Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties

Een beveiligingsonderzoeker heeft nieuwe lekken ontdekt in een industrieel beheersysteem van Siemens dat wordt gebruikt om processen te automatiseren. Volgens experts zou dit eventueel via internet misbruikt kunnen worden.

De onderzoeker, Dillon Beresford, is werkzaam bij NSS Labs en toonde tijdens een demonstratie op de Black Hat-beveiligingsconferentie hoe enkele van de door hem gevonden kwetsbaarheden kunnen worden misbruikt om een aanval uit te voeren op het zogenoemde Siemens Simatic Step 7-systeem.

De demo toonde aan dat het mogelijk is om gegevens uit het geheugen van plc's te lezen of daarin in op te slaan, ook als er een wachtwoordbeveiliging actief is. Hiermee is het in theorie mogelijk om van afstand informatie van de plc uit te lezen, commando's te overschrijven of wachtwoorden te onderscheppen. Ook is het mogelijk om valse output te genereren, zodat een operator niets merkt. Een operator zou ook simpelweg buitenspel kunnen worden gezet door het wachtwoord te veranderen.

De NERC, die toeziet op de betrouwbaarheid van het elektriciteitsnet in Noord-Amerika, zou naar aanleiding van de demonstratie inmiddels een waarschuwing hebben uitgegeven. Ook ICS-CERT heeft naar aanleiding van de presentatie aan de bel getrokken, omdat Beresford een hardcoded wachtwoord in het Siemens-systeem heeft gekraakt en geopenbaard. Dit zou aanvallers ertoe kunnen aanzetten om op zoek te gaan naar vatbare Siemens-systemen. De Stuxnet-worm die vorig jaar in het nieuws kwam, werkte vermoedelijk op soortgelijke manier.

Siemens zou aan een oplossing werken. Het is niet bekend of het hier om geheel nieuwe kwetsbaarheden gaat, of dat het om dezelfde beveilingslekken gaat die eerder door Stuxnet werden misbruikt. Beresford zou in mei dit jaar al een presentatie over dit onderwerp geven, maar zag daar toen onder druk van Siemens en de Amerikaanse overheid op het laatste moment van af.

Moderatie-faq Wijzig weergave

Reacties (44)

Dus in mei was het bekend, maar niks gedaan onder druk van Siemens.
Nu is het een paar maanden verder en heeft Siemens er niks aan gedaan, waardoor andere instanties nu waarschuwingen moeten gaan uitgeven.


Hebben ze de laatste tijd het nieuws niet gevolgd rond hacken, dat ze de kwetsbaarheden niet willen dichten?
Of wachten ze gewoon totdat het een keer mis gaat...
kosten - baten analyse zal uitgerekend hebben dat het fixen niet rendabel is. Dus ja, de klant zal de dupe zijn, zij zullen schadevergoeding moeten betalen, maar fixen zal meer kosten, dus pech voor de klant.

It's just business... gewoon berekeningen maken voor de business case en that's it... sadly...
Sorry hoor, maar je reactie is totale onzin.

Ik heb heel veel met siemens gewerk en ook de nodige bugs gevonden (20+) en deze zijn altijd heel goed opgelost. Ik heb 2x een Duitser langs zien komen om een fout op te sporen die ik zelf niet kon vinden, en die Duitsers komen niet zomaar! De bugs werden niet altijd in de change log vermeld omdat ze soms heel stom waren. Maar bij echte systeem bugs duurt het gewoon lang voordat er een nieuwe firmware is. Ik heb 1x meer dan 6 maanden gewacht voor een bug fix in de firmware.

Persoonlijk vind ik de instelling van Siemens t.a.v. bugs perfect. Het duurt even voordat iets wordt gefixed met een hotfix, maar het gebeurt wel.
Ja goed, maar het probleem zit hem niet alleen in het beschikbaar stellen van de bugfix, maar ook in het uitrollen over de installed base van systemen. Dan loop je al snel tegen allerlei technische en organisatorische problemen aan. Denk aan de veelheid van configuraties die in 'het veld' staan (werkt de bugfix betrouwbaar op alle configuraties, of gaan ineens controlsystemen van een kernreactor plat? - bedenk wel dat we het hebben over een enorm heterogene set van systemen uitgerold over meerdere decennia), maar ook aan juridische issues: wie is er precies aansprakelijk voor de implementatie; wie gaat het betalen? Het inventariseren en onderhandelen hierover is een strategische kwestie waarvan je op je vingers kunt natellen dat het wat meer dan 6 maanden in beslag zal nemen.

