Onderzoekers hebben een hele verzameling van exploits voor industriële besturingssystemen gepubliceerd en gebundeld voor hackers, als shocktherapie voor de ‘lakse’ SCADA-branche. De security-onderzoekers hebben details van een hele berg gaten in SCADA-systemen gepubliceerd. Een aantal van deze exploits zijn al beschikbaar in de hackerstool Metasploit. Het betreft kwetsbaarheden in systemen van onder meer General Electric, Rockwell Automation, Schneider en Koyo Electronics.
Supervisory Control and Data Acquisition (SCADA) is software die wordt gebruikt om machines en systemen aan te sturen in industriële complexen als waterleidingsystemen, kerncentrales, olieplatformen en gasinstallaties.
Door het hacken van SCADA en PLC-systemen kan allerlei kritieke infrastructuur onklaar worden gemaakt. De bekendste en meest spectaculaire hack is de Stuxnet-worm, een ingenieuze digitale tientrapsraket die uraniumcentrifuges in Iraanse kerncentrale bij Natanz bespioneerde en saboteerde. Begin vorig jaar onthulde Luigi Auriemma ook al enkele lekken in SCADA-producten, van onder meer Siemens, Datac en 7-Technologies.
Berg SCADA hacks: rood kruis is eenvoudig te misbruiken gat, geel uitroepteken is ingewikkelder exploit, groen vinkje is security op orde (afbeelding: Wired)
SCADA-fabrikanten laks
Opmerkelijk is dat de onderzoekers besloten hebben om de gehackte fabrikanten niet op de hoogte te stellen. Dit als shocktherapie voor de SCADA-branche, die al “tientallen jaren laks” is, aldus onderzoeker Dale Peterson.
Tegenover Wired geven ze nog een andere reden. Ze wilden niet dat hun presentatie van de exploits zou worden getorpedeerd door claims of verzoeken van de fabrikanten te elfder ure. Vorig jaar werd een presentatie over een Siemens SCADA-lek op het laatste moment afgelast, omdat volgens Siemens en het ministerie van Homeland Security hierdoor de veiligheid van kritieke infrastructuur in gevaar zou komen.
Tientallen SCADA-inlogpagina’s gepubliceerd
Vroeger waren SCADA-systemen allemaal stand-alone, maar door de jaren heen zijn steeds meer systemen via het internet benaderbaar, met alle aanvalsvectoren van dien. De security van SCADA-software is desondanks achtergebleven, en patches worden zelden uitgegeven, laat staan geïnstalleerd.
Afgelopen week is de Nederlandse internetactivist @ntisec druk bezig geweest met het opsporen van webfaced SCADA-systemen en heeft een lijst overgedragen aan het Nationaal Cyber Security Team. Maar omdat hij, na een brief van dat Team, nog steeds niets gehoord heeft over de afhandeling van die beveiligingsgevaren, besloot @ntisec deze week de inlogpagina’s van de gevonden SCADA-systemen te publiceren via twitter.