Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties

Bij diverse Nederlandse gemeenten en waterschappen is het mogelijk om via internet de bediening van gemalen, pompen en bruggen over te nemen, zo stelt EenVandaag. De beveiliging van deze scada-systemen zou onvoldoende zijn.

In een reportage van EenVandaag was dinsdagavond te zien hoe de gemalen van de gemeente Veere via een scada-systeem met een eenvoudig te raden wachtwoord via internet zijn te bedienen. Hierdoor zou de waterhuishouding in de poldergemeente ernstig in gevaar kunnen komen. Volgens EenVandaag kunnen ook pompen in rioleringsbuizen, verwarmingsinstallaties en zelfs bruggen en sluizen op afstand bediend worden omdat de beveiliging niet op orde is.

De scada-systemen, die onder andere voor het uitvoeren van onderhoudswerkzaamheden op afstand aan internet worden gekoppeld, zijn in veel gevallen 'beveiligd' met standaardwachtwoorden of hebben zelfs geheel geen wachtwoord. Via een op scada gerichte zoekmachine kunnen de adressen van scada-systemen snel worden gevonden, terwijl ook standaard wachtwoorden die bedrijven hanteren eenvoudig zijn op te sporen. In Nederland zouden honderden van deze slecht afgeschermde scada-systemen op deze manier aangevallen kunnen worden, zo stellen deskundigen.

Hoewel de Nationaal Coördinator Terrorismebestrijding en het Nationaal Cyber Security Centrum al diverse malen hebben gewaarschuwd voor de risico's van scada-systemen, is er volgens experts in de politiek zowel op lokaal als nationaal niveau als bij beheerders nog weinig aandacht voor de kwestie. Politici van D'66 en VVD eisen inmiddels opheldering van de minister van Binnenlandse Zaken en de minister van Justitie over de beveiliging van de scada-systemen die in handen zijn van de overheid.

Eind januari diende D'66 al Kamervragen in over de beveiligingsrisico's van scada-systemen naar aanleiding van een achtergrondartikel op Tweakers.net. De partij wil onder andere van de ministers Spies van Binnenlandse Zaken en Opstelten van Veiligheid en Justitie weten of er daadwerkelijk zeer geavanceerde software nodig is om scada-systemen aan te vallen. Dit is onder andere gesuggereerd in het door Govcert.nl opgestelde Cyber Security Beeld Nederland 2011.

Moderatie-faq Wijzig weergave

Reacties (53)

Dit is de search engine btw:
http://www.shodanhq.com/

edit: Ik heb deze zoekmachine neergezet om wat verduidelijking bij het artikel te geven, nu niet allemaal ipcams/scada systemem/etc etc. gaan overnemen, hoe slecht beveiligt dan ook.

trouwens ook een API voor Phyton/Ruby/Perl :P

[Reactie gewijzigd door Biersteker op 14 februari 2012 22:08]

Zelfs ze Tu/e is lekker bezig, ze hebben de printer ook gewoon aan het internet hangen
So what? Een printer kan prima aan het internet hangen. Als er maar een fatsoenlijk authenticatie systeem achter zit.
dat is het em nu juist, ik kan alles doen met de labelprinter bij BMT in eindhoven, ik hoefte alleen het zeer speciale wachtwoord "1234" in te typen.
Het probleem is dus de authenticatie, niet het internet :)

Want anders kun je als nog kloten als je in de buurt van het apparaat bent, of op het netwerk van de Tu/e.
@robinvert: behalve dan dat deze printer niet alleen hangt aan het internet, maar natuurlijk ook aan het interne netwerk. Wil je thuis kunnen printen op kantoor, zorg dan voor een VPN verbinding.

KPN is gehackt via een speedtest server van WideXS. Domein isolatie is erg belangrijk. De meeste bedrijven hebben webservers direct aan het internet hangen (met een firewall er tussen) en via het interne netwerk is dan de database te benaderen. Je isoleert daarmee de database server van het internet.

Maar waarom is het speedtest netwerk niet geisoleerd van het rest van het KPN netwerk. De gemakkelijkste methodes zijn via een aparte subnet of een vlan..

Printers en scanners hebben vaak een beperkte netwerk beveiliging. Dergelijke apparaten direct aan het internet hangen is gewoon dom. Niet slordig, maar dom.

Interne netwerken zijn vaak slecht of helemaal niet beveiligd. En beheer op afstand? Wat is er mis met VPN toegang? Uiteraard is ook een VPN server te hacken alleen is dat wel een extra hobbel op de weg. Ook zal een VPN zich niet bekend maken als een SCADA machine.