Daarnaast heeft harrydg echt wel een punt: het ligt erg voor de hand dat ook (zelfs? vooral?) Siemens zal proberen om de kosten zo laag mogelijk te houden. De vraag is dan: wat is duurder, fixen, of wachten tot het misgaat op bepaalde plaatsen en dan evt. de schade vergoeden? Reken maar dat dat rekensommetje in de boardrooms in Duitsland gemaakt wordt.
En je geeft zelf dus precies de reden waaom het zo lang duurt voordat men een fix kan uitleveren, ze moeten alles door en door testen..
totdat er een kerncentrale-energiecentrale uitvalt en 100.000en mensen zonder stroom zitten...dan valt je kosten-baten analyse als heel snel de andere kant op. Nuts bedrijven zien dit als serieuze bedreigingen.

Of wanneer de straatverlicht van de gemeente Amsterdam geinfecteerd is door een worm, en een hacker doet de straatverlichting van aan en uit. Dan heb je wat uit te leggen.
Dan mag je in eerste instantie wel eventjes uitleggen waarom dit in hemelsnaam aan het internet is verbonden... Ik denk dat zoiets veel kwalijker is dan het niet fixen van dit soort bugs
Dat is helaas met heel veel systemen zo. ICT onbenul heerst in de hogere industriele kringen en de regering.
Vroeger werden deze systemen via een modem verbinding beheerd, Dit is met de moderne tijden veranderd in internet verbindingen, meestal wel via een VPN inlog.

Het punt is vaak dat een systeem op lokatie staat en de engineer die dit heeft gemaakt 2-4 uur (inclusief files) verder weg woont/werkt.

Dit is een bewust wordings proces voor alle industriele systemen, dus ook voor de ABB's, Emersons, Yokohama's en alle andere die ik ben vergeten.

Het is een goede zaak dat onderzoekers dit nu uitzoeken voordat er slachtoffers vallen, ze moeten de fabrikanten wel genoeg tijd gunnen om dit te fixen want dit zijn geen simpele systemen die je ff fixed in een middagje.
Alsof dat "gesloten" netwerk niet te kraken is. Je kan evengoed de verkeerslichten zelf hacken indien deze op zo een systeem aangesloten zijn. Het enige wat mogelijk een probleem kan vormen is een connector voor je laptop maar ook hier zijn oplossingen voor te vinden
off-topic: money money money, its so funny!

on-topic: hier sluit ik me bij aan. bedrijven kiezen voornamelijk voor geld en niet direct voor reputatie. Dezelfde tekortkoming van onze politiek, namelijk kortetermijnvisie.

@Dreeke: Een bedrijf kan geen zes maanden wachten op jullie patch als de concurrentie hun processen continue wijzigt en/of verwijdert. Je ziet toch zelf in dat bugs van zulke aard instant-patches moeten zijn? Uiteraard besef ik dat er nog tijd over zal gaan, maar 6maanden is wel heel erg lang. Als dat niet sneller kan doet het me vermoeden dat er bad-design in het project is geslopen waardoor het patchen te ingewikkeld is geworden

[Reactie gewijzigd door F!SH op 4 augustus 2011 10:19]

Als het lek in het ontwerp zit, en niet door door een fout in de code, dan is een paar maanden waarschijnlijk niet genoeg om er een oplossing voor te bedenken.
Echter is het in zo'n geval vaak wel mogelijk om de fout met code op te vangen, of in ieder geval op te merken zodat er een melding gemaakt wordt als de fout wordt gebruikt.
Er zijn heel veel van dit soort systemen in gebruik. Het is maar de vraag of ze dit softwarematig kunnen oplossen en of deze oplossing veilig en betrouwbaar is. De PLC's moeten een hoge mate van betrouwbaarheid geven voor alle verschillende software die erop staat.

