Industriële controlesystemen waterschappen VS gekaapt via wachtwoord 1111
Aanvallers zijn erin geslaagd om industriële controlesystemen van Amerikaanse waterschappen en andere sectoren door middel van het standaardwachtwoord '1111' te compromitteren, zo hebben de FBI, Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) bekendgemaakt. Organisaties worden dan ook opgeroepen het standaardwachtwoord te wijzigen.
De aanvallen zijn gericht tegen programmable logic controller (PLC's) van fabrikant Unitronics. Waterschappen gebruiken plc's om verschillende fases van de water- en rioolzuivering te beheren en monitoren, waaronder het in- en uitschakelen van pompen van een pompstation, het vullen van tanks en reservoirs, het toevoegen van chemicaliën, verzamelen van gegevens voor toezichtsrapporten en het waarschuwen voor kritieke situaties.
De plc's en gerelateerde controllers zijn vanwege de controle- en monitoringsfunctionaliteit vaak vanaf het internet toegankelijk. Bij de aanvallen richten de aanvallers zich op de gebruikersinterface. Zodra de aanvallers toegang tot een plc hebben laten ze een boodschap op het scherm van het apparaat zien. Hierdoor kan het apparaat ook stoppen met werken.
Daarnaast kan de toegang tot de plc voor verdere toegang en aanvallen worden gebruikt, die grotere fysieke gevolgen voor processen en apparatuur kunnen hebben, aldus de Amerikaanse overheidsdiensten. Naast waterschappen worden de Unitronics plc's ook in andere vitale sectoren gebruikt, zoals energie, voeding, productie en gezondheidszorg.
Daar komt bij dat de apparaten ook onder andere namen en merken kunnen worden aangeboden.De Amerikaanse diensten stellen dat organisaties in meerdere Amerikaanse staten inmiddels slachtoffer zijn geworden. Naast het wijzigen van het standaardwachtwoord worden organisaties in vitale sectoren ook opgeroepen de plc's van het publieke internet los te koppelen.
Conclusie: hang ze niet aan een netwerk wat van buiten af toegankelijk is. Moeilijker is het niet. Maar ja, die managers he...
Aan de andere kant; ik heb een NDA getekend dus...... eigen schuld
Conclusie: hang ze niet aan een netwerk wat van buiten af toegankelijk is. Moeilijker is het niet. Maar ja, die managers he...
Altijd weer van die betweterige IT nerds die het aan de managers wijten.
Inderdaad - de controllers zijn ongeschikt hun om hun eigen broek op te houden qua login/security .
Maar het is geen 'manager' die die internet kabel eraan hangt. Het is geen manager die er een PC Anywhere voor hangt.
Het is geen 'manager' die auto updates uit zet op de gateway/pc anywhere/terminal.
Nee makker, "we" hebben echt collega's die ongeschikt zijn voor hun vak .
Als je het beter weet - moet je ook de ruggegraat hebben om tegen je manager te zeggen hoe het gebouwd gaat worden , wanneer het klaar is, en wat voor budget opgenomen moet worden.
Alleen maar betweten bij je IT vriendjes win je de oorlog niet mee.
Conclusie: hang ze niet aan een netwerk wat van buiten af toegankelijk is. Moeilijker is het niet. Maar ja, die managers he...
Altijd weer van die betweterige IT nerds die het aan de managers wijten.
Inderdaad - de controllers zijn ongeschikt hun om hun eigen broek op te houden qua login/security .
Maar het is geen 'manager' die die internet kabel eraan hangt. Het is geen manager die er een PC Anywhere voor hangt.
Het is geen 'manager' die auto updates uit zet op de gateway/pc anywhere/terminal.
Nee makker, "we" hebben echt collega's die ongeschikt zijn voor hun vak .
Als je het beter weet - moet je ook de ruggegraat hebben om tegen je manager te zeggen hoe het gebouwd gaat worden , wanneer het klaar is, en wat voor budget opgenomen moet worden.
Alleen maar betweten bij je IT vriendjes win je de oorlog niet mee.
Exact!
1. sluit de spanning aan
2. sluit netwerkabel aan
3. installeer app
4. zoek "te bedienen apparaat", vervang naam "apparaat" door je eigen naam
5. veel succes verder ....
Username / password Veere/Veere, Almelo/Almelo of 1111/1111 ...
Wie vroeg er om "Veilige" bediening?
Tja, zo’n simpel wachtwoord, dat verwacht je toch niet?
Plc’s zijn niet ontworpen voor geavanceerde toegang. Die zet je hiervóór.
En als de tijd verstrijkt en de toegangsbeveiliging is onvoldoende, dan vervang je de beveiliging.Niet de plc.
Tja, onvoorstelbaar dat dit vandaag de dag nog zo gebeurd.
0032 mop : 'allemaal énen, maar ik zeg niet in welke volgorde !'
En als je dan een echte professional bent, dan richt je het systeem zo in dat ze stats kunnen krijgen op een veilige manier. En als ze de kosten voor die veiligere opzet niet willen dragen, dan laat je ze tekenen voor het risico dat ze willens en wetens lopen. Dan worden stats ineens minder belangrijk, of komt er extra budget beschikbaar.
Maar vooral het management de schuld blijven geven...Management vraagt vaak om oplossingen die niet per definitie heel veilig zijn, dat klopt. Maar die onveilige zaken komen in de wereld omdat de professionals die beter zouden moeten weten het mogelijk voor ze maakt om dergelijke dingen te doen.
Wanneer steekt de professional eens een keer de hand in eigen boezem?
Nee makker, "we" hebben echt collega's die ongeschikt zijn voor hun vak .
Als je het beter weet - moet je ook de ruggegraat hebben om tegen je manager te zeggen hoe het gebouwd gaat worden , wanneer het klaar is, en wat voor budget opgenomen moet worden.
Alleen maar betweten bij je IT vriendjes win je de oorlog niet mee.
Exact![/quote]
Het hogere management is wel degelijk verantwoordelijk voor het niet (naar behoren) inrichten van de benodigde goverance processen op security gebied. Het feit dat systemen worden geinstalleerd terwijl er wel degelijk security kwaliteitsraamwerken zijn voor OT / PLC apparatuur die duidelijk niet worden toegepast is een falen van het management! Zij behoren te weten dat er beschermingsmaateregelen nodig zijn in dergelijke omgevingen.Dat is een kwestie van bestuursverantwoordelijkheid!
Zij moeten de correcte uitvoering van (IT) beschermingsprocessen (laten) controleren zodat KRITIEKE drinkwater infrastructuur, die bij een hack kan leiden tot duizenden slachtoffers als er giftige troep uit de kraan komt, afdoende beschermd en bewaakt wordt. In de meeste gevalen is dat ook zo fysiek ingeregeld dat men dat op de centrale locatie weet te voorkomen. Helaas zijn er vaak nog andere situaties waar ik niet verder op in ga.
Managers en bestuurders zijn verantwoordelijk voor het met kennis (laten) inrichten en onderhouden van kritieke infrastructuur. En als de beleidsmakers dit verzuimen te controleren op opzet, bestaan(!) en werking(!) zijn ze domweg aansprakelijk. Je kunt bepaalde risico's niet neerleggen op operationeel niveau. En zo redeneert de wetgever gelukkig ook niet. Maar inderdaad kwamen er nog teveel managers weg met malafide praktijken. Daar is met NIS2 straks. als die tenmoinste goed ten uitvoer wordt gebracht, een einde aan. Managers zijn namelijk zelfs na vertrek nog aansprakelijk voor de puinhopen die ze achter hebben gelaten!
En als je dan een echte professional bent, dan richt je het systeem zo in dat ze stats kunnen krijgen op een veilige manier. En als ze de kosten voor die veiligere opzet niet willen dragen, dan laat je ze tekenen voor het risico dat ze willens en wetens lopen. Dan worden stats ineens minder belangrijk, of komt er extra budget beschikbaar.
Maar vooral het management de schuld blijven geven...Management vraagt vaak om oplossingen die niet per definitie heel veilig zijn, dat klopt. Maar die onveilige zaken komen in de wereld omdat de professionals die beter zouden moeten weten het mogelijk voor ze maakt om dergelijke dingen te doen.
Wanneer steekt de professional eens een keer de hand in eigen boezem?
Wie zegt dat een IT-er dit heeft ingericht. Kan zo maar zijn gedaan door een knechtje van de electricien... Allemaal aannames... En niemand in het management die blijkbaar controle processen heeft ingericht om te voorkomen dat het zo dom ingericht kon worden... Doe goedkoopste aannemer kreeg de klus toch? Tja die werkte niet met echte professionals. Maar dat boeide toch niet!!!
Ach ja, want het werkvolk staat te springen om over besneeuwde wegen naar een onbemand pompstation te toeren om even op een knop te drukken of de meterstanden op een clipboard te schrijven.
Maar het is alleen maar 'management' die dingen op afstand wil.
Wij IT professionals willen ook niks doen op afstand, we racen graag lekker in de nacht (of in de avondspits) naar een datacenter om in de koude (of te warme) kurkdroge lucht met een takke herrie even op een knop te drukken .
Altijd maar weer management dat ons verplicht om OOB/drac/ilo en remote power switches erbij te hangen.
Het zal vast ook een manager geweest zijn die zo'n IT professional een geschreven dienstopdracht gaf om de pincode op '1111' in te stellen ondanks alle protesten van die ITer . Vast.
Man man man, wat een stel Calimero's zit er toch in mijn vak.
Natuurlijk was er een hoop mis bij dat pompstation - maar dat ligt echt niet allemaal aan 'management'.
(Zoals ik eerder, en ook Chase 13:21 schreven).
Tja, zo’n simpel wachtwoord, dat verwacht je toch niet?
Zyxel anyone?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.