Hacker kraakt rioolsysteem via zwak wachtwoord
In de Verenigde Staten is weer een waterinstallatie gehackt, dit keer door het gebruik van een wachtwoord bestaande uit drie karakters. De hacker met het alias "pr0f" werd geprikkeld door een uitspraak van de Amerikaanse overheid. Een overheidsfunctionaris liet na de aanval op een waterpomp weten dat de kritieke infrastructuur niet in gevaar was. Dit tot grote woede van de hacker, die stelt dat de beveiliging van de nationale infrastructuur er zeer slecht voor staat. "Dit was stom. Ongekend stom. Ik walg van de manier waarop Homeland Security de absolute verrotte staat van de nationaal infrastructuur bagatelliseert."
Hij besloot daarop de SCADA-systemen (supervisory control and data acquisition) van South Houston te testen, een kleine stad in Texas. Via een scanner die naar online vingerafdrukken van SCADA-systemen zoekt, ontdekte hij Siemens Simatic human machine interface (HMI) software die via het internet toegankelijk was. De beveiliging bestond uit een wachtwoord van drie karakters en gaf toegang tot het rioolsysteem. Het ging volgens de hacker alleen om een 'proof-of-concept', zonder dat hij schade aanrichtte.
Kinderspel
"Dit was nauwelijks een hack te noemen", stelt de hacker. "Een kind dat de HMI kent die met Simatic komt, had dit kunnen doen." Het is dan ook vooral de grove nalatigheid van het nutsbedrijf dat de watervoorziening exploiteert dan dat het een geavanceerde hack betreft.
Als bewijs maakte de hacker verschillende screenshots van de HMI-software en zette die online via Pastebin en Mediafire.
Onzin
"Mensen hebben geen idee wat er speelt als het gaat om industriële controlesystemen. Groepen zoals ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) zijn te traag of hebben niet voldoende mankracht om op situaties te reageren. Er gaat teveel onzin rond die serieus wordt genomen. Daarom zet ik deze informatie online zodat mensen kunnen zien wat voor systemen kwetsbaar voor basale aanvallen zijn", gaat "pr0f" verder.
In juli waarschuwde Siemens nog voor een wachtwoord-lek in de software, waardoor aanvallers het wachtwoord konden ontcijferen. Toen werd geadviseerd om toegang tot Simatic producten te beperken. Inmiddels heeft het stadje het SCADA-systeem van het internet losgekoppeld.
Een kind die de HMI kent die met Simatic komt, had dit kunnen doen.
Eh ? Welke kinderen kennen dit dan ?
Kinderen die met hun ouders meegaan naar het werk ?
De systemen zijn natuurlijk gemaakt/geplaatst in tijden dat het nog niet
aan het internet hing. En dus weinig tot geen beveiliging is meegenomen in
het ontwerp.
Hopelijk pikken de instanties dit op en gaan het snel oplossen.
Maar die kans is natuurlijk zeer klein, we gaan pas wat doen als we niet
anders kunnen.
Een kind die de HMI kent die met Simatic komt, had dit kunnen doen.
Eh ? Welke kinderen kennen dit dan ?
Kinderen die met hun ouders meegaan naar het werk ?
De systemen zijn natuurlijk gemaakt/geplaatst in tijden dat het nog niet
aan het internet hing. En dus weinig tot geen beveiliging is meegenomen in
het ontwerp.
Hopelijk pikken de instanties dit op en gaan het snel oplossen.
Maar die kans is natuurlijk zeer klein, we gaan pas wat doen als we niet
anders kunnen.
Je moet echt geen slimme en ietwat verveelde kinderen onderschatten.
En het excuus wat je opvoert is niet terecht.
Iemand heeft dat systeem met nono password een keer aan het internet gehangen, en dat is niet acceptabel.
Al niet op het moment van aansluiten.
Het ontwerp van het scada systeem zelf is daar geen excuus voor, realiseren dat publiek bereikbaar maken geen veilig idee is had de verantwoordelijke organisatie zelf moeten en kunnen doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.