Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 102 reacties

Criminelen hebben een Amerikaanse waterinstallatie gehackt en daarna een pomp vernield door hem herhaaldelijk aan en uit te zetten. Het is een van de weinige keren dat een hack van een dergelijke installatie openbaar is gemaakt.

De hack werd wereldkundig gemaakt door Joe Weiss, beveiligingsexpert bij een vaktijdschrift. De hack kon plaatsvinden, doordat bij een leverancier van scada-software een hack werd gepleegd, waarbij de gebruikersnamen en wachtwoorden zijn buitgemaakt. De hack kwam vermoedelijk tot stand via de plc's in de waterinstallatie. Waterinstallaties zijn veelal afhankelijk van plc's, aldus Weiss.

De waterinstallatie die werd gehackt staat waarschijnlijk in de Amerikaanse stad Springfield in de staat Illinois, zegt Cnet. Het ip-adres van de criminelen werd getraceerd in Rusland, maar waarschijnlijk is dat niet de plek waarvandaan de hack is gepleegd. De waterpomp werd vernield door hem herhaaldelijk aan en uit te zetten, waardoor hij oververhit raakte. Het is onduidelijk of door de hack bij de leverancier van de scada-software meer waterinstallaties zijn gekraakt.

Het gebeurt zelden dat een hack van een watersysteem in de openbaarheid komt. Dat soort hacks ligt gevoelig, omdat de samenleving afhankelijk is van dergelijke systemen voor de toevoer van water, stroom en gas.

De aanval lijkt sterk op de Stuxnet-aanval die het in 2010 had voorzien op de nucleaire installaties in Iran. De malware richtte zich uitsluitend op scada. De aanvallers slaagden er in om via Stuxnet de centrifuges die gebruikt worden voor uraniumverrijking te beïnvloeden. Door ze tijdelijk op volle kracht te laten draaien, werd de levensduur van de centrifuges aanzienlijk ingekort.

Moderatie-faq Wijzig weergave

Reacties (102)

Wel vreemd dat dergelijke pomp vernield kan worden door oververhitting. Je zou toch denken dat daar een soort 'overheating protection' of iets dergelijks op zit zodat die pas terug opstart als de temperatuur weer acceptabel is.
En los daarvan zou een computersysteem dat remote de functionaliteit biedt om industriŽle installaties op te starten toch best wel een tellertje moeten bijhouden om het veelvuldig herstarten te beperken.
Meestal wel ja, de meeste pompen hebben een clixon of PTC beveiliging. Deze worden vaak teruggemeld naar de PLC, er wordt dan een storing doorgemeld aan de centrale.
Echter zullen bij dergelijke systemen deze beveiligingen ook hardwarematig in de stuurstroom opgenomen zijn om de pomp uitschakelen, waarom dat hier niet het geval is kan ik niet over oordelen, maar goed is het niet!

Daarnaast zijn er de themische pakketten in de hoofdstroom, deze schakelt uit bij thermische of magnetische overbelasting. Thermisch wil zeggen langdurige kleine overbelasting, magnetisch wil zeggen kortsluiting ofwel kortstondige zware overbelasting.
Tegenwoordig kunnen deze ook op afstand gereset worden (via de PLC), maar dat komt nog niet zo heel veel voor. Ik denk overigens dat deze beveiliging niet aanspreekt bij veelvuldig starten van een pomp.

Een laatste mogelijkheid is dat er gestart wordt doormiddel van een softstarter of een frequentieregelaar, als de beveiliging niet goed staat ingesteld kunnen deze een motor zeker slopen.

Deze systemen zijn vrijwel altijd uitgevoerd met een noodloop, voor als de PLC uitvalt of locale bediening oid. Dan moet de beveiliging van de pomp wel hardwarematig opgenomen zijn in de sturing, anders zullen de pompen niet lang meegaan. De PLC-sturing heeft dus eigelijk altijd een soort overwrite, ofwel noodloop of wel beveiliging.

[Reactie gewijzigd door MrHugo op 18 november 2011 11:10]

Je kan de thermische beveiliging wel resetten, maar als de pomp nog te warm is dan vliegt hij er meteen weer in. Maar ben ook wel bedrijven tegen gekomen die de thermische beveiliging (per ongeluk) automatisch resette. Hierdoor herstartte de pomp zich zelf herhaaldelijk. DIt was ook een flinke (1000+ m3/h) pomp. Maar die heeft het gewoon overleeft.
Als de beveiligingen hiervoor ook in software zitten valt uiteindelijk natuurlijk alles om.

