Het lijkt me dat "waterschap" hier niet het juiste woord is. Het artikel in Western People noemt een "private group water scheme" dat 180 huishoudens bedient. Wikipedia legt uit dat 20% van de Ierse huishoudens geen eigen aansluiting op het publieke leiding- en/of afvalwatersysteem hebben. Bij een "public group water scheme" heeft een groep huishoudens een gezamenlijke aansluiting op de publieke waterleiding met een meter voor de hele groep, bij een "private group water scheme" is er een privébron voor het water. Als je de twee plaatsnamen opzoekt, en de streeknaam Erris die in het artikel genoemd worden kom je uit op een schiereilandje in het noordwesten van Ierland.

https://en.wikipedia.org/wiki/Water_supply_and_sanitation_in_the_Republic_of_Ireland#Group_water_schemes

Ik ben toch wel benieuwd hoe ze bij airgapped plc's hebben kunnen komen?

Die waren vast niet echt airgapped.

Nu kan ik wel begrijpen dat een waterleverancier die 180 mensen bedient (dus ca. 100 woningen) geen professionele IT kracht in dienst heeft. Aan de andere kant vraag ik me af hoe ingewikkeld het is om drinkwater voor 180 mensen te produceren. Heb je daar werkelijk een systeem met PLCs voor nodig? Of was het simpeler om een "kant en klaar" systeem te kopen (inclusief gapend beveiligingslek) en dat, voor het gemak, maar op Internet aan te sluiten zodat je het op afstand kunt monitoren?

De rommel had gewoon nooit aan het net mogen hangen. Maar ja, het is zo makkelijk he...

de titel zou moeten zijn "180 huishoudens zonder water omdat zo nodig meuk die daarvoor niet geschikt is aan internet is gehangen"..

Met de 'natte' vinger - een paar pompen, een paar afsluiters , wat flowmeters, en misschien nog wat andere meters (kwaliteit ofzo . temperatuur, zuurstof %, verzin maar wat) .

Je schrijft alsof 'systeem met PLCs' enorme overkill is - maar die heb je in alle soorten en maten .

Een beetje harder pompen om aan een toenemende vraag te voldoen (douchetijd, WC in de pauze van de wedstrijd) - dat vergt iets van een PLC. Of noem het een controller. Of een regelaar .

Zeg je nu 'dat kan met een arduino' of 'raspberry pi' - precies, PLCs zijn vaak niks meer dan dat .

(in de analoge tijd : een vette buffer met een zwaartekracht regeling - aka 'watertoren' . Wat een afvlakcondensator doet in een lineaire voeding)


Want die cooperatie voor honderd huizen zou het beter in-house kunnen bouwen ?
Als er toevallig een goede rPi hobbyist tussen zit - ja. geweldig totdat paddy o'brien weg gaat.


Oh, je stelt voor dat je voor die honderd huizen een rooster maakt van 7x24 een mannetje (of vrouwtje) die in een hokje zit en naar wat metertjes kijkt ?

Het _is_ een moeilijk probleem.
Of je nu kleinschalig of grootschalig bent , je werkt in hetzelfde (vijandige) landschap, en grosso modo kost de eerste setup - of het nu voor honderd of honderdduizend klanten is dezelfde hoeveelheid werk.

Precies waar IT goed (en slecht ) voor is - typisch fikse initiele kosten en heel weinig incrementele kosten .

Er worden plc's gemaakt van RPi compute modules met wat extra voeding met accu zodat een nette shutdown mogelijk blijft.

- https://revolutionpi.com/
- https://openplcproject.github.io/runtime/raspberry-pi/

Die PLC's worden bediend met windows computers. Weet je nu genoeg? Zie ook https://nl.wikipedia.org/wiki/Stuxnet

Stuxnet is natuurlijk heel bijzonder - (een live demonstratie dat 'airgap' niet genoeg is) . Ik denk niet dat de linux fanboys moeten denken dat hun favo distro een type stuxnet-effort door heel erg professionele aanvallers wel gaat tegenhouden.

Voor dit type probleem - onbemand pompstation met een controllertje - zal er echt geen milspec airgap setup gebouwd zijn.
Het hele probleem - onbemand monitoren staat haaks op 'airgap' . Airgap wil zeggen dat er permanent mannetjes zitten aan de ge-airgapte kant van het netwerk voor monitoring en operations. In je opwerkingsfabriek doe je doet.
In een pompstation voor honderd huizen - niet.

