In de Verenigde Staten is weer een waterinstallatie gehackt, dit keer door het gebruik van een wachtwoord bestaande uit drie karakters. De hacker met het alias "pr0f" werd geprikkeld door een uitspraak van de Amerikaanse overheid. Een overheidsfunctionaris liet na de aanval op een waterpomp weten dat de kritieke infrastructuur niet in gevaar was. Dit tot grote woede van de hacker, die stelt dat de beveiliging van de nationale infrastructuur er zeer slecht voor staat. "Dit was stom. Ongekend stom. Ik walg van de manier waarop Homeland Security de absolute verrotte staat van de nationaal infrastructuur bagatelliseert."

Hij besloot daarop de SCADA-systemen (supervisory control and data acquisition) van South Houston te testen, een kleine stad in Texas. Via een scanner die naar online vingerafdrukken van SCADA-systemen zoekt, ontdekte hij Siemens Simatic human machine interface (HMI) software die via het internet toegankelijk was. De beveiliging bestond uit een wachtwoord van drie karakters en gaf toegang tot het rioolsysteem. Het ging volgens de hacker alleen om een 'proof-of-concept', zonder dat hij schade aanrichtte.

Kinderspel
"Dit was nauwelijks een hack te noemen", stelt de hacker. "Een kind dat de HMI kent die met Simatic komt, had dit kunnen doen." Het is dan ook vooral de grove nalatigheid van het nutsbedrijf dat de watervoorziening exploiteert dan dat het een geavanceerde hack betreft.

Als bewijs maakte de hacker verschillende screenshots van de HMI-software en zette die online via Pastebin en Mediafire.

Onzin
"Mensen hebben geen idee wat er speelt als het gaat om industriële controlesystemen. Groepen zoals ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) zijn te traag of hebben niet voldoende mankracht om op situaties te reageren. Er gaat teveel onzin rond die serieus wordt genomen. Daarom zet ik deze informatie online zodat mensen kunnen zien wat voor systemen kwetsbaar voor basale aanvallen zijn", gaat "pr0f" verder.

In juli waarschuwde Siemens nog voor een wachtwoord-lek in de software, waardoor aanvallers het wachtwoord konden ontcijferen. Toen werd geadviseerd om toegang tot Simatic producten te beperken. Inmiddels heeft het stadje het SCADA-systeem van het internet losgekoppeld.