Het is niet te zeggen hoeveel tijd Siemens al in het onderzoeken van een oplossing heeft gestoken. In het ergste geval zullen alle PLC's met deze kwetsbaarheid vervangen moeten worden door nieuwe systemen.

Ik kan me niet voorstellen dat Siemens niet bezig is een oplossing te zoeken voor dit probleem want ze kunnen het niet permitteren dat deze kwetsbaarheid straks op grote schaal wordt misbruikt.
in deze ted talk wordt onderandere uitleg gegeven over toepassingen van deze siemens plc systemen: http://www.ted.com/talks/..._century_cyberweapon.html

in het kort draait een kritisch gedeelte van onze infrastructuur voor bijvoorbeeld electra op deze systemen.
Ik zie ook niet direct in hoe je een hardcoded wachtwoord zomaar kunt wijzigen. Ik denk dat ze bij Siemens al geruimte tijd aan het nadenken zijn hoe ze dit op een zo efficient mogelijke manier kunnen rechtzetten zonder dat ze alle aparatuur die ooit verkocht is moeten gaan vervangen.
Ummm Stuxnet wordt nu pas publiekelijk bekend gemaakt?

http://www.wired.com/thre...tives-deciphered-stuxnet/

EDIT:: though over een hele alinea heengelezen -.- maar in ieder geval, zelfde soort ' fout' lijkt mij als toen met stuxnet, maar omdat het nu over amerika gaat is het ineens een probleem?

[Reactie gewijzigd door AerosPhere op 4 augustus 2011 09:39]

Stuxnet infecteert pc's waarmee de PLC's normaliter worden geprogrameerd.
Dus het gaat mis als een developer-pc het Stuxnet virus aan boord heeft.

Dit systeem richt zich op de kwetsbaarheid van de PLC zelf.
Hier zit een groot verschil.
Je hoeft niet meer toegang te hebben tot de developer-pc, je kan meteen bij de PLC en deze beinvloeden.
Je vergeet dat er vaak in grotere installaties ook gebruik gemaakt wordt van zogeheten softPLC's die vervolgens met een speciale insteekkaart weer met profibus is verbonden.

Het is dus niet puur de developer pc waar het fout kan gaan...
Daar heb je een heel goed punt, had ik inderdaad helemaal geen rekening mee gehouden!
Uuuhm het lijkt me sterk dat deze PLC's rechtstreeks op het internet zijn aangesloten. Dit werkt vrijwel altijd via een PC omdat je anders geen gesloten netwerk meer heb
Moderne PLCs hebben ook gewone netwerkaansluitingen en hangen ook gewoon met z'n allen aan een het ethernet.
Of het bedrijf zo verstandig is om dit netwerk ook aan het internet te hangen is een ander probleem.
Klopt ik zou het ook erg vreemd vinden wanneer ze dat interne netwerk direct aan het internet hangen. Ik zie in deze dus weinig verschil met Stux, die heeft ook via USB sticks het beheers netwerk geÔnfecteerd om via daar verder te gaan naar de PLC's zelf

Maar ja dan praat je over de manier van verspreiden natuurlijk en niet de aanval opzich, stux was dan ook uit meerdere modules opgebouwd (initiŽle verspreiding via het internet, daarna via USB en daarna pas de aanval op de PLC's) Het verschil zou dus moeten zijn in de aanval an sich en niet in de verspreiding van het virus (want dat komt hier niet ter sprake)

[Reactie gewijzigd door Mellow Jack op 4 augustus 2011 10:52]

De meeste systemen hangen tegenwoordig gewoon via een firewall aan het office domein. Het airgap is al lang geen optie meer voor de meeste bedrijven. Hoe wil jij anders je productiecijfers in je ERP pakket krijgen zodat materialen automatisch besteld kunnen wordne, etc etc. Zie ook http://www.tofinosecurity...y-myth-protection-air-gap

Dit is uiteraard erg slordig van Siemens, maar aangezien de laatste jaren steeds meer PLC's direct of indirect aan het net hangen komen deze kwetsbaarheden nu langzaam naar boven druppelen. Ik ben benieuwd welke vendors deze problematiek nog meer hebben.
Ik heb hier weinig ervaring mee hoor maar is het niet onwijs simpel om bijv de gegevens van de beheer PC over te zetten naar een Linux server die het daarna weer inschiet via EDI oid in het ERP systeem? Ik heb wel redelijk wat ervaring met ERP systemen en zoiets opzetten is nou niet echt hoge wetenschap en het levert wel een extra beveiliging schijf wanneer die Linux server 2 nic's heeft en zo dus het netwerk van de PLC verbind met de rest van het bedrijf.