Het zal hier doodgewoon een remote benaderbaar ding (gewoon webinterface, of rdp desktop, of pc anywhere, of ssh , of vpn) geweest zijn met een simpel password of een stokoude ongepatche setup.
Het enige bijzondere is dat er nu een pompstationnetje achter zat en niet voorraad beheer PC van Paddy's pub.

Als ik lees hoe de stuxnet worm zich heeft kunnen verplaatsen dan kunnen de door jou genoemde linux fanboys wel gerust ademhalen. Wat doet trouwens een Print Spooler service in zo'n omgeving? Die idiote windows service blijkt nog steeds regelmatig kwetsbaar te zijn.

Was niet het hele idee van het internet om computers op afstand met elkaar te laten communiceren? Ik kan iets verkeerd begrepen hebben, natuurlijk... ;-)

Ze hadden er een firewall voor zitten. Was die niet goed geconfigureerd? Of zat dat op zich goed en was een pc van een van de bewoners die het systeem benaderde gecompromitteerd? We kunnen er geen zinnig woord over zeggen totdat daar iemand onderzoekt wat er eigenlijk is misgegaan en als het resultaat openbaar wordt gemaakt en erover wordt bericht.

Als ik één ding heb geleerd is dat wat je op een afstandje zonder veel informatie wel even aanneemt maar al te vaak voor geen meter klopt.

Oh, je denkt dat er geen kandidaat zero days in linux kernel mode drivers wachten ? Er zijn goede redenen om daar erg pessimistisch over te zijn.

Print service ? Voor een UE-OC (uranium enrichment operations center) , aan de veilige kant van een airgap, is toch niet zo gek dat ze ook wel eens spul moeten printen ? In een N-OC of een S-OC gebeurt dat ook , tenslotte.

Maar soms denk ik echt dat ik hier ongeveer de enige ben die Linux ook werkelijk gebruikt - en kijkt naar updates.
Voor een toch echt niet heel uitgebreid ingericht systeem - vrijwel wekelijks "iets" dat een security patch nodig heeft , voor een nog kariger systeem - pakweg elke twee of drie weken weer eens 'iets' dat een security update nodig heeft .
Dan moet je niet snel gaan zitten denken dat een ploeg van wereldklasse exploit specialisten die zich daarop richt een probleem heeft om genoeg gaten op te lijnen om te bereiken wat ze willen.

Je hebt er niet veel van begrepen of je kijkt niet naar de patches. Linux != windows
Patches (3 soorten) komen als ze klaar zijn en zijn klein. Dat kan elke dag zijn. Bij windows worden ze opgespaard tot er een maand voorbij is en dan is zo'n bulk groter dan een heel Linux OS bij elkaar. Je kan dan ook nog eens niet werken.
Stuxnet ging niet om een Linux kernel zero day (die bijna nooit voorkomen, anders hadden we ook wel ransomware incidenten gezien. Die zijn voorlopig windowsonly).
Een van de trucs (onder Linux ondenkbaar) bij Stuxnet was https://www.security.nl/posting/29095/Microsoft+fix+voor+ernstig+Windows+LNK-lek p/url]en malware automatisch opstarten (onder Linux ondenkbaar) als je een stick in de pc stopt (overbruggen van de airgap).M.a.w. watervoorzieningen zijn zo veel beter af als ze het gebruik van windows verbieden. Het feit al dat je default een printservice (zero days al vergeten?) op een AD server aanzet is zoooo fout.Face it. Je gebruikt geen consumenten software voor kritische systemen. Als je dat toch doet ben je onverantwoordelijk bezig.Zeker als je ook nog eens PLC's gebruikt met standaardwachtwoord 1111

Als je denkt dat je systeem gevaar loopt omdat er zoveel patches uitkomen (alsof aantal iets zegt en grootte niets:)) kan je beter een andere distro nemen (bv rocky linux)

Ik begrijp het vrij behoorlijk hoor. En ik sprak specifiek over *security* patches.
Nou mag jij me uitleggen waarom een security patch langskomt en ik toch moet denken dat er geen security probleem was.


Ah, je begrijpt het zelf niet.

Ik zal het nog eens langszaam uitleggen :

Een gestage stroom aan security patches betekent dat er gestaag aantal lekken aanwezig was, die exploitable zijn.
Fijn dat ze gepatched wordt . En fijn dat er snel patches zijn.
Het tweede echelon hackers moet het hebben van exploiten van lekken die reeks gevonden zijn (maakt het makkelijker om de exploit te construeren), en de race lopen met beheerders wiens systemen nog niet gepatched zijn.
En dan kun je wat blijer zijn met frequente updates in plaats van maandelijkse batch updates.