Zaak dus om hier inderdaad een hardware noodstop in te bouwen, zeker voor hacks op systemen die aan internet hangen.
Dat soort thermische beveiligingen zijn meestal deels software oplossingen. Het scheelt een extra set hoogvermogen relais. En als een hacker dan de software omzeilt, tja...
Die zal er ook wel in zitten, maar als je al in de PLC zit dan zet je die beveiliging uit of forceer je gewoon dat hij moet draaien.
Monitoring en de juiste manier van alarmering op bepaalde (combinaties van) events is inderdaad een van de belangrijkste mechanismes die je ik moet richten om je tegen dergelijke aanvallen te wapenen.
Achteraf is het mooi wonen.
In Nederland zijn de pompen hardwarematig beveiligd tegen oververhitting.
HMMZ Springfield dat doet mij maar aan ťťn ding denken!

Dat iet wat dikke domme gele mannetje (Homer J.) zouden ze die van de Kerncentrale naar het waterpompstation overgeplaatst hebben ?

Normaal zou een dergelijke waterpomp niet stuk moeten gaan van vaak aan en afschakelen hoogstens zou hij in de thermische beveiliging moeten schieten of een alarm op de softstarter en frequentieregelaar moeten opleveren!
There was damage – the SCADA system was powered on and off, burning out a water pump.

Het stukje van Joe Weiss laat niet veel meer los dan dat het SCADA systeem uit en aan is gezet. Kan zijn dat de pomp actieve regeling via software nodig had, maar het kan ook zo simpel zijn dat de pomp aan stond toen het SCADA/de PLC uitging en dat de pomp is blijven pompen terwijl er geen water meer was om te pompen. Dan doet een thermische beveiliging volgens mij ook niet veel meer.

Een shutdown commando voor een willekeurig SCADA is makkelijk te vinden in de gewone documentatie bij zo'n het systeem; dat is veelal openlijk beschikbaar op de website van de leverancier.
Voor het prepareren van een bepaalde conditie in een SCADA systeem zodat dingen kapot gaan is iets meer kennis nodig; dan ga je denken aan mensen die zich hier beroepshalve of anderszins in hebben verdiept.

Motief van deze actie is wel 'belangrijk'; hebben we hier straks te maken met een nieuw soort van afpersen of is dit weer (Maroochy, 2000 http://csrc.nist.gov/grou...s-Case-Study_briefing.pdf) een gevalletje ontevreden ex-werknemer?

[Reactie gewijzigd door biomass op 18 november 2011 12:18]

Ex medewerkers / System integrators zijn sowieso de grootste dreiging bij dit soort systemen. Iemand vertrekt met passwords en methoden van inloggen in zijn kop. Het enige wat rest, is een VPN dongle om remote bij de systemen te komen (als dit al nodig is!).

Dit is echter niet alleen in de Industriele automatisering van toepassing, maar ook bij kantooromgevingen: Vaste wachtwoorden voor admin accounts (die vervolgens bij vertrek van een persoon die dat wachtwoord weet niet veranderd wordt).

[Reactie gewijzigd door Epsilon op 18 november 2011 12:54]

Wat mij echt verbaast is dat dit soort systemen uberhaubt aan internet gekoppelt is. Waarom houden ze dit soort infrastructuur niet gewoon gescheiden? Er is geen enkele reden waarom een plc in een waterzuivering vanuit elke uithoek van de wereld bereikbaar moet zijn.
Er zal best een overkoepelend netwerk zijn die de installaties in de gaten houdt en aanstuurt. Dan krijg je vanzelf een netwerkkoppeling. Denk bijvoorbeeld aan de uitrol van updates van de software van de verschillende machines.

En ook daar zitten kantoormedewerkers met een internetverbinding. Dus de mogelijkheid is er altijd wel.
Het zal best dat al deze installaties aan elkaar gekoppeld zijn via een netwerk, lijkt me niet meer dan logisch. Maar waarom moet dit netwerk dan aan het internet gekoppeld zijn? Zoals scsirob zegt, er is geen reden om de waterinstallatie te bedienen vanuit elke uithoek van de wereld.

Hoop wel dat dit niet het begin is van een nieuw soort "hack periode" van dit soort installaties, net als dat de laatste tijd vaak overheidswebsites in het nieuws kwamen.
Het koppelen over het internet is het probleem niet, maar dat ze connecties van waar dan ook accepteren wel

Als het private VPN's waren gelockt op IP zou het een stuk moeilijker te hacken zijn (moet je eerst de onderhoud-locaties overnemen)
Updates van zulke cruciale systemen zou on site moeten gebeuren, niet over internet. Wat wel eventueel mogelijk zou zijn is read only access geven zodat ze de status van de verschillende systemen kunnen inlezen en in het oog houden. Zelfs dan moet het systeem niet rechtstreeks op het internet hangen.
En ook daar zitten kantoormedewerkers met een internetverbinding. Dus de mogelijkheid is er altijd wel.
Dit is natuurlijk geen argument. Die internet-pc's kunnen natuurlijk gewoon van de controle-pc's gescheiden worden. Maar inderdaad, netwerken zijn toch vaak nodig, bij elk apparaat een mannetje zetten om het handmatig te bedienen loopt flink in de kosten.