Zoals ik zeg, ik heb me wel ingelezen ten tijde van het stux virus maar heb verder weinig ervaring met PLC's ed
Ik begrijp welke richting je op wilt. Echter is dit nog altijd geen scheiding. De fysieke verbinding naar de PLC is nog steeds aanwezig. Weliswaar moet je door een linux doos heen (of een firewall, of wat dan ook) maar contact is er altijd. Ook voor remote support vanuit Siemens is een linkje naar de buitenwereld wel handig.

Scheiden is geen optie meer, dichttimmeren is de oplossing. en ik hoop dat Siemens daar hard aan gaat werken.
De grens tussen dichttimmeren en scheiden is maar dun. Scheiden kan je zowel met een computer of firewall doen, als met een fysieke handeling (USB-stick vol laten schrijven met data uit de PLC).

Ik denk dat het belangrijkste is dat er slechts verkeer in 1 richting mogelijk is (PLC's alleen uitlezen).
zo slim waren ze zelfs in iran om die volledig afgeschermd te draaien, maar er is ergens in die tienduizenden/honderdduizenden pc's toch eentje geweest die verbinding kon maken met het beheersnetwerk, waardoor de PLC's toch nog ontregeld konden worden
Nee ze hebben een PC in het beheersnetwerk gekraakt... Dit hebben ze gedaan via USB sticks ;) Deze PC stond dus niet in verbinding met het internet
en hoe denk je dat ze die gekraakt hebben? stuxnet verspreid zich juist via removable devices totdat ze hun doel, zijnde de Siemens PLC's die de uraniumcentrifuges aansturen, konden bereiken
Nee, het is en was een probleem. Nu en toen.

Er zijn heel veel systemen die voor een goede werking afhankelijk zijn van deze PLC's van Siemens.

Een soortgelijke kwetsbaarheid is door Stuxnet misbruikt voor een aanval op Iran. Ook toen was al duidelijk dat we ook in Europa en Amerika een probleem hadden met de betrouwbaarheid van de PLC's. Nu heeft een beveiligingsonderzoeker laten zien dat ook hij in staat is de PLC's te ontregelen.

Ik vraag me alleen af of dit dezelfde kwetsbaarheid is of een nieuw probleem. Omdat de werking van Stuxnet niet volledig openbaar is, is hier nog niet veel over te zeggen.
Alles staat of valt met de beveiliging van de PC waarop geprogrammeerd wordt.
Als je de pc met daar op Step 7 niet verbonden laat met de PLC's zijn deze niet benaderbaar en dus ook niet te beinvloeden. Er zijn echter maar weinig bedrijven die hier beleid in voeren en dus afdoende beveiligd zijn.
Het is goed dat hier aandacht voor is, omdat niemand verwacht dat er op die manier PC's gehackt worden.
PLC's worden in de meeste gevallen aangestuurd door SCADA systemen zoals WinCC en die beinvloeden de PLC. Hoe denk je anders dat een Operator een proces kan bijsturen?
Een PLC heeft ook gewoon ingangen. Je kan er dus een bedieningspaneel o.i.d. aanhangen.

Ik denk niet dat een operator veel PLC's programmeert, dat is meer iets voor een process engineer.
Ik vraag me daarom ook af hoe vaak zo'n proces bijgestuurd wordt. Als dat sporadisch gebeurd lijkt het mij inderdaad een goede oplossing om ervoor te zorgen dat je na het beheren van de PLC je de PC gewoon uitzet :P
Onze gehele productie omgeving zit achter een DMZ zone, dus directe toegang is vrijwel onmogelijk tenzij je de ins en outs kent van het systeem.

