Hacker kraakt rioolsysteem via zwak wachtwoord
In de Verenigde Staten is weer een waterinstallatie gehackt, dit keer door het gebruik van een wachtwoord bestaande uit drie karakters. De hacker met het alias "pr0f" werd geprikkeld door een uitspraak van de Amerikaanse overheid. Een overheidsfunctionaris liet na de aanval op een waterpomp weten dat de kritieke infrastructuur niet in gevaar was. Dit tot grote woede van de hacker, die stelt dat de beveiliging van de nationale infrastructuur er zeer slecht voor staat. "Dit was stom. Ongekend stom. Ik walg van de manier waarop Homeland Security de absolute verrotte staat van de nationaal infrastructuur bagatelliseert."
Hij besloot daarop de SCADA-systemen (supervisory control and data acquisition) van South Houston te testen, een kleine stad in Texas. Via een scanner die naar online vingerafdrukken van SCADA-systemen zoekt, ontdekte hij Siemens Simatic human machine interface (HMI) software die via het internet toegankelijk was. De beveiliging bestond uit een wachtwoord van drie karakters en gaf toegang tot het rioolsysteem. Het ging volgens de hacker alleen om een 'proof-of-concept', zonder dat hij schade aanrichtte.
Kinderspel
"Dit was nauwelijks een hack te noemen", stelt de hacker. "Een kind dat de HMI kent die met Simatic komt, had dit kunnen doen." Het is dan ook vooral de grove nalatigheid van het nutsbedrijf dat de watervoorziening exploiteert dan dat het een geavanceerde hack betreft.
Als bewijs maakte de hacker verschillende screenshots van de HMI-software en zette die online via Pastebin en Mediafire.
Onzin
"Mensen hebben geen idee wat er speelt als het gaat om industriële controlesystemen. Groepen zoals ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) zijn te traag of hebben niet voldoende mankracht om op situaties te reageren. Er gaat teveel onzin rond die serieus wordt genomen. Daarom zet ik deze informatie online zodat mensen kunnen zien wat voor systemen kwetsbaar voor basale aanvallen zijn", gaat "pr0f" verder.
In juli waarschuwde Siemens nog voor een wachtwoord-lek in de software, waardoor aanvallers het wachtwoord konden ontcijferen. Toen werd geadviseerd om toegang tot Simatic producten te beperken. Inmiddels heeft het stadje het SCADA-systeem van het internet losgekoppeld.
Een kind die de HMI kent die met Simatic komt, had dit kunnen doen.
Eh ? Welke kinderen kennen dit dan ?
Kinderen die met hun ouders meegaan naar het werk ?
De systemen zijn natuurlijk gemaakt/geplaatst in tijden dat het nog niet
aan het internet hing. En dus weinig tot geen beveiliging is meegenomen in
het ontwerp.
Hopelijk pikken de instanties dit op en gaan het snel oplossen.
Maar die kans is natuurlijk zeer klein, we gaan pas wat doen als we niet
anders kunnen.
Een kind die de HMI kent die met Simatic komt, had dit kunnen doen.
Eh ? Welke kinderen kennen dit dan ?
Kinderen die met hun ouders meegaan naar het werk ?
De systemen zijn natuurlijk gemaakt/geplaatst in tijden dat het nog niet
aan het internet hing. En dus weinig tot geen beveiliging is meegenomen in
het ontwerp.
Hopelijk pikken de instanties dit op en gaan het snel oplossen.
Maar die kans is natuurlijk zeer klein, we gaan pas wat doen als we niet
anders kunnen.
Je moet echt geen slimme en ietwat verveelde kinderen onderschatten.
En het excuus wat je opvoert is niet terecht.
Iemand heeft dat systeem met nono password een keer aan het internet gehangen, en dat is niet acceptabel.
Al niet op het moment van aansluiten.
Het ontwerp van het scada systeem zelf is daar geen excuus voor, realiseren dat publiek bereikbaar maken geen veilig idee is had de verantwoordelijke organisatie zelf moeten en kunnen doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
