewikkelde technisch juridische discussie).

Bij een hoop van deze dingen is hoe dan ook context belangrijk. Ben jij een certified security worker in dienst bij een gerenommeerd bedrijf en scan/poke/klop jij onderdelen van een toko waarmee jullie een contract hebben kan er meer. Ben jij een hobbyist en gebruik je tools die ‘meer’ doen (igebouwde data-extractie bijv, of het pluggen van rats) zijn de risico’s groter.

Don’t be stupid en zorg dat als je toch aan de slag gaat dat je je van de richtlijnen voor ethisch hacken in NL op de hoogte bent. Scenepoints op tweakers hebben weinig waarde in een rechtszaal :).

edit: De uitspraak kon ik zo snel niet vinden, maar zie
https://kennisopenbaarbes...andreiking-cybercrime.pdf p 49 e.v.
let erop dat er een wetswijziging is geweest. 138ab sr heette vroeger 138b sr.

[Reactie gewijzigd door BuZZem op 7 augustus 2019 08:23]

Een beetje zoals we vroeger rondliepen met sleutels om electriciteit-en andere kastjes te openen.
Je mag zo'n sleutel wel hebben, maar hem niet buiten je werk om gebruiken of voor derden beschikbaar stellen. Maar als we toevallig ergens stroom of telefoon voor nodig hadden.... ;)

Potentieel niet zo "gevaarlijk" als bijvoorbeeld een stuw open zetten voor de lol, natuurlijk... O-)
Mooie vergelijking! Precies dit ja.
Je bent al snel enkele muiskliks verwijderd van 'per ongeluk' iemand zijn kastje te openen.
Ach, zo spannend is het ook allemaal niet. In het verleden wel eens wat mee gerommeld. Je kunt er vrij gemakkelijk openstaande ip-camera's mee vinden bijvoorbeeld. Moet je nog wel moeilijk doen met Internet Explorer, maar wat krijg je dan te zien.. auto's op oprijlanen, een nest puppies, een gezin in Hongkong dat op de bank zit naar tv te kijken, een lege keuken ergens in de VS, een verlaten kantoor in Turkije, een internetcafé in Korea, een stomerij in Japan, etc. Nee, geen wilde seksfeesten en CIA martelkamers dus :P , maar saaie alledaagse sleur.

Dat ben je snel beu.
Dat maakt het niet minder illegaal.
Hier zou ik meer van willen weten,, wat kan het vinden wat zozeer illigaal is of is shodan zelf illigaal?
Shodan gebruiken is niet illegaal. Met de zoekresultaten rondkijken op iemands NAS, of inloggen op een IP camera wel. Binnen Nederland zou je er potentieel een rechtszaak van kunnen krijgen, vanuit het buitenland zie ik het echter nog niet zo snel gebeuren.
Dan maar goed dat ik zuiderbuur ben }>
(en ik was NIET sarcastisch)

[Reactie gewijzigd door OxWax op 5 augustus 2019 15:58]

Best wel heftige tool inderdaad. Ik heb eens gezocht op mijn eigen domotica-systeem. Gelijk 2de hit kwam ik binnen op een vreemd systeem, zonder vorm van autorisatie.

Offtopic: Wat moet ik hiermee, berichtje naar de abuse van de ISP?
Zo kwam ik laatst via een site een webcam tegen op een ziggoverbinding (even IP opgezocht), dit was gericht op een zwembad binnen. Ik heb ziggo maar gebeld en het IP en de poort doorgegeven. Het duurde geen uur of de webcam was niet meer bereikbaar. Of ze de klant hebben benaderd weet ik natuurlijk niet.
Zou ik nooit doen. Zoals anderen al zeggen ben je illegaal bezig. Goed bedoeld of niet, je maakt jezelf kwetsbaar voor een juridische procedure die je mogelijk nog verliest ook. En dan krijg je dus stank voor dank.
Niet waar, Ethical Hacking is in Nederland niet verboden. Dus als je zoiets tegen komt en je meld het netjes is er juridisch niks aan de hand.

Misbruik maken door bijvoorbeeld de beelden op te nemen of door te sturen is daar in tegen wel verboden.
Dat kan wel zijn maar mensen zijn wel vaker in de problemen gekomen ondanks hun goede bedoelingen. Je acties zullen maar verkeerd geinterpreteerd worden. Als je uberhaupt niks doet dat potentieel niet in de haak is dan hoef je je ook juridisch niet in te dekken. Dus tenzij het je eigen systemen zijn of die van een bekende zou ik lekker oogkleppen opzetten en alleen online systemen en diensten benaderen en gebruiken die voor het publieke domein bedoeld zijn.
Dat is misinformatie.

De handelingen zijn verboden. Punt.
Door precies en overtuigend de guidelines voor ethical hacking te volgen kan het OM of de rechter beslissen dat de wederrechtelijkheid ontbreekt (en daarmee wordt het dan niet strafbaar).

