McAfee: Stuxnet regelmatig aangetroffen bij energiebedrijven

Uit een onderzoek van McAfee onder tweehonderd beveiligingsmedewerkers van energiebedrijven blijkt dat zeker de helft van hen de Stuxnet-malware op kritische bedrijfssystemen heeft aangetroffen. Ook andere malware tiert welig.

In het rapport van McAfee, dat samen met het CSIS is opgesteld, wordt de beveiligingsproblematiek van energiebedrijven onder de loep genomen. In totaal zijn tweehonderd beveiligingsmedewerkers in veertien landen ondervraagd. Volgens de onderzoekers worden energiebedrijven en hun elektriciteitsnetwerken steeds vaker aangevallen, terwijl de beveiliging zelden wordt aangescherpt.

Van de ondervraagden gaf 70 procent aan dat zij malware hebben aangetroffen die in staat zou zijn om kritieke bedrijfssystemen te saboteren. Circa de helft zou bovendien Stuxnet hebben gevonden, een geraffineerd virus dat zich richtte op het saboteren van centrifuges die gebruikt worden voor uraniumverrijking in Iran. McAfee stelt verder dat 80 procent van de ondervraagden laat weten dat zij slachtoffer zijn geweest van een grootschalige ddos-aanval. Een kwart zou zelf dagelijks of wekelijks aangevallen worden.

Volgens McAfee blijkt uit het onderzoek ook dat slechts een klein deel van de energiebedrijven de juiste software gebruikt om het toenemende aantal externe aanvallen tegen te gaan. Bovendien zouden bedrijven in Europa en de VS relatief weinig contact hebben met overheidsinstanties over beveiligingszaken. In China en Japan zouden dergelijke contacten juist vaak plaatsvinden.

IT-banen

Reacties (38)

Xorsist 19 april 2011 18:35

De conclusie hier dat volgens McAfee slechts een klein deel van de energiebedrijven de juiste software gebruikt om het toenemende aantal externe aanvallen tegen te gaan is nogal kort door de bocht. Dit lijkt in eerste instantie een typisch gevalletje wij van WC-eend ... maar niets blijkt minder waar als het rapport van McAfee erbij gepakt word.

Als we hier naar de conclusie van dat rapport kijken dan word er aangeraden om:

Password authenticatie de deur uit te doen iets dat zeker in die sector mijns inziens niet meer voor zou mogen komen gezien de laksheid van gebruikers (het gemakkelijk willen onthouden van wachtwoorden). Een token based authenticatie is in basis vele malen veiliger en relatief gemakkelijk implementeerbaar.

Encryptie binnen het netwerk te gebruiken en voorts te monitoren wat er daadwerkelijk op het netwerk gedaan word. Hierdoor kan bepaalde mallware vrij gemakkelijk ontdekt en effectief uitgeschakeld worden. Combineer dit met policies over wat er wel en niet van en naar internet mag gaan (proxy of helemaal dicht zetten van bepaalde poorten) en het weren van USB sticks of externe harddisks en we zijn weer een stap verder.

Daarnaast word er een rol voor de regeringen neergelegd in de vorm dat zij bepaalde maten van veiligheid kunnen eisen binnen deze sector en dit ook kunnen ondersteunen. Hierdoor zal de algehele mate van beveiliging in deze cruciale sector omhoog kunnen gaan.

_{edit: typo's}

[Reactie gewijzigd door Xorsist op 23 juli 2024 08:54]

rik86 19 april 2011 16:55

Waarom zou een aansturend bedrijfsprocesin zo'n bedrijf verbonden moeten zijn met een extern netwerk/ het internet?

b..RAM

@rik86 • 19 april 2011 16:57

In principe niet natuurlijk, Stuxnet wordt dan ook verspreid via USB-sticks.
Zie http://en.wikipedia.org/wiki/Stuxnet

[Reactie gewijzigd door b..RAM op 23 juli 2024 08:54]

Verwijderd @b..RAM • 19 april 2011 17:10

Indeed. Zie hier een goede uitleg over hoe Stuxnet is ontrafeld:

http://www.ted.com/talks/..._century_cyberweapon.html

Verwijderd @b..RAM • 19 april 2011 17:19

Als Stuxnet verspreidt wordt via USB sticks dan moet de bron toch wel te achterhalen zijn? Iemand van Siemens die onder het mom van "onderhoud plegen" de systemen besmet heeft?????

