FBI: geen bewijs dat waterpomp door hackers is vernield

Er is geen bewijs dat een Amerikaanse waterinstallatie door hackers is vernield. Dat beweert de FBI naar aanleiding van het nieuws dat criminelen een waterpomp onklaar zouden hebben gemaakt door hem herhaaldelijk aan en uit te zetten.

Het is niet bewezen dat de pomp van de waterinstallatie daadwerkelijk door hackers is vernield, concludeert de FBI uit eigen onderzoek. Bovendien zouden er geen gebruikersnamen en wachtwoorden zijn buitgemaakt. Ook staat niet vast dat de leverancier van de scada-software, waarin de hack aanvankelijk zou hebben plaatsgevonden, eveneens door hackers is getroffen, staat in een e-mail waar The Register de hand op wist te leggen.

De vermeende hack werd in de afgelopen week in een blogpost wereldkundig gemaakt door beveiligingsexpert Joe Weiss. Hackers zouden de pomp in het Amerikaanse Springfield hebben vernield door hem herhaaldelijk aan en uit te zetten, waardoor hij oververhit raakte. Het was voor het eerst dat een dergelijke hack openbaar werd gemaakt. Dat ligt gevoelig, omdat de samenleving afhankelijk is van dergelijke installaties voor de toevoer van water, stroom en gas.

Het ip-adres van de criminelen werd naar verluidt getraceerd in Rusland. De FBI heeft echter geen verkeer naar Rusland of andere buitenlandse landen waargenomen. Ook zijn er volgens de FBI nog geen verdachte activiteiten aan het licht gekomen. De opsporingsdienst onderzoekt nog wel de screenshots van een waterpompinstallatie in Texas die vrijdag online verschenen. De FBI sluit de betrokkenheid van hackers dan ook nog niet helemaal uit.

Door Yoeri Nijs

Nieuwsposter

Feedback • 23-11-2011 09:37 47

23-11-2011 • 09:37

47

Lees meer

30 jan 2012

Scada-beveiliging: een structureel probleem

97
Softwarefouten maken bediening sluizen Afsluitdijk onbetrouwbaar
Softwarefouten maken bediening sluizen Afsluitdijk onbetrouwbaar Nieuws van 31 januari 2019
Nieuwe FBI-divisie gaat onlinecommunicatie afluisteren
Nieuwe FBI-divisie gaat onlinecommunicatie afluisteren Nieuws van 24 mei 2012
VS waarschuwt voor cyberaanvallen op gastransportnetwerken
VS waarschuwt voor cyberaanvallen op gastransportnetwerken Nieuws van 6 mei 2012
FBI: hackers zijn aan de winnende hand
FBI: hackers zijn aan de winnende hand Nieuws van 28 maart 2012
Minister Schultz: scada-systemen Rijksoverheid zijn veilig
Minister Schultz: scada-systemen Rijksoverheid zijn veilig Nieuws van 12 maart 2012
FBI schakelt duizenden gps-trackers uit na uitspraak Hooggerechtshof
FBI schakelt duizenden gps-trackers uit na uitspraak Hooggerechtshof Nieuws van 26 februari 2012
'Nederlandse scada-systemen zijn kwetsbaar voor aanvallen'
'Nederlandse scada-systemen zijn kwetsbaar voor aanvallen' Nieuws van 14 februari 2012
D66 stelt Kamervragen over risico's scada-systemen
D66 stelt Kamervragen over risico's scada-systemen Nieuws van 31 januari 2012
Hackers beïnvloedden Amerikaanse treindienst
Hackers beïnvloedden Amerikaanse treindienst Nieuws van 24 januari 2012
'Hackers kraakten internetprovider iBAHN'
'Hackers kraakten internetprovider iBAHN' Nieuws van 15 december 2011
'Criminelen hacken waterinstallatie en vernielen waterpomp'
'Criminelen hacken waterinstallatie en vernielen waterpomp' Nieuws van 18 november 2011
Vpn-dienst geeft gegevens LulzSec-hacker door aan FBI
Vpn-dienst geeft gegevens LulzSec-hacker door aan FBI Nieuws van 24 september 2011
FBI arresteert mogelijke LulzSec-hacker van SonyPictures.com
FBI arresteert mogelijke LulzSec-hacker van SonyPictures.com Nieuws van 23 september 2011
Britse politie pakt vermoedelijke Anonymous-leden op
Britse politie pakt vermoedelijke Anonymous-leden op Nieuws van 2 september 2011
AntiSec publiceert correspondentie FBI en beveiligingsbedrijf
AntiSec publiceert correspondentie FBI en beveiligingsbedrijf Nieuws van 30 juli 2011
FBI neemt webservers in beslag
FBI neemt webservers in beslag Nieuws van 22 juni 2011
Meer producten en artikelen
Privacy Beveiliging Hackers Rusland Verenigde staten

Reacties (47)

-Moderatie-faq
47
46
26
5
0
9
Wijzig sortering
Romke 23 november 2011 09:53
Het is op het moment zo dat binnen de industriële automatisering de beveiliging idd geen prioriteit krijgt. Daar moet verandering in komen. Vergeet niet dat de industrie graag met proven technologies werkt, aangezien de systemen een veel langere levensduur hebben dan kantoorautomatisering. Software moet gauw 20 jaar mee, als het geen 30 is. Binnen industriële systemen kom je dus nog vaak hele oude software tegen. Windows NT 4.0 draait in een hoop installaties nog, evenals Windows 2000 en op sommige plekken draait zelfs nog DOS. Die software kun je niet zomaar vervangen, het stilleggen van bepaalde installaties kost soms zo idioot veel geld, daar kunnen alle reageerders onder dit bericht een prima huis van kopen. Dus er is een prima kans dat er software van 15 jaar oud draait. Patchen brengt ook alleen maar risico's met zich mee, soms moet de installatie daar stil voor komen te liggen of komt door een ietwat verkeerde patch de installatie langere tijd stil te liggen.
CyBeR @Romke23 november 2011 10:09
Last I checked was DOS niet zo into netwerken dus zo lang dat soort shit standalone draait zie ik ook niet echt een probleem :P

Onderhoudbaar is wellicht wat anders maar dat is hun eigen keuze uiteindelijk.
Anoniem: 58485 @CyBeR23 november 2011 10:23
TCP/IP in DOS kan prima hoor. Het is beter een Windows enviroment te gebruiken maar het is wel mogelijk. Veelal logistiek bedrijven gebruiken nog software met terminals waarbij MS-Dos op een rom kijken komt.
blorf @Anoniem: 5848523 november 2011 16:46
Een aantal jaar geleden heb ik het een keer geprobeerd. MS-DOS 6.22 met Arachne webbrowser en Waterloo tcp (zonder ip). Ook was er nog de eznos webserver.
Het werkt een beetje, maar prima is een groot woord. Het valt allemaal zwaar tegen. Zoiezo moet je niet gaan proberen een relatief grote jpeg te gaan laden. Voor je het weet zit je harde schijf vol met caching data. Met een FAT16 schijf is dat tenminste geen aanrader.
mvdejong @CyBeR23 november 2011 15:30
Tot voor kort zat in de keten van systemen die veel van die matrix-borden boven de snelwegen aangestuurd ook een Pentium-1 PC met MS-DOS 6.2; de netwerk-functionaliteit werd verzorgd door de IP-stack van Novell. Oneindig stabiel. Helaas vervangen omdat de benodigde hardware niet meer verkrijgbaar is. Er zijn trouwense meerdere netwerk-stacks voor DOS beschikbaar.
CyBeR @mvdejong23 november 2011 23:41
Er zijn trouwense meerdere netwerk-stacks voor DOS beschikbaar.
Natuurlijk. Maar allemaal add-ons.

DOS out-of-the-box kan 't niet.
Mellow Jack @Romke23 november 2011 10:09
Maar toch moet het mogelijk zijn om de beheer PC niet direct aan het internet te hangen, hem alsnog vanaf afstand te kunnen besturen en niet de hele installatie offline hoeven te gooien.

Gewoon 1 schijf ertussen waarbij alleen die "tussen pc" opdrachten kan geven aan de waterpomp (bij erg kritische systemen nog een 2e tussen pc voor autorisatie).... Dat is eigenlijk hetzelfde als bij bank zaken van een bedrijf, daar kan nooit 1 persoon een betaling afhandelen zonder dat een 2e persoon dit goedkeurt.

Of gewoon mechanisch beveiligen zodat dit soort amateuristische praktijken niet meer voorkomen :P Dat zijn zaken wat ik op de middelbare school heb gekregen :S

[Reactie gewijzigd door Mellow Jack op 24 juli 2024 04:00]

GrooV @Mellow Jack23 november 2011 11:35
Een pc hoeft niet direct aan het internet te hangen om gehackt te kunnen worden. Dit kan natuurlijk ook gewoon indirect via andere pc's
FunFair @Romke23 november 2011 10:42
Gelukkig komt er verandering in beveiliging. Dankzij Stuxnet zijn de mensen van PLC land (en nog belangrijker de managers die er bovenstaan) bewuster geworden van een mogelijk digitaal gevaar.

