Nucleair agentschap Iran poogt Stuxnet te stoppen

Stuxnet, volgens deskundigen mogelijk de meest complexe malware ooit gebouwd, heeft in Iran zeker 30.000 Windows-systemen besmet. Daaronder zijn pc's die in nucleaire installaties draaien. Een schoonmaakoperatie zou op touw zijn gezet.

De worm Stuxnet, die systemen vooral besmet via usb-sticks, werd in juni op Iraanse Windows-computers ontdekt door het relatief onbekende antivirusbedrijf VirusBlokAda uit Wit-Rusland. Uit onderzoek door diverse beveiligingsfirma's bleek dat de malware zich niet richt op het stelen van gebruikersgegevens of het versturen van spam, maar zich juist richt op het aanvallen van aanstuursoftware voor industriële systemen. Daarbij richt Stuxnet zich bovendien uitsluitend op scada, software die door Siemens wordt gemaakt en waarmee industriële systemen zijn aan te sturen. Scada-systemen worden onder andere gebruikt in de omstreden nucleaire installaties in Iran.

Inmiddels heeft de Iraanse overheid toegegeven dat de Stuxnet-worm op zeker 30.000 ip-adressen van bedrijfssystemen in Iran is aangetroffen. Vermoedelijk gaat het om nog een groter aantal, omdat verschillende pc's met één ip-adres werken of niet aan het internet zijn gekoppeld. Onder de besmette systemen zijn ook pc's die worden gebruikt in nucleaire installaties, waaronder de kerncentrale Bushehr, die tegen de wil van het Westen op korte termijn zou worden opgestart. Of ook systemen van de uraniumverrijkingscentrale Natanz zijn aangevallen, is onduidelijk. Volgens Iran zijn er geen kritische bedrijfssystemen besmet in de kerncentrale van Bushehr, maar is er wel een groep deskundigen samengesteld om getroffen pc's te ontsmetten.

Een medewerker van het Iraanse ministerie van industrie liet weten dat er vanuit het Westen een 'elektronische oorlog' tegen Iran wordt gevoerd. Ondertussen wordt er onder deskundigen druk gespeculeerd over wie Stuxnet heeft kunnen maken, mede omdat de malware zeer complex is en zich uitsluitend richt op het aanvallen van Siemens-software om zo plc-systemen te kunnen herprogrammeren met mogelijk sabotage als hoofddoel. Het bouwen van een dergelijk complex stukje malware zou een groot team programmeurs vereisen met bovendien veel specialistische kennis.

Als mogelijke verdachten worden Israël en de Verenigde Staten aangewezen, beide aartsvijanden van Iran en bevreesd voor een mogelijk Iraans kernwapenprogramma. Bovendien is het mogelijk dat de makers van Stuxnet al hebben toegeslagen; Wikileaks bracht op 17 juli 2009 het nieuws dat er in de opwerkingsfabriek in Natanz een 'ernstig nucleair ongeluk' heeft plaatsgevonden. De informatie zou afkomstig zijn van een anonieme bron die bij het Iraanse kernprogramma is betrokken.

Onder andere Symantec heeft Stuxnet uitvoerig onderzocht. De malware gebruikt liefst vier 'zero-day' (ongepatchte) kwetsbaarheden in Windows om een systeem via veelal een usb-stick te besmetten, waaronder een autorun-methode die ook werkt als autorun in Windows is uitgeschakeld. Ook is de kwaadaardige code voorzien van een aantal gestolen certificaten, waaronder een van Realtek, zodat onderdelen van de halve megabyte zware malware zich probleemloos op een Windows-systeem weten te nestelen. Verder wordt een rootkit-constructie gebruikt om Stuxnet onzichtbaar te maken voor detectietools.

De malware werd allereerst aangestuurd door enkele command and control-servers, maar deze zouden inmiddels uit de lucht zijn gehaald. Stuxnet beschikt echter ook over een p2p-component, waardoor het zich vrijwel ongestoord kan blijven updaten. Bij een analyse van de aanvalsmogelijkheden op de plc-systemen via de Siemens-software bleek dat de malware onder andere hittedetectoren en andere meetmechanismen zou kunnen herprogrammeren. Verder gaat Stuxnet binnen een bedrijfsnetwerk op zoek naar andere systemen. Symantec zal op 29 september een onderzoeksrapport over Stuxnet vrijgeven.

Siemens heeft het probleem rondom de kwetsbaarheden in zijn Scada-software eerder deze maand onderkend. De Duitse firma zou de malware in zeker veertien fabrieken hebben ontdekt, maar er zou geen schade zijn aangericht. Stuxnet weet de software van Siemens mede te infiltreren doordat de default-wachtwoorden niet zijn gewijzigd. Bovendien zou Siemens huiverig zijn om de wachtwoorden te veranderen, omdat kritische bedrijfssystemen zouden kunnen vastlopen.

IT-banen

Reacties (258)

Rembert 27 september 2010 13:28

Volgens http://blog.eset.com/?p=5018 staat dat van alle scada target sites 1/3 zich in Duitsland bevindt maar dat er daarvandaan maar heel weinig infecties worden gemeld.

In Stuxnet under the Microscope (must read IMO) wordt aangegeven dat de Siemens systemen hardcoded accounts blijken te hebben en er geadviseerd zou zijn om voorlopig die systemen niet op netwerken aan te sluiten. Het wijzigen van de wachtwoorden zou nu resulteren in het niet meer werken van die systemen. Als dat zo is... security through obscurity en dat met dergelijk cruciale systemen?

MrTheMan @Rembert • 28 september 2010 11:22

Dat is natuurlijk geen security through obscurity. In dat geval is een systeem namelijk veilig doordat niemand precies weet hoe het werkt. Dit systeem is noch secure, noch obscure.

Het is natuurlijk wel een magistrale fout om wachtwoorden te hardcoden.

p0st

27 september 2010 11:06

Een ernstige worm in Iraanse Kernreactors, dat klinkt als een doemscenario, zeker weten dat dit geen script voor een Hollywood blockbuster is? Ook de consequenties en eventuele dingen die al gebeurd zijn klinken zorgwekkend

Anoniem: 77640 @p0st • 27 september 2010 11:38

De eigenlijke besturing van de kerncentrale draait niet op Windows hoor. En is ook niet aan het internet verbonden. Niks doemscenario dus.

Men kan hier hoogstens informatie mee inwinnen.

Anoniem: 14842 @Anoniem: 77640 • 27 september 2010 11:59

Normaliter zou ik het met je eens zijn, logisch ook.

Echter: stuxnet is specifiek geschreven voor SCADA van Siemens. Deze stuurt weldegelijk rechstreeks plc's aan, dus machinerie zeg maar.

Jou conclusie dat men hier hoogstens informatie mee kan inwinnen is dan ook onjuist. Ten eerste staat nergens dat het Windows pc's moet betreffen, de Windows pc hoeft alleen in het zelfde netwerk te hangen als de "aanstuur" pc/de plc. En aangezien infectie gewoon via een usb stick gaat kan dat heel gemakkelijk door 1 luie werknemer gebeuren. Al helemaal omdat juist de ultra secure pc's niet aan het internet hangen en in de meeste gevallen ook maar heel af en toe beveiligings updates krijgen.

Nee, dit is een knap stukje technologische oorlogvoering. Ik denk dat er 1 partij gewoon baalt als een stekker nu dat het is ontdekt. Anders hadden ze mooi een wapen gehad om te gebruiken bij een eventuele confrontatie...

Anoniem: 77640 @Anoniem: 14842 • 27 september 2010 13:47

Deze stuurt weldegelijk rechstreeks plc's aan, dus machinerie zeg maar.

Dan kan men nog steeds niks van buitenaf regelen. In het 'ergste' geval kan men dus louter op een vast tijdstip een aantal PLC's ontregelen. De werkelijk kritieke systemen zijn niet te herprogrammeren. En bovendien werken de veiligheidssystemen volledig onafhankelijk. Dus zelfs indien de reactor gedestabiliseerd zou worden, voorzien actieve en passieve maatregelen in het stilleggen van de reactor.

In de praktijk kan Stuxnet dus louter ingezet worden om informatie in te winnen.

