Onderzoeker demonstreert zwakheden in industrieel beheersysteem

Een beveiligingsonderzoeker heeft nieuwe lekken ontdekt in een industrieel beheersysteem van Siemens dat wordt gebruikt om processen te automatiseren. Volgens experts zou dit eventueel via internet misbruikt kunnen worden.

De onderzoeker, Dillon Beresford, is werkzaam bij NSS Labs en toonde tijdens een demonstratie op de Black Hat-beveiligingsconferentie hoe enkele van de door hem gevonden kwetsbaarheden kunnen worden misbruikt om een aanval uit te voeren op het zogenoemde Siemens Simatic Step 7-systeem.

De demo toonde aan dat het mogelijk is om gegevens uit het geheugen van plc's te lezen of daarin in op te slaan, ook als er een wachtwoordbeveiliging actief is. Hiermee is het in theorie mogelijk om van afstand informatie van de plc uit te lezen, commando's te overschrijven of wachtwoorden te onderscheppen. Ook is het mogelijk om valse output te genereren, zodat een operator niets merkt. Een operator zou ook simpelweg buitenspel kunnen worden gezet door het wachtwoord te veranderen.

De NERC, die toeziet op de betrouwbaarheid van het elektriciteitsnet in Noord-Amerika, zou naar aanleiding van de demonstratie inmiddels een waarschuwing hebben uitgegeven. Ook ICS-CERT heeft naar aanleiding van de presentatie aan de bel getrokken, omdat Beresford een hardcoded wachtwoord in het Siemens-systeem heeft gekraakt en geopenbaard. Dit zou aanvallers ertoe kunnen aanzetten om op zoek te gaan naar vatbare Siemens-systemen. De Stuxnet-worm die vorig jaar in het nieuws kwam, werkte vermoedelijk op soortgelijke manier.

Siemens zou aan een oplossing werken. Het is niet bekend of het hier om geheel nieuwe kwetsbaarheden gaat, of dat het om dezelfde beveilingslekken gaat die eerder door Stuxnet werden misbruikt. Beresford zou in mei dit jaar al een presentatie over dit onderwerp geven, maar zag daar toen onder druk van Siemens en de Amerikaanse overheid op het laatste moment van af.

IT-banen

Reacties (44)

Xanaroth 4 augustus 2011 09:39

Dus in mei was het bekend, maar niks gedaan onder druk van Siemens.
Nu is het een paar maanden verder en heeft Siemens er niks aan gedaan, waardoor andere instanties nu waarschuwingen moeten gaan uitgeven.

Hebben ze de laatste tijd het nieuws niet gevolgd rond hacken, dat ze de kwetsbaarheden niet willen dichten?
Of wachten ze gewoon totdat het een keer mis gaat...

harrydg @Xanaroth • 4 augustus 2011 09:51

kosten - baten analyse zal uitgerekend hebben dat het fixen niet rendabel is. Dus ja, de klant zal de dupe zijn, zij zullen schadevergoeding moeten betalen, maar fixen zal meer kosten, dus pech voor de klant.

It's just business... gewoon berekeningen maken voor de business case en that's it... sadly...

Dreeke fixed @harrydg • 4 augustus 2011 10:04

Sorry hoor, maar je reactie is totale onzin.

Ik heb heel veel met siemens gewerk en ook de nodige bugs gevonden (20+) en deze zijn altijd heel goed opgelost. Ik heb 2x een Duitser langs zien komen om een fout op te sporen die ik zelf niet kon vinden, en die Duitsers komen niet zomaar! De bugs werden niet altijd in de change log vermeld omdat ze soms heel stom waren. Maar bij echte systeem bugs duurt het gewoon lang voordat er een nieuwe firmware is. Ik heb 1x meer dan 6 maanden gewacht voor een bug fix in de firmware.

