image

Mobiele apps voor industriële systemen vol kwetsbaarheden

donderdag 11 januari 2018, 15:38 door Redactie, 7 reacties

Onderzoekers hebben in mobiele apps voor industriële systemen tal van kwetsbaarheden gevonden waarmee een aanvaller industriële processen kan verstoren, industriële netwerken kan compromitteren en medewerkers zonder dat ze dit doorhebben schadelijke acties op het systeem kan laten uitvoeren.

De onderzoekers van securitybedrijven Embedi en IOActive analyseerden 34 Android-apps in de Google Play Store voor Supervisory Control and Data Acquisition (SCADA) systemen en ontdekten 147 kwetsbaarheden. Het gaat dan om problemen zoals onbeveiligde communicatie tussen app en systemen, het gebruik van onbeveiligde opslag, onveilige autorisatie, geen bescherming tegen reverse engineering en de mogelijkheid om code te manipuleren. Een medewerker van een industrieel systeem kan aan de hand van zijn app denken dat alles in orde is, terwijl dit niet het geval is.

"De kwetsbaarheden die we vonden waren schokkend en zijn bewijs dat mobiele applicaties zonder enige aandacht voor security worden ontwikkeld en gebruikt", zegt onderzoeker Alexander Bolshev. Hij merkt op dat een aanvaller geen fysieke toegang tot een smartphone nodig heeft om misbruik van de kwetsbaarheden te maken. Als de smartphone-gebruiker een kwaadaardige app downloadt, kan die applicatie de industriële app aanvallen. Andere aanvalsvectoren zijn SQL-injection en het onderscheppen van verkeer tussen de app en het systeem.

Volgens onderzoeker Ivan Yushkevich moeten ontwikkelaars beseffen dat applicaties in principe de toegangspoort tot belangrijke industriële systemen zijn. Het is daarom belangrijk dat ontwikkelaars veilig programmeren en best practices toepassen, laat Yushkevich verder weten. Leveranciers van de kwetsbare apps zijn inmiddels ingelicht.

Image

Reacties (7)
11-01-2018, 15:51 door Anoniem
SQL-Injections zijn al zeker 20 jaar bekend (https://en.wikipedia.org/wiki/SQL_injection) ... raar dat men daar nog steeds in trapt als programmeur. Er zijn hele frameworks die dat voor je oplossen.... Blijkbaar weten de programmeurs het altijd zelf beter..

Leuk lijstje met meest voor komende lekken in 2017:
https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

TheYOSH
11-01-2018, 15:55 door Anoniem
Tjah, moeten ze maar wat meer tijd en geld in developers steken.

Programeren en deadlines gaan niet samen.
11-01-2018, 16:14 door buttonius
Beveiliging tegen reverse engineering vind ik onbelangrijk. Dat dient alleen om het monopolie van de applicatieschrijver te beschermen. Als de veiligheid van een applicatie voor monitoring van SCADA zaken afhankelijk is van het niet kunnen reverse engineeren is er sprake van security by obscurity.
11-01-2018, 16:46 door Anoniem
Door Anoniem: SQL-Injections zijn al zeker 20 jaar bekend (https://en.wikipedia.org/wiki/SQL_injection) ... raar dat men daar nog steeds in trapt als programmeur. Er zijn hele frameworks die dat voor je oplossen.... Blijkbaar weten de programmeurs het altijd zelf beter..

Leuk lijstje met meest voor komende lekken in 2017:
https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

TheYOSH

Dank!

https://www.owasp.org/images/7/72/OWASP_Top_10-2017_(en).pdf.pdf
is de juiste adressering om in je browser te plakken.
11-01-2018, 17:00 door Anoniem
Goed gezien, buttonius, laat ze die airgap maar eens goed gaan beveiligen. Ik lees hier zelfs berichten van lieden die legitieme security third party cold reconnaissance scans wil verbieden op internet providers als policy (ja ook shodan en dazzlepod scannetjes dienen door ISP verboden te worden, zodat inherente a priori onveiligheid niet meer door security researchers kan worden vastgesteld. De klant moet in hemelse onwetendheid zich veilig wanen. Graai - graai -grabbel.

Dat is nou net "security through obscurity in optima forma". Iedereen laten geloven in snake-oil security, als de vinkjes maar gezet zijn ten behoeve van de bonus en de dertiende maand en het feestje door kan gaan. Jouw en mijn insteek staan daar gelukkig haaks op. Ik ben een oude F.R.A.V.I.A. adept, de veel te vroeg gestorven resource engineer en later searchlore guru. Veel van deze man en bij voorbeeld een andere Italiaanse hacker van origine, Giorgio Maone (de man achter NoScript) geleerd. Debuggen, die handel en afvoeren die oude bibliotheekmeuk van onveilige jQuery enz. enz.

Er is teveel SCADA schade veroorzaakt door zaken, die binnengesmokkeld werden via n00b onderaannemertjes, van niets wetende PR burootjes, pijpenleggers en tegelzetters.

Applicatieschrijvers beveiligingskennis bijbrengen is een betere optie en niet alleen het terrein laten zijn van gespecialiseerde technische IT.

Knippen en plakken op de stack. Hou er finaal over op.

Wanneer zal de wal het schip gaan keren? Want uiteindelijk kan het toch zo niet langer verder.
De eindgebruiker ligt onder een boom te snurken als RipVanWinkle of Gulliver tijdens zijn reizen,
vastgebonden met wrakke code touwtjes.
12-01-2018, 09:50 door Anoniem
Door Anoniem:Ik lees hier zelfs berichten van lieden die legitieme security third party cold reconnaissance scans wil verbieden op internet providers als policy (ja ook shodan en dazzlepod scannetjes dienen door ISP verboden te worden, zodat inherente a priori onveiligheid niet meer door security researchers kan worden vastgesteld. De klant moet in hemelse onwetendheid zich veilig wanen. Graai - graai -grabbel.

Ik krijg nog wel eens de vraag naar het IP adres van een sinkhole als er een melding van een besmette machine wordt gedaan. Want dan kunnen ze dat IP adres blokkeren in de router en krijgen ze geen meldingen meer.

Peter
12-01-2018, 17:43 door Anoniem
@ Peter,

Maar niet alles komt in aanmerking voor sinkholen. Zelf online opleiding gehad via een nu dertiger, een naamgenoot van jou, afkomstig van de UNI van Wenen, die als jonge hacker-IT student naar Praag moest verhuizen. Zijn latere Security bedrijf, die sinkholen trachtte te automatiseren, is nu al weer in een ander bedrif opgegaan.

Aanvankelijk startte hij zijn bedrijf in Praag op samen met een commercieel ingestelde studiegenoot. Ze waren toen net in de twintig en juist afgestudeerde security starters.

Veel geleerd via zijn online opleiding en via zijn instructies. Sinkholen is wel degelijk een wijze om je infrastructuur veiliger te krijgen en goede analyse resultaten te verkrijgen, Onder meer in Polen zijn er zeer goede resultaten mee verkregen.

Bij wat je thans ziet is er op veel plaatsen bij hosters geen echte expertise meer in huis voorhanden services outsopurcen en naar de cloud. Mensen die beslissingen nemen, geloven in gladde praatjes van de 1-klik-voor alles-oplossingen belovende dozenschuivers a la de artsenbezoeker. Daarna gaat het dus ook vaak mis, die ene klik volstaat in veel gevallen niet. Wat te mooi om waar te zijn leek, is het in werkelijk ook vaak.

Het jammere is dat men hier niets van leert en steeds weer voor hetzelfde kiest, omdat het niet voldoende pijnlijk wordt afgestraft en afgeleerd. De vinkjes voor de bonus staan er, het derdiende maand contractje is geregeld, het feestje gaat door. Wie doet me wat en als de shit de fan dreigt te raken, verkoop ik lekker mijn aandelen (denk aan Intel).

Ze zitten niet meer met opgestroopte mouwen in de netwerk loopgraven en in de code op de stack. Cut and paste is veelal de modus operandi.

Waar je info proliferatie tegenkomt, af te voeren code en nauwelijks best policies ziet toepassen, moet je eigenlijk al weten hoe laat het is. Gaat het lang goed is dat vaak puur een kwestie van geluk hebben. Meer geluk dan wijsheid. Ik ben een jong gebleven oude knar, mijn deutje nog steeds meespelend, maar als het moet, vreet ik ze nog op, die managers zonder richting of kennis met hun bonus-graai-oogjes. Wie ontmaskert ze eens echt?

Jodocus Oyevaer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.