De combinatie, PLC-programmeur en Manager heeft nooit goed gewerkt. Van nature zijn industriële automatiseerders mensen die erg van de bits en bytes zijn. Een goed marketing verhaal bij het management neerleggen over beveiliging om hier budget voor te krijgen, kwam er daardoor nooit door.

Nu zijn er managers die dankzij ontwikkelingen van Stuxnet wel het gevaar inzien en dit vertalen naar daadwerkelijke plannen (i.p.v. losse kreten die niet verder komen dan de secetaresse), zodat er budget vrij komt om eindelijk dit soort zaken op te pakken.

Een leuke uitstpraak van onze ICT beveiligingsexpert over het kantoor en industriële netwerk binnen het bedrijf waar ik werk.
We beveiligen het industriële netwerk niet van het kantoor netwerk, maar het kantoornetwerk van het industriële netwerk, gezien daar de gaten zitten

[Reactie gewijzigd door FunFair op 24 juli 2024 04:00]

Anoniem: 44174 @Romke23 november 2011 18:05
ISA95 ISA99 de norm op dit gebied. Daarin staat precies waarom beschikbaarheid eerst komt, dan betrouwbaarheid en dan veiligheid.
Voor kantoor IT mensen niet te snappen, als ze zich niet eerst verdiepen in het waarom.

En inderdaad, in onze fabriek nog volop DOS en Windows NT machines te vinden en nog genoeg leveranciers van industriële pc's die pc's leveren waarop die systemen nog gewoon normaal draaien.
Vastloper 23 november 2011 09:41
De fabrikant van die scada software dacht er zeker mooi vanaf te komen zo met al die hacks de laatste tijd. Waarschijnlijk gewoon prutsoftware afgeleverd.
daft_dutch @Vastloper23 november 2011 10:44
Waarschijnlijk gewoon prutsoftware afgeleverd.
Ditto dat. De gevaren van kortsluitstroom was wel een van de eerste lessen die ik kreeg in elektro motoren. Aansturing en regeling zijn twee verschillende dingen die gescheiden moeten worden. In software heeft de aansturing een driver. Dat is een stukje gesloten software wat de regeling vertaalt in bruikbare commando's ook basis kennis. Die driver had moeten zeggen eerst ff chillen voordat de motor weer aangaat en had niet omsloten kunnen worden. Prutwerk bij design.

voor de niet elektrotechnische tweakers: de kortsluit stroom is de stroom die loopt als de motor onder spanning staat maar nog niet draait. (dus de eerste piek tijdens het starten) Dit is de grootste stroom die loopt doordat de motor pas magnetische weerstand op bouwt als er een magnetisch veld is door rond te draaien.
En door het draaien van de motor gaat de weerstand omhoog neemt de stroom af en daarbij koelt de motor zich zelf als deze draait. heel vaak snel aan en snel uit. Zeer veel hoge stroom stoten zonder enige kans op koeling. kort om wachten tot die stuk gaat.

[Reactie gewijzigd door daft_dutch op 24 juli 2024 04:00]

Zoidberg_AvG @daft_dutch23 november 2011 11:45
Meestal hangen pompen aan een frequentieregelaar, waardoor er van aanloop pieken geen sprake is. Vreemd dat ze de pompen in deze instalatie 'direct' aan het net hebben hangen.
Ramoncito @daft_dutch23 november 2011 13:10
'Zoek en gij zult vinden.'

Probeert iemand misschien weer ergens geld voor los te peuteren of zo? Een kortsluitingsprobleem aan hackers wijten om wellicht een menselijke fout te proberen te verdoezelen? Kortsluiting is in ieder geval een vrij logische manier om een pomp kapot te krijgen, kortsluiting kan ook makkelijk dat herhaaldelijk uit en aan probleem veroorzaken..
FunFair @Vastloper23 november 2011 10:31
Gezien de screenshots hierboven lijkt het alsof het SCADA pakket niet heel erg van deze tijd is. Hoewel industriële software altijd flink achterloopt heb ik al wel betere SCADA schermen gezien met software die al 10 jaar gebruikt wordt.