Tevens zou het jammer zijn als het in bepaalde kringen gebruikelijk is om hacks altijd in de doofpot te stoppen. Dit is op de lange termijn eigenlijk altijd onhandig want zo leert niemand er iets van, behalve de hackers.
Proces (PA) en kantoor (KA) netwerken zijn per definitie gescheiden voor drinkwaterbedrijven.
Omdat dit soort installaties meestal onbemand zijn, en in een controlecentrum of thuis in de gaten gehouden worden.
Op de open dag van een waterzuivering bij mij in de buurt werd verteld dat het personeel gewoon een laptop mee naar huis krijgt om de boel in de gaten te kunnen houden.

Het is dan onmogelijk om hier een eigen infrastructuur voor aan te leggen.
Het is dan onmogelijk om hier een eigen infrastructuur voor aan te leggen.
Dat kan wel, maar een dedicated huurlijn is vaak te duur, zeker als je medewerkers vanaf verschillende locaties willen connecten. Je kunt dan wel denken aan een klassieke inbelmodem (is al niet meer IP-gekoppeld aan het internet, aangezien je inbelt op een los netwerk), VPN met een whitelist van source IP-adressen of alleen toegang krijgen via een speciaal token (zoals die van RSA), of (nog beter) een combinatie van bovenstaande. Maar blijkbaar wordt het gemak verkozen boven de veiligheid van dergelijke installaties.
De nagel op z'n kop, men KIEST voor het gemak.

Er gaan blijkbaar een aantal mensen van uit dat hier onzorgvuldig is omgesprongen met het aansluiten van zo een productie pc/controle pc op de rest van het netwerk. Ik weet niet of die info beschikbaar is, maar het zou me wel verbazen dat dit niet het geval zou geweest zijn. Het probleem is dat vaak door veel mensen op hoog niveau heel erg goed over die fysieke afscheiding nagedacht wordt, tot er dan een of andere systeembeheerder (no offense guys) denkt het beter te weten en toch z'n eigen ding te doen... tja...

[Reactie gewijzigd door Krokant op 18 november 2011 12:32]

Het "personeel" zijn een zeer beperkt aantal personen die vanuit thuis, buiten kantoor uren, de installaties kunnen benaderen. Niet iedereen kan dat en ook niet op elk moment. Ook hier worden (nu nog) dedicated lijnen voor gebruikt.
Voor optimale flow-control is dat wel het geval. Zo kun je eenvoudig vanaf een centrale locatie meerder pompen bedienen zodat er altijd een constante voorraad is en kun je pieken en dalen makkelijk opvangen. Om hiervoor een intranet aan te leggen is vaak niet makkelijk tot niet te doen en wordt er voor gekozen om het via het internet te doen.

Ik ben het wel met je eens dat dit soort dingen beter niet via internet kunnen gaan. Ik zou er liever voor kiezen om een duur afgesloten netwerk op te zetten. De kosten van deze pomp zullen waarschijnlijk al een substantieel deel van deze kosten zijn.
behalve dat een intranet natuurlijk ergens wel aan het internet geknoopt word, anders moet je overal dubbele fysieke werkplekken gaan aanleggen. dan lopen de kosten wel heel hard de pan uit. kun je beter het beveiligings budget ophogen. Of redundantie inbouwen.
Dit soort overkoepelende besturing gaat via dedicated lijnen. Overigens wordt er al jaren niet meer naar constante opslag maar naar constante productie gestreefd.
De inloggegevens waren bij de softwareleverancier bekend, waarschijnlijk om op afstand problemen snel op te kunnen lossen. Dan zit je al gauw met een internetverbinding. Om daar nou een aparte lijn voor aan te leggen vind ik wat overdreven.
Het is ook helemaal niet het doel om die systemen via internet te bedienen, maar PC's in het bedrijfslan zijn gekoppeld aan de controlsystemen, immers, een medewerker wil vanaf zijn werkplek de boel kunnen bedienen.

Diezelfde PC is echter vaak ook weer verbonden met het internet; al dan niet via proxies in een DMZ of andere bedrijfssystemen die een externe koppeling hebben.

Via-via kan je als aanvaller jezelf dus uiteindelijk toegang verschaffen tot de control systemen als je op elk van de tussenliggende systemen weet in te breken. Het is (doorgaans) niet dat er een webinterface van het control systeem direct via internet te benaderen is en iemand daarvan het wachtwoord heeft achterhaald.

