Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties

Er is geen bewijs dat een Amerikaanse waterinstallatie door hackers is vernield. Dat beweert de FBI naar aanleiding van het nieuws dat criminelen een waterpomp onklaar zouden hebben gemaakt door hem herhaaldelijk aan en uit te zetten.

Het is niet bewezen dat de pomp van de waterinstallatie daadwerkelijk door hackers is vernield, concludeert de FBI uit eigen onderzoek. Bovendien zouden er geen gebruikersnamen en wachtwoorden zijn buitgemaakt. Ook staat niet vast dat de leverancier van de scada-software, waarin de hack aanvankelijk zou hebben plaatsgevonden, eveneens door hackers is getroffen, staat in een e-mail waar The Register de hand op wist te leggen.

De vermeende hack werd in de afgelopen week in een blogpost wereldkundig gemaakt door beveiligingsexpert Joe Weiss. Hackers zouden de pomp in het Amerikaanse Springfield hebben vernield door hem herhaaldelijk aan en uit te zetten, waardoor hij oververhit raakte. Het was voor het eerst dat een dergelijke hack openbaar werd gemaakt. Dat ligt gevoelig, omdat de samenleving afhankelijk is van dergelijke installaties voor de toevoer van water, stroom en gas.

Het ip-adres van de criminelen werd naar verluidt getraceerd in Rusland. De FBI heeft echter geen verkeer naar Rusland of andere buitenlandse landen waargenomen. Ook zijn er volgens de FBI nog geen verdachte activiteiten aan het licht gekomen. De opsporingsdienst onderzoekt nog wel de screenshots van een waterpompinstallatie in Texas die vrijdag online verschenen. De FBI sluit de betrokkenheid van hackers dan ook nog niet helemaal uit.

Moderatie-faq Wijzig weergave

Reacties (47)

Het is op het moment zo dat binnen de industriŽle automatisering de beveiliging idd geen prioriteit krijgt. Daar moet verandering in komen. Vergeet niet dat de industrie graag met proven technologies werkt, aangezien de systemen een veel langere levensduur hebben dan kantoorautomatisering. Software moet gauw 20 jaar mee, als het geen 30 is. Binnen industriŽle systemen kom je dus nog vaak hele oude software tegen. Windows NT 4.0 draait in een hoop installaties nog, evenals Windows 2000 en op sommige plekken draait zelfs nog DOS. Die software kun je niet zomaar vervangen, het stilleggen van bepaalde installaties kost soms zo idioot veel geld, daar kunnen alle reageerders onder dit bericht een prima huis van kopen. Dus er is een prima kans dat er software van 15 jaar oud draait. Patchen brengt ook alleen maar risico's met zich mee, soms moet de installatie daar stil voor komen te liggen of komt door een ietwat verkeerde patch de installatie langere tijd stil te liggen.
Last I checked was DOS niet zo into netwerken dus zo lang dat soort shit standalone draait zie ik ook niet echt een probleem :P

Onderhoudbaar is wellicht wat anders maar dat is hun eigen keuze uiteindelijk.
TCP/IP in DOS kan prima hoor. Het is beter een Windows enviroment te gebruiken maar het is wel mogelijk. Veelal logistiek bedrijven gebruiken nog software met terminals waarbij MS-Dos op een rom kijken komt.
Een aantal jaar geleden heb ik het een keer geprobeerd. MS-DOS 6.22 met Arachne webbrowser en Waterloo tcp (zonder ip). Ook was er nog de eznos webserver.
Het werkt een beetje, maar prima is een groot woord. Het valt allemaal zwaar tegen. Zoiezo moet je niet gaan proberen een relatief grote jpeg te gaan laden. Voor je het weet zit je harde schijf vol met caching data. Met een FAT16 schijf is dat tenminste geen aanrader.
Tot voor kort zat in de keten van systemen die veel van die matrix-borden boven de snelwegen aangestuurd ook een Pentium-1 PC met MS-DOS 6.2; de netwerk-functionaliteit werd verzorgd door de IP-stack van Novell. Oneindig stabiel. Helaas vervangen omdat de benodigde hardware niet meer verkrijgbaar is. Er zijn trouwense meerdere netwerk-stacks voor DOS beschikbaar.
Er zijn trouwense meerdere netwerk-stacks voor DOS beschikbaar.
Natuurlijk. Maar allemaal add-ons.