En aangezien infectie gewoon via een usb stick gaat kan dat heel gemakkelijk door 1 luie werknemer gebeuren.

Niks gebeurt zonder veiligheidsanalyse en toestemming van meerdere personen. Als een systeem door één "luie" werknemer besmet kan geraken, dan gaat het beslist om een niet-kritisch systeem. Naarmate er meer kritische systemen aan te pas komen worden de maatregelen steeds strenger. En ja zelfs in Iran wil men de risico's minimaliseren en volgt men de procedures. De centrale van Bushehr wordt zelfs grotendeels door Russische ingenieurs bediend. Zonder die expertise had men nooit de bouw van die reactor toegestaan.

kimborntobewild @Anoniem: 77640 • 27 september 2010 17:01

De werkelijk kritieke systemen zijn niet te herprogrammeren.

Hoe weet jij dat nou... Als zelfs de nucleaire waarnemers in de USA niet eens exact weten of Iran nu capabel is om kernwapens te maken of niet.

En bovendien werken de veiligheidssystemen volledig onafhankelijk.

Dat is misschien wel de bedoeling, maar dat wil nog niet zo zeggen dat 't ook zo is.

Als een systeem door één "luie" werknemer besmet kan geraken, dan gaat het beslist om een niet-kritisch systeem.

Die gedachte is behoorlijk naief. Als je tot de kern van het personeel behoort, kan je saboteren wat je wilt.

De centrale van Bushehr wordt zelfs grotendeels door Russische ingenieurs bediend. Zonder die expertise had men nooit de bouw van die reactor toegestaan.

Dacht je soms dat de Iraniërs niet van de Russen kunnen leren (in de praktijk)? En zodra het zover is dat ze de boel zelf 100% kunnen bedienen, kunnen ze die Russen rustig wegsturen.

Floor @Anoniem: 14842 • 27 september 2010 13:10

Hij is nog niet uitgeschakeld...

Anoniem: 126717 @Anoniem: 77640 • 27 september 2010 12:17

"There have been no instances where production operations have been influenced or where a plant has failed," the Siemens spokesperson said. "The virus has been removed in all the cases known to us."

He also said that according to global security standards, Microsoft software "may not be used to operate critical processes in plants".

{source}

Anoniem: 295700 @Anoniem: 77640 • 27 september 2010 12:09

Wel doemscenario: de malware valt juist de besturing van de kerncentrale aan! Alleen om bij de besturing te kunnen komen moeten heel veel PCs worden besmet.

Stoney3K

Politiek en recht

@Anoniem: 295700 • 27 september 2010 13:00

Wel doemscenario: de malware valt juist de besturing van de kerncentrale aan! Alleen om bij de besturing te kunnen komen moeten heel veel PCs worden besmet.

De besturing zelf vindt, zoals het artikel al zegt, plaats in Siemens PLC's die weer in hetzelfe netwerk hangen met Windows-machines.

Als je de hele rits aan PLC's niet in een netwerk zou hangen, wordt het redelijk moeilijk om centraal te monitoren en te regelen, denk alsof iedere medewerker even elk half uur de temperatuur van de kern doorbelt

Verder is het ook zo dat je voor een 'kernramp' (op de schaal van Tsjernobyl) wel even wat meer moeite moet doen en zo'n worm dus een heel specifiek scenario uit moet kunnen voeren. Als zoiets al gebeurt, is dat waarschijnlijk voor Iran het bewijs dat Stuxnet daar specifiek voor geschreven is. Je moet behoorlijk wat parameters in die PLC's weten te vinden en dan ook nog eens op de goeie manier beïnvloeden voordat je een reactor voorbij kritiek krijgt.

Anoniem: 77640 @Stoney3K • 27 september 2010 14:43

Verder is het ook zo dat je voor een 'kernramp' (op de schaal van Tsjernobyl) wel even wat meer moeite moet doen en zo'n worm dus een heel specifiek scenario uit moet kunnen voeren.

Beter nog, een ramp zoals Tsjernobyl is niet mogelijk met een reactor van dit type. Fysische processen in de reactor houden hem stabiel of zorgen dat hij stilvalt. En dan zijn er nog heel wat actieve systemen die de reactor kunnen afremmen of stilleggen, die niet door herprogrammeerbare PLCs bestuurd worden.

Er is voor dit type reactor geen enkel scenario bekend met gevolgen op de schaal van Tsjernobyl, laat staan dat men zo'n scenario extern zou kunnen orchestreren met een worm die niet in verbinding staat met het internet!

SKiLLa @Anoniem: 77640 • 27 september 2010 17:27

Dat zei men van Tsjernobyl ook voor de ramp; net zoals dat elke nieuwe copieerbeveiliging 'onkraakbaar is' (in de praktijk meestal max. een paar dagen, maar goed). Dergelijke zaken worden altijd ontkent, of het nu beleid of ontwetenheid is.

Ik geloof ook niet dat Stuxnet (software-only) een kernramp kan ontketenen (dat is volgens mij ook niet het doel van de malware), maar 'een ramp zoals Tsjernobyl is niet mogelijk met een reactor van dit type' is wel een ander uiterste. Oke, het is een compleet ander ontwerp (geen gevaarlijk RBMK), maar dat maakt het niet 'gegarandeerd' veilig' ... Over potentiele 'atoombommen' moet je vooral niet te laconiek doen

Anoniem: 247804 @SKiLLa • 27 september 2010 19:14

psies..... een "vuile" bom van een rivier of wat voor een koel installatie met open verbinding naar open water maken is niks... toch?

Stoney3K

Politiek en recht

@Anoniem: 77640 • 27 september 2010 23:39

Er is voor dit type reactor geen enkel scenario bekend met gevolgen op de schaal van Tsjernobyl, laat staan dat men zo'n scenario extern zou kunnen orchestreren met een worm die niet in verbinding staat met het internet!

Je zei in een andere post al dat de reactor een PWR-type was, van Russische makelij, dus dan zit je in de buurt van een type VVER-1000/446 (voor Bushehr). Dit soort reactoren is inderdaad alleen geschikt voor energieproductie en niet voor het produceren van plutonium (de RBMK kan al draaiend bijgevuld worden en het plutonium eruit gehaald).

Dan nog kan er met een PWR aardig wat mis gaan, zes jaar voor Tsjernobyl was er bijvoorbeeld een bijna-meltdown tijdens het Three Mile Island-incident.

rc5proxy @Anoniem: 77640 • 27 september 2010 12:57

klopt inderdaad de besturing van de centrale is een gesloten netwerk (vaak ook geen windows computer in te vinden dus)
alleen als er een PLC moet worden ingeregeld wordt er een windows laptop/desktop aangesloten die natuurlijk wel een internet verbinding heeft of heeft gehad
als die dus al besmet is regel je 1 PLC in en de mailware is ondertussen druk bezig info te verzamelen van alle andere PLC's in het nog steeds gesloten netwerk
dit wordt allemaal gebufferd op de laptop en later als er weer een internet verbinding is verstuurd.

akoster @rc5proxy • 27 september 2010 14:21

De "besturing van de centrale" gaat over een aantal schijven :

een plc verzorgd de besturing van motoren, kleppen en uitlezen van sensoren
een scada systeem (dat draait op een aantal windows computers) wordt gebruikt om de plc te bedienen en de status van processen weer te geven (temperaturen, snelheden, storingen etc)

Omdat de scada computers gekoppeld moeten zijn aan de plc en de plc's via diezelfde koppeling ook geprogrammeerd kunnen worden loop je dus altijd een risico.
Omdat deze netwerk koppeling doorgaans niet verbonden is met internet wordt niet altijd een virusscanner geinstalleerd op de scada server computers.
Als er dan een service engineer met een geinfecteerde laptop de plc code bijwerkt, kunnen alle windows computers besmet raken en op hun beurt de plc code veranderen.