[Reactie gewijzigd door Orion84 op 18 november 2011 09:46]

Bediening gaat vanaf specifieke bedien systemen die niet op het kantoor netwerk gekoppeld zijn.
Om voor de infrastructuur gebruik te maken van het internet vind ik niet eens zo'n vreemde keuze. Wat ik nog veel erger vindt is dat er kennelijk gebruik wordt gemaakt van een simpele username/password login combinatie. Er zijn legio methoden om zoiets beter te beschermen dan alleen met een username/password.

Denk aan bijvoorbeeld SecureID cards en authorized keys.
Het is echt niet zo eenvoudig als dat jij stelt. Er hangt geen Ziggo-router aan zo'n installatie, die afgeschermd wordt door een NAT-achtige firewall. Een VOLLEDIG fysiek eigen netwerk kost miljoenen. Dus maak je gebruik van bestaande infrastructuur. Bijvoorbeeld van semi-privťlijnen (bv KPN Epacity), of via het gewone internet en een VPN.

Omdat er 'ergens' remote beheer moet worden uitgevoerd, zullen ook die systemen hier weer aan gekoppeld moeten worden. En ga je die dan in een aparte bunker zetten, en scheiden van een bedrijfsnetwerk? Nee, de kans is groter dat zo'n beheers-pc opgenomen is in de reguliere kantoorautomatisering, en middels bijvoorbeeld een VPN of andere aparte lijn inbelt naar de procesautomatiseringskant.

Anderzijds moet zo'n PLC ook met andere PLC's kunnen communiceren, of met een centrale controlekamer. Ook hiervoor geldt: staat die controlekamer naast de windmolen / centrale, of op een centraal punt? Staat de centrale 500 KM verderop, ga je dan 500 KM aan eigen kabels de grond in graven? Ik denk dat menig bedrijf dan snel failliet is. Dus wanneer spreek je dan van "aangesloten op internet"?
Een installatie kan dermate kritisch zijn, dat in geval van problemen een snelle oplossing is vereist. Daarnaast kan een installatie ook dermate specialistisch zijn, dat een programmeur of installateur van die installatie best eens uit een ander deel van het land of een ander deel van de wereld kan komen.

Ook is het zo als het een installatie is, zoals bijvoorbeeld bij installaties omtrent vaarwegen en wegverkeer, dat de schade door het niet werken van een dergelijke installatie voor de economie enorm slecht is. Daarnaast je zal maar eens voor een geopende brug staan en je moet 3 uur wachten voordat de specialist er is, terwijl deze zelfde specialist het probleem binnen 5 minuten kan oplossen door op afstand het probleem te verhelpen. Bij mij is de keuze dan redelijk snel gemaakt. ;)

Natuurlijk dienen dergelijke systemen gezien hun functie, wel te zijn voorzien van een afdoende beveiliging, zodanig dat het onverlaten enorm lastig en het liefst onmogelijk wordt gemaakt om hier kwaad te kunnen doen.
Dat is een ding. Maar wat mij nog veel meer verbaasd is dat je blijkbaar vanuit SCADA de pomp stuk kan maken (een pomp die gok ik ergens tussen de 10k en 300k zal kosten); niet alleen door hackers maar ook door slechte programmeurs. Als ik hardware zou ontwikkelen zoals een pomp, dan zou ik daar op z'n minst een thermische beveiliging op zetten of nog beter: uitsluiten dat iemand hem de hele tijd aan het uit kan zetten of andersinds te hard kan forceren. Dit is behalve een software faal echt een harde hardware faal.
Dat is vanwege een chronisch gebrek aan technorealisme.
Het lijkt me toch niet goed dat soort voorvallen doorgaans in de doofpot verdwijnen :s
Het kan ook een proof of concept zijn om aan te tonen dat het mogelijk is. Heel veel mensen veronderstellen dat dergelijke installaties goed beveiligd zijn terwijl ze in een normaal netwerk draaien waarbij al te vaak van alles op afstand word gemonitord en bestuurd. In principe is het dan ook te kraken.

De volgende stap is ongetwijfeld de medische wereld.
Een ieder die soms in een ziekenhuis komt, ziet maar al te vaak een screensaver van windows rondwapperen,
het moet maar net een hartpomp zijn die gaat versnellen, of robotarm die je maag gaat klutsen.

Het moet mogelijk zijn, al is het ongewenst.
Dit is natuurlijk een zeer ernstige zaak. Gelukkig dat er in dit geval 1 of meerdere hackers het gemunt hebben op 1 installatie. Schijnbaar kan het, dus wat was er gebeurd als het een aanval van Iran / China was geweest op ALLE installaties? Dan heb je toch wel een ernstig probleem.
Net als hierboven begrijp ik niet waarom dit vanaf het internet bestuurd kan worden, maar ik mag toch hopen dat het backup systeem niet vanaf internet te benaderen is?
Als dit door een 'disgruntled employee' is gedaan, is de hack bij de leverancier niet meer dan een dwaalspoor om de aandacht af te leiden. In het andere geval mogen we inderdaad hopen dat alle andere klanten van die leverancier gewaarschuwd zijn; en dat er zo nodig maatregelen worden getroffen om deze types buiten de deur te houden.
Criminelen? Waar haalt men die wijsheid vandaan? Zonder bewijs zou je verwachten dat hier de term "vandalen" zou worden gebruikt.