DOS out-of-the-box kan 't niet.
Maar toch moet het mogelijk zijn om de beheer PC niet direct aan het internet te hangen, hem alsnog vanaf afstand te kunnen besturen en niet de hele installatie offline hoeven te gooien.

Gewoon 1 schijf ertussen waarbij alleen die "tussen pc" opdrachten kan geven aan de waterpomp (bij erg kritische systemen nog een 2e tussen pc voor autorisatie).... Dat is eigenlijk hetzelfde als bij bank zaken van een bedrijf, daar kan nooit 1 persoon een betaling afhandelen zonder dat een 2e persoon dit goedkeurt.

Of gewoon mechanisch beveiligen zodat dit soort amateuristische praktijken niet meer voorkomen :P Dat zijn zaken wat ik op de middelbare school heb gekregen :S

[Reactie gewijzigd door Mellow Jack op 23 november 2011 10:11]

Een pc hoeft niet direct aan het internet te hangen om gehackt te kunnen worden. Dit kan natuurlijk ook gewoon indirect via andere pc's
Gelukkig komt er verandering in beveiliging. Dankzij Stuxnet zijn de mensen van PLC land (en nog belangrijker de managers die er bovenstaan) bewuster geworden van een mogelijk digitaal gevaar.

De combinatie, PLC-programmeur en Manager heeft nooit goed gewerkt. Van nature zijn industriŽle automatiseerders mensen die erg van de bits en bytes zijn. Een goed marketing verhaal bij het management neerleggen over beveiliging om hier budget voor te krijgen, kwam er daardoor nooit door.

Nu zijn er managers die dankzij ontwikkelingen van Stuxnet wel het gevaar inzien en dit vertalen naar daadwerkelijke plannen (i.p.v. losse kreten die niet verder komen dan de secetaresse), zodat er budget vrij komt om eindelijk dit soort zaken op te pakken.

Een leuke uitstpraak van onze ICT beveiligingsexpert over het kantoor en industriŽle netwerk binnen het bedrijf waar ik werk.
We beveiligen het industriŽle netwerk niet van het kantoor netwerk, maar het kantoornetwerk van het industriŽle netwerk, gezien daar de gaten zitten

[Reactie gewijzigd door FunFair op 23 november 2011 10:45]

ISA95 ISA99 de norm op dit gebied. Daarin staat precies waarom beschikbaarheid eerst komt, dan betrouwbaarheid en dan veiligheid.
Voor kantoor IT mensen niet te snappen, als ze zich niet eerst verdiepen in het waarom.

En inderdaad, in onze fabriek nog volop DOS en Windows NT machines te vinden en nog genoeg leveranciers van industriŽle pc's die pc's leveren waarop die systemen nog gewoon normaal draaien.
De fabrikant van die scada software dacht er zeker mooi vanaf te komen zo met al die hacks de laatste tijd. Waarschijnlijk gewoon prutsoftware afgeleverd.
Waarschijnlijk gewoon prutsoftware afgeleverd.
Ditto dat. De gevaren van kortsluitstroom was wel een van de eerste lessen die ik kreeg in elektro motoren. Aansturing en regeling zijn twee verschillende dingen die gescheiden moeten worden. In software heeft de aansturing een driver. Dat is een stukje gesloten software wat de regeling vertaalt in bruikbare commando's ook basis kennis. Die driver had moeten zeggen eerst ff chillen voordat de motor weer aangaat en had niet omsloten kunnen worden. Prutwerk bij design.

voor de niet elektrotechnische tweakers: de kortsluit stroom is de stroom die loopt als de motor onder spanning staat maar nog niet draait. (dus de eerste piek tijdens het starten) Dit is de grootste stroom die loopt doordat de motor pas magnetische weerstand op bouwt als er een magnetisch veld is door rond te draaien.
En door het draaien van de motor gaat de weerstand omhoog neemt de stroom af en daarbij koelt de motor zich zelf als deze draait. heel vaak snel aan en snel uit. Zeer veel hoge stroom stoten zonder enige kans op koeling. kort om wachten tot die stuk gaat.

[Reactie gewijzigd door daft_dutch op 23 november 2011 10:46]

Meestal hangen pompen aan een frequentieregelaar, waardoor er van aanloop pieken geen sprake is. Vreemd dat ze de pompen in deze instalatie 'direct' aan het net hebben hangen.
'Zoek en gij zult vinden.'