Persoonlijk vind ik de instelling van Siemens t.a.v. bugs perfect. Het duurt even voordat iets wordt gefixed met een hotfix, maar het gebeurt wel.

koraks243 @Dreeke fixed • 4 augustus 2011 14:21

Ja goed, maar het probleem zit hem niet alleen in het beschikbaar stellen van de bugfix, maar ook in het uitrollen over de installed base van systemen. Dan loop je al snel tegen allerlei technische en organisatorische problemen aan. Denk aan de veelheid van configuraties die in 'het veld' staan (werkt de bugfix betrouwbaar op alle configuraties, of gaan ineens controlsystemen van een kernreactor plat? - bedenk wel dat we het hebben over een enorm heterogene set van systemen uitgerold over meerdere decennia), maar ook aan juridische issues: wie is er precies aansprakelijk voor de implementatie; wie gaat het betalen? Het inventariseren en onderhandelen hierover is een strategische kwestie waarvan je op je vingers kunt natellen dat het wat meer dan 6 maanden in beslag zal nemen.

Daarnaast heeft harrydg echt wel een punt: het ligt erg voor de hand dat ook (zelfs? vooral?) Siemens zal proberen om de kosten zo laag mogelijk te houden. De vraag is dan: wat is duurder, fixen, of wachten tot het misgaat op bepaalde plaatsen en dan evt. de schade vergoeden? Reken maar dat dat rekensommetje in de boardrooms in Duitsland gemaakt wordt.

SuperDre

Hackers

@koraks243 • 4 augustus 2011 14:42

En je geeft zelf dus precies de reden waaom het zo lang duurt voordat men een fix kan uitleveren, ze moeten alles door en door testen..

coldasice @harrydg • 4 augustus 2011 10:34

totdat er een kerncentrale-energiecentrale uitvalt en 100.000en mensen zonder stroom zitten...dan valt je kosten-baten analyse als heel snel de andere kant op. Nuts bedrijven zien dit als serieuze bedreigingen.

Of wanneer de straatverlicht van de gemeente Amsterdam geinfecteerd is door een worm, en een hacker doet de straatverlichting van aan en uit. Dan heb je wat uit te leggen.

Mellow Jack @coldasice • 4 augustus 2011 10:49

Dan mag je in eerste instantie wel eventjes uitleggen waarom dit in hemelsnaam aan het internet is verbonden... Ik denk dat zoiets veel kwalijker is dan het niet fixen van dit soort bugs

Anoniem: 229719 @Mellow Jack • 4 augustus 2011 11:13

Dat is helaas met heel veel systemen zo. ICT onbenul heerst in de hogere industriele kringen en de regering.

Dreeke fixed @Mellow Jack • 4 augustus 2011 11:40

Vroeger werden deze systemen via een modem verbinding beheerd, Dit is met de moderne tijden veranderd in internet verbindingen, meestal wel via een VPN inlog.

Het punt is vaak dat een systeem op lokatie staat en de engineer die dit heeft gemaakt 2-4 uur (inclusief files) verder weg woont/werkt.

Dit is een bewust wordings proces voor alle industriele systemen, dus ook voor de ABB's, Emersons, Yokohama's en alle andere die ik ben vergeten.

Het is een goede zaak dat onderzoekers dit nu uitzoeken voordat er slachtoffers vallen, ze moeten de fabrikanten wel genoeg tijd gunnen om dit te fixen want dit zijn geen simpele systemen die je ff fixed in een middagje.

Anoniem: 388707 @Mellow Jack • 4 augustus 2011 14:02

Alsof dat "gesloten" netwerk niet te kraken is. Je kan evengoed de verkeerslichten zelf hacken indien deze op zo een systeem aangesloten zijn. Het enige wat mogelijk een probleem kan vormen is een connector voor je laptop maar ook hier zijn oplossingen voor te vinden

Anoniem: 388707 @harrydg • 4 augustus 2011 10:15

off-topic: money money money, its so funny!

on-topic: hier sluit ik me bij aan. bedrijven kiezen voornamelijk voor geld en niet direct voor reputatie. Dezelfde tekortkoming van onze politiek, namelijk kortetermijnvisie.