Misschien wordt het tijd dat managers en/of commissarissen persoonlijk verantwoordelijk kunnen gehouden voor de beveiliging van hun stukje (publieke) infrastructuur. Want op de een of andere manier weten de bestuurders wel altijd hun eigen hachje te redden. Waarom is de burgemeester wel verantwoordelijk voor het politie korps, maar waarom is er dan geen enkele wethouder verantwoordelijk voor de beveiliging van de infrastructuur?
waarom niet weet ik het antwoord wel op.
zodra de directie enkel het het woord "blokkeren" hoort, ongeacht de context, gaat het niet door.

ik werk bij een sociale werkplaat en ik mag het netwerk niet een controleren v.w.b. de beveiliging.

waarom? omdat bij voorbaat de directie al vind dat dit ongemakken zou opleveren en voor onwerkbare situaties zou zorgen.
en ja, als je het goed doet is dat niet zo, maar daar word dus gewoon niet naar geluisterd.
pas nadat alle gegevens van de directeur zelfs door gast accounts benaderbaar bleken mocht er verder gekeken worden.
tot dan, werd letterlijk gemeld dat er niet naar gezocht mocht worden, en we het moeten negeren en vergeten.
Zoek maar is op het woordje 'SCADA', 'Siemens' etc. in die zoekmachine, al zo drie apparaten gevonden waar de procesgegevens van uitleesbaar zijn.

Of probeer de zoekterm 'Linksys' maar is, dan vind je zo een paar onbeveiligde routertjes.

Met de zoekterm 'camera' kun je zo meekijken met iemand op kantoor/thuis ;)

[Reactie gewijzigd door donny007 op 14 februari 2012 20:05]

'k heb even een account aangemaakt, en het enige waar ik momenteel onbeveiligd op kan zijn netwerkprinters, dus lijkt mij dat de meeste bedrijven wel meteen het default password aanpassen.
OMG. Wat een search engine zeg. Heb al een hoop ip-telefoon gezien waar je gewoon kan inloggen met default ww. Zelfs cisco-routers zonder ww. Zit nu te kijken op een Home Control system van iemand.
Aan alle daredevils en andere l33t-haxorz hier: besef je wel even dat je je, ook met een "standaard"-wachtwoord oneigenlijk toegang verschaft tot het netwerk.
Beter blijf je er gewoon uit natuurlijk, maar ga er in ieder geval niet volop over lopen bloaten hier.
Nu is er nog veel toegankelijk maar stel nou dat hier de pleuris echt over uitbreekt, dan gaan die Teeven en Donner zich er misschien weer mee bemoeien en we weten onderhand dat dat weinig goeds oplevert, vooral als het om IT-topics gaat. ;)
Het blijkt maar weer. security is een andere tak van sport dan applicatie-ontwikkeling en/of systeembeheer. Beveiliging is weer eens een ondergeschoven kindje. Immers, je hebt pas wat aan beveiliging op het moment dat het al fout gaat. Als je beveiliging goed inricht zie je er niks van want komen er geen problemen.

Vraag me af wanneer alle bedrijven dit soort dingen eens standaard in de agenda gaan opnemen...
Beveiliging goed inrichten zorgt juist vaak voor meer gebruikersongemak, en dat wordt door sommige mensen als probleem ervaren. Daarom is security vaak een ondergeschoven kindje.
dan moet je ook beveiliging GOED inrichten. Alles dicht timmeren is alles behalve goed inrichten. Als je beveiliging inricht moet je gebruikersvriendelijkheid en de "menselijke factor"ook mee laten wegen. Als je iets keihard dicht timmert gaan mensen er omheen werken (zo creatief zijn ze dan weer wel). Belangrijkste voor informatiebeveiligers is dat je business-alignment aanhoudt. Oftewel, laat je IT aansluiten bij de eisen van de organisatie, en alles behalve andersom.

Zo is ook vaak gebleken dat "security through obscurity" niet goed werkt. Het is niet erg om te laten zien wat je doet om te beveiligen, zolang ze de details maar niet weten. Mooi voorbeeld is Tweakers.net die bijhoudt hoe zij hun bedrijfscontinuÔteitsbeheer uitvoeren door middel van Project Phoenix, om maar even iets te noemen...
"Kei hard dichttimmeren" en "omheen werken" passen mijn inziens niet in ťťn zin.

