Nieuws
image

"iTunes veiliger dan meeste SCADA-systemen"

vrijdag 13 juli 2012, 17:41 door Redactie, 6 reacties

De software die voor energienetwerken, de watervoorziening en andere kritieke infrastructuur wordt gebruikt is minder veilig dan iTunes, aldus twee bekende beveiligingsonderzoekers. Onderzoekers Billy Rios en Terry McCorkle wijzen naar een voorval met een lek in de software van Tridium. Het bedrijf reageerde niet op bevindingen van de onderzoekers en wilde volgens Rios en McCorkle ook geen verantwoordelijkheid nemen.

Tridium ontwikkelde het Niagara Framework dat onder andere wordt gebruikt voor het beheer van verschillende Pentagon-faciliteiten. Rios ontdekte dat de software kwetsbaar was voor een directory traversal-aanval, waardoor hij gehashte wachtwoorden en gebruikersnamen kon achterhalen. Ook werden er in de software andere kwetsbaarheden ontdekt die op afstand zijn te misbruiken. Eén van die lekken werd tijdens een audit ontdekt.

Toch besloot de Amerikaanse overheid om de Tridium software aan te schaffen. "We zijn teleurgesteld dat ons belastinggeld voor de genegeerde security audit, de aanschaf en implementatie en uitrol van software heeft betaald waarvan bekend was dat er lekken in zaten", aldus de twee onderzoekers. Die roepen de Amerikaanse autoriteiten op om het proces met de betrekking tot de aanschaf van SCADA-software te herzien.

Reactie
De grootste teleurstelling voor de onderzoekers is de reactie van Tridium waarbij de schuld van de problemen bij de klant wordt gelegd. "We hebben dit ook bij andere ICS-leveranciers gezien. Het zou nooit de verantwoordelijkheid van de klant moeten zijn om slecht ontwerp te compenseren." Tridium liet een reactie tegenover de Washington Post weten dat het industriestandaarden volgt en klanten beter gaat onderwijzen, maar volgens de onderzoekers is dat niet het probleem.

ICS- en SCADA-software loopt lichtjaren achter op moderne software. Het gaat dan om zaken als automatisch patchen en richtlijnen voor veilige installaties. "De oorzaak van de problemen bij Tridium is het slechte ontwerp en programmeren van het bedrijf zelf. Misschien zou Tridum eerst moeten investeren om de ontwikkelaars veilig te laten programmeren", besluiten Rios en McCorkle.

Reacties (6)
13-07-2012, 18:03 door Anoniem
itunes.. what? ;/
13-07-2012, 19:19 door Anoniem
Lol. Dat zegt meer over SCADA dan over iTunes.
14-07-2012, 15:08 door slartibartfast
"ICS- en SCADA-software loopt lichtjaren achter op moderne software. Het gaat dan om zaken als automatisch patchen en richtlijnen voor veilige installaties."

Automatisch patchen? In een productie-omgeving? NEVER! Zie je het al voor je; een energiecentrale die uitvalt door een foute patch van Siemens? En waarom eigenlijk patchen als die productieomgeving goed draait? En niet aan de buitenwereld hangt? Wat wel zal moeten voor dat automatisch patchen?

Deze onderzoekers denken teveel aan de normale IT wereld... in productieomgevingen gelden andere best-practices. En daar niet net de kneep.

Die richtlijnen voor beveiliging van SCADA omgevingen zijn er overigens wel maar worden nog niet overal gebruikt. Dat is heel wat anders.
15-07-2012, 12:15 door Skizmo
Ze zouden moeten verbieden dat dumbasses zichzelf onderzoekers mogen noemen.
17-07-2012, 07:28 door Anoniem
Updaten is voor als je het systeem aan het boze internet hangt. Als je een SCADA-omgeving netjes in een eigen netwerk zet, dan kan het boze internet er niet eens bij komen. Wat slartibartfast al zei: waarom iets patchen als het goed draait? ja voor een update van eigen software waardoor er extra functies bijkomen (als je die dan ook nodig hebt).

Never change a winning team.
17-07-2012, 18:22 door Anoniem
iTunes heeft ook weer een andere doel dan SCADA
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search