@Dreeke: Een bedrijf kan geen zes maanden wachten op jullie patch als de concurrentie hun processen continue wijzigt en/of verwijdert. Je ziet toch zelf in dat bugs van zulke aard instant-patches moeten zijn? Uiteraard besef ik dat er nog tijd over zal gaan, maar 6maanden is wel heel erg lang. Als dat niet sneller kan doet het me vermoeden dat er bad-design in het project is geslopen waardoor het patchen te ingewikkeld is geworden

[Reactie gewijzigd door Anoniem: 388707 op 23 juli 2024 06:05]

JivZ @Xanaroth • 4 augustus 2011 09:57

Als het lek in het ontwerp zit, en niet door door een fout in de code, dan is een paar maanden waarschijnlijk niet genoeg om er een oplossing voor te bedenken.

gnu @JivZ • 4 augustus 2011 10:31

Echter is het in zo'n geval vaak wel mogelijk om de fout met code op te vangen, of in ieder geval op te merken zodat er een melding gemaakt wordt als de fout wordt gebruikt.

ajakkes @Xanaroth • 4 augustus 2011 10:05

Er zijn heel veel van dit soort systemen in gebruik. Het is maar de vraag of ze dit softwarematig kunnen oplossen en of deze oplossing veilig en betrouwbaar is. De PLC's moeten een hoge mate van betrouwbaarheid geven voor alle verschillende software die erop staat.

Het is niet te zeggen hoeveel tijd Siemens al in het onderzoeken van een oplossing heeft gestoken. In het ergste geval zullen alle PLC's met deze kwetsbaarheid vervangen moeten worden door nieuwe systemen.

Ik kan me niet voorstellen dat Siemens niet bezig is een oplossing te zoeken voor dit probleem want ze kunnen het niet permitteren dat deze kwetsbaarheid straks op grote schaal wordt misbruikt.

bitflusher @ajakkes • 4 augustus 2011 12:28

in deze ted talk wordt onderandere uitleg gegeven over toepassingen van deze siemens plc systemen: http://www.ted.com/talks/..._century_cyberweapon.html

in het kort draait een kritisch gedeelte van onze infrastructuur voor bijvoorbeeld electra op deze systemen.

Blokker_1999

Hackers
Privacy

@Xanaroth • 4 augustus 2011 09:58

Ik zie ook niet direct in hoe je een hardcoded wachtwoord zomaar kunt wijzigen. Ik denk dat ze bij Siemens al geruimte tijd aan het nadenken zijn hoe ze dit op een zo efficient mogelijke manier kunnen rechtzetten zonder dat ze alle aparatuur die ooit verkocht is moeten gaan vervangen.

AerosPhere 4 augustus 2011 09:38

Ummm Stuxnet wordt nu pas publiekelijk bekend gemaakt?

http://www.wired.com/thre...tives-deciphered-stuxnet/

EDIT:: though over een hele alinea heengelezen -.- maar in ieder geval, zelfde soort ' fout' lijkt mij als toen met stuxnet, maar omdat het nu over amerika gaat is het ineens een probleem?

[Reactie gewijzigd door AerosPhere op 23 juli 2024 06:05]

Armageddon_2k @AerosPhere • 4 augustus 2011 10:09

Stuxnet infecteert pc's waarmee de PLC's normaliter worden geprogrameerd.
Dus het gaat mis als een developer-pc het Stuxnet virus aan boord heeft.

Dit systeem richt zich op de kwetsbaarheid van de PLC zelf.
Hier zit een groot verschil.
Je hoeft niet meer toegang te hebben tot de developer-pc, je kan meteen bij de PLC en deze beinvloeden.

Plopeye @Armageddon_2k • 4 augustus 2011 15:17

Je vergeet dat er vaak in grotere installaties ook gebruik gemaakt wordt van zogeheten softPLC's die vervolgens met een speciale insteekkaart weer met profibus is verbonden.