Verder is het inderdaad in 99/100 gevallen zo dat volledige beveiliging gebruikers- of beheergemak doet verminderen.
Eťn antwoordt, men moet gewoon ISA99 norm volgen en alles is ok.
Was dit niet al eerder op tweakers?
reviews: Scada-beveiliging: een structureel probleem

[Reactie gewijzigd door Jeloentje op 14 februari 2012 19:09]

Die link wordt dan ook aangehaald in bovenstaand artikel onder de link "gewezen"! :)

[Reactie gewijzigd door Eagle Creek op 14 februari 2012 19:13]

Wat is dan de nieuwswaarde van dit bericht, als het al bekend was?
Ik denk het voorbeeld uit de praktijk, zoals je in het artikel kunt lezen:
In een reportage van EenVandaag was dinsdagavond te zien hoe de gemalen van de gemeente Veere via een scada-systeem met een eenvoudig te raden wachtwoord via internet zijn te bedienen.
Verder is het natuurlijk wel meer van hetzelfde, al is extra media-aandacht voor een probleem als dit natuurlijk nooit verkeerd. :)
Ook een praktijkvoorbeeld stond al in het oude artikel:
"Dat beveiligingsproblemen in scada-systemen geen theoretisch probleem zijn, blijkt ook uit een onderzoek van Red Tiger Security, dat anderhalf jaar geleden op Black Hat werd gepresenteerd. Bij een analyse van circa 120 industriŽle systemen werden maar liefst 38.753 kwetsbaarheden aangetroffen." zie tabje 5, "geen theoretisch probleem"

[Reactie gewijzigd door Jeloentje op 14 februari 2012 19:32]

Dat 'oude' artikel gaat over scada-systemen in het algemeen. Dit nieuwe artikel, en de reportage van EenVandaag, gaat over Nederland.

Er was dus wel bekend dat een percentage van de scada-systemen kwetsbaar zijn, maar nu is dus ook bekend hoe het er voor staat hier in Nederland.

Je zou het dus eerder moeten zien als een toevoeging op het oude artikel, dus wel degelijk nieuwswaardig (of wist jij al dat je de gemalen in Veere kon bedienen?).

[Reactie gewijzigd door puredynamite op 14 februari 2012 20:45]

Wat is dat nou voor rare reactie?

Gisteren werd dit aangehaald op ťťn vandaag.

Voor Tweakers.net is dat nieuws. Waarom?
Eťn vandaag is een iets ander medium dan tweakers en de stappen die worden genomen na zo'n uitzending zijn vaak direct.

Bovendien zie je vaak herhaling in artikelen vanwege het feit dat een gemiddelde lezer niet alle voorgaande artikelen nog kent.
Inderdaad. Ik kan me gelijke berichten herinneren.
Technisch is het allemaal niet zo moeilijk om de boel deugdelijk te beveiligen. Natuurlijk is het een probleem dat besturingen veel langer mee gaan dan in de ICT wereld gebruikelijk is. Er zijn echter oplossingen genoeg.
Het grootste probleem uit mijn persoonlijke ervaring is dat de ICT wereld en de besturingswereld totaal andere persoonlijkheden zijn die een eigen vaktaal gebruiken en elkaar niet kunnen of willen begrijpen.
Daar komt nog bij dat veel organisaties wel een traditionele onderhouds organisatie hebben voor de besturingen en een ICT afdeling maar geen afdeling die die twee werelden koppelt.
Een goede beveiliging ontwerpen vereist kennis van bijde werelden. Anders is het al snel niet meer te beheren.
De hardware leveranciers als Siemens, Pilz, Allen Bradley enz. zijn heel beschermend ten opzichte van hun hard en software en proberen alles in eigen hand te houden. Zolang je daar in meegaat, is ook beveiliging wel te doen maar zodra je systemen combineert roep je grote massa's problemen over je af.
Nee, dat is niet zo, gebruik ISA99 en je hebt massa's argumenten om je management te overtuigen. Al kost het dan nog steeds tijd en energie, je hebt wel echte argumenten. Niet van die standaard kantoor IT argumenten, maar echt argumenten toegespitst op de industriŽle automatisering.

Deze week ervaren dat het uiteindelijk werkt.
Doe mij ook zo'n baas.

Als het je inderdaad lukt om de brug te slaan en je vind de juiste mensen, dan kun je een grote slag slaan. De spraakverwarring en het onbegrip tussen de twee werelden bestaat wel degelijk.
Er is ook veel meer te winnen dan alleen beveiligings risico's. Zaken als zelf diagnose en centraal beheer van sourcefiles leveren ook beheerstechnisch grote winst op. Bovendien wordt de weg geopend voor nieuwe toepassingen. Als je de PLC/Scada wereld kunt koppelen aan Web 2.0 CMS systemen openenen zich weer totaal nieuwe mogelijkheden (mits veilig en betrouwbaar)
Het beveiligen dat loop allemaal wel z'n gangentje. maar dat de installateurs geen andere wachtwoorden als default hebben gezet, daar is het op het moment de grootste ramp.

Dat een digibeet met 'admin/password' inlogt en dan volledig toegang krijg, over bijv legerdesheils hun verwarming. dat is zorg wekkend. Elk weldenkend mens weet toch wel dat er ander wachtwoord op moet dan 'admin of password'. ALhoewel 'veere' te makkelijk was, kon Gemeente Veere zich uit de problemen houden als je '\/33r3' hadden gepakt. maar dit ter zeide.
Heeft veel te maken met het feit dat veel bedrijven volledig afhankelijk zijn van system integrators (installateurs zie je in de woningbouw).

Ze weten dus helemaal niet wat die allemaal uitspoken, simpelweg omdat men vaak de kennis wegbezuinigt heeft. Dit is een direct gevolg van dat soort beslissingen.

Wat men eigenlijk heeft gedaan is te vergelijken met de kantoor IT wereld, alleen daar heeft men de beveiliging ook ge-outsourced, in de industriele wereld heeft men dat weggeleaten bij het outsourcen.
Pure incompetentie van veel managers.
Zo moeilijk kan het toch niet zijn om dit soort systemen een stuk beter te beveilingen dan ze nu zijn? Als een willekeurige 'amateur' met behulp van een goede handleiding zijn wifi vrij goed kan beveiligen (Mac adres filter; netwerk onzichtbaar maken; lastig wachtwoord op WPA2 ofzo), dan moet het voor experts toch geen enkel probleem zijn om dit soort systemen te beveiligen op een dusdanige manier dat het voor de beheerder niet ondoenlijk lastig is bij zijn gemalen etc. te komen?

Iemand die echt binnen wil komen, komt het altijd wel, maar het is relatief eenvoudig om je netwerkverbinding dusdanig af te schermen dat in iedergeval zulke simpele aanvallen als vandaag in eenVandaag aangetoond werden, afgewend kunnen worden.

Is trouwens de stormvloedkering in de nieuwe waterweg te hacken? Dat lijkt me wel een aardig signaal afgeven, de haven even afgrendelen, kost maar een paar miljoen per uur :P
Was ook mijn gedachte.
Krijgen we straks 20 scriptkiddies die die deuren steeds dicht laten klepperen (en weer open smijten) en zo voort.

Soort van kattenluikje :+
Nou, zo makkelijk gaat dat niet, die dingen hebben enkele uren nodig om dicht te gaan.
Daarbij zijn de stormvloedkeringen volledig automatisch, geen manual override voor zover ik weet, dus zal niet lukken.
Alleen de Maeslantkering gaat volledig automatisch, de stormvloedkering heeft alleen een automatisch sluitsysteem bij menselijk falen. Bij de Maeslantkering kijken er ook gewoon mensen mee die in kunnen grijpen. Anders zou een systeembugje wel hele vervelende consequenties kunnen hebben. Ik ga er overigens van uit dat deze kritieke systemen wel goed beveiligd zijn. Polderpompen, -gemalen en -sluizen zijn wel van een andere orde dan de deltawerken. Dat hoop ik althans, zou een sterk staaltje onkunde zijn als de Maeslantkering met een default wachtwoord te sluiten zou zijn...
Als een willekeurige 'amateur' met behulp van een goede handleiding zijn wifi vrij goed kan beveiligen (Mac adres filter; netwerk onzichtbaar maken; lastig wachtwoord op WPA2 ofzo)
Zolang een willekeurige amateur nog denkt dat er meer dan 1 goede beveiligingstip in jouw post staat, kunnen we beveiliging van echte systemen beter aan professionals overlaten :)Meer on-topic: beveiliging moet op alle niveaus meegenomen worden. 'Achteraf nog ff de beveiling regelen' werkt niet. Projectmanagers, applicatieontwikkelaars en systeembeheerders moeten hier aandacht aan besteden vanaf dag 1.