Het hele probleem in een productie omgeving is dat S7 in de meeste omgevingen vele jaren blijft draaien op de oudere software maar dat virusscanner in een veel snellere update cyclus zitten waardoor die niet ondersteund wordt. Als er dus een probleem is met S7 wijst Siemens meteen naar de niet ondersteunde virusscanner. Productie omgevingen wil je niet iedere maand voorzien van een nieuwe versie S7.

http://cache.automation.s.../STEP7_Virenscanner_e.pdf
Een DMZ?? Weet je wel wat dat is?
DMZ is net bedoeld om een subnet minder af te schermen van de buitenwereld!

Alles wat nog achter die DMZ zit is veiliger dus, meestal wordt DMZ gebruikt als een extra beveiligingslaag waar je door moet voor je op het interne netwerk kan (DMZ is dus vrij toegankelijk)

Grtz, phyck
Dat zegt tie: "Onze gehele productie omgeving zit achter een DMZ zone..."
Netjes 3 maand gewacht...
Maar hardcoded besturingscode verander je niet zomaar, als Siemens...
uitleg over dit moderne control system
Dit soort verhalen zijn natuurlijk minder gezellig, ik weet niet precies wat voor een industriele processen worden aangestuurd met dit Siemens systeem, maar ik kan me voorstellen, dat dit toch een onderdeel zal zijn van enkele hele grote en hele essentiele processen, wat het gevaar wel verhoogd.

Ieder systeem heeft zijn zwakheden 100% veiligheid is een utopie. Maar ik denk wel dat fabrikanten voor een bepaald deel verantwoordelijk gesteld moeten kunnen worden voor de beveiligingsissues die zij creeren in hun systemen. Dit is feitelijk hetzelfde als een constructiefout in een gebouw.
"... omdat Beresford een hardcoded wachtwoord in het Siemens-systeem heeft gekraakt en geopenbaard."
Dat openbaren, na enige tijd lijkt me terecht. Dan hebben ze de kans gehad het te fixen. Nou ja, ze werken er aan ...
Maar een hardcoded wachtwoord na het Stuxnet virus, dat geloof je toch niet? Puur slecht wat mij betreft.
Tjah bij vele vergelijkbare programma's zoals STEP7 zul je waarschijnlijk makkelijk kunnen hacken zodra ze op het internet zijn aangesloten of wanneer je er zelf bij staat met je laptopje en eventjes de tijd hebt. Maar die zijn vaak ook niet gemaakt om 'echt' beveiligd te zijn tegen 'echte' hackers. Veiligheid van het te besturen proces staat veel hoger op de vaandel. Zodat wanneer sensor X uitvalt niet meteen de gehele fabriek uitvalt of dat er een explosie ontstaat e.d. helaas worden dit soort systemen steeds vaker aangesloten op het internet dus mag er idd wel eens verandering komen in de beveiliging. Alleen vraag ik me het toch af of je wel wilt dat fabrieksprocessen aangesloten zijn op het internet.
Ben sinds kort aan het werk bij een echte TA-club (technische Automatisering)

Bij PLC-besturing is het heel simpel, aan een netwerk met plc's hangen ca een 6 tal servers voor de aansturing, deze zijn dan weer verbonden met de operators. Omdat deze systemen tot het productieproces behoren zal de interne IT-beheerder er niet aankomen dus gedurende hun levensduur(5jr) worden ze niet geupdate of geservices want de productie draaid 24/7. tegenwoordig is de koppeling met SAP normaal en zie je ook dat Stuxnet een grote invloed gaat hebben op security. De wereld van PLC(zeer behoudend) en Kantoorautomatisering(vernieuwend) kruipen steeds dichter naar elkaar. met bijbehorende problemen
Toppend

Amerikaantjes maken een worm tegen Iran, en nu maken de amerikaatjes siemens zwart. Hier toont men het gemakkelijker is iets af te breken dan met een oplossing te komen. (http://nl.wikipedia.org/wiki/Stuxnet)
Helaas had het centrifuge systeem een Siemens PLC en geen Allen Bradley anders had Rockwell ook problemen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True