Het is dus niet puur de developer pc waar het fout kan gaan...

Mellow Jack @Plopeye • 4 augustus 2011 15:47

Daar heb je een heel goed punt, had ik inderdaad helemaal geen rekening mee gehouden!

Mellow Jack @Armageddon_2k • 4 augustus 2011 10:14

Uuuhm het lijkt me sterk dat deze PLC's rechtstreeks op het internet zijn aangesloten. Dit werkt vrijwel altijd via een PC omdat je anders geen gesloten netwerk meer heb

-=bas=- @Mellow Jack • 4 augustus 2011 10:30

Moderne PLCs hebben ook gewone netwerkaansluitingen en hangen ook gewoon met z'n allen aan een het ethernet.
Of het bedrijf zo verstandig is om dit netwerk ook aan het internet te hangen is een ander probleem.

Mellow Jack @-=bas=- • 4 augustus 2011 10:47

Klopt ik zou het ook erg vreemd vinden wanneer ze dat interne netwerk direct aan het internet hangen. Ik zie in deze dus weinig verschil met Stux, die heeft ook via USB sticks het beheers netwerk geïnfecteerd om via daar verder te gaan naar de PLC's zelf

Maar ja dan praat je over de manier van verspreiden natuurlijk en niet de aanval opzich, stux was dan ook uit meerdere modules opgebouwd (initiële verspreiding via het internet, daarna via USB en daarna pas de aanval op de PLC's) Het verschil zou dus moeten zijn in de aanval an sich en niet in de verspreiding van het virus (want dat komt hier niet ter sprake)

[Reactie gewijzigd door Mellow Jack op 23 juli 2024 06:05]

plukke @Mellow Jack • 4 augustus 2011 11:28

De meeste systemen hangen tegenwoordig gewoon via een firewall aan het office domein. Het airgap is al lang geen optie meer voor de meeste bedrijven. Hoe wil jij anders je productiecijfers in je ERP pakket krijgen zodat materialen automatisch besteld kunnen wordne, etc etc. Zie ook http://www.tofinosecurity...y-myth-protection-air-gap

Dit is uiteraard erg slordig van Siemens, maar aangezien de laatste jaren steeds meer PLC's direct of indirect aan het net hangen komen deze kwetsbaarheden nu langzaam naar boven druppelen. Ik ben benieuwd welke vendors deze problematiek nog meer hebben.

Mellow Jack @plukke • 4 augustus 2011 11:39

Ik heb hier weinig ervaring mee hoor maar is het niet onwijs simpel om bijv de gegevens van de beheer PC over te zetten naar een Linux server die het daarna weer inschiet via EDI oid in het ERP systeem? Ik heb wel redelijk wat ervaring met ERP systemen en zoiets opzetten is nou niet echt hoge wetenschap en het levert wel een extra beveiliging schijf wanneer die Linux server 2 nic's heeft en zo dus het netwerk van de PLC verbind met de rest van het bedrijf.

Zoals ik zeg, ik heb me wel ingelezen ten tijde van het stux virus maar heb verder weinig ervaring met PLC's ed

plukke @Mellow Jack • 4 augustus 2011 13:23

Ik begrijp welke richting je op wilt. Echter is dit nog altijd geen scheiding. De fysieke verbinding naar de PLC is nog steeds aanwezig. Weliswaar moet je door een linux doos heen (of een firewall, of wat dan ook) maar contact is er altijd. Ook voor remote support vanuit Siemens is een linkje naar de buitenwereld wel handig.

Scheiden is geen optie meer, dichttimmeren is de oplossing. en ik hoop dat Siemens daar hard aan gaat werken.

mae-t.net @plukke • 4 augustus 2011 15:08

De grens tussen dichttimmeren en scheiden is maar dun. Scheiden kan je zowel met een computer of firewall doen, als met een fysieke handeling (USB-stick vol laten schrijven met data uit de PLC).

Ik denk dat het belangrijkste is dat er slechts verkeer in 1 richting mogelijk is (PLC's alleen uitlezen).

dasiro @-=bas=- • 4 augustus 2011 10:39

zo slim waren ze zelfs in iran om die volledig afgeschermd te draaien, maar er is ergens in die tienduizenden/honderdduizenden pc's toch eentje geweest die verbinding kon maken met het beheersnetwerk, waardoor de PLC's toch nog ontregeld konden worden

Mellow Jack @dasiro • 4 augustus 2011 10:45

Nee ze hebben een PC in het beheersnetwerk gekraakt... Dit hebben ze gedaan via USB sticks

Deze PC stond dus niet in verbinding met het internet

dasiro @Mellow Jack • 4 augustus 2011 21:59

en hoe denk je dat ze die gekraakt hebben? stuxnet verspreid zich juist via removable devices totdat ze hun doel, zijnde de Siemens PLC's die de uraniumcentrifuges aansturen, konden bereiken

ajakkes @AerosPhere • 4 augustus 2011 09:57

Nee, het is en was een probleem. Nu en toen.

Er zijn heel veel systemen die voor een goede werking afhankelijk zijn van deze PLC's van Siemens.

Een soortgelijke kwetsbaarheid is door Stuxnet misbruikt voor een aanval op Iran. Ook toen was al duidelijk dat we ook in Europa en Amerika een probleem hadden met de betrouwbaarheid van de PLC's. Nu heeft een beveiligingsonderzoeker laten zien dat ook hij in staat is de PLC's te ontregelen.

Ik vraag me alleen af of dit dezelfde kwetsbaarheid is of een nieuw probleem. Omdat de werking van Stuxnet niet volledig openbaar is, is hier nog niet veel over te zeggen.

Sjrab 4 augustus 2011 10:19

Alles staat of valt met de beveiliging van de PC waarop geprogrammeerd wordt.
Als je de pc met daar op Step 7 niet verbonden laat met de PLC's zijn deze niet benaderbaar en dus ook niet te beinvloeden. Er zijn echter maar weinig bedrijven die hier beleid in voeren en dus afdoende beveiligd zijn.
Het is goed dat hier aandacht voor is, omdat niemand verwacht dat er op die manier PC's gehackt worden.

coldasice @Sjrab • 4 augustus 2011 10:29

PLC's worden in de meeste gevallen aangestuurd door SCADA systemen zoals WinCC en die beinvloeden de PLC. Hoe denk je anders dat een Operator een proces kan bijsturen?

necessaryevil @coldasice • 4 augustus 2011 12:51

Een PLC heeft ook gewoon ingangen. Je kan er dus een bedieningspaneel o.i.d. aanhangen.

Ik denk niet dat een operator veel PLC's programmeert, dat is meer iets voor een process engineer.

Mellow Jack @Sjrab • 4 augustus 2011 10:57

Ik vraag me daarom ook af hoe vaak zo'n proces bijgestuurd wordt. Als dat sporadisch gebeurd lijkt het mij inderdaad een goede oplossing om ervoor te zorgen dat je na het beheren van de PLC je de PC gewoon uitzet

coldasice 4 augustus 2011 10:04

Onze gehele productie omgeving zit achter een DMZ zone, dus directe toegang is vrijwel onmogelijk tenzij je de ins en outs kent van het systeem.

Het hele probleem in een productie omgeving is dat S7 in de meeste omgevingen vele jaren blijft draaien op de oudere software maar dat virusscanner in een veel snellere update cyclus zitten waardoor die niet ondersteund wordt. Als er dus een probleem is met S7 wijst Siemens meteen naar de niet ondersteunde virusscanner. Productie omgevingen wil je niet iedere maand voorzien van een nieuwe versie S7.

http://cache.automation.s.../STEP7_Virenscanner_e.pdf

Anoniem: 260928 @coldasice • 4 augustus 2011 10:36

Een DMZ?? Weet je wel wat dat is?
DMZ is net bedoeld om een subnet minder af te schermen van de buitenwereld!

Alles wat nog achter die DMZ zit is veiliger dus, meestal wordt DMZ gebruikt als een extra beveiligingslaag waar je door moet voor je op het interne netwerk kan (DMZ is dus vrij toegankelijk)

Grtz, phyck

airell @Anoniem: 260928 • 4 augustus 2011 10:44

Dat zegt tie: "Onze gehele productie omgeving zit achter een DMZ zone..."

beascob

4 augustus 2011 09:56

Netjes 3 maand gewacht...
Maar hardcoded besturingscode verander je niet zomaar, als Siemens...
uitleg over dit moderne control system

e_balk 4 augustus 2011 09:59

Dit soort verhalen zijn natuurlijk minder gezellig, ik weet niet precies wat voor een industriele processen worden aangestuurd met dit Siemens systeem, maar ik kan me voorstellen, dat dit toch een onderdeel zal zijn van enkele hele grote en hele essentiele processen, wat het gevaar wel verhoogd.

Ieder systeem heeft zijn zwakheden 100% veiligheid is een utopie. Maar ik denk wel dat fabrikanten voor een bepaald deel verantwoordelijk gesteld moeten kunnen worden voor de beveiligingsissues die zij creeren in hun systemen. Dit is feitelijk hetzelfde als een constructiefout in een gebouw.

Xubby 4 augustus 2011 09:59

"... omdat Beresford een hardcoded wachtwoord in het Siemens-systeem heeft gekraakt en geopenbaard."
Dat openbaren, na enige tijd lijkt me terecht. Dan hebben ze de kans gehad het te fixen. Nou ja, ze werken er aan ...
Maar een hardcoded wachtwoord na het Stuxnet virus, dat geloof je toch niet? Puur slecht wat mij betreft.

Chip. 4 augustus 2011 10:04

Tjah bij vele vergelijkbare programma's zoals STEP7 zul je waarschijnlijk makkelijk kunnen hacken zodra ze op het internet zijn aangesloten of wanneer je er zelf bij staat met je laptopje en eventjes de tijd hebt. Maar die zijn vaak ook niet gemaakt om 'echt' beveiligd te zijn tegen 'echte' hackers. Veiligheid van het te besturen proces staat veel hoger op de vaandel. Zodat wanneer sensor X uitvalt niet meteen de gehele fabriek uitvalt of dat er een explosie ontstaat e.d. helaas worden dit soort systemen steeds vaker aangesloten op het internet dus mag er idd wel eens verandering komen in de beveiliging. Alleen vraag ik me het toch af of je wel wilt dat fabrieksprocessen aangesloten zijn op het internet.

technopeuter 4 augustus 2011 11:35

Ben sinds kort aan het werk bij een echte TA-club (technische Automatisering)

Bij PLC-besturing is het heel simpel, aan een netwerk met plc's hangen ca een 6 tal servers voor de aansturing, deze zijn dan weer verbonden met de operators. Omdat deze systemen tot het productieproces behoren zal de interne IT-beheerder er niet aankomen dus gedurende hun levensduur(5jr) worden ze niet geupdate of geservices want de productie draaid 24/7. tegenwoordig is de koppeling met SAP normaal en zie je ook dat Stuxnet een grote invloed gaat hebben op security. De wereld van PLC(zeer behoudend) en Kantoorautomatisering(vernieuwend) kruipen steeds dichter naar elkaar. met bijbehorende problemen

Black Zorro 4 augustus 2011 20:45

Toppend

Amerikaantjes maken een worm tegen Iran, en nu maken de amerikaatjes siemens zwart. Hier toont men het gemakkelijker is iets af te breken dan met een oplossing te komen. (http://nl.wikipedia.org/wiki/Stuxnet)
Helaas had het centrifuge systeem een Siemens PLC en geen Allen Bradley anders had Rockwell ook problemen.

Op dit item kan niet meer gereageerd worden.

Onderzoeker demonstreert zwakheden in industrieel beheersysteem

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: