image

FBI komt met beveiligingstips voor TeamViewer na aanval op waterzuivering

vrijdag 12 februari 2021, 09:58 door Redactie, 16 reacties

Organisaties die van het programma TeamViewer gebruikmaken doen er verstandig aan om verschillende beveiligingsopties te gebruiken, om zo misbruik te voorkomen. Dat adviseren de FBI, het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security, het United States Environmental Protection Agency en het Multi-State Information Sharing and Analysis Center (MS-ISAC) naar aanleiding van de aanval op een waterzuiveringsinstallatie in Florida.

De aanvaller wist via TeamViewer toegang tot een beheersysteem van de waterzuivering te krijgen en verhoogde de waarden van het zuiveringsmiddel natronloog naar een potentieel gevaarlijk niveau. Volgens de overheidsinstanties maakte de aanvaller zeer waarschijnlijk gebruik van een slechte wachtwoordhygiëne en een verouderd besturingssysteem dat bij de installatie werd gebruikt.

Eerder meldde de Amerikaanse staat Massachusetts dat alle werkstations van de aangevallen waterzuiveringsinstallatie op het getroffen beheersysteem waren aangesloten en een 32-bit versie van Windows 7 gebruikten. Daarnaast deelden alle computers hetzelfde wachtwoord voor remote toegang en waren zoals het nu lijkt zonder enige firewall direct vanaf het internet toegankelijk.

In de gezamenlijke cybersecurity advisory stellen de overheidsinstanties dat TeamViewer een legitieme tool is, maar in het verleden ook is gebruikt door aanvallers. Tevens is het programma door wraakzuchtige medewerkers te gebruiken. Daarom doen de overheidsinstanties verschillende aanbevelingen voor het beveiligen van TeamViewer.

Zo wordt aangeraden om de opties "Start TeamViewer with Windows" en "Grant easy access" niet te gebruiken. De TeamViewer-service moet daarnaast als 'manual start' worden ingesteld, zodat de applicatie en bijbehorende services niet actief zijn wanneer het programma is gesloten. Verder adviseren de overheidsinstanties om willekeurige alfanumerieke wachtwoorden van tien karakters te gebruiken, dat de host bevestiging moet geven wanneer de remote party meer wil dan alleen meekijken en dat de 'Block and Allow' lijst wordt gebruikt om te bepalen welke gebruikers toegang mogen hebben.

Voor waterzuiveringsinstallaties wordt nog aanvullend advies gegeven, zoals het implementeren van fysieke veiligheidssystemen die voorkomen dat gevaarlijke situaties kunnen ontstaan wanneer een beheersysteem is gecompromitteerd.

Image

Reacties (16)
12-02-2021, 10:09 door Anoniem
Op zich goed advies, maar waarom hangt het waterzuiverings control-system sowieso aan het internet?
12-02-2021, 10:11 door Anoniem
Sommige dingen moet je gewoon niet willen bedienen op afstand. De risico's zijn gewoonweg te groot.
Daar had het eerste advies moeten zijn.
12-02-2021, 10:33 door Anoniem
Grappige adviezen zijn dat! "Start de service alleen als je hem nodig hebt". Dat is van het nivo "als je geen internet nodig hebt trek dan de kabel eruit".
Tuurlijk dat kan iedereen snappen maar het gebruik van TeamViewer in dat soort apparatuur is nou juist om op afstand een systeem te benaderen als er bijv problemen zijn of om iets te controleren, en als die service dan niet draait heb je er ook niks aan.
Idem met dat "view only" wat de lokale gebruiker dan eerst moet authorizen voor je screen/keyboard hebt. Nutteloos advies voor dit soort situaties, waar die PC ergens in een donker hok staat waar niemand is.
12-02-2021, 12:22 door Anoniem
Teamviewer start zichzelf en is niet makkelijk definitief af te sluiten, dus dit is een advies waarvoor dringend een reinstall nodig is met een minder opdringerige versie van de TeamViewer setup.
12-02-2021, 13:43 door _R0N_
Stap 1: gebruik geen teamviewer
12-02-2021, 16:23 door Anoniem
Door _R0N_: Stap 1: gebruik geen teamviewer

Turns out that Florida water treatment facility left the doors wide open for hackers
Can you even call this a hack?

https://www.theverge.com/2021/2/10/22277300/florida-water-treatment-chemical-tamper-teamviewer-shared-password

An official cybersecurity advisory about the incident from the state of Massachusetts (via Ars Technica) explains that the SCADA control system was accessed via TeamViewer, the kind of remote desktop application an IT administrator might roll out to remotely troubleshoot computers — not something you’d generally want hooked up to a critical system. More importantly, and here I will just quote the Massachusetts report verbatim:

All computers used by water plant personnel were connected to the SCADA system and used the 32-bit version of the Windows 7 operating system. Further, all computers shared the same password for remote access and appeared to be connected directly to the Internet without any type of firewall protection installed..

[1] How public water suppliers can guard against cyber-attacks on water supplies.
https://www.mass.gov/service-details/cybersecurity-advisory-for-public-water-suppliers
12-02-2021, 17:26 door Anoniem
Door Anoniem:
Door _R0N_: Stap 1: gebruik geen teamviewer

Turns out that Florida water treatment facility left the doors wide open for hackers
Can you even call this a hack?

https://www.theverge.com/2021/2/10/22277300/florida-water-treatment-chemical-tamper-teamviewer-shared-password

An official cybersecurity advisory about the incident from the state of Massachusetts (via Ars Technica) explains that the SCADA control system was accessed via TeamViewer, the kind of remote desktop application an IT administrator might roll out to remotely troubleshoot computers — not something you’d generally want hooked up to a critical system. More importantly, and here I will just quote the Massachusetts report verbatim:

All computers used by water plant personnel were connected to the SCADA system and used the 32-bit version of the Windows 7 operating system. Further, all computers shared the same password for remote access and appeared to be connected directly to the Internet without any type of firewall protection installed..