Probeert iemand misschien weer ergens geld voor los te peuteren of zo? Een kortsluitingsprobleem aan hackers wijten om wellicht een menselijke fout te proberen te verdoezelen? Kortsluiting is in ieder geval een vrij logische manier om een pomp kapot te krijgen, kortsluiting kan ook makkelijk dat herhaaldelijk uit en aan probleem veroorzaken..
Gezien de screenshots hierboven lijkt het alsof het SCADA pakket niet heel erg van deze tijd is. Hoewel industriŽle software altijd flink achterloopt heb ik al wel betere SCADA schermen gezien met software die al 10 jaar gebruikt wordt.

Zo te zien gaat het om een versie van Simatic. Enig idee welk versie nummer? Lijkt me dat je met STEP7 dit soort afbeeldingen niet meer presenteerd.
I'm not going to expose the details of the box. No damage was done to any of the machinery; I don't really like mindless vandalism. It's stupid and silly.
On the other hand, so is connecting interfaces to your SCADA machinery to the Internet. I wouldn't even call this a hack, either, just to say. This required almost no skill and could be reproduced by a two year old with a basic knowledge of Simatic.
Dat een SCADA machine aan het internet hangt is overigens niet vreemd. Dat de SCADA machine DIRECT aan het internet hangt is wel vreemd. Dit zou naar mijn mening altijd via een veilige login portal moeten verlopen welke het internet verbind met het netwerk van SCADA. Zo hebben we binnen mijn bedrijf eerst een remote omgeving om op in te loggen om vervolgens in te kunnen loggen op de SCADA omgeving. En dan moet je nog een wachtwoord invullen om werkelijk iets te kunnen met de SCADA applicatie.

Andere omgevingen die ik heb gezien, werkten met schermovername (VNC). Maar daar moest je eerst op een VPN van het bedrijf inloggen, voordat je contact kon krijgen met de SCADA machines.

[Reactie gewijzigd door FunFair op 23 november 2011 10:46]

"Zo te zien gaat het om een versie van Simatic."

Op pastebin stond dit:

"This required almost no skill and could be reproduced by a two year old with a basic knowledge of Simatic."
ISA95 en ISA99 etc. beschrijven precies hoe dit aan te pakken, vergeet die IS0 27000 nog wat norm en allerlei ander zooi uit de IT wereld. ISA is de norm in de industriŽle wereld.
Grappig, het hangen van een lvl2 netwerk aan het internet wordt in onze fabriek, per definitief als te onveilig bestempeld.
Geen verbinding is altijd nog het meest veilig.
Vooraf mijn alu-hoedjes denken: Iedere keer dat de FBI uitspraken doet denk ik als eerste: "Doofpot?"
Dat er geen verkeer naar rusland te zien is roept meer vragen op als antwoorden. van af waar is er geen verkeer gezien enkel de waterpompcentrale of het hele land? is er rond de tijd dat het kapot gegaan is wel verkeer geweest naar buiten (de centrale).

Bij controle in het vorige artikel blijkt dat iemand de 'blog' van Joe Weis verwijderd heeft. Ik weet niet of Joe Weiss dat zelf heeft gedaan omdat zijn beweringen niet klopte of dat het op aandringen van iemand was...
en uit: dit verhaal:
“Over a period of two to three months, minor glitches had been observed in remote access to the water district's SCADA system,” Weiss said during an interview, in which he read a verbatim portion of the document to The Register. He said that the attackers were able to burn out one of the utility's pumps by causing either the pump or the SCADA system that controlled it to turn on and off “repeatedly.”
wat zijn die glitches die de FBI niet gezien heeft?
Google cache is wederom je vriend :)
http://webcache.googleuse...&cd=1&hl=nl&ct=clnk&gl=nl

Voor degenen die niet willen klikken, ik citeer:

"
Water System Hack – The System Is Broken.Category: Dept. of Homeland SecurityDHSIcs Cert Dhs Us-certSCADA security
Submitted by nbartels on Thu, 11/17/2011 - 19:42.


Last week, a disclosure was made about a public water district SCADA system hack. There are a number of very important issues in this disclosure:

•The disclosure was made by a state organization, but has not been disclosed by the Water ISAC, the DHS Daily unclassified report, the ICS-CERT, etc. Consequently, none of the water utilities I have spoken to were aware of it.
•It is believed the SCADA software vendor was hacked and customer usernames and passwords stolen.
•The IP address of the attacker was traced back to Russia.
•It is unknown if other water system SCADA users have been attacked.
•Like Maroochy, minor glitches were observed in remote access to the SCADA system for 2-3 months before it was identified as a cyber attack.
•There was damage – the SCADA system was powered on and off, burning out a water pump.