Dit soort systemen hoort overigens gewoon simpelweg niet rechtstreeks aan internet te hangen. Er zijn prima faciliteiten om e.e.a. via bijv. een VPN te regelen zodat je niet voor elk wissewasje een mannetje naar de sluis hoeft te sturen.

[Reactie gewijzigd door Herko_ter_Horst op 14 februari 2012 20:03]

Ik ben niet snel geschokt, maar nu dus wel. Mijn tante heeft nog een betere beveiliging op haar laptop dan dit.


Is het nou echt teveel gevraagd om een routertje tussen zo'n pomp en het Internet te zetten die:
(1) niet thuis geeft bij pings, en niet met z'n complete adres in openbare tabellen staat
(2) alleen communicatie met bepaalde vantevoren ingestelde IP adressen (en liefst ook MAC adressen) toelaat
(3) netjes om een wachtwoord vraagt voordat Ūe je binnenlaat
(4) wachtwoorden gebruikt die net iets subtieler zijn dan 'admin' of 'veere' (d.w.z. de gemeentenaam waar de SCADA machine staat)

Volgnes mij ben je met een simpel consumentenroutertje van 63 Euro o.i.d. al een stuk beter uit dan nu.

Werkelijk. Wat Ūs dit hierzo???
je weet dat mac adres filters op internet geen nut hebben (je kunt alleen mac adressen binnen een LAN, dus niet gerouteerd verkeer zien)? volgens mij moet je dergelijke systemen met fatsoenlijke authenticatie uitrusten. Dus niet een simpel wachtwoordje, maar bv ook met certificaten.
Snap niet waarom ze die systemen aan een VPN hangen, veel providers bieden Layer 2/3 VPN diensten. Hierbij hoeven de systemen niet te reageren op pakketten dat via het open netwerk (internet) komt.
Met een <insert netwerktoko> point-to-point vpn-setje heb je vrijwel plug-en-play een beveiligde verbinding over het internet, zelfs een routertje met DD-WRT-firmware kan het.

Het is niet duur (zeker niet als je het kostenplaatje van een mogelijke breach erbij pakt) en makkelijk op te zetten.
Ik ben wel geschokt als je de gevolgen beseft!
Kortom. Cyberterrorisme.Bommen leggen hoeft niet meer. Het hebben van een PC en een internet aansluiting is voldoende om de boel onder water te zetten. En als ze dat doen bij de Deltawerken is het echt gebeurd met 60% van Nederland.Aan het werk. Want de vijand luisterd mee.Dit betreft nationale veiligheid.

[Reactie gewijzigd door Nozem1959 op 14 februari 2012 20:18]

Ik vind het als IT-er te bizar voor woorden dit. Je gaat toch geen kritieke systemen rechtstreeks toegankelijk maken vanaf het internet.

Dit geeft wederom aan dat lokale overheden niet genoeg know-how in huis hebben om dit soort systemen in beheer te hebben. Een ander voorbeeld zijn natuurlijk de gemeente websites met digid.

Zorg ervoor dat je er een VPN infrastructuur nodig is om dit soort zaken te bedienen. Of iets van een twee-traps raket, waarbij je eerst op andere systeem moet inloggen.
het is niet erg als je je zooi gelijk aan het inernet leg. maar doe opz'n minst andere wachtwooden dan default, wat nu het probleem is.

VPN is minder, stel je kan er maar met 1 pc op. en die is niet bereik baar. en met calamiteiten is dit toch wel een vereiste.

[Reactie gewijzigd door Luukje01 op 14 februari 2012 21:43]

VPN is minder, stel je kan er maar met 1 pc op. en die is niet bereik baar. en met calamiteiten is dit toch wel een vereiste.
Lijkt me dat je dit soort verbindingen vanuit meldkamers (24/7 bezet) laat regelen.
Niet bij die ene ambtenaar op zijn werkplek ;)

En een VPN kan je natuurlijk via verschillende PC's opzetten.
Goede beveiliging heeft geen 24/7 menselijke bewaking nodig, en een security expert kan heel goed een ambtenaar op zijn werkplek zijn, dus ik vat je punt niet helemaal.
Maar een VPN met two-factor authentication is echt niet moeilijk op te zetten en inderdaad gewoon overal vandaan prima en snel bruikbaar. En bij een standaard stand-by regeling moet je ook gewoon ter plaatse kunnen gaan. Bij echte calamiteiten is dat vaak sowieso slim.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True