image

Elektriciteitsnetwerk deels uit te schakelen via lek in GE-software

donderdag 27 april 2017, 08:06 door Redactie, 7 reacties

Onderzoekers hebben een ernstig beveiligingslek in de Multilin-software van General Electric ontdekt waardoor een aanvaller een deel van het elektriciteitsnetwerk zou kunnen uitschakelen. Dat laten onderzoekers Anastasis Keliris, Mihalis Maniatakos en Charalambos Konstantinou tijdens de komende Black Hat-conferentie zien.

De onderzoekers wilden kijken hoe ze met een beperkt budget een aanval op het elektriciteitsnetwerk konden uitvoeren. "Het is schokkend wat je allemaal op internet kunt vinden als je weet waar je naar moet zoeken", aldus de onderzoekers. Via informatie die op het web werd gevonden ontwikkelden de onderzoekers een model om een stroomvoorziening te analyseren en aan te vallen. Daarbij ontdekten ze een ernstig beveiligingslek in de Multilin-software van General Electric die wereldwijd in energiecentrales wordt gebruikt.

De onderzoekers wisten de door GE zelfontworpen encryptie helemaal te kraken. In het ergste geval zou een aanvaller sectoren van het elektriciteitsnet kunnen afsluiten. GE heeft inmiddels voor vijf van de zes kwetsbare producten firmware-updates uitgebracht. De patch voor het zesde model zal binnenkort verschijnen, zo meldt persbureau Reuters.

Reacties (7)
28-04-2017, 09:28 door Anoniem
Het gaat om "protection relays" of "protective relays", ofwel schakelingen die fouten detecteren en "circuit breakers" aansturen. https://en.wikipedia.org/wiki/Protective_relay. Het gaat hier om installaties uit de jaren '90, meldt Reuters. Dat ontwerpen uit die tijd niet aan de huidige beveiligingsnormen voldoen vind ik tot op zekere hoogte geen verrassing, maar het is niet in orde dat dat GE pas op het idee komt daar iets aan te doen als derden dat constateren.

Tot op zekere hoogte, schrijf ik. Een van de problemen hier is dat GE zelf ontworpen encryptie gebruikte die moeiteloos te kraken bleek te zijn. Phil Zimmerman (auteur van PGP) had al in 1991 in de handleiding van PGP een hoofdstuk getiteld "Beware of snake oil" staan waarin hij uitlegde dat dat niet deugde. Een bijgewerkte versie van die tekst staat hier: http://www.philzimmermann.com/EN/essays/SnakeOil.html. Ook in de jaren '90 hadden ze beter kunnen weten als ze hun huiswerk gedaan hadden. Het kwam vaker voor, natuurlijk, dit is het Dunning-Kruger-effect in actie: de mensen die het maakten wisten er niet genoeg van om door te hebben hoeveel meer expertise ze nodig hadden dan ze zelf hadden, en je gaat pas op zoek naar meer expertise als je dat wel doorhebt. Niet onbegrijpelijk, maar ook niet goed genoeg. Een grote fabrikant van ongetwijfeld peperdure installaties moet zich kunnen permitteren om uit te zoeken welke kennis er nodig is om iets goed te doen.
28-04-2017, 10:45 door PietdeVries - Bijgewerkt: 28-04-2017, 10:45
Het vreemde van dit artikel en soortgelijke verhalen (SCADA) is dat er altijd moord en brand wordt geschreeuwd, dat het zo eenvoudig is om een stad/centrale/watervoorziening/whatever uit te schakelen via het internet maar... dat dit nog nooit echt gedaan is .

De afgelopen 10-15 jaar hebben we aan terroristen geen gebrek. Meer een surplus eigenlijk. En motieven hebben ze ook voldoende. Waarom heeft geen van die terroristen dan ergens een centrale uitgeschakeld? Of een sluis opengezet? Of <vul zelf maar in>. Dat is niet omdat ze dit niet zouden willen, of er de middelen niet voor hebben. Maar waarom dan wel?
28-04-2017, 11:11 door Anoniem
Door PietdeVries: Het vreemde van dit artikel en soortgelijke verhalen (SCADA) is dat er altijd moord en brand wordt geschreeuwd, dat het zo eenvoudig is om een stad/centrale/watervoorziening/whatever uit te schakelen via het internet maar... dat dit nog nooit echt gedaan is .
Nee, het vreemde is dat mensen maar al te vaak waarschuwingen pas serieus gaan nemen nadat het een of zelfs meerdere keren mis is gegaan. Dat mensen met verstand van zaken al waarschuwen ruim voor die eerste keer is geen uitzondering.