Je neemt altijd een risico, want ze moeten daarvan wel overtuigd raken. Is dat niet zo hebben ze in beginsel wat ze nodig hebben om te veroordelen. Veel hangt dus af van context en voorbereiding.
Op je zolderkamertje zitten en achteraf roepen dat je ethical hacking deed is al vaker niet overtuigend gebleken.

Wil je echt die kant op moet je dat dus voorbereiden, met papertrail etc of je bent NIET veilig.
^ Dit is dus precies het scenario wat ik in mijn post omschrijf als "potentieel illegaal" :)
Is een interessante/handige site, je hebt er ook een Chrome plugin voor:

https://chrome.google.com...idlmpjhdfepjhjbhnhkbgleap
Ik ben benieuwd wat de overheid met alle aanbevelingen doet, het zou eigenlijk de regel moeten worden voor SCADA en industrial control systemen die aan het internet hangen. In deze tijd van hacking en de afhankelijkheid van bepaalde systemen kan je geen risico meer nemen en zouden er (blijkbaar) regels opgesteld moeten worden waaraan dit soort systemen moeten voldoen.
Hiervoor heeft het Nationaal Cyber Security Centrum (NCSC) al een richtlijn/checklist:

https://www.ncsc.nl/docum...ist-beveiliging-ics-scada

Daarin staan twee punten die hierop betrekking hebben:
1) De ICS/SCADA-systemen maken gebruik van een aparte netwerkinfrastructuur. Deze netwerkinfrastructuur is gescheiden van andere netwerken. De scheiding kan fysiek of logisch zijn ingericht.
Door gebruik te maken van een aparte netwerkinfrastructuur wordt voorkomen dat (ver)storingen en beveiligingsincidenten in andere netwerken (bijvoorbeeld het standaard kantoornetwerk) direct invloed hebben op de ICS/SCADA-systemen. Wanneer netwerken niet van elkaar zijn gescheiden kan een kwetsbaarheid in het kantoornetwerk bovendien worden misbruikt om toegang te verkrijgen tot de ICS/SCADA-systemen. Referenties: [17], [23], hoofdstuk 8 van [24]
2) Beperk koppelingen van ICS/SCADA-systemen met internet en andere netwerken.
Elke koppeling vormt een potentieel risico. Stel periodiek (minimaal één keer per jaar) een overzicht op van alle koppelingen van uw systemen met internet en andere netwerken. Voer een risicoanalyse uit voor deze koppelingen om de juiste maatregelen te kunnen bepalen. Maak gebruik van beveiligingsapparatuur zoals firewalls, proxyservers en datadiodes en een bijbehorend beleid.
Er kan een valide reden voor een koppeling zijn, denk bijvoorbeeld aan snelle storingsanalyse, beheer of procesmonitoring. Laat informatie-uitwisseling tussen verschillende netwerken via een apart netwerksegment (DMZ) verlopen. Zorg ervoor dat toegang op afstand alleen plaatsvindt via een centrale beveiligde voorziening en gebruik hierbij tweefactorauthenticatie. Referenties: hoofdstuk 2.15 van [2], hoofdstuk 5.8 en 6.3 van [5], Configuring remote access [9], [12], [25].
Veel scada systeem voor brug/sluis/tunnel bediening zijn verbonden met het internet omdat ze deze dan op afstand kunnen bedienen vanuit een centrale.

Uit ervaring zijn de beheerders van deze objecten heel terughoudend met updates. En is de mentaliteit heel erg het werkt nu dus er van af blijven!
Waar opzich niets mis mee is. Je kunt dit toch ook gewoon beveiligingen door het bijvoorbeeld achter Gateway/firewall o.i.d. te maken en niet rechtstreeks aan het internet. Zo zou ik het tenminste doen.
Zulke systemen worden echt niet op het internet aangesloten om ze op afstand te kunnen bedienen vanuit een centrale. Rijkswaterstaat schrijft echt geen complete aanbestedingen om er even een internetmodem tussen te zetten. Zulke systemen worden alleen op een eigen netwerk aangesloten.
Hooguit dat er misschien ergens een (fiets)tunneltje aan het internet hangt, welke niet aan de tunnelwet hoeft te voldoen.
Inderdaad, en ook terecht imo. Wij hebben diverse scada systemen draaien in een plant die 24/7/365 draait met af en toe kleine stops voor onderhoud. Over het algemeen leveren updates meer problemen op dan profijt, maar omdat het vaak beveiligings patches zijn wil je ook niet te lang wachten, altijd lastig. De gemiddelde firmware update voegt verder vaak bar weinig toe en kan er soms voor zorgen dat de fabriek gewoon stil staat als het verkeerd uit pakt.
Sinds een tijdje is het update beleid van servers veranderd en worden de scada servers gewoon klakkeloos iedere week meegepakt in de update ronde van IT. Is een wereldwijde beslissing na Stuxnet en alle andere die later volgenden. Resultaat is nu wel dat zo nu en dan het scada systeem kapot gepatched word omdat de fabrikant van het scada systeem deze nog niet goed heeft gekeurd. Is een management beslissing, het risico op gehackt worden weegt zwaarder. Kost jaarlijks toch best wel productie. Als wij als engineer dan ook nog iedere firmware update voor een drive, scalance of zo gaan meepakken is het feest helemaal niet meer te overzien. Gaat zeker productieverlies opleveren