Het eerste echelon hackers - en daar moet je stuxnet auteurs toe rekenen - zoeken en vinden exploitable bugs - die nog niet bekend en dus nog niet gepatched zijn .
Uit de gestage stroom aan security patches kun je toch echt concluderen dat er meer exploitable bugs te vinden zijn door partijen die goed genoeg kunnen zoeken - en waarbij je NIET aan het racen bent tussen patch geinstalleerd en exploit, maar de aanvaller al begonnen is met exploiten voordat jij (of iemand) maar een patch heeft.

Kijk gewoon naar de jaar oogst van CVEs voor wat je draait op een distro, denk na over de vraag "zou echt NIEMAND anders die bugs gevonden hebben voor de whitehat die ze vond en rapporteerde" - en vraag je dan af hoe je gevaren zou hebben als je echt doelwit was van een wereldklasse team.


Stuxnet ging om exploits voor wat er in Iran gebruikt werd - dat was Windows, en Siemens aimgh.
Ransomware gaat primair om wat er in omgevingen die losgeld kunnen betalen gebruikt wordt. (en heeft meer dan genoeg aan userland exploits).
Ransomware _bestaat_ wel degelijk voor Linux/Unix omgevingen, zoals sommige hosters hebben mogen ervaren. (Erebus, Abyss ) . En de Linux based Nasjes exploiten ook bij de vleet.


"Maintainer burnout" is een linux kernel summit discussie onderwerp - met als één van de oorzaken de vloed van fuzzer reports van allerlei kernel oopses . (waarbij het zeker aannemelijk is dat - met het nodige werk - een oops tot een exploit te verbouwen is) .
Slechts fuzzing, niet eens echt intelligent geconstrueerde malicious images .

Achterover leunen en jezelf immuun achten kun je echt niet doen, als Linux gebruiker/beheerder.
Stellen dat je sommige dingen beter doet dan Windows - dat misschien wel. Stellen dat er niks gevonden KAN worden "want linux" , hopeloos naief.

Niemand die dat beweerd maar de fanatieke get the facts campaign 2.0 is blijkbaar begonnen (je bent er even voor gaan zitten).
Feit is dat er Linux ransomware bestaat want iedereen kan het schrijven maar de grote uitdaging is hoe komt het er op! en dat blijkt niet zo makkelijk gezien het aantal ransomware incidenten. Blijf ook lekker fantaseren over de hoeveelheid cve's. Wat belangrijk is niet de hoeveelheid (linux is opgebouwd uit veel kleine pakketjes) maar de severity er van. Kritiek komt bij Linux amper voor en windows elke maand, daarom chronisch kritiek lek en is versleuteling van servers bijna windows only. Een server opnieuw installeren (plus infrastructuur) is van een andere orde ook dan een user restoren (vraag beheerders).
Daarnaast heeft Linux ook de tools voor superieur lifecyclemanagement https://www.theforeman.org/
Waterschapvoorzieningen doen er dan ook goed aan om afscheid te nemen van de huidige monocultuur voordat we met vervuild water zitten.

Critical Windows patches worden niet opgespaard tot patch tuesday, maar worden gereleased op het moment dat ze beschikbaar komen. Dat kan ook een mitigerende maatregel zijn, waarbij de daadwerkelijke fix bij patch tuesday wordt uitgerold.

Ransonware is er wel degelijk voor Linux, al richt deze zich met name op NAS'en, zoals SynoLocker, Stealthworker, DeadBolt en QLocker to name but a few. En nee, ze zijn niet allemaal specifiek voor een bepaald merkt NAS, zoals Synology of QNap. DeadBolt bijvoorbeeld werkt op QNap, AsusStor en Terramaster.

Over het algemeen genomen is er in 2022 een toename van 75% geweest van Ransomware op Linux gebaseerde systemen. Saillant detail: de ransomware Erebus is oorspronkelijk van Windows, maar inmiddels actief op Linux.

Airgap is iets van de jaren 60, toen dezelfde software jaren bleef draaien omdat de vereisten en wetgeving statisch bleef en er dus ook geen nood was aan remote updates.

Vandaag is airgap niet echt meer nodig en kan je dat ook een internet PLC op een secure manier doorvoeren als je de juiste architectuur gebruikt.
Typisch heb je 3 toegangsniveaus: De control loop, de parameters voor de control loop, en de remote monitoring.
De eerste 2 kan je niet zomaar remote veranderen.