Bij terroristen kan ik me wel een paar factoren voorstellen die maken dat ze liever een bom of een vrachtauto inzetten. Ten eerste omdat het dan veel duidelijker is dat het een aanslag betreft en niet een bedieningsfout of een bug. Ten tweede omdat de kans groot is dat er effectief wordt ingegrepen voordat het op een bloedbad uitloopt. Willen ze werkelijk effect scoren met sluizen en bruggen dan moeten ze er een heleboel op hetzelfde moment aanvallen, en dan is het meteen een fors project dat ook veel meer voorbereidingstijd vergt.

Daar moeten de beheerders van die installaties wel op voorbereid zijn, natuurlijk, en niet pas reageren als het al gaande is.
28-04-2017, 13:30 door karma4
Door PietdeVries: Het vreemde van dit artikel en soortgelijke verhalen (SCADA) is dat er altijd moord en brand wordt geschreeuwd, dat het zo eenvoudig is om een stad/centrale/watervoorziening/whatever uit te schakelen via het internet maar... dat dit nog nooit echt gedaan is .

De afgelopen 10-15 jaar hebben we aan terroristen geen gebrek. Meer een surplus eigenlijk. En motieven hebben ze ook voldoende. Waarom heeft geen van die terroristen dan ergens een centrale uitgeschakeld? Of een sluis opengezet? Of <vul zelf maar in>. Dat is niet omdat ze dit niet zouden willen, of er de middelen niet voor hebben. Maar waarom dan wel?

Black energy Oekraine, Inmiddels meerdere keren gedaan. Stuxnet was het eerste voorbeeld.
Lijkt nu meer op moderne oorlogsvoering tussen staten. Zodra het gemeengoed is zullen terroristen het ook gaan oppakken.
28-04-2017, 14:48 door Anoniem
Toch krijg ik het gevoel dat een Black-Out scenario zoals Marc Elsberg dat schreef in zijn boek zo langzamerhand eens werkelijkheid gaat worden. Voor wie het nog niet gelezen heeft, een aanrader.
28-04-2017, 23:10 door Anoniem
Als de gemiddelde "techneut" voor een examen nog een leaflet met de tafels van 1 tot 10 moet worden uitgereikt en ze niet beseffen wat een etmaal is, zou ik me daar nog maar even niet te veel zorgen over maken. Dan komt het, als het komt, vast uit een andere hoek.

Zorgen dat er niets strategisch of kritisch aan het Internet hangt lijkt me veel opportuner. De aan elkaar geknoopte zeer gecompliceerde infrastructuur vormt het grote gevaar in deze.

Verder overheidstaken die allemaal uitbesteed zijn aan het grote bedrijfsleven. Hier zien we het gevaar van privatisering met het letten op de kleintjes maar weer ten koste van de grote baten voor de aandelhouders.

Wat kritieke structuur is moet overheidsstructuur blijven, maar als alle nationale structuren onderuit dreigen te worden gehaald door internationale continentale en uiteindelijk globale spelers, is de integriteit van deze systemen in gevaar. De Iron Lady heeft wat veroorzaakt in de wereld wat dit betreft, het zij haar vergeven, want ze kon ook niet voorzien waar dit toe zou leiden.

Al het water op aarde behoort thans al bijna volledig aan Nestlé en onder haar staande organisaties, dus als de investeringen stokken is onze voorziening in gevaar. De cyber-wereld waar we nu in leven.
30-04-2017, 16:12 door Anoniem
Dat krijg je ervan, alles maar aan het internet te hangen. Van je bewakingscamera thuis tot smartphones onder de politie, intranets en extranets van ziekenhuizen, tot bruggen en waterpompen met SCADA interface... voor het gemak een IP stack, voor de 'beveiliging' een random TCP poort nummer? ;) Of toch een (aangepaste) openvpn als minimum? Ik kwam er onlangs achter dat de laatste Linux kernels met bogus pakketjes te crashen zijn. In 2017. Mijn Android en Ziggo modem waren gehackt, en dan bedoel ik de firmwares. Niets is echt safe, een trieste conclusie na 20 jaar op freebsd en (in mindere mate op) Linux te hebben vertrouwd. Zie ook bugtraq@torproject, no. 200100
Hacken neemt alleen maar toe. Ik zie dit helaas terug op mijn eigen systemen.

Ron
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.