Nieuws
image

"Siemens bagatelliseert lek in kerncentrale-software"

woensdag 25 mei 2011, 10:52 door Redactie, 3 reacties

Een beveiligingslek in de software die onder andere door kerncentrales wordt gebruikt, is volgens Siemens lastig door hackers te misbruiken, maar de onderzoeker die het probleem ontdekte is het hier niet mee eens en stelt dat het Duitse bedrijf het imago probeert te redden. Vorige week zou beveiligingsonderzoeker Dillon Beresford een presentatie over lekken in de Simatic programmable logic controller (PLC) software geven, maar annuleerde dit op verzoek van Siemens en de Amerikaanse overheid.

Siemens liet vervolgens weten dat een update binnen enkele weken beschikbaar zou zijn en dat de kwetsbaarheid lastig voor hackers te misbruiken was. Dit tot groot ongenoegen van Beresford. "Siemens heeft sommige dingen tegen de pers gezegd waar ik het niet mee eens ben", aldus de onderzoekers op de SCADASEC-mailinglist. "Ik wil het graag hier in het open met jullie over hebben, omdat 'damage control' en het bagatelliseren van de impact een typische tactiek van leveranciers is om hun publieke imago te beschermen."

Laboratorium
Volgens Siemens zijn de kwetsbaarheden tijdens "speciale laboratorium omstandigheden" ontdekt, met onbeperkte toegang tot protocollen en controllers. "De lekken zijn niet lastig voor een doorsnee hacker te misbruiken, omdat ik de code aan een aantal Metasploit modules heb toegevoegd", laat Beresford weten. De modules worden waarschijnlijk pas vrijgegeven als Siemens een patch heeft uitgerold.

De onderzoeker is ook niet te spreken over de 'security feature' die Siemens voorstelde. Beresford wist die binnen 45 minuten na het gesprek met de Siemens security engineers te omzeilen. "Ik wist dat de feature lek was vanaf het moment dat ze de oplossing voorstelden en uitlegden, omdat ik veel meer dan alleen de PLCs heb gehackt." Daarnaast waren er geen speciale omstandigheden waarin de onderzoeker opereerde of onbeperkte toegang tot protocollen.

"Criminelen kijken ook naar deze lekken en spelen niet volgens dezelfde ethische spelregels. Je kunt beter dankbaar zijn dat ik de problemen eerst heb gevonden en als je denkt dat je dankbaar bent, denk dan nog eens na en kijk naar de verklaring van je PR-team", haalt Beresford naar Siemens uit. "De klok tikt. Ik verwacht meer van een bedrijf dat 80 miljard waard is en zo ook de klanten."

Reacties (3)
25-05-2011, 15:05 door Night
Het dilemma voor elke onderzoeker. Hoeveel tijd geef je een leverancier. Beresford was blijkbaar al van mening dat het al tijd werd om te publiceren. De Amerikaanse overheid en Siemens hebben hem op andere gedachten gebracht.

Hij had bij het uitstel gelijk aan moeten geven wanneer hij het publiceert. Dan weet Siemens waar ze aan toe zijn. De druk die op hem is uitgeoefend zal dus wel erg hoog zijn geweest want hij geeft nog steeds geen datum af.
25-05-2011, 18:57 door Anoniem
Gaan we weer met de "kerncentrale software". Wat een onzinkolder.
Siemens PLC's zitten in de helft (gegeven hun marktaandeel) van alle
industriele installaties in NL. Dus, als je straks in je auto over een brug
rijdt, hoop dan maar dat de PLC niet net besluit om het brugdek omhoog
te doen vanwege een hackkie. Om maar eens wat recente voorbeelden
te noemen.
25-05-2011, 21:17 door Anoniem
Gelukkig dat siemens ook wat kritieke componenten van de beveiligingen bij de rijksoverheid levert.... DirX anyone?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search