Anoniem: 288924 @rc5proxy • 27 september 2010 13:37

Geen Windows? Zoals stoney3K al zegt, hoe moet je dan zien wat er in het proces gebeurt? De MMI systemen (WinCC of PCS7 in dit geval) lopen gewoon onder Windows. Wel heb je daar een apart netwerk voor dat afgescheiden is van het kantoor netwerk en zeker van internet. Windows updates worden overigens handmatig geinstalleerd als Siemens aangeeft dat de update compatible is. Wel is het vaak zo dat op de Scada systemen geen virus checkers aanwezig zijn. Ook ivm compatibiliteit met de Scada software. Siemens (en ook ABB) zijn erg mierenneukerig op dit punt. Dus een USB stick is risicovol.

bha @Anoniem: 77640 • 27 september 2010 12:05

Inderdaad.

Geen enkel proces van een kerncentrale is verbonden met het internet. Dat geldt trouwens voor veel kritische processen; bvb in de olie-industrie, chemie en farmacie.

ook is hier geen sprake van een Intra-net.

Er wordt gebruik gemaakt van zgn. "gesloten systemen", die ''shielded'' zijn.

Blokker_1999

Microsoft Windows
Politiek en recht
Malware
Microsoft
Privacy

@bha • 27 september 2010 12:12

Maar aangezien het virus zich ook kan verspreiden via USB sticks is het wel mogelijk om op zulke gesloten netwerken geïnstalleerd te geraken. Voor het internet had je ook al virussen die zich via je floppys verspreidden.

Anoniem: 46304 @Blokker_1999 • 27 september 2010 13:47

Dan ben ik wel benieuwd hoe je zo'n systeem gaat vertellen dat het nu tijd is om actief te worden en zaken te saboteren. Statusupdate via een nieuwe besmetting of zo?

demonite @Anoniem: 46304 • 27 september 2010 15:21

Ik kan me voorstellen dat die malware gewoon wacht tot er weer een windows pc die aan het internet heeft gehangen, of een USB stick of w/e, op het gesloten netwerk wordt gehangen die daar instructies achter laat en/of verzamelde informatie doorgeeft die dan op een later moment weer via het internet wordt geupload.

Petervanakelyen @Anoniem: 46304 • 27 september 2010 15:39

Hard-coded in de exectable wanneer het tijd is om iets uit te voeren?

[Reactie gewijzigd door Petervanakelyen op 23 juli 2024 05:36]

Franckey @Anoniem: 46304 • 27 september 2010 22:10

Gewoon op de goeie oude manier: een datum-check

Freezerator @bha • 27 september 2010 13:32

In theorie, maar in de praktijk komt dit nog te vaak voor dat er voor een bepaalde vendor x een uitzondering is. Sowieso wordt er steeds meer informatie uit het process control domain meteen gebruikt in het office domain, en niet elke oplossing is even elegant.

Moet wel zeggen dat bedrijven steeds bewuster worden van de gevaren in hun process control domain, juist omdat de plc software op windows hosts draait en de informatiebehoefte groter.

Blokker_1999

Microsoft Windows
Politiek en recht
Malware
Microsoft
Privacy

@Anoniem: 77640 • 27 september 2010 11:49

En hoe weet jij dat? Waarom zou men voor de besturing geen Windows kunnen gebruiken?

Anoniem: 10664 @Blokker_1999 • 27 september 2010 11:54

Omdat Microsoft hiermee vervolging riskeert.
Als westerse onderneming mag je nou eenmaal niet aan een land zoals Iran technology leveren.
Lijkt me dan ook vrij onwaarschijnlijk dat Microsoft besturingssystemen verkocht heeft voor het draaien, of bijdragen aan, een kerncentrale.

Keypunchie

Malware
Beveiliging

@Anoniem: 10664 • 27 september 2010 12:03

Die technologiebeperking liggen een stuk subtieler dan dat volgens mij. Volgens mij mag Microsoft best Windows leveren. Zal eerder gaan om encryptie-technologie en gespecialiseerde besturingssystemen voor wapensystemen.

Blokker_1999

Microsoft Windows
Politiek en recht
Malware
Microsoft
Privacy

@Keypunchie • 27 september 2010 12:11

alles wat onder meer met wapens, cryptografie of ook nucleaire energie te maken heeft mag idd niet naar zulke staten geexporteerd worden Windows zal voor het overgrote deel wel mogen uitgevoerd worden naar een land als Iran hoewel er mogelijk enkele beveiligingssystemen uit verwijderd moeten worden.

Daarnaast kan het ook zijn dat de software via een omweg gekocht word, doorverkoop vanuit een land waar Windows wel gewoon en volledig te krijgen is. Uiteindelijk is het niet MS dat aan de eindgebruiker afleverd maar zitten er nog heel vaak een hoop tussenhandelaren tussen.

Anoniem: 46304 @Blokker_1999 • 27 september 2010 13:42

Gekocht? Stel dat Iran het gewoon van TPB trekt, wat zou MS daar vervolgens tegen kunnen doen?

Trouwens, die fabrieken draaien dus ook geen windows voor de aansturing maar Scada, en die worm richt zich daar dan ook op.

postbus51 @Anoniem: 46304 • 27 september 2010 14:14

kb971033 melden als vereist patching , waarna men dus M$ essentials kan DL en installeren

DaxHyena @Blokker_1999 • 27 september 2010 15:11

In de licentie van iTunes staat of stond dat je hem bijvoorbeeld niet mag gebruiken voor Nucleaire bezigheden.

Dus je mag geen Nukes maken die luid "The End Of The World As We Know It" spelen met itunes.

Maar hoeverre Iran MS serieus nemen is de vraag.

daft_dutch @Blokker_1999 • 27 september 2010 15:14

the VS hebben een handels embargo voor Cuba, Iran, Irak, Libie, Noord Korea, Sudan en Syrië. geen enkel bedrijf met handels relaties met de VS mag (van de VS) met die landen handelen.

[Reactie gewijzigd door daft_dutch op 23 juli 2024 05:36]

rob12424 @daft_dutch • 27 september 2010 20:07

How wacht je vergeet de CIA die mag nog vrolijk tanks leveren, als ze maar wel even zeggen dat het trekkers of andere landbouwvoertuigen zijn!

kippy @Anoniem: 10664 • 27 september 2010 12:14

Dus als jij een winkel in loopt en een windos licentie koopt wordt jou ook altijd gevraagd of dit wel gebruikt wordt voor "normale zaken" en niet voor een fabriek / kerncentrale / LHC of wat dan ook. Dat is natuurlijk beetje onzinnig.

Daarnaast worden veel fabrieks proccessen via PLC's aangestuurd, veel van deze PLC's hebben een SCADA interface en in veel gevallen zit deze interface ook aan een pc gekoppeld. Deze pc's draaien vaak ook op windows. Dus ik kan me best voorstellen dat dit in een kerncentrale ook zo gaat, dit kan dus ook best gevaarlijke situaties opleveren.

H!GHGuY @kippy • 27 september 2010 12:25

Dit wordt geregeld op het niveau van de VS-regering. Die staat export van bepaalde technologieën naar bepaalde landen niet toe. Dus als jij je exemplaar in de winkel koopt, dan is die reeds goedgekeurd.

Anoniem: 46304 @H!GHGuY • 27 september 2010 13:44

En als ik een exemplaar koop en vervolgens opstuur naar Iran? Dat de Amerikaanse regering dat niet leuk vind geloof ik best, maar ik denk niet dat ze daar in Iran wakker van liggen.

postbus51 @kippy • 27 september 2010 14:16

indien je in een jurk loopt en een lange baard hebt , JA dan wordt die je geweigerd

mashell @Anoniem: 10664 • 27 september 2010 12:01

Ach als Microsoft daar niet mag leveren zullen ze ook wel niet gaan controleren of de Iraanse overheid illegale licenties gebruikt toch?

postbus51 @mashell • 27 september 2010 14:06

Heb een iraanse versie maar is wel ff wennen , vooral de start knop

Deassain @Anoniem: 10664 • 27 september 2010 12:51

Ja, want Iran, dat een nucleair programma heeft, zal zich houden aan een correcte licensiering

Volgens mij zal er wel een shielded systeem worden gebruikt, zo dom zijn ze in Iran nu ook weer niet.

[Reactie gewijzigd door Deassain op 23 juli 2024 05:36]

Folie @Blokker_1999 • 27 september 2010 19:09

De vraag is waarom je dat überhaupt zou willen

Anoniem: 77640 @Blokker_1999 • 27 september 2010 12:01

Mijn vriendin is nuclear veiligheidexpert.

Blokker_1999

Microsoft Windows
Politiek en recht
Malware
Microsoft
Privacy

@Anoniem: 77640 • 27 september 2010 12:07

In de betreffende centrale? Het is niet omdat zoiets in het westen gevoellig ligt dat men het daar niet zou doen.

[Reactie gewijzigd door Blokker_1999 op 23 juli 2024 05:36]

Anoniem: 77640 @Blokker_1999 • 27 september 2010 12:46

De controlezaal is van Russische makelij en niet een of ander amateuristisch gevalletje. De Bushehr reactor is ook van het PWR-type, zoals in België. Chernobyl-toestanden zijn bij ontwerp uitgesloten (zonder op electronische systemen te berusten).

Deze centrale is trouwens enkel in te zetten voor electriciteitsproductie. Iran heeft er zelf alle belang bij de veiligheidsprocedures zo strikt mogelijk na te volgen.

[Reactie gewijzigd door Anoniem: 77640 op 23 juli 2024 05:36]

Anoniem: 247804 @Anoniem: 77640 • 27 september 2010 19:08

mja... maar zoals altijd ... een schroef blijft een schroef, hoe ingewikkeld je er ook over wil lullen, de schroef blijft de schroef...

en, ook een NT4 bak kun je er gelikt uit laten zien in een hele mooie glimmende omgeving...het blijft een windowsbak....waar men in dit geval SCADA op draait....

Maar mss heb je gelijk, en gebruiken ze een gouden muis oid....

MSalters

Politiek en recht

@Anoniem: 247804 • 28 september 2010 13:27

Een Russich ontwerp, en jij denkt echt dat het dan op Windows gebaseerd is? Echt, ik kan me voorstellen dat er wat secundaire systemen op Windows draaien, zoals bewakingscamera's en de airco voor het personeel. Maar de centrale zelf niet.

demonite @Anoniem: 77640 • 27 september 2010 12:22

Deze malware is specifiek geschreven voor het kunnen besturen/herprogrammeren van PLC's en dat is dus wel degelijk spul wat de kerncentrale bestuurt.

Anoniem: 247804 @Anoniem: 77640 • 27 september 2010 19:06

nope, zoals je kan lezen, draait het op SCADA, een interface die je draait op een WINDOWS MACHINE!!!!!

Dark Angel 58 @p0st • 27 september 2010 11:15

inderdaad... dat klinkt wel gevaarlijk... wat als Iran een nuclear wolk naar amerika blaast. Zo'n virus schrijven en nuclear installaties besmetten zijn niet bepaald goed idee. Maar de tegenstanders moeten wel goed oppassen wat ze willen proberen te bereiken...

Zyppora @Dark Angel 58 • 27 september 2010 11:34

Ik vind deze combinatie nog veel erger:

Onder de besmette systemen zijn ook pc's die worden gebruikt in nucleaire installaties

en:

Stuxnet weet de software van Siemens mede te infiltreren doordat de default-wachtwoorden niet zijn gewijzigd.

Maw, de wachtwoorden van software gebruikt in nucleaire installaties wordt niet gewijzigd, maar op het default wachtwoord gehouden?

!null @Zyppora • 27 september 2010 13:01

Volgens mij staat er toch dat het geen bedrijfskritische pc's zijn.

questo @!null • 27 september 2010 13:40

Volgens Iran zijn er geen bedrijfskritische pc's besmet. Ik wil nu niet beweren dat Iran liegt maar zelfs als er wel bedrijfskritische systemen besmet zouden zijn dan zouden ze dat nog niet toegeven.
Denk je eens in hoeveel herrie er vanuit de wereld zou komen als zou blijken dat er wel kritische systemen besmet zouden zijn. Zelfs de landen die niet per definitie tegen het nucleaire programma van Iran zijn, zouden dan hun mening kunnen herzien.

Anoniem: 247804 @questo • 27 september 2010 19:03

SCADA draait op een windows machine. T'is een soort GBS om alles remote aan te sturen (zowel automatisch als met de hand).

Daarbij draait het NIET onder vista, win7 of XP (win2000), maar op het goeie ouwe, zo lek als een mandje NT4....

Tenminste, zo ver ik weet (en er mee gewerkt heb).

M.a.w....ze zijn f#cked.....

[Reactie gewijzigd door Anoniem: 247804 op 23 juli 2024 05:36]

Anoniem: 46304 @!null • 27 september 2010 13:41

Dat is de officiele lezing. In hoeverre je die gelooft is natuurlijk punt 2, ik zou er niet al te veel waarde aan hechten.

boratnl @Zyppora • 27 september 2010 11:45

Het feit dat de pc's die nucleaire reactoren aansturen in directe of indirecte verbinding staan baart me ook zorgen..

Anoniem: 369660 @boratnl • 27 september 2010 15:13

Besmetting via USB-sticks. Die computers zullen niet aangesloten zijn op een extern netwerk, maar wel via USB’s. Dat is dan ook het probleem. En ik vind het zeer geruststellend dat een nucleaire installatie door computers wordt bestuurd...

kidde @boratnl • 27 september 2010 23:07

Iran zelf zegt van niet, die zeggen dat alleen 'laptops van medewerkers' besmet zijn.

Hopen dat ze gelijk hebben...

joepurlings @Zyppora • 27 september 2010 11:35

Deze wachtwoorden zijn niet te wijzigen. Siemens heeft deze hard-coded in hun closed source software gezet.

Cyberwizzard @joepurlings • 27 september 2010 13:40

'Default' doet mij denken dat ze wel degelijk aan te passen zijn. Ze zullen als standaard waarde uiteraard hard-coded zijn maar daarna misschien wel aan te passen. Anders zou het ook geen default zijn maar gewoon 'de' wachtwoorden (die dan ook kansloos zijn omdat iedereen op de planeer dezelfde heeft)

Dus waar haal jij de wijsheid vandaan dat ze dus daadwerkelijk niet te veranderen zijn?

iNCQRiT @Cyberwizzard • 27 september 2010 15:02

Ik denk hieruit:

Bovendien zou Siemens huiverig zijn om de wachtwoorden te veranderen, omdat kritische bedrijfssystemen zouden kunnen vastlopen.

Waarom zou Siemens ze anders kunnen veranderen?

Xenan @iNCQRiT • 27 september 2010 15:43

Waarom zou Siemens ze anders kunnen veranderen?

Misschien via een software update de default wachtwoord wijzigen?

RetepV @Xenan • 27 september 2010 22:21

Ja, misschien een virus schrijven die al die default passwords verandert.

Ik hoop dat je genoeg betaalt om dat wederzijds vertrouwen te waarborgen...

arjankoole

Beveiliging

@p0st • 27 september 2010 11:12

Wat wil je daarmee zeggen? Dat dit een proof of concept van Hollywood is?

Maar, ja, het klinkt erg film-script achtig, en ik kon het dan ook niet helpen om een beetje aan de film 'The Net' (met Sandra Bullock) te denken

herbalx @arjankoole • 27 september 2010 13:57

Door alle waanzin van de overheid worden dit soort scenario mogelijk. In dit geval is het Iran maar het had net zo goed Nederland kunnen zijn. Denk bijv. aan slimme meters die kunnen communiceren met de buiten wereld over bijv het laagspanningsnetwerk of een UMTS verbinding. Bij dit soort mogelijkheden is het niet geheel ondenkbaar dat je als buitenstaander de controle op de elektriciteitsvoorziening zou kunnen overnemen. Hackers hebben immers al bewezen dat zij in een test opstelling generatoren tot ontploffing konden brengen

kidde @herbalx • 27 september 2010 23:05

Laatst stond in Technisch Weekblad dat het niet al te moeilijk moet zijn voor 'de meest vastberadenen onder ons' om het gehele smartgrid van de VS lam te leggen.

Of alleen de magnetron van een specifiek iemand, dat kan dan ook, maar is waarschijnlijk net iets minder interessant.

p0st

@arjankoole • 27 september 2010 11:16

Haha ja zo zou je het inderdaad kunnen zien, al is deze situatie natuurlijk geen goede zaak voor de "wereldvrede", dus eigenlijk zeker niet om te lachen..

Puffino @p0st • 27 september 2010 11:44

Dat is maar de vraag: is het beter het nucleaire programma te saboteren (er van uit gaande dat het een worm van westerse bron is) of moet je het juist ondersteunen als het inderdaad gaat om een energie-voorziening?

Alleen maar een land proberen kort te houden, door de continue met de duim neer te drukkken, dat vinden de mensen IN dat land tenslotte niet leuk, en zullen zich alleen maar harder keren tegen de aanvaller.

En specialistische kennis, joh, die zit in de VS, Israel, Europa, China, Rusland, Pakistan, India, overal.... dus dat is geen aanwijzing ;-)

Wel grappig (voor zover mogelijk) te zien dat het wederom mede (dus niet alleen) mogelijk gemaakt wordt door ook gebruik te maken van niet gewijzigde standaard wachtwoorden....

Floor @Puffino • 27 september 2010 13:09

Saboteren is vertragen. Vernietigen van de Iraanse Nucleaire ambities lijkt me meer zinvol. Niet de Iraniers zelf maar Ahmadinejad em zijn trawanten mogen van mij best een werkende reactor van binnen verkennen.

Anoniem: 46304 @Floor • 27 september 2010 13:40

Waarom? Eerlijk gezegd lijkt mij een Iran met kernwapens veel veiliger dan een zonder. Als ze enkele kernwapens hebben zullen de Amerikanen een Irak-aproach wel uit hun hoofd laten en is dat weer een oorlog minder (waarna Europa de Amerikaanse puinzooi natuurlijk mag opruimen, zie Irak en Afghanistan).

[Reactie gewijzigd door Anoniem: 46304 op 23 juli 2024 05:36]

0rbit @Anoniem: 46304 • 27 september 2010 14:09

Zodra Iran de bom heeft gaat die bij het minste of geringste op Israel. Zo simpel is het. Verdiep je eens in de persoonlijke overtuigingen van meneer Achmedinejad en er zal je veel duidelijk worden over zijn motieven.

rob12424 @0rbit • 27 september 2010 19:53

Het is een pestkop met een grote bek, geloof me hij is niet achterlijk en hij heeft zelf al gezegd het is niet voor een bom! (als je een beetje kennis van zaken hebt heb je voor een beetje bom minimaal 90% verrijkt uranium nodig en ze zitten nu op iets van 30 en willen niet verder gaan)

Punt is Niemand gelooft hem en als 1 of andere idiote texaan uit de VS zegt dat Irak massavernietigingswapens heeft staan we binnen no-time in die zandbak daar!

Lijkt me stug dat dit uit de VS Komt. Straks valt dit hun eigen systemen aan!

Israel is waarschijnlijker aangezien de Mossad op een eigen Linux draait en dus niet hier problemen mee kunnen krijgen!

(al moet ik zeggen dat je het met die idioten van de CIA maar nooit weet!

)

MSalters

Politiek en recht

@rob12424 • 28 september 2010 13:22

Wat moet je in godnaam met 30% verrijkt uranium? Dat spul bestaat normaal gesproken alleen maar als tussenstap in de productie van 90% verrijkt uranium voor bommen. Kerncentrales kunnen met goedkoper, lager verrijkt uranium toe.

Nee, het is geen toeval dat Rusland aanbiedt om de uraniumverrijking te doen voor kerncentrales en het afval terug te nemen. Dan kan er vrij simpel gecontroleerd worden hoeveel Uranium Iran gebruikt voor kernreactoren, en hoeveel voor kernbommen.

Franckey @Anoniem: 46304 • 27 september 2010 21:52

... Eerlijk gezegd lijkt mij een Iran met kernwapens veel veiliger dan een zonder. Als ze enkele kernwapens hebben zullen de Amerikanen een Irak-aproach wel uit hun hoofd laten en is dat weer een oorlog minder...

Heb je de uitspraken van Ahmadinejad wel eens gehoord? Als ze kernwapens zouden hebben is dat niet uitsluitend als verdediging.

[Reactie gewijzigd door Franckey op 23 juli 2024 05:36]

bogy @Franckey • 28 september 2010 00:35

en het is allemaal het werk van??? SuperTUX

natuurlijk slim als je denkt dat de VS en Israel erachter zitten dat je dan bij symantec gaat aankloppen voor een rapport ... lijkt me wel dat die genoeg steekpenningen krijgen om dat potje mee gesloten te houden...

In Search of Sunrise @Anoniem: 46304 • 27 september 2010 14:50

Waarom? Eerlijk gezegd lijkt mij een Iran met kernwapens veel veiliger dan een zonder. Als ze enkele kernwapens hebben zullen de Amerikanen een Irak-aproach wel uit hun hoofd laten en is dat weer een oorlog minder (waarna europa de Amerikaanse puinzooi natuurlijk mag opruimen, zie Irak en Afghanistan).

Zonder is veiliger. Je weet blijkbaar niet de standpunten van meneer Ahmadinejad en Khamenei (de huidige ayatollah en de baas van dat land)
Reken maar wanneer ze kernwapens hebben de heren de zionisten aan gaan pakken oftewel Israël. Er wordt geregeld daar congressen gehouden over "a world without zionism" zoals ze dat noemen. Nu is Israël ook geen heilige, maar om nu een tweede Hiroshima te creëren gaat wat ver en Israël is al eens eerder verdreven.
Reken dan maar wel dat er een oorlog komt. Een derde wereldoorlog. Die zal er overigens nog ongetwijfeld ook komen.

Anoniem: 46304 @In Search of Sunrise • 27 september 2010 15:58

3e wereldoorlog? Dat zou me verbazen. De Amerikanen zullen Israel wel steunen, voor zover dat nodig is met de eigen kernwapens van Israel,maar ik denk niet dat de Russen, Britten, Fransen, Chinezen, Indiers of Pakistanen een kernoorlog gaan starten om Iran te steunen. En verder heeft niemand kernwapens (die nucleaire voetzoekers van Noord Korea tellen niet echt mee). Netto gevolg is hooguit dat alleen Iran en Israel voorlopig plaatsen zullen zijn waar je echt niet wilt wonen.

Overigens denk ik niet dat Iran dan een kernoorlog zou starten, ze zijn wel fanatiek maar niet gek en de martelarendood is alleen bedoeld voor het voetvolk, nooit voor de leiders.

Franckey @In Search of Sunrise • 27 september 2010 22:00

..... Reken maar wanneer ze kernwapens hebben de heren de zionisten aan gaan pakken oftewel Israël. Er wordt geregeld daar congressen gehouden over "a world without zionism" zoals ze dat noemen. Nu is Israël ook geen heilige, maar om nu een tweede Hiroshima te creëren gaat wat ver en Israël is al eens eerder verdreven.

Ik ga er vanuit dat Israël het zelf niet zo ver zal laten komen en zo nodig Iran plat gooit. Israël was met de eerste Golfoorlog ook van plan om Irak te bombarderen toen Sadam Hoesein scut raketten op Israël richtte. De VS hebben dat toen voorkomen, maar het scheelde niet veel of Israël had eigenhandig heel Irak van de kaart geveegd.

[Reactie gewijzigd door Franckey op 23 juli 2024 05:36]

mjtdevries @Anoniem: 46304 • 27 september 2010 14:05

Als ze een kernwapen op Israel gooien dan heb je inderdaad weer een oorlog minder ja...

Jokoe

@mjtdevries • 28 september 2010 08:55

Mja dan komt alleen om de hoek kijken dat als je een kernwapen het, dit veel nuttiger is als handelsmiddel (manier om je macht in werking te zetten) dan echt als wapen. Op het moment dat je dat ding ergens op smijt (mogelijk Israel) dan ben je hem kwijt en weet je zeker dat daar consequenties aan zitten. En om nou te zeggen dat Israel dan aan de kant blijft zitten, denk het niet

Maar een kernwapen is veel machtiger als diplomatiek middel dan het ooit als wapen zou kunnen zijn.

Mathijs @Anoniem: 46304 • 27 september 2010 14:05

Tja, misschien omdat wanneer je naar hun manier kijkt van omgaan met ongewenste situaties binnen hun eigen volk, het vrij aannemelijk is dat ze er zeker toe in staat zijn om ze ook te gebruiken?

Anoniem: 46304 @Mathijs • 27 september 2010 15:54

De USSR ging ook nogal ruw met haar eigen inwoners om maar heeft nooit een kernwapen ingezet tegen wie dan ook, terwijl ze er genoeg hadden.

Anoniem: 217535 @arjankoole • 27 september 2010 12:21

"It's a firesale..." ;-)

sahel 27 september 2010 11:16

Klassieke fout, default wachtwoord niet veranderd op je kerncentrale...

Misschien een idee om bij ingebruikname dit soort zaken direct juist te configureren, zeker als je weet dat het later wijzigen lastig kan zijn vanwege kritische bedrijfsprocessen.

latka @sahel • 27 september 2010 11:27

Als je dit leest dan weet je dat je je wacthwoord niet eens mag wijzigen: dan stop de software gewoon omdat een of andere malloot heeft verzonnen dat je ww hardcoded in the applicatie moet zitten.
Dus ja, klassieke fout, maar wel bij de leverancier...

kimborntobewild @latka • 27 september 2010 17:17

En toch ook een klassieke fout bij de afnemer. Zo'n afnemer hoort ook wel te weten dat je je wachtwoorden moet kunnen wijzigen. Kan dat niet, dan moet je 't systeem retourneren aan de fabrikant.

captain007 @kimborntobewild • 27 september 2010 21:16

Leuk en aardig om dat te roepen maar Siemens is zowat marktleider in dit segment. Siemens PLC's worden ook in Nederland op grote schaal gebruikt in bijvoorbeeld de aansturing van bruggen, dammen, sluizen, etc. Mocht een gek het voorelkaar krijgen hier de software van her te programmeren dan is het mogelijk om een gevaarlijke situatie te creëeren. Aangezien je met de PLC vaak rechtstreeks via controllers en encoders outputs kan aansturen kun je dus bijvoorbeeld ineens kleppen in een dam opengooien.
Er zijn gelukkig vaak nog extra hardwarebeveiligingen ingebouwd, maar als hierin een foutje zit is het theoretisch wel mogelijk gekke dingen uit te halen.

Nu ben ik het met je eens dat wachtwoorden nooit default zouden moeten zijn. Men zou het bovendien moeten verbieden dat tijdens dat een PLC zomaar even geherprogrammeerd zou moeten kunnen worden. Dat zou je kunnen doen door er fysiek een programmeerschakelaar op te zetten, waardoor ook nog iemand op lokatie de PLC in programmeermodus moet zetten. Echter is het dan weer lastig om remote software updates uit te rollen. Dus er zijn altijd weer voors en tegens.

[Reactie gewijzigd door captain007 op 23 juli 2024 05:36]

cire @kimborntobewild • 27 september 2010 21:21

En dan aan je baas vertellen dat de kerncentrale niet afkomt omdat je het systeem geretouneerd hebt?

DJMaze @sahel • 27 september 2010 11:29

Dat is nou net het probleem. De siemens software schijnt niet goed te werken als je het wachtwoord wijzigd

Anoniem: 338569 27 september 2010 12:31

Wat een BS over een heel team nodig hebben voor dit stukje pracht werk

Het is eigenlijk heel simpel opgebouwd 1 windows systeem binnen dringen dat is niet echt moeilijk, 2 IP adressen loggen ,3 Naar elk van deze IP's een plc programeer code verzenden vrij simpel dus.
Ik vind het wel ingenieus hoe deze mensen te werk zijn gegaan via usb sticks.

Kijk Bedrijfs netwerken en productie netwerken zijn vaak 100% gescheiden.
de beveiliging op productie net werken zijn gewoon minimaal Plc's hebben zo goed als nooit een paswoord en scada wel maar ja als je al op de windows pc zelf bent heb je niet echt scada nodig om plc te herprogrammeren. Vaak draaien er nog tal van andere windows servers op een productie netwerk mysql en tal van andere programma's van drives monitoring software ect ect
Vaak zijn er ook service netwerken die staan parralel over het productie net werk en bied pc's direct toegang tot alle PLC's

Kijk zo draai je op 1 van al die computers binnen bent monitor je de netwerk ins en outs en als je dat doet kun je er uit filteren of er een plc aan hangt in dat net werk als je dat Ip adres hebt kun je heel makkelijk een plc om programmeren want een plc is een dom ding is niet beveiligt als jij via de netwerkbus verbinding maakt met een plc kun je hem zo herprogrammeringen.

Tja je bouwt een kern centrale die 100% uptime moet hebben en 100% veiligheid
en wat gebruiken ze dan? Microsoft windows! LOL tja dit is geen Hollywoodfilm scenario maar gebeurt dagelijks door onkunde bij ontwerpers en bouwers en het moet namelijk natuurlijk goedkoop mogelijk zijn.

Alternatieven die zijn er wel maar niet voor alles Scada draait ook al enige tijd op linux
alleen nog niet zo fantatisch goed. Tevens zijn er problemen door dat bedrijven voor hun apparatuur geen linux drivers/programma's leveren, Eigenlijk zouden meer bedrijven hun software naar linux moeten laten poorten.

Op mijn werk hebben we een progje dat de packets op het productie netwerk bekijkt en logt, Vaak zijn productie net werken gewoon een ring netwerk iedereen dumpt zijn data op het netwerk en wat je nodig hebt dat pik je er uit. dit progje is niets anders dan een packet sniffer , je stelt in welke pakketjes je wilt hebben en hij haald ze er uit zet ze in een mooie grafiek, elke pc die aan het netwerk hangt kunnen we omtoveren tot monitoring station (packet sniffer ) . Aangezien we onze scada programeurs niet vertrouwen kunnen we nu alle ins en outs van de scada server monitoren.

Anoniem: 288924 @Anoniem: 338569 • 27 september 2010 13:55

Voor SCADA zijn ze juist van UNIX/ Linux afgestapt. Windows voldoet goed. En de veiligheids systemen maak je uiteraard buiten de reguliere systemen (relais of aparte plc's). Dus zo hebben die onkundige ontwerpers maar weer geluk.

Anoniem: 338569 @Anoniem: 288924 • 27 september 2010 16:24

Ik werk met windows en scada systeemen waar van de bedenkers denken dat alles een uptime kan hebben van 365 dagen per jaar kan je vertellen een windows machine regel matig hikt. waardoor hij vast komt te staan of dat data verloren gaat. en dan moet er eerst hand matig alles worden weg gekickt voor de machine weer verder werkt

Ik heb linux en unix(osx) novel netware bakken mee gemaakt die een uptime hadden van 3-5jaar + nog nooit uitgeweest stilletjes in een hoekje stonden die hun werk te doen
en dat haal je niet met een windows bak.

Anoniem: 288924 @Anoniem: 338569 • 27 september 2010 16:36

Windows is idd minder stabiel dan nixen... Maar blijkbaar wel voldoende stabiel waardoor alle Scada / PCS leveranciers er op over zijn gestapt. Vraag me alleen wel af of de instabiliteit alleen aan Windows is te wijten..

Anoniem: 142554 @Anoniem: 338569 • 27 september 2010 12:50

kun je net zo goed wireshark gebruiken.. niks bijzonders..
vraag me af of jij de packets kunt herkennen want de meesten die ik nu toe heb op gevangen zijn geencrypt en lijken gewoon op tcp pakketjes.. het is ook nog eens zo dat die at random verstuurd worden en max aantal pakketjes in een tijds bestek..

"windows systeem binnen dringen dat is niet echt moeilijk"
nee och.. 4 zero-day exploits heb je zo gevonden en aangepast

[Reactie gewijzigd door Anoniem: 142554 op 23 juli 2024 05:36]

Baserk @Anoniem: 142554 • 27 september 2010 13:38

Toch is een van de 4 exploits is al meer dan een jaar oud en gepubliceerd in het Poolse blad Hackin9.

Google maar op print your shell Hakin9 Carsten Kohler.