Anders is het wel heeeeeeel toevallig dat in meerdere landen deze malware bij meerdere bedrijven is aangetroffen.

Verwijderd @Verwijderd • 19 april 2011 17:39

Het is niet toevallig. Het is een ernstig geavanceerd ding dat zich zo ver mogelijk verspreidt, maar pas actie onderneemt als het doelwit matcht. Drijvende krachten erachter zijn, zelfs publiekelijk door McAfee toegegeven dus, de VS en Israel, en zeer waarschijnlijk door de absurde hoeveelheid insider-knowledge die blijkt uit de doelmatigheid ook nog 's met assistentie van Siemens.

Verwijderd @Verwijderd • 19 april 2011 19:03

Veel worms infecties gebruiken, veel pc's een payload geven, en je hebt veel kansen om ergens binnen te komen.

Het is wel heeeeeeel toevallig, of eigenlijk niet.... maar het ergste is dat als je Confiker deze zooi als payload mee zou geven, je vrijwel overal binnen kan komen. (zie filmpje van onex77).
Je gebruikt een worm om het te verspreiden over de pc's, en die gaan vervolgens "rondwandelen", usb-sticks besmetten en nasty dingen doen.

Een organisatie die Stuxnet kan ontwikkelen heeft ook wel de mannen in dienst die Confiker van een broertje kunnen voorzien dat payloads kan droppen.

BeosBeing @b..RAM • 22 april 2011 16:31

Stuxnet: "McAfee regelmatig angetroffen bij energiebedrijven"
Vandaar dat Stuxnet er zo makklijk binnen kwam.

wildhagen

Malware
Beveiliging
Privacy

@rik86 • 19 april 2011 16:56

De worm hoeft natuurlijk niet per se via Internet binnen te komen natuurlijk. Het kan zich ook verspreiden d.m.v. USB-sticks.

Yezpahr @wildhagen • 19 april 2011 23:00

Circa de helft zou bovendien Stuxnet hebben gevonden, een geraffineerd virus dat zich richtte op het saboteren van centrifuges die gebruikt worden voor uraniumverrijking in Iran. McAfee stelt verder dat 80 procent van de ondervraagden laat weten dat zij slachtoffer zijn geweest van een grootschalige ddos-aanval. Een kwart zou zelf dagelijks of wekelijks aangevallen worden.

Correlalation or causal connection, that's the question.

Als de helft van die energie bedrijven door Stuxnet zijn geïnfecteerd, terwijl het zich richt op 1 onderdeel van een kerncentrale in Iran, dan is dat causaal verband. Toch?
Moeilijk te bepalen.
Volgens mij word stuxnet in dit geval dus niet via usb-stick verspreid, want wat moeten al die energie bedrijven bij die kerncentrale in Iran?
Die kerncentrale is immers een dekmantel voor een kernwapen project, dat weet iedereen.

(joking)
Ook weet iedereen dat stuxnet gewoon malware is, zoals wikipedia al aangeeft.

Wat mij bang maakt is dat de worm niet geprogrammeerd is om de maker ervan niet aan te vallen, wat er dus op neerkomt, dat als deze worm op iedere kerncentrale terecht komt, dat er dan een probleem is.

Als je al logisch vind dat de energie bedrijven bij de kerncentrale in Iran komt met een USB-stick om zo het virus op te lopen, dan kan ook helemaal niets er wat aan doen als het virus bij een amerikaanse kerncentrale terecht komt op dezelfde manier.

Zo kan het dus wereldwijd op elke kerncentrale komen.
En zal het virus zichzelf dan uitzetten om vernieling te voorkomen?
Guess again. It won't.