There are a number of actions that should be taken because of this incident.

•Provide better coordination and disclosure by the government.
•Provide better information sharing with industry.
•Provide control system cybersecurity training and policies.
•Implement control system forensics.

Joe Weiss
"
Ah joh, software zat gewoon vast in een infinite loop :)
Het is niet bewezen dat de pomp van de waterinstallatie daadwerkelijk door hackers is vernield, concludeert de FBI uit eigen onderzoek.
Mag ik uit die uitspraak opmaken dat:
• de pomp weldegelijk defect is geraakt
• ze niet ontkennen dat er kwade opzet is geweest, enkel dat ze dit niet hebben kunnen traceren?
kwade opzet kan natuurlijk op verschillende manieren tot uiting komen. Ook in de VS hebben ze een financiŽle crises, misschien was het wel een kwade beheerder (ontslagen oid) die het fysiek op het apparaat heeft gedaan maar een "spoor" naar buiten achtergelaten om niet gepakt te worden.

[Reactie gewijzigd door Mellow Jack op 23 november 2011 10:01]

Toch wel erg typisch dat op zo'n installatie geen thermische beveiliging zit. Je kan via software klieren wat je wil maar wat mechanische beveiligingen zijn toch altijd wel handig om te hebben.
Sommige pompen gaan wel 30 jaar mee. Hadden ze de thermische beveiliging toen ook al? Bovendien, als de thermische beveiliging inspringt is je pomp effectief ook uitgeschakeld.

[Reactie gewijzigd door FunFair op 23 november 2011 10:33]

Maar is hij niet kapot.
"Het ip-adres van de criminelen werd naar verluidt getraceerd in Rusland. De FBI heeft echter geen verkeer naar Rusland of andere buitenlandse landen waargenomen.""


Dus ze willen eigenlijk zeggen dat er helemaal geen date verkeer was dus ook geen hack, en het gewoon gaat om een storing, of fout handelen van scada?!
Nee... Er is geen verkeer naar buiten de VS waargenomen... Er kan dus best verkeer naar adressen binnen de VS geweest zijn.
Hopelijk doet het bedrijf in de tussentijd wel iets aan hun beveiliging. Fijn dat de FBI op zoek is naar de daders, maar de kans dat nog iemand zo'n trucje wilt uithalen is naar mijn mening nu wel iets groter. ALS de schade Łberhaupt door hackers is veroorzaakt.
Ik zou toch eens kijken of een bepaald persoon er niks mee te maken heeft.
http://images.wikia.com/simpsons/images/8/82/Evil_Homer.jpg

En nu even serieus, ik vind dat ze eerst maar eens goed moeten onderzoeken of het ook echt waar is in plaats van gelijk met vingers naar bepaalde landen te wijzen.
Helaas zal dat niet gebeuren en zullen ze altijd direct met het vingerwjizen beginnen zodra er zoiets gebeurd.
dat komt omdat burgers eisen meer info te willen, maar de overheid deze helaas gewoonweg niet heeft. het makkelijkste om iedereen zijn klep te laten houden is dan gewoon iemand aan wijzen.
Het was voor het eerst dat een dergelijke hack openbaar werd gemaakt. Dat ligt gevoelig, omdat de samenleving afhankelijk is van dergelijke installaties voor de toevoer van water, stroom en gas.
En dus doet de FBI alsof er niets aan de hand is? Of zijn ze sowieso niet instaat om dit goed te kunnen onderzoeken, of zoals sommigen hier al zeggen, is de cover-up van de hackers gewoon te goed geweest?
Welke Waterpomp ?

Lekkere inleiding!
Verwijzing naar nieuws van vorige week:

nieuws: 'Criminelen hacken waterinstallatie en vernielen waterpomp'
De FBI heeft echter geen verkeer naar Rusland of andere buitenlandse landen waargenomen.
Of ze hebben hun traffic dus goed herleid via proxy's?

Hier de pict's die in het artikel bedoeld worden:

http://i41.tinypic.com/ip0aa0.png
http://i42.tinypic.com/eun021.png
http://i42.tinypic.com/1znptuu.png
http://i41.tinypic.com/2m6o0au.png
http://i40.tinypic.com/k386ep.png

[Reactie gewijzigd door kramerty88 op 23 november 2011 09:43]

Of de aanval kwam uit de US zelf, vind het een vreemde redenering dat het alleen uit het buitenland kon komen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True