[Reactie gewijzigd door dickydick666 op 6 augustus 2019 10:13]

Gaat zeker productieverlies opleveren
Ja logisch, maar dit is nu precies waarom Nassim Taleb zijn boek De Zwarte Zwaan: De impact van het hoogst onwaarschijnlijke heeft geschreven: het is wellicht onwaarschijnlijk dat het gebeurt, maar de impact áls het gebeurt is enorm.
Dus je alleen en uitsluitend maar op de dagelijkse productie concentreren en all andere factoren negeren 'omdat die kans zó klein is' is een recept voor ellende.
Centrale bediening van bruggen, sluizen en tunnels gaat over een gesloten netwerk dat niet is aangesloten op het internet. Nederland ligt vol met glasvezel en dat is niet allemaal internet.
Goede conclusie van het artikel, zorg ervoor dat SCADA en soortgelijke systemen niet meer rechtstreeks aan internet hangen. Vaak wordt dit gedaan om op afstand snel wat settings te kunnen aanpassen of omdat de leverancier eenvoudig contact kan maken voor onderhoud. Je moet dan als klant zelfs eisen dat een systeem niet rechtstreeks aan internet hangt, de leverancier zal tijdens de installatie een systeem juist wel aan internet hangen voor hun gemak.

@ShellGhost : EraYan geeft al een prima reactie, je moet gewoon een goede combinatie van firewall en VPN verbinding toepassen.

[Reactie gewijzigd door Kamiklase1 op 6 augustus 2019 11:35]

ICS apparaten hangen al jaren aan het internet, alleen nu pas begint er een soort van bewustwording te komen.
Het vervelende is dat ICS apparatuur over het algemeen niet de meest goedkope apparatuur is.
De levensduur is meestal 20+ jaren en de meeste bedrijven hebben een aantal op de schappen liggen.
Dus alles vervangen binnen support tijd wordt een duur geintje.
Goed, maar er kan natuurlijk gewoon een firewall tussen, met aan de andere kant een VPN endpoint of bastion host. Dat hoeft dat systeem verder vrij weinig uit te maken.
Ik heb in een ver verleden nog dedicated lijnen ingekocht bij KPN voor een aantal kritieke scada systemen juist om ze niet aan het internet te hangen.
Shodan is een mooie tool, maar je realiseert je vervolgens heel snel wat er allemaal openbaar op internet te zien is. Dingen die je gewoon niet hoort te zien. Binnen 30 seconden kon ik in een FTP-server rondneuzen bij iemand die al dan niet per-ongeluk de FTP-server van zijn modem heeft openstaan. Ook bij een NAS kon ik zomaar binnenkomen.

Nu moet ik wel zeggen dat ik in het geval van die NAS toen met de eigenaar telefonisch contact heb gezocht met de waarschuwing dat zijn gegevens openbaar waren. Die eigenaar schrok enorm toen ik hem op zijn vaste lijn belde ("We gebruiken dit nummer nooit" en "Hoe ben je binnengekomen").

Nu had ik de eigenaar gewaarschuwd, maar er zijn natuurlijk ook zat mensen die niet waarschuwen en andere stunts gaan uithalen.
Tridium, volgens mij is dat meer voor IoT toepassingen en wordt dat industrieel niet gebruikt.
Ik heb er iig nog nooit van gehoord, en heb toch wel met een aantal industriële SCADA-paketten gewerkt.
Alle PLC en/of SCADA projecten welke ik tot nu toe gedaan heb/tegen ben gekomen zijn extern alleen via vpn te benaderen en niet direct via het internet, en dat is eigenlijk normaal in de industrie.
Er zullen vast wat uitzonderingen zijn, maar als Tridium de referentie is dan geeft dat IMO wel een vertekend beeld omdat dit niet een pakket is wat "normaal" gebruikt wordt, zoals b.v. Siemens WinCC of Citect dat wel zijn.
Heel benieuwd hoe lang het duurt voor een politicus voor het sluiten van shodan.io gaat pleiten.

Want hoe vervelend ook, het is wel een tool die je snel een idee geeft over de schaal van een probleem.
Zorg dan dat het probleem er niet is, zodat een tool het niet kan opmerken.
Eens, maar dat lukt niet iedereen. Deze tool helpt dan wel met het inschatten van de omvang. Uiteindelijk is het vaak de schaal die een fabrikant aanspoort iets te doen.
Deze tool maakt het gemakkelijk voor Jan-met-de-Pet om systemen te scannen.
Als je daar al bang voor bent heb je de slag al lang verloren tegen Rusland, China, Iran & VS.
Die hebben veel betere tools en deze 60 systemen (en vele andere) al lang onder controle.
Mijn opmerking was eerder andersom, dat is hoe ik deze tool gebruik.
Onderaan op de homepagina: Chrome Plugin/ Firefox Plugin
Met het grootste risico bij de overheid omdat die zichzelf verzekert?


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smarthome

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True