- Call me a fear-monger, but I am proud I can make people sentient - Alex Jones at http://www.shoutcast.com/
(btw, hij is een fear-monger)

[Reactie gewijzigd door Yezpahr op 23 juli 2024 08:54]

TvdW @Yezpahr • 20 april 2011 00:41

"niet geprogrammeerd is om de maker ervan niet aan te vallen"

Het lijkt me dat de maker zijn eigen systemen zou beveiligen in plaats van dit te hardcoden?

Yezpahr @TvdW • 20 april 2011 03:58

Het lijkt me dat de makers niet de amerikaanse, russische, japanse kerncentrales zijn,

paulus83 @Yezpahr • 20 april 2011 19:22

Ik snap je link tussen besmettingen bij westerse energie maatschappijen en een bezoek aan de betreffende iraande centrales niet. Het is niet zo dat dit virus enkel op usb sticks verspreid is, die in iran werden uitgedeeld; het verspreide zich op meerdere manieren, via internet voor snelle verspreiding en via usb sticks om een kans te krijgen de benodigde offline computers te besmetten.
Bovendien, al zou de enige infectie vector usb zijn, dan nog verspreid het zich via besmette pc's en weer andere usb sticks totdat het honderden hops later een westerse centrale treft. Direct contact is dus geen eis.

Overigens snap ik wel je bezorgdheid over de afwezigheid van een controle systeem, maar volgens mij is het juist zo specifiek gemaakt dat het alleen de centrifuges van het type reactor dat daar gebruikt wordt herprogrammeert.

kimborntobewild @paulus83 • 21 april 2011 08:17

Overigens snap ik wel je bezorgdheid over de afwezigheid van een controle systeem, maar volgens mij is het juist zo specifiek gemaakt dat het alleen de centrifuges van het type reactor dat daar gebruikt wordt herprogrammeert.

En wat nu als er een bug in zit die dat moet detecteren? Zo'n bug kan ook tijdsafhankeleijk zijn. Dat bij een test in de USA het toen wel netjes werd tegengehouden, maar dat dat later niet meer 't geval is. In malware zitten wel vaker bugs.
Zo konden er bijv. bugs optreden rond de millenium-wissel, en later kan dat bijv. weer gebeuren in 2037.

Nickname55 @rik86 • 19 april 2011 23:09

Nou ... om van daaruit zijn opdrachten te kunnen ontvangen en vanaf externe locatie gecontroleerd te kunnen worden ... lijkt me zo

dj.verhulst @rik86 • 20 april 2011 17:18

ik heb een aantal projecten gedaan voor energie centrales.
zolang je een controle kamer heb met dames/heren die alle tijd hebben om te knoeien en je de boel niet zo strak dicht mag maken als ik zou willen ,( usb storage uit, strenge policy etc )

heb je altijd dames/heren die rommel op het netwerk loslaten.
al was het maar dat ze de surf pc die voor dat doel ingericht is als een soort download/ dvd copyeer bak gebruiken als ie niet (weer) sofware matig om zeep geholpen is en ze moeten wachten tot de volgende dag dat ik daar een image terug zet.

heb staan knipperen met mijn ogen dat dit allemaal maar mocht....

remcio 19 april 2011 17:47

ze kunnen het toch beveilligen zodat er niet random usb sticks in pc's en/of andere systemen kan worden gebruikt, of specifiek persoonel alleen toegang er toe geven. zo kun je toch snel zien wie het verspreid.

sabo-fx @remcio • 19 april 2011 19:37

Dit x was het een aanval via USB, en daar zal men nu vast wel procedures voor opstellen. Maar vergeet niet dat dit de eerste x is (bij mijn weten) dat er zo'n geavanceerde aanval plaatsvond. Je kan men niet kwalijk nemen dat ze hier niet op voorbereid waren.

En voor de volgende verzint 'men' gewoon iets nieuws om binnen te dringen.
Je vraagt bijvoorbeeld aan een onderbetaalde schoonmaker om een keylogger bij een sysadmin tussen zijn computer en keyboard te plaatsen. Je geeft 'm een snickers reep. And you're in business

Het probleem is dat de software van dit soort kerncentrales vaak ontwikkeld is in een tijd waarin dit soort hacks ondenkbaar waren. Maarja Iran kan niet ff naar de winkel om alternatief operating system te scoren...