Zo te zien gaat het om een versie van Simatic. Enig idee welk versie nummer? Lijkt me dat je met STEP7 dit soort afbeeldingen niet meer presenteerd.
I'm not going to expose the details of the box. No damage was done to any of the machinery; I don't really like mindless vandalism. It's stupid and silly.
On the other hand, so is connecting interfaces to your SCADA machinery to the Internet. I wouldn't even call this a hack, either, just to say. This required almost no skill and could be reproduced by a two year old with a basic knowledge of Simatic.
Dat een SCADA machine aan het internet hangt is overigens niet vreemd. Dat de SCADA machine DIRECT aan het internet hangt is wel vreemd. Dit zou naar mijn mening altijd via een veilige login portal moeten verlopen welke het internet verbind met het netwerk van SCADA. Zo hebben we binnen mijn bedrijf eerst een remote omgeving om op in te loggen om vervolgens in te kunnen loggen op de SCADA omgeving. En dan moet je nog een wachtwoord invullen om werkelijk iets te kunnen met de SCADA applicatie.

Andere omgevingen die ik heb gezien, werkten met schermovername (VNC). Maar daar moest je eerst op een VPN van het bedrijf inloggen, voordat je contact kon krijgen met de SCADA machines.

[Reactie gewijzigd door FunFair op 24 juli 2024 04:00]

gassie123 @FunFair23 november 2011 10:43
"Zo te zien gaat het om een versie van Simatic."

Op pastebin stond dit:

"This required almost no skill and could be reproduced by a two year old with a basic knowledge of Simatic."
Anoniem: 44174 @FunFair23 november 2011 18:02
ISA95 en ISA99 etc. beschrijven precies hoe dit aan te pakken, vergeet die IS0 27000 nog wat norm en allerlei ander zooi uit de IT wereld. ISA is de norm in de industriële wereld.
Anoniem: 44174 @FunFair25 november 2011 20:53
Grappig, het hangen van een lvl2 netwerk aan het internet wordt in onze fabriek, per definitief als te onveilig bestempeld.
Geen verbinding is altijd nog het meest veilig.
skoozie 23 november 2011 10:11
Vooraf mijn alu-hoedjes denken: Iedere keer dat de FBI uitspraken doet denk ik als eerste: "Doofpot?"
Dat er geen verkeer naar rusland te zien is roept meer vragen op als antwoorden. van af waar is er geen verkeer gezien enkel de waterpompcentrale of het hele land? is er rond de tijd dat het kapot gegaan is wel verkeer geweest naar buiten (de centrale).

Bij controle in het vorige artikel blijkt dat iemand de 'blog' van Joe Weis verwijderd heeft. Ik weet niet of Joe Weiss dat zelf heeft gedaan omdat zijn beweringen niet klopte of dat het op aandringen van iemand was...
en uit: dit verhaal:
“Over a period of two to three months, minor glitches had been observed in remote access to the water district's SCADA system,” Weiss said during an interview, in which he read a verbatim portion of the document to The Register. He said that the attackers were able to burn out one of the utility's pumps by causing either the pump or the SCADA system that controlled it to turn on and off “repeatedly.”
wat zijn die glitches die de FBI niet gezien heeft?
Thulium @skoozie23 november 2011 13:05
Google cache is wederom je vriend :)
http://webcache.googleuse...&cd=1&hl=nl&ct=clnk&gl=nl

Voor degenen die niet willen klikken, ik citeer:

"
Water System Hack – The System Is Broken.Category: Dept. of Homeland SecurityDHSIcs Cert Dhs Us-certSCADA security
Submitted by nbartels on Thu, 11/17/2011 - 19:42.


Last week, a disclosure was made about a public water district SCADA system hack. There are a number of very important issues in this disclosure:

•The disclosure was made by a state organization, but has not been disclosed by the Water ISAC, the DHS Daily unclassified report, the ICS-CERT, etc. Consequently, none of the water utilities I have spoken to were aware of it.
•It is believed the SCADA software vendor was hacked and customer usernames and passwords stolen.
•The IP address of the attacker was traced back to Russia.
•It is unknown if other water system SCADA users have been attacked.
•Like Maroochy, minor glitches were observed in remote access to the SCADA system for 2-3 months before it was identified as a cyber attack.
•There was damage – the SCADA system was powered on and off, burning out a water pump.

There are a number of actions that should be taken because of this incident.

•Provide better coordination and disclosure by the government.
•Provide better information sharing with industry.
•Provide control system cybersecurity training and policies.
•Implement control system forensics.

Joe Weiss
"
Navi @skoozie23 november 2011 10:36
Ah joh, software zat gewoon vast in een infinite loop :)
Foamy 23 november 2011 09:46
Het is niet bewezen dat de pomp van de waterinstallatie daadwerkelijk door hackers is vernield, concludeert de FBI uit eigen onderzoek.
Mag ik uit die uitspraak opmaken dat:
• de pomp weldegelijk defect is geraakt
• ze niet ontkennen dat er kwade opzet is geweest, enkel dat ze dit niet hebben kunnen traceren?
Mellow Jack @Foamy23 november 2011 10:01
kwade opzet kan natuurlijk op verschillende manieren tot uiting komen. Ook in de VS hebben ze een financiële crises, misschien was het wel een kwade beheerder (ontslagen oid) die het fysiek op het apparaat heeft gedaan maar een "spoor" naar buiten achtergelaten om niet gepakt te worden.

[Reactie gewijzigd door Mellow Jack op 24 juli 2024 04:00]

MRTNbos 23 november 2011 09:47
Toch wel erg typisch dat op zo'n installatie geen thermische beveiliging zit. Je kan via software klieren wat je wil maar wat mechanische beveiligingen zijn toch altijd wel handig om te hebben.
FunFair @MRTNbos23 november 2011 10:33
Sommige pompen gaan wel 30 jaar mee. Hadden ze de thermische beveiliging toen ook al? Bovendien, als de thermische beveiliging inspringt is je pomp effectief ook uitgeschakeld.

[Reactie gewijzigd door FunFair op 24 juli 2024 04:00]

gassie123 @FunFair23 november 2011 10:44
Maar is hij niet kapot.
Daikiri 23 november 2011 09:50
"Het ip-adres van de criminelen werd naar verluidt getraceerd in Rusland. De FBI heeft echter geen verkeer naar Rusland of andere buitenlandse landen waargenomen.""


Dus ze willen eigenlijk zeggen dat er helemaal geen date verkeer was dus ook geen hack, en het gewoon gaat om een storing, of fout handelen van scada?!
Finraziel @Daikiri23 november 2011 09:53
Nee... Er is geen verkeer naar buiten de VS waargenomen... Er kan dus best verkeer naar adressen binnen de VS geweest zijn.
Storm90 23 november 2011 09:45
Hopelijk doet het bedrijf in de tussentijd wel iets aan hun beveiliging. Fijn dat de FBI op zoek is naar de daders, maar de kans dat nog iemand zo'n trucje wilt uithalen is naar mijn mening nu wel iets groter. ALS de schade überhaupt door hackers is veroorzaakt.
tha_crazy 23 november 2011 09:52
Ik zou toch eens kijken of een bepaald persoon er niks mee te maken heeft.
http://images.wikia.com/simpsons/images/8/82/Evil_Homer.jpg

En nu even serieus, ik vind dat ze eerst maar eens goed moeten onderzoeken of het ook echt waar is in plaats van gelijk met vingers naar bepaalde landen te wijzen.
Helaas zal dat niet gebeuren en zullen ze altijd direct met het vingerwjizen beginnen zodra er zoiets gebeurd.
sygys @tha_crazy23 november 2011 14:35
dat komt omdat burgers eisen meer info te willen, maar de overheid deze helaas gewoonweg niet heeft. het makkelijkste om iedereen zijn klep te laten houden is dan gewoon iemand aan wijzen.
Anoniem: 47000 23 november 2011 12:33
Het was voor het eerst dat een dergelijke hack openbaar werd gemaakt. Dat ligt gevoelig, omdat de samenleving afhankelijk is van dergelijke installaties voor de toevoer van water, stroom en gas.
En dus doet de FBI alsof er niets aan de hand is? Of zijn ze sowieso niet instaat om dit goed te kunnen onderzoeken, of zoals sommigen hier al zeggen, is de cover-up van de hackers gewoon te goed geweest?
kramerty88 @Anoniem: 14907523 november 2011 09:41
Welke Waterpomp ?

Lekkere inleiding!
Verwijzing naar nieuws van vorige week:

nieuws: 'Criminelen hacken waterinstallatie en vernielen waterpomp'
De FBI heeft echter geen verkeer naar Rusland of andere buitenlandse landen waargenomen.
Of ze hebben hun traffic dus goed herleid via proxy's?

Hier de pict's die in het artikel bedoeld worden:

http://i41.tinypic.com/ip0aa0.png
http://i42.tinypic.com/eun021.png
http://i42.tinypic.com/1znptuu.png
http://i41.tinypic.com/2m6o0au.png
http://i40.tinypic.com/k386ep.png

[Reactie gewijzigd door kramerty88 op 24 juli 2024 04:00]

Wolfos @kramerty8823 november 2011 09:55
Of de aanval kwam uit de US zelf, vind het een vreemde redenering dat het alleen uit het buitenland kon komen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq