image

Onderzoeker vindt 23 SCADA-lekken in 4 uur

woensdag 28 november 2012, 06:54 door Redactie, 7 reacties

De software die voor energiecentrales, vliegvelden en fabrieken wordt gebruikt is zo onveilig dat één onderzoeker in één ochtend 23 voorheen onbekende beveiligingsproblemen heeft ontdekt. SCADA (Supervisory control and data acquisition) is het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen.

Een SCADA-systeem bestaat uit een computer met daarop de SCADA-software. Aaron Portnoy van het beveiligingsbedrijf Exodus Intelligence besloot vanwege alle recente berichten over lekken in SCADA- systemen zelf de veiligheid van deze belangrijke software te testen.

Al na zeven minuten had Portnoy het eerste zero-day-lek te pakken. Uiteindelijk ontdekte de onderzoeker in de beperkte tijd die hij voor zijn onderzoek had uitgetrokken 23 kwetsbaarheden. Het gaat om de software van Rockwell Automation, Schneider Electric, Indusoft, RealFlex en Eaton Corporation. Via de kwetsbaarheden is het in het ergste geval mogelijk om het onderliggende systeem over te nemen. Ook kunnen aanvallers de systemen uitschakelen of saboteren.

Simpel
"het interessantste van deze lekken was hoe eenvoudig ze te vinden waren. De eerste te misbruiken zero-day duurde slechts 7 minuten om te ontdekken van het moment dat de software geïnstalleerd was. Voor iemand die door bedrijven en consumenten gebruikte software heeft geaudit, is SCADA in vergelijking absurd eenvoudig", merkt Portnoy op.

De kwetsbaarheden zijn inmiddels aan het Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) overgedragen, die ze met de SCADA-leveranciers zal coördineren.

Reacties (7)
28-11-2012, 08:06 door N4ppy
Ja maar dat hangt toch niet aan het internet
Ja maar dat werkt alleen in een beveiligd netwerk
Ja maar ,,,,,,,

Vul aan met andere smoesjes om er vooral niets aan te doen.
28-11-2012, 09:01 door Fabian76
En de software is 20 jaar geleden gebouwd (als het niet langer geleden is) en sinds die tijd hoeven ze alleen maar hun hand op te houden. Dit zal geld kosten om te fixen (ook voor de bedrijven natuurlijk).
28-11-2012, 09:19 door Anoniem
Even je PC rebooten om een patch te activeren is in 5 minuten gedaan. Een fabriek stilleggen om de besturingssoftware aan te passen is een serieuze ingreep, met alle risico's van dien. Dat is de echte reden dat SCADA systemen niet gepatcht worden.
28-11-2012, 11:22 door Anoniem
Door Anoniem: Dat is de echte reden dat SCADA systemen niet gepatcht worden.

Dat zou inzichtvol heten, ware het niet dat er gewoonweg géén patches waren. Men patchte niet, want men zocht de vulnerabilities niet of deed alsof het niet uitmaakte.
28-11-2012, 16:52 door 0101
Vergeleken met SCADA is het-slotje-staat-in-de-adresbalk-dus-is-het-veilig-security hoogontwikkeld.
29-11-2012, 04:23 door Anoniem
In een ochtend kun je 23 kabels vinden en opgraven.

In een ochtend kun je met 1 baksteen bij 23 huizen inbreken.

SCADA en onder liggende PLC's zijn nu eenmaal niet gemaakt om aan publieke infrastructuur te hangen.
Zolang dat niet gebeurd moet men er fysiek bij kunnen om er misbruik van te maken.

En als je er toch al fysiek bij kan, maakt geen enkele software beveiliging meer uit.

De fouten zit niet in het feit dat SCADA lek is, maar dat organisaties gemakzuchtig te veel functionaliteit op eenzelfde infrastructuur willen gebruiken.
30-11-2012, 11:55 door Anoniem
Stuxnet? Iemand?

Het is natuurlijk van de zotte om te denken dat je spullen niet kwetsbaar zijn omdat zie niet aan internet (of andere publieke infra) hangen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.