Mellow Jack @sabo-fx • 19 april 2011 21:40

Ik heb even het filmpje van onex77 bekeken en daarna nog wat op het internet gezien en het schijnt dat Stuxnet zich eerst via het internet heeft verspreid, daarna via usb sticks naar de pc's die de plc's beheren. Dit heeft niet alleen effect op kerncentrales maar zou ook bijv waterzuiveringsinstallatie kunnen ontregelen. Dit laat dus wel zien dat Stuxnet super grote wereldwijde problemen had kunnen veroorzaken en dat eigenlijk alleen maar door neppe gegevens aan sensoren te geven en een aantal instructies aan te passen waardoor bijv het systeem overbelast wordt. Gelukkig lijkt het erop dat het of spionage was of een concept waarmee ze de mogelijkheden testen

Hier een grappig flimpje van Symantec met een voorbeeld wat met Stuxnet mogelijk is:
http://www.youtube.com/watch?v=cf0jlzVCyOI

[Reactie gewijzigd door Mellow Jack op 23 juli 2024 08:54]

Verwijderd @remcio • 19 april 2011 19:07

Ja, dat kan.

Nadeel is wel dat mensen domme dingen doen en toch usb-sticks meenemen, al dan niet met opzet.
Wie kan jouw overigens garanderen dat het specifieke personeel dat jij benoemt te vertrouwen is?
Wie zegt overigens dat JIJ wel te vertrouwen bent?
Wie kan bewijzen dat de mensen die moeten controleren wie het heeft verspreid wel te vertrouwen zijn?

Lastige vragen als jij een technofobe baas van een powerplant in de USA/China/??? bent, en er is niemand die je volledig kan vertrouwen.

Verwijderd 19 april 2011 18:35

Stuxnet valt alleen systemen lastig die voldoen aan de
specifieke eissen.

1 windows OS verschillende versies
2.siemens scada step 7 voor plc's
3 variabele centrifuge systemen.

1 en 2 kom je vaker tegen, 1,2 en 3 alleen in centrifuge systemen voor verrijking van
uranium

Andere systemen worden wel geinfecteerd maar, meer niet.
op 24 juni 2012 verwijderd stuxnet zichzelf.

Mellow Jack @Verwijderd • 19 april 2011 22:01

3 is volgens mij niet nodig, je hebt de juiste PLC nodig die helaas voor meer toepassingen wordt gebruikt alleen doet het virus verder niks... Het erge is dat het wel iets zou kunnen doen

Verwijderd @Mellow Jack • 19 april 2011 23:23

Stuxnet reageert op een hoog specifiek toerental.

http://digitallife.nl/internet/16396-nederlander-ontrafelt-stuxnet-code.html
"Pas als de worm omwentelingssnelheden van 704 Hz (42240 toeren per minuut, rpm) detecteert, begint het zijn subtiele sabotagewerk."

Ik snap de techneuten niet. Als je dat zo zeker weet weet, dan stuur je de module aan op de dubbele frekwentie (1408 Hz) en deelt de frekwentie door 2 richting de PLC

Mellow Jack @Verwijderd • 20 april 2011 08:26

Klopt daarom zeg ik dat 3 niet nodig is omdat hij zich in de PLC nestelt... Dat hij daar niks mee doet (idd omdat hij pas actief wordt bij een frequentie) maakt verder niks uit want het gaat mij meer om het feit dat iedereen zegt dat het zich puur richt op uranium verrijking terwijl dat niet helemaal klopt... Al hadden ze echt kwaad willen doen hadden ze bergen extra instructies meegegeven om ook in andere situaties kwaad te kunnen doen!

fevenhuis @Verwijderd • 19 april 2011 20:39

Nou het valt natuurlijk nooit te precies te voorspellen wat voor onverwachte bijkomstigheden malware met zich meebrengt.

Het kan een netwerk toch in onverwachte problemen brengen, al is het gemaakt om specifieke chips aan te vallen.