Let op jongens: dit is een glooiend pad. Voor je het weet is de term "criminelen" in gebruik om scriptkiddies aan te duiden.
Als je moedwillig inbreekt en probeert dingen stuk te maken mag je van mij onder het groepje criminelen worden geplaatst.
Er is nergens gesteld dat het "moedwillig" gebeurd is. Knulletje van 15 met teveel vrije tijd en een te krachtig programma voor z'n simpele scriptkiddiebreintje bereikt hetzelfde zonder dat 'ie weet wat 'ie aan het doen is.

Als er bewijs is dat het moedwillg is kun je wat mij betreft de "criminelen"-noemer gebruiken, maar dat bewijs staat niet in het artikel.

Vooralsnog dus: onvoorzichtig tuig.
Hij wist dan niet technisch wat hij aan het doen was, maar hij wist dan echt wel dat hij probeerde in te breken in een systeem.
Je kunt mij niet wijsmaken dat je per ongeluk (want niet moedwillig) inbreekt in een pomp van een waterinstallatie. Als een scripkiddiebreintje dit voor elkaar krijgt, dan weet hij donders goed wat hij aan het doen is.
Crimineel is gewoon een algemene term, dus zo heel schokkend is het niet dat deze 'vandalen' onder de groep 'criminelen' worden gegooid.
Wat zou trouwens het doel zijn achter deze actie?
Aangezien het strafbaar is om op dit soort systemen in te breken zonder toestemming kun je dus rustig van criminelen spreken.. Ik weet niet hoe jij zo iemand anders noemt, maar dit soort lui moeten opgespoord worden en voor de rest van hun leven in de gevangenis gestopt worden..
Van mij mogen vandalen standaard onder de noemer criminelen weggezet worden... :/
Het gebruik van het woord "criminelen" zoals in dit artikel insinueert dat criminelen aan het hacken zijn geslagen met als doel die pomp te beschadigen. Als dat zo is, dan kan ik maar een reden bedenken: voorbereidingen om iets dergelijks vaker te doen, op een willekeurige plek waar dergelijke PLC's worden gebruikt, om er crimineel brood van te bakken.

Als volgt:
1 - Hack een waterinstallatie
2 - Sloop een pomp
3 - ?
4 - Profit!

i don't think so.
Dat je vandalen crimineel noemt vind ik prima, maar een inbreker noem je een inbreker, en een tasjesrover een tasjesrove

(edit: ie, niet ei, ei...)

[Reactie gewijzigd door beezzthing op 18 november 2011 10:32]

Als volgt:
1 - Hack een waterinstallatie
2 - Sloop een pomp
3 - ?
4 - Profit!
Wat dacht je van deze:
Als volgt:
1 - Hack een waterinstallatie
2 - Sloop een pomp
3 - Sloop er nog een paar (als "oefening")
4 - Bel "de overheid" en laat ze de volgende stap kiezen
5a - Bel CNN, claim de "aanslagen" en veroorzaak massale paniek (paniek is zeer gevaarlijk: War of the Worlds
5b - Ontvang een sloot geld
6b - Profit!

Alternatief:
1 - Hack een waterinstallatie
2 - Sloop een pomp
3 - Hack iets veel belangrijkers
4 - Sloop iets veel belangrijkers
5 - Profit Revenge!
(Als de daders voor Iran werken.)

In beide gevallen lijkt "crimineel" mij het juiste woord. Aangezien de dader vooraf niet kon vermoeden dat dit openbaar gemaakt zou worden lijkt het mij onwaarschijnlijk dat dit iemand is die een kick krijgt van de aandacht.

Hoe je er verder ook tegenaan kijkt, het "ergste" wat ze gedaan hebben is iets slopen (dus zijn het sowieso vandalen); de hack (inbraak) zelf mag natuurlijk ook niet, maar lijkt me een minder ernstig vergrijp (al zou je het een jurist moeten vragen om het zeker te weten). Ook langs die kant zijn het criminelen, dus ik snap je punt niet...?
Het punt is volgens mij dat de "criminelen" in de titel impliceert dat de hack tot doel had de pomp te vernietigen. Hoewel dat natuurlijk heel goed mogelijk is, is dit niet noodzakelijk het geval en voor zover ik kan lezen ook niet bewezen.

Het kan evengoed zijn dat iemand binnengeraakt is in het systeem en dacht: "He tof, ik kan die pomp af-en aanzetten. En nog eens, en nog eens... oops..."

En voor hetzelfde geld heeft iemand een script niet goed getest in een acceptatieomgeving en probeert nu de schuld in de schoenen van een hacker te schuiven.
Als volgt:
1 - Hack een waterinstallatie
2 - Sloop een pomp
3 - Chanteer bedrijf door te dreigen met nog meer sabotage
4 - Profit!

Wie weet wat er nog allemaal verzwegen word ...
misschien is het zelfs wel min of meer 'goedaardig'.

dwz. een oplettend technisch figuur die gemerkt heeft dat de beveiliging fundamenteel niet ok is en die de hack gedaan heeft om zijn eigen mensen wakker te schudden.

iets met kalf en put. Blijkbaar bleef deze actie zonder verregaande gevolgen - en soms moet je gewoon iets kapot maken om de hele zaak gefixed te krijgen....
Het zou niet de eerste keer zijn dat een leidinggevende pas actie wil ondernemen als er al iets gebeurd is. Nou dan moet er maar iets gebeuren toch? :+
Kan ook stiekem gaan om het bedrijf zelf.
Er staat nergens of die pomp ook kosteloos is gerepareerd. Hopelijk wel (fout leverancier). Moest er voor betaald worden, dan zie ik wel meerdere "hacks" komen. Zeggen dat je gehackt bent, dan via een derde de installaties stuk maken en dik cashen voor de reparatie.
"Elk nadeel heb zijn voordeel"

Laten we hopen dat de beveiliging van dit soort infrastructuur nu eens een hogere prioriteit krijgt.
Beveiliging? Soms is het gewoon beter om bij zo'n installatie regelmatig een mannetje te laten langslopen in plaats van een netwerkaansluiting te geven.

Alles, ja werkelijk alles, krijgt tegenwoordig een netwerkaansluiting. Zelfs in Nederland hebben ondergrondse drukrioleringsstationnetjes een aansluiting op het telefoonnetwerk. Voorheen werden deze stations uitgerust met een telefoonmodem, tegenwoordig hebben ze de mogelijkheid om ook die op internet te koppelen via een vaste verbinding. Dit geldt trouwens ook voor windmolens die in Nederland staan. Als je wilt, en de juiste telefoonnummers hebt, kun je ze bellen...
Maar het mannetje moet ook beveiligd en gecontroleerd worden. Die kan ook de pomp meerdere malen aan en uit zetten, bepaalde zaken aan het water toevoegen en andere ongewenste handelingen uitvoeren. Gewoon op afstand en goed beveiligd dunkt mij in deze zaak veiliger dan "een mannetje".
Maar het mannetje bij de pomp kan er 1 uitzetten, terwijl de mannetjes achter het internet nu globaal misschien wel 100den tegelijk stuk kunnen maken..
Dus moet er in de plc een teller zitten met timer die max x maal per uur de pomp aan en uit kan zetten.
Ja en nou hack je de zooi en pas je simpelweg de beveiligingsroutines in de software aan en vervolgens ga je de zooi ontregelen.
Dit lukt overigens alleen als de PLCs ook remote toegankelijk zijn.

Eigenlijk is dit zeer ernstig.
Stel dat in meerdere elektriciteit centrales wordt ingebroken en men koppeld de centrales tegelijk los van het elektriciteits net, dan zit een heel land in ťťn keer zonder stroom.
Schakel daarna direct alles weer in en het hele net is overbelast.

Misschien kan het nog erger door turbines op verkeerde toerentallen te gaan afregelen waardoor de net frequentie naar bijv. 70Hz. gaat. Doe dit geoŲrdineerd en je sloot ALLE op het lichtnet aangesloten apparatuur in een heel land in een paar seconden tijd!
PLC's zijn om te regelen en te besturen, maar een noodloop of uitschakeling ingeval van strijdigheden of dreigende schade dient in hardware geÔmplementeerd te zijn. Bepaalde scenario's zouden dus onmogelijk moeten zijn.

Het voorbeeld van een 70Hz netfrequentie is gelukkig zo goed als onmogelijk, juist door beperkingen en onlosmakelijke eigenschappen van de hardware, maar als het mogelijk was, sloopte je de boel er meestal niet eens acuut mee.

[Reactie gewijzigd door mae-t.net op 20 november 2011 23:54]

Dat helpt niets. Veel van die PLC's kunnen vanop afstand een nieuwe firmware krijgen.
Dus moet er in de plc een teller zitten met timer die max x maal per uur de pomp aan en uit kan zetten.
Je wordt wel offtopic gemod maar je hebt inderdaad wel gelijk...
Het probleem is dat eens je toegang hebt tot zo'n systeem, je het op tientallen manieren kan saboteren. En iemand die een methode zoekt om de installatie te saboteren, zal er ook altijd wel een vinden.

Sommige zaken die op zich niet abnormaal zijn, kunnen ook gebruikt worden om abnormale situaties te veroorzaken. Eťn enkele waterpomp in onderhoudsmodus zetten is vermoedelijk wel voorzien; alle waterpompen van een hele stad in onderhoudsmodus zetten is vermoedelijk toch niet helemaal de bedoeling (maar dan moeten verschillende PLCs van verschillende pompstations al met elkaar communiceren). Maar om dat te voorkomen moet je aan elke mogelijke sabotage-methode gedacht hebben.

Die dingen moeten beveiligd zijn tegen ongeoorloofde toegang. Alle andere beveiligingen zijn een pluspunt (en kunnen negatieve effecten van een eventuele inbraak vertragen), maar aan die eerste voorwaarde moet ook absoluut voldaan zijn.
het mannetje ken je en die weet dat ook, het mannetje op internet is een ghost.
Correctie: het mannetje denk je te kennen.
De kwaliteit van de screening is slechts bepalend voor de kwaliteitseis en voorbereidingstijd die aan de kwaadwillende wordt gesteld; Infiltratie door kwaadwillende partijen is ook met gebruik van 'mannetjes' niet uit te sluiten.
Op dit moment gaat er iets verkeerd in de argumentatie.

Ja, een mannetje kan een oplichter zijn of een spion of een wraakzuchtig iemand. Maar een niet traceerbare geest is wat anders. Het lijkt me dat een pompstation gecontroleerd dient te worden. Maar als je argumenteert dat mensen onbetrouwbaar (zouden) kunnen zijn, dan vergeet je dat we naast mensen niets anders hebben. Dat klinkt misschien 'doh', maar dat is waar je wel de mist in gaat. Het kan immers geen argument zijn om alles elektronisch te controleren of te netwerken. Zonder mensen was er geen pompstation.

De mens is de basis in alle waarneming, alle argumentatie. Op het moment dat je suggereert dat omdat een genetwerkte pomp al dan niet betrouwbaarder is dan een menselijke controleur, verlaat je de rationaliteit en ga je naar fantasieland.
Het is soms verrassend dat werkzaamheden die grote gevolgen kunnen hebben door mensen uitgevoerd wordt met de laagste veiligheidscreening.
tja, maar hoe goed ken je dat mannetje, sommige aanslagen worden jaren van te voren voorbereid, dus iemand kan goed al een jaar daar werken en zo dus vertrouwen hebben gewekt..
Tja ik snap je reactie. Maar het heeft geen zin om dit soort apparaten niet te koppelen. Als mensen kwaad willen kan dat altijd. Ik weet in mijn buurt al een aantal achteraf gelegen pompstations etc. Als iemand echt kwaad wilt, dan wandelt hij daar wel heen en kan dan ongestoord zijn werk doen. Zal wel een afweging kosten/baten zijn, en beveiligen om het beveiligen is ook niet de bedoeling. Keuzes moeten overal gemaakt worden. Enige wat ik mij kan voorstellen is om dit idd in een soort private vpn te houden waar geen externe internet toegang tot is.

Wat betreft het bellen vaak worden deze door een telefoontje van een bepaald nummer getriggerd, en bellen dan zelf een voorgeprogrammeerd nummer terug. Andere nummers worden niet beantwoord. Alhoewel ik mij nog afvraag of dit nog veel gebruikt wordt.
"Als mensen kwaad willen kan dat altijd. Ik weet in mijn buurt al een aantal achteraf gelegen pompstations etc. Als iemand echt kwaad wilt, dan wandelt hij daar wel heen en kan dan ongestoord zijn werk doen."

Hetzelfde vreemde argument. Je kunt niet de mens als basis loslaten. Kwaadwillendheid bestaat bij de gratie van het bestaan van mensen. Zonder mensen was er geen reden of doel een pompstation te saboteren. Er zou niet eens een pompstation zijn. Je argument kan dus niet kloppen om te verdedigen dat ert geen verschil is tussen mensen en alles maar koppelen aan netwerken. Netwerken en een dergelijke controle is iets dat is ontstaan in de 2e graad. De 1e graad was de mens als controleur. Daar kun je niet los van komen.
Wel rationeel blijven.
Mee eens, maar het probleem is generieker, het gaat namelijk om een gebrek aan verificatie. Dat ik zo'n windmolen kan bellen is nog niet zo'n probleem, dat wordt het pas als hij mijn commando's gaat uitvoeren. Niks houdt mij tegen om mijn commando's naar satellieten te uplinken, maar indien men een goede verificatiemethode heeft (ŗla banken-token) gebeurt er helemaal niks, behalve dan een onderbreking van de mogelijkheid om legitieme commando's te sturen (het uplink-kanaal is dan even 'in gesprek').
@comatoast: hier een aantal cheap oplossingen. En je kunt online zaken prima beveiligen, als je het maar goed doet.