[1] How public water suppliers can guard against cyber-attacks on water supplies.
https://www.mass.gov/service-details/cybersecurity-advisory-for-public-water-suppliers

Dat stond donderdag al op deze website https://www.security.nl/posting/689869/FBI+waarschuwt+voor+misbruik+van+TeamViewer+na+aanval+op+waterzuivering
12-02-2021, 17:54 door Anoniem
Uit de stortvloed van APnews.com is iets nuttigs boven water gekomen: geleerde lessen, van andere water plants.

Fifteen incidents were selected and analyzed through a search strategy that included a variety of public information sources ranging from federal investigation reports to scientific papers. For each individual incident, the situation, response, remediation, and lessons learned were compiled and described.

A Review of Cybersecurity Incidents in the Water Sector
Amin Hassanzadeh [1], Avi Ostfeld [2], et al., revised: 25 Juli 2020
ASCE Journal of Environmental Engineering 146 (2020)

https://arxiv.org/abs/2001.11144

[1] Accenture Labs, Arlington [2] Israel Institute of Technology, Haifa
12-02-2021, 18:43 door Anoniem
Door _R0N_: Stap 1: gebruik geen teamviewer
Waaom? het is gewoon veilig te gebruiken. Mits je het goed neerzet.
12-02-2021, 21:07 door Anoniem
De aanval was in City of Oldsmar.

Daar is gevestigd: Aerospace Engineering IT | Cape Canaveral, FL | Aerodyne Industries
https://www.aerodyneindustries.com

Onderdelen: AEROSPACE • DEFENSE • GOVERNMENT
12-02-2021, 21:49 door Anoniem
Als dat Windows 7 machines zijn die direct aan het internet hangen, wie zegt dan dat die machines niet allang geowned zijn?
Het is dat er veranderingen zijn aangebracht in zaken die worden gemonitord...
12-02-2021, 21:56 door Anoniem
Jongens ikke iets niet snappe hierin...
Wat heeft team viewer hiermee te maken als je al
op je systeem Win 7 draait ?? en al helemaal kers op de taart geen Firewall gebruikt ??
Waar ben je dan mee bezig ??
Als je geen geld hebt om je systeem te updaten gebruik dan een gratis versie van linux ??
ZIt ik nou helemaal verkeerd ???
15-02-2021, 19:17 door Anoniem
Door Anoniem: Jongens ikke iets niet snappe hierin...
Wat heeft team viewer hiermee te maken als je al
op je systeem Win 7 draait ?? en al helemaal kers op de taart geen Firewall gebruikt ??
Waar ben je dan mee bezig ??
Als je geen geld hebt om je systeem te updaten gebruik dan een gratis versie van linux ??
ZIt ik nou helemaal verkeerd ???
Ook op Linux kan je Teamviewer installeren en ben je dus net zo kwetsbaar als met een willekeurige Windowsbak
15-02-2021, 21:02 door Anoniem
Door Anoniem: Ook op Linux kan je Teamviewer installeren en ben je dus net zo kwetsbaar als met een willekeurige Windowsbak

Met dit verschil dat men met de klassieke UNIX owner en group permissies, en een stel sudo en AppArmor profielen, het voor een buitenstaander praktisch onmogelijk te maken is om TeamViewer überhaupt onder de root of admin account, zonder 2FA-token, op afstand te gebruiken. Een systeem waarop de root account bovendien kan zijn uitgeschakeld.
15-02-2021, 22:53 door Anoniem
Door Anoniem:
Door Anoniem: Ook op Linux kan je Teamviewer installeren en ben je dus net zo kwetsbaar als met een willekeurige Windowsbak

Met dit verschil dat men met de klassieke UNIX owner en group permissies, en een stel sudo en AppArmor profielen, het voor een buitenstaander praktisch onmogelijk te maken is om TeamViewer überhaupt onder de root of admin account, zonder 2FA-token, op afstand te gebruiken. Een systeem waarop de root account bovendien kan zijn uitgeschakeld.

Top Reactie.
Met Jargon uitleg en al. Mijn complimenten.
17-02-2021, 12:56 door Anoniem
Toegang tot de TeamViewer afstandsbediening kan in de instellingen worden geweigerd. Dan is gebruik van TeamVier alleen met toezicht van de werknemer of PC eigenaar mogelijk. Voor werkzaamheden kan worden afgedwongen dat alle muisklikken door de meekijkende werknemer of eigenaar steeds moeten worden goedgekeurd.

Voor wel op afstand noodzakelijke werkzaamheden door de beheerder, met TeamViewer, is het verstandig, naast een sterk gekozen wachtwoord, ook een aparte tweede sleutel toe te passen (dat wordt ook wel een "2FA-token" genoemd, en die steek je daarvoor als een soort fysieke sleutel in een USB-poort).

De rechten van TeamViewer kunnen nog verder worden beperkt, zodanig dat daarmee helemaal niet als Administrator kan worden gewerkt. Beheer op afstand is dan onmogelijk. De beheerder moet dan zelf naar de plaats gaan waar de computer staat. Dat is erg omslachtig, maar meestal wel veel veiliger. De beheerder moet zich dan ter plekke identificeren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.