Sharky @Anoniem: 338569 • 27 september 2010 13:30

Lees het artikel nog eens door voordat je de mening van allerlei experts of mensen dit topic als 'bullshit' bestempelt. Het virus zit echt niet zo simpel inelkaar als jij doet voorkomen. Lees anders de link van Rudy (hieronder) nog even door: http://www.langner.com/en/index.htm

Corethron 27 september 2010 11:13

Quote: Bovendien zou Siemens huiverig zijn om de wachtwoorden te veranderen, omdat kritische bedrijfssystemen zouden kunnen vastlopen...

Hallo zeg, software die PLC's in nucleaire installaties aanstuurt zou juist niet moeten crashen als wachtwoorden veranderd worden. Een veiligheids aspect van het design zou toch juist zo moeten zijn dat het wachtwoord met een bepaald interval gewijzigd wordt? Banken lukt het, bij mijn ISP lukt dat, het eerste het beste draadloze routertje blijft in de lucht als je een ww wijzigt, maar iets in zo'n betrekkelijk gevaarlijke installatie niet...

*flabbergasted*

*edit typo

[Reactie gewijzigd door Corethron op 23 juli 2024 05:36]

roy-t @Corethron • 27 september 2010 11:17

Het ging niet alleen om systemen van kerncentrales, maar om van alles en nog wat (autofabrieken, rafinaderijen etc..).

Verder is het wel idioot dat die computers zo makkelijk besmet konden worden, hoewel, een usb aansluiting hebben ze allemaal wel en een beetje systeembeheerder wil toch wel via remote desktop alles kunnen aansturen (dus netwerk/internet nodig).

Zodadelijk worden we net als in Battlestar Gallactica: niets meer aan het netwerk uit vrees voor virussen.

drQuentules @Corethron • 27 september 2010 11:19

Nou op zich hebben ze inderdaad een zeer groot probleem als ze het wachtwoord wijzigen, aangezien door de gehele applicatie de codes 'hard-coded' ingebakken zitten

Aan de andere kant is hun MS-SQL database alleen lokaal beschikbaar en is een standaard wachtwoord voor veel leveranciers ideaal ;-)

addo2 @drQuentules • 27 september 2010 12:21

Erg kwalijke zaak. Het riekt wel naar spionage/moderne oorlogsvoering. Niet dat ik iets van programmeren af weet maar hardcoden/coden van een kerncentrrale schijnt toch echt een vak apart te zijn en je hebt slimme jongens met kennis van zaken nodig om het te kunnen bouwen. Dus het lijkt mij onwaarschijnlijk dat het een "script-kiddo" of een kleine anarchistische beweging is die toevallig een centrale probeert te herprogrammeren.

Wie het heeft gemaakt weet ik niet maar de tactiek lijkt op degene die de amerikanen gebruikt hebben in (o.a?) Irak: Eerst de infrastructuur van een land lam leggen (bruggen, elektriciteit en water) en vervolgens sterft langzaam het georganiseerde verzet omdat deze niet kunnen communiceren. Vervolgens begint het volk te mopperen omdat ze niks kunnen doen zonder water, elektriciteit en daardoor alleen de bommen nog kunnen horen vallen.

Wat ik me alleen afvraag: Als ze een besmetting via een USB-poort op de computers via een LAN (of soortgelijk) verspreiden, hoe activeren ze dan de software? Zonder "remote control" heb je er constant een persoon nodig die aanwezig blijft. Misschien zelfs wel eentje die zijn leven moet geven als je de kerncentrale langdurig wilt beschadigen.

Of het censuur is? De timing waarschijnlijk wel (toevallig net nadat hun president op de VN een toespraak hield over de terroristische aanslagen in de VS) maar de inhoud is wel erg gedetailleerd. De hoeveelheden, technieken en vooral betrokken merken zou je niet willen noemen als het verzonnen was want dan krijg je last van schadevergoedingen en willen de instanties je niet meer helpen met de verdere bouw van je "illegale" kerncentrale(s). Ook voor Iran is dit echt niet positief omdat hun beveiliging blijkbaar gepasseerd kan woorden, hun centrales/industrie daardoor niet veilig zijn en de kans dat het internationaal atoomagentschap ze zou gaan verdedigen nog kleiner word.

kzin

@Corethron • 27 september 2010 11:56

Er staat niet dat de systemen crashen.
De eigenlijke besturing vindt (zoals ik het begrijp) plaats dmv PLC's. In die PLC's zullen af en toe parameters gewijzigd moeten worden (of nieuwe routines geplaatst). Om dat te kunnen doen hebben windows PC's verbinding met die PLC's.
Als je het password in de PLC wijzigt moet je niet vergeten dit ook te doen in je windows PC. Als je echter de windows PC vervangt door een nieuwe, moet je ook daar niet vergeten het password te wijzigen. Gebeurt dit niet, dan kunnen er geen parameters meer gewijzigd worden in de PLC. Ik denk dat men daar bang voor was.
Het blijft natuurlijk geen reden om passwords dan maar default te houden.

Anoniem: 319290 @Corethron • 28 september 2010 08:51

Precies.. Hetgeen wat boven aan het vaandel hoort te staan is toch juist veiligheid met zo'n soort bedrijf? Zeker als het gaat om nuclaire zaken.. Ik zou mijzelf niet zo'n zorgen maken om een vastgelopen systeem als het gaat om de veiligheid van de data, en zo te lezen in dit artikel niet alleen de veiligheid van de data, maar ook van de medewerkers, en de omgeving..

Brantje 27 september 2010 11:11

Stuxnet weet de software van Siemens mede te infiltreren doordat de default-wachtwoorden niet zijn gewijzigd.

Ik vind dat Siemens de IT afdeling een hele harde schop moet geven.
De default wachtwoorden niet veranderen is een kwalijke zaak.
Niet IT'ers die het niet veranderen, begrijp ik nog wel, maar IT'ers die het niet veranderen zouden gewoon een flinke schop moeten krijgen.

Overigens, het is wel een kunst om zo'n stuk software te ontwikkelen.

Mr.Aargh @Brantje • 27 september 2010 11:32

Siemens heeft de apparatuur zelf nooit geleverd, dit is allemaal door andere partijen gedaan.
De personen wederverkopers etc, die hebben verzuimd om dit te doen.
Siemens mag niet eens leveren aan Iran.

viggen60 @Mr.Aargh • 27 september 2010 12:57

Klopt want elke machine die hier word gemaakt word door de staatsveiligheid nagekeken welke onderdelen in de machine zitten. Kan zelfs zijn dat je soms één bepaalde type klep niet mag gebruiken omdat ze dat kunnen gebruiken in een kerncentrale.

ATS @Mr.Aargh • 27 september 2010 12:16

Nee, dat was ook mijn gedachte: wat doet Siemens apparatuur in een Iraanse kerncentrale? Er was toch een boycot?

Stoney3K

Politiek en recht

@ATS • 27 september 2010 13:06

Nee, dat was ook mijn gedachte: wat doet Siemens apparatuur in een Iraanse kerncentrale? Er was toch een boycot?

Ja, alsof een boycot veel gaat doen tegen gejatte of namaak PLC's op de zwarte markt.

einstein @Stoney3K • 27 september 2010 14:19

Wellicht is gestolen waar cq kennis wel mede een reden voor de aanval.

latka @Brantje • 27 september 2010 11:20

Als je de volledige handleiding leest weet je dat Siemens zelf adviseert om de wachtwoorden niet te wijzigen. M.a.w. de IT afdeling deed wat Siemens zei en, volgens mij, is dit genoeg reden om Siemens aan te pakken.

Anoniem: 192473 27 september 2010 11:13

Dit is pas een goed geprogrammeerde virus. Best gevaarlijk, waarom hangt zon centrale eigenlijk aan het net? is dat niet vragen om problemen?

bonus @Anoniem: 192473 • 27 september 2010 11:18

Voor windows update's ivm leaks??? En niet te vergeten updaten van je viruskiller, wat btw niet helemaal gelukt is

,<- is grapje duh

[Reactie gewijzigd door bonus op 23 juli 2024 05:36]

pizzafried @bonus • 27 september 2010 11:26

WSUS??? hoeven die pc's verder geen internet voor te hebben hoor...alleen netwerk verbinding met een goed beveiligde server die alleen even in het net hangt om updates binnen te halen.

daarnaast is volgens mij dit stukje malware voornamelijk verspreid via usb-sticks

YopY @pizzafried • 27 september 2010 11:58

WSUS??? hoeven die pc's verder geen internet voor te hebben hoor...alleen netwerk verbinding met een goed beveiligde server die alleen even in het net hangt om updates binnen te halen.

daarnaast is volgens mij dit stukje malware voornamelijk verspreid via usb-sticks

En een intern netwerk + één systeem dat geinfecteerd wordt dmv een USB stick... juist ja

4bit @bonus • 27 september 2010 11:45

Dus die pc's zouden aan het net hangen om leaks te patchen, waarvan je in eerste instantie geen last zou hebben moest je niet aan het net hangen...
Alsook virusscanners die je niet nodig hebt moesten ze deftige controle doen op wat er binnenkomt. Ik ken bedrijven waar er minder desastreuze gevolgen kunnen voordoen moest er zoiets mislopen, waar je geeneens een USB stick ofzo kan/mag aansluiten.

En voor de rest wat Henze zegt indien je toch wat kritieke crashes enz wilt patchen, en dat patchen gebeurd dan vaak met enkele dagen delay om te zien of de patches geen grove fouten introduceren zoals virusscanners die opeens belangrijke files opeens als virussen zien.

varkenspester @bonus • 27 september 2010 11:46

Je kan windows updates gewoon offline installeren hoor, en dat geld net zo zeer voor professionele antivirus software.

Een controlesysteem van een nucleaire centrale zou onder geen beding aan het internet mogen hangen.

Het virus zou trouwens via usb-stick binnen gekomen zijn.
Al vraag ik me wel af hoe je een PC overneemt die niet aan het net verbonden is (of een virus update via P2P als er geen internetverbinding is).

[Reactie gewijzigd door varkenspester op 23 juli 2024 05:36]

Anoniem: 288924 @bonus • 27 september 2010 13:45

Windows updates wordt op dit soort systemen handmatig gedaan als Siemens heeft aangegeven dat de update compatible is met de besturingssoftware.

Yoshi @Anoniem: 288924 • 27 september 2010 17:34

Volgens mij geeft Siemens geen advies aan Iran, het verbaasd me zelf dat er apperatuur van hun staat.

air2

@Anoniem: 192473 • 27 september 2010 12:58

Hij hangt niet aan het INTERnet, het gaat om besmetting via usb sticks. Als die eenmaal aan elkaar geknoopt zijn via EEN willekeurige netwerk dan kan het virus zich blijkbaar ook zo verspreiden. Het aansturen van het virus via internet op een geinfecteerde pc die niet fysiek lost van het internet hangt lijkt dan ook vrij onmogelijk, maar besmetten wel degelijk

448191 @Anoniem: 192473 • 27 september 2010 11:30

Is met USB stickies op hun netwerk gekomen. Wel lezen eh?

SuperDre @Anoniem: 192473 • 27 september 2010 13:52

Nou, als je het artikel leest gaat het om een virus dat erop is gekomen via usb-stick..

da_grum 27 september 2010 11:11

en nu maar hopen dat de echt kritische systemen op een of andere Unix variant draaien

Bux666 @da_grum • 27 september 2010 11:39

Voor zover ik weet staat er in de End User Agreement van Windows dat je het OS niet mag gebruiken voor kritische en realtime systemen. Daaronder vallen dus kerncentrales, power supplies, etc.

Het.Draakje @Bux666 • 27 september 2010 12:06

Leuk zo'n EULA, maar Iran heeft weinig op met Amerikaanse wetten.Zo'n eula zullen ze echt niet respecteren.

rudinie @Het.Draakje • 27 september 2010 13:05

Ergens vind ik dit wel mooi ook. Iran trekt al jaren een lange neus naar "het westen" en gaat gewoon door met haar nucleaire programma (of dat nou voor kwaadaardige doelen is of niet) maar maakt hierbij wel gebruik van "westerse" software.
Kijk, als je dan zo anti-westers bent en al het westerse wil vervloeken dan moet je ook niet gebruik willen maken van de kennis die "het westen" biedt. Dat ze geen coca cola drinken wil ik geloven nu er "mecca cola" e.d. zijn maar dan moeten ze ook zo principieel zijn en zelf de software voor hun nuclaire apparatuur schrijven.
Hoewel potienteel natuurlijk rampzalig zie ik de lol er toch ook wel van in.

Deassain @Bux666 • 27 september 2010 12:58

Als ze een virus voor zo een complex systeem kunnen schrijven, dan zullen zal het denk ik niet uitmaken waarop het systeem loopt.

postbus51 @Bux666 • 27 september 2010 14:47

Helemaal door gelezen maar niks over nucleaire of kolencentrales

Anoniem: 288924 @da_grum • 27 september 2010 13:43

Scada draait (helaas) al jaren niet meer onder UNIX.

Franckey @Anoniem: 288924 • 27 september 2010 22:21

SCADA is geen product, maar een productcategorie.

i-chat @da_grum • 27 september 2010 11:40

als ze met die windows bakken de 'sensor waarschuwing al kunnen aanpassen (wordt min of meer gesugereerd), dan is dat al kritiek zat,

YopY @da_grum • 27 september 2010 11:57

Unix of niet maakt geen fluit uit als de zaak verkeerd geconfigureerd is of er op ingelogd kan worden met een default password. Veiligheid en dergelijke is niet gegarandeerd door een specifiek OS te gebruiken.

Franckey @da_grum • 27 september 2010 22:20

Het is natuurlijk triest voor de directe omgeving, maar voor de (Westerse) wereld zou het helemaal niet slecht uitkomen als er een ongelukje gebeurd in die reactor.

diehard889 27 september 2010 11:44

verbaast me een beetje dat ze bij een atoomagent schap geen gescheiden systemen hebben. (pc voor alleen internet doeleinden, en een pc voor werkgerelaterde zaken ) waarbij er geen gebruik gemaakt mag worden van peripheral devices

volgens mij heb ik dat een keer gezien bij een ministerie van justitie.

[Reactie gewijzigd door diehard889 op 23 juli 2024 05:36]

Stoney3K

Politiek en recht

@diehard889 • 27 september 2010 13:15

verbaast me een beetje dat ze bij een atoomagent schap geen gescheiden systemen hebben. (pc voor alleen internet doeleinden, en een pc voor werkgerelaterde zaken ) waarbij er geen gebruik gemaakt mag worden van peripheral devices

Prima concept, maar hoe wil je gegevens ván die werkgerelateerde zaken (bijvoorbeeld een grafiekje van de reactortemperatuur over de afgelopen week) weer naar het 'onbeveiligde' gedeelte vervoeren? Uitprinten en aan de andere kant weer intypen?

Dat het niet bij elkaar aan een netwerk hoort lijkt me nogal duidelijk. Maar er moet wel iets van opslag uitgewisseld kunnen worden.

rob12424 @Stoney3K • 27 september 2010 20:29

In principe kan dat IBM heeft een systeem waarbij de hardeschijf elke x word aangekoppeld en losgekoppeld en of alleen kan lezen of alleen kan schrijven dus in de praktijk bestaat het!

Left 27 september 2010 11:45

Dus Siemens heeft technologie geleverd om Iraanse uraniunverrijkingsfabrieken aan te sturen? Ik dacht dat dat wel geboycot zou zijn?

En in Iran zijn dus zeker 30.000 pc's die op Windows draaien?
Nogal ongelofelijk dat een regime dat zo anti-US is het geen probleem vindt om op hun pc's met Amerikaanse software te werken. En kennelijk zelfs in hun kerncentrales. Dat is niet alleen ongelofelijk maar ook ongelofelijk dom, zoals nu wel blijkt.

Jouke74 @Left • 27 september 2010 11:51

Misschien wilden ze daarom ook niet dat de standaard wachtwoorden worden veranderd; Siemens houdt dan in min of meerdere mate de eind controle. En hoeven ze niet met een Iraans woordenboek een brute-force attack te starten

Voor de echte conspiracy fanaten: misschien is Siemens wel onder druk gezet om dit zo te doen door de makers van de worm... De makers houden indirect controle over Iran's nucleare programma ...