"Siemens bagatelliseert lek in kerncentrale-software"
Een beveiligingslek in de software die onder andere door kerncentrales wordt gebruikt, is volgens Siemens lastig door hackers te misbruiken, maar de onderzoeker die het probleem ontdekte is het hier niet mee eens en stelt dat het Duitse bedrijf het imago probeert te redden. Vorige week zou beveiligingsonderzoeker Dillon Beresford een presentatie over lekken in de Simatic programmable logic controller (PLC) software geven, maar annuleerde dit op verzoek van Siemens en de Amerikaanse overheid.
Siemens liet vervolgens weten dat een update binnen