[Reactie gewijzigd door Rick2910 op 18 november 2011 12:05]

beveiligingen zijn er (op internet iig) hoofdzakelijk voor om gekraakt dan wel omzeild te worden .. elke water/rioleringspomp en windmolen en wat niet meer beveiligen als een bankrekening kost ook gelukkig niet niets en zal zeker nooit doorberekend worden aan klanten.

De betrouwbaarheid gaat in theorie omhoog van dit soort zaken omdat er 24/7 direct inzicht is in de status van alles, maar tegelijkertijd gaat de betrouwbaarheid onevenredig snel naar beneden omdat ook alles met een stekker tegenwoordig te hacken is.
Eens. Efficientie is vandaag de dag belangrijker dan beveiliging. Als eenmaal iets is geautomatiseerd wordt er nog weinig controle op uitgevoerd/gemonitort, behalve als het dus goed mis gaat, bijvoorbeeld in deze zaak.

Nu gaat het nog om een 'onschuldig' waterpompje. Tegenwoordig gaan hackers ook andere doelwitten kiezen , met grotere gevolgen, zoals de Stuxnet-aanval of de gezondheidszorg om bv. voorgeschreven medicijnen aan te passen.
Ik denk dat dat wel meevalt. Het is alleen zo dat nu binnen de industriŽle automatisering de beveiliging idd geen prioriteit krijgt. Daar moet verandering in komen. Vergeet niet dat de industrie graag met proven technologies werkt, aangezien de systemen een veel langere levensduur hebben dan kantoorautomatisering. Daar komt nog bij dat 'Real time' in de industrie ook echt 'real time' is, waarbij een vertraging van 50ms je proces al in de soep kan laten lopen.
Hierdoor loopt de industrie gauw 10 jaar achter op de kantoorautomatisering, ook op het gebied van beveiliging.

Er wordt bijvoorbeeld nog vaak 'Security through obscurity' toegepast, wachtwoorden veranderen 'krijg je alleen maar moeilijkheden van', alles draait met maximale rechten en binnen een hoop industriŽle netwerken is totaal geen beveiliging meer aanwezig zodra je eenmaal binnen bent.
vroeguh, werden er ook dode kippen in een waterput gegooid om zo de boel te sabboteren.

Wat ik wil zeggen, er is niets nieuws onder de zon. Wel of geen internet, wel of geen mannetjes, wel of geen beveiliging:

er zijn altijd mensen die om wat voor redenen de boel willen saboteren.

En reken maar dat het nu net zoveel gebeurd als vroeger. Alleen hoor je er minder over.
(zo weinig zelfs dat we nu in NL verbaasd zijn over een hack in een waterinstallatie aan de andere kant van de wereld....)
Als we ooit nog eens aangevallen worden in Nederland dan laten ze hier gewoon de boel onder lopen door onze gemalen te 'hacken'.

Is wat makkelijker dan een paar dijken door prikken.
Volgens mij is Homer lekker bezig geweest :P
Voor drinkwater heeft het al een hoge prioriteit in de vorm van BeNeWater (beveiliging Nederlandse Waterbedrijven) een gemeenschappelijk project van de drinkwaterbedrijven. Dit pakt de beveiliging in de volle breedte aan. Van terrein tot systeem beveiliging.
Ik denk niet dat het aantal hacks toeneemt maar eerder de berichtgeving eer over. Maakt dit natuurlijk niet minder een kwalijke zaak. Een hack is leuk en aardig, maar het vernielen van apparatuur is natuurlijk iets anders.
Om dit soort dingen te voorkomen zou je toch globaal denken, iedereen een dikke firewall geven en dan hopen dat niemand dit kan hacken is toch geen plan van aanpak..

Klinkt misschien gek maar internet moet gewoon veranderen..
Ik denk dat deze aanval niet zo zeer als doel had om de pompinstallatie daadwerkelijk stuk te maken.

Je kan me niet wijs maken dat "hackers" die hun hele leven al niets anders doen dan op basis van code zich er volledig bewust van zijn dat wanneer ze een pomp achter elkaar aan en uit zetten dat hij dan stuk gaat. Nee, in dit geval denk ik eerder dat het doel was om wat verwarring te zaaien en "just because we can".

De kerncentrale daar in tegen vond ik schokkender omdat dit daadwerkelijk gevaar met zich mee brengt en daar zouden die "hackers" zich toch wel bewust van moeten zijn geweest (misschien was het wel een bepaalde overheid die daar achter zat).

Ik ben van mening dat, ondanks de kosten, locaties zoals kerncentrales een closed cirquit systeem moeten hebben om dit volledig uit te sluiten.

En tja ik denk dat ik de verdachte al weet :) http://youtu.be/Oz3-NethUNY

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True