Overigens is na Fukushima ook wel duidelijk wat voor gevaarlijk spelletje het is om kerncentrales of centrifuges voor verrijking nucleair materiaal te saboteren.

jacket13 20 april 2011 08:34

Ik vind het wel een beetje vreemd dat de mensen bij de energiebedrijven niet hun beveiliging aanscherpen. terwijl de computer toch redelijk wat schade zouden kunnen aanrichten ( geacht dat ze aan alles gekoppeld zijn ).het lijkt mij wederom dat je als bedrijf toch de keuze maakt voor een afgesloten systeem die NIET aan het internet vast zit.

het is een zeer eenvoudig en bijna kosteloze oplossing waarbij een dergelijke aanvaller fysiek aanwezig moet zijn om en systeem aan te vallen. nou het zal wel allemaal zo wezen dat ze het internet essentieel nodig hebben voor ... iets?

even terug naar McAfee. ze doen zeker goed werk, ik hoop voor ze dat ze wat extra software verkopen door hun ondezoek

Sundog

@jacket13 • 20 april 2011 11:11

het lijkt mij wederom dat je als bedrijf toch de keuze maakt voor een afgesloten systeem die NIET aan het internet vast zit.

De realiteit is dat bijvoorbeeld het elektriciteits net zelf ook steeds meer gaat lijken op een netwerk met de kenmerken van internet.
Zo bouwen steeds meer bedrijven aan zogenaamde Smartgrids, waarbij computers de vraag en het aanbod op het net regelen, en er communicatie is tussen bijvoorbeeld de meter in je meterkast en een verdeelstation (beide kanten op). In theorie zou die communicatie zich uit kunnen strekken tot apperaten in je huis....
Dit alles om energie zo efficiënt mogelijk te verdelen,
Bij energiebronnen aan huis (bijv zonnepanelen) wordt de rol van deze communicatie nog groter, door het eventueel aanleveren van overtollige opgewekte energie aan het net.

Deze smartgrids kunnen dus ook geïnfiltreerd worden, en hier is security nog echt het sluitstuk op de begroting.
Nu is dit nog niet toegepast op grote schaal, maar ik wil alleen maar aangeven dat er steeds verdere integratie plaats vind ipv duidelijke afscheiding.

[Reactie gewijzigd door Sundog op 23 juli 2024 08:54]

cpf_ 19 april 2011 18:27

In de automatisatie wereld is dan ook al jaren een loopje genomen met beveiliging, terwijl ze wel meewillen met de nieuwe ontwikkelingen, en dus ook internet toegang willen.

In principe is het mooi te beveiligen hoor, maar niet zonder samenwerking met grote bedrijven die de apparatuur maken, en aangezien Siemens hierin wel eens vingers zou kunnen hebben weet ik niet zeker in hoeverre die bewuste bedrijven eigenlijk wel _willen_ dat het uiteindelijk wel veilig werkt.

Protocols die van serieel naar TCP geport zijn door gewoon het TCP stack errond te smijten en verder niet na te denken met wat ze bezig zijn -> Bad idea (En zo lopen er wel wat protocols rond precies)

100% beveiligen van een stuxnex-type attack is dan weer extreem moeilijk, want een apparaat moet op een gegeven moment wel eens geflashed worden he. En alles eerst in labo omgeving testen bij iedere kleine update zal al vlug teveel kosten en zal niemand (of toch weinig) mensen doen.

Verwijderd @cpf_ • 20 april 2011 06:12

nee, er wordt geen loopje genomen met beveiliging, beschikbaarheid is nr 1 en aangezien je praat over systemen die 24/7 moeten draaien en slecht 1x per 6 maanden down kunnen voor onderhoud en de betrouwbaarheid van updates ver onder de maat is van AV bedrijven, wordt er dus niet veel aan bijvoorbeeld AV gedaan.

Een en ander mooi verwoord in ISA95 norm en ISA99 norm, gewoon een andere manier van denken dan dat het in kantooromgevingen gebeurt, zeg maar de standaard IT netwerken.

Splorky 19 april 2011 17:32

Misschien niet helemaal relevant, maar dit geeft mij zeer het gevoel dat slimme energiemeters een slecht idee is als er zo lax wordt omgegaan met de beveiliging (uberhaupt continu realtime aflezen, en uit kunnen schakelen niet echt in het voordeel van de klant.)

Verwijderd 19 april 2011 18:49

Een paar jaar geleden had ik een lopende tijd bom op m'n laptop door McAfee.
Ik heb mijn laptop naar een collega van m'n vader gebracht, het duurde 2 dagen voordat mijn laptop schoon was klaart.

Mcafee, ik vind de realtime scannen nogal slecht gaan, ik zie alleen mijn coekies van msn.
die verwijder ik nu om de 2 week, ik run nu dagelijks Anti malware, gewoon omdat ik McAfee, niet meer begin te vertrouwen.

De naam was mooi, het had een mooie look-a-like, in het begin deed die ook wat die moest doen( beveiligen).

Maar na enkele jaren zonder dat ik uitbundige scans deed, is die aardig vol gelopen.
Mijn Vista is 3 week terug stuk gegaan door malware, en toen nog met vista heb ik Anti malware gevonden.

Mijn Vista is stuk gegaan en ook mijn harde schijf, nieuwe gekocht, xp er op gezet.
helaas ik heb nog geen andere gekocht, ik heb de bedrijfs versie van McAfee op m'n laptop waar m'n vader werkt, en dit is een betaalde versie die ik niet hoef te betalen want dat word verlengt door het bedrijf waar mijn vader voor werkt. heel makkelijk dus

.

Ik zit er over na te denken na deze zomer wanneer ik Werken en leren ga doen, Nod32 en te schaffen.

Vroeger hadden wij dat ook in onze PC bak.

mijn laptop is al 4 jaar oud, dus om nu een nieuwe scanner te kopen voor deze vind ik zonde als ik toch ook na de zomer vakantie ook een nieuwe laptop wil gaan kopen

kan ik deze nog lekker martelen

Xorsist @Verwijderd • 19 april 2011 18:54

En met deze rant wil je zeggen dat McAfee niet weet waar ze het over hebben of zo ?

Ik heb genoeg voorbeelden onder ogen gehad met bijgans IEDER groot anti virus pakket dat steken heeft laten vallen. Het zijn dingen die kunnen gebeuren (nee je wilt het niet en het tast je vertrouwen aan in de betreffende software) maar dat wil niet zeggen dat dit rapport slecht is.

Verwijderd 19 april 2011 19:02

Ik weet ook heus wel dat Virussen worden getest op scanners en dat zij ook altijd voor lopen.
maar ik vind het wel dat een scanner zijn ding moet doen.
Beveiligen.

Ook wanneer je gaat gamen, downloaden noem maar op.

Het moet z'n ding doen!

Citaat
'Volgens de onderzoekers worden energiebedrijven en hun elektriciteitsnetwerken steeds vaker aangevallen,( terwijl de beveiliging zelden wordt aangescherpt).

Van de ondervraagden gaf 70 procent aan dat zij malware hebben aangetroffen die in staat zou zijn om kritieke bedrijfssystemen te saboteren. '

70% dat vind ik nogal veel, je zou beter Anti Malware kunnen gaan kopen.
Die zou het nog beter doen!
En Anti Malware, gekochte versie is volwaardig Anti Virusscanner!.
Goedkoper,sneller,beter,nieuwer!

Scanners als McAfee weten waar ze mee bezigen zijn, maar ik denk dat dit de periode is waarop zij moeten gaan stoppen en dat hun systeem is verouderd.
Ze draaien denk ik niet mee met wat er gebeurd en Beveiliging bedrijven als McAfee moeten hun klanten wel blijven controleren en dit gebeurd dus niet vaak genoeg.

Laatst was er ook een Topic over McAfee toen vond ik nog dat ze het goed deden, maar een aantal dagen geleden vond ik weer Malware met Anti Malware en die Malware stond niet aangegeven in Quarantaine van McAfee.

Jammer voor hun is het Game over

harry899 19 april 2011 19:41

MCafee = Intel.
Over zal het dus nog niet zijn. De bak met geld die erachter hangt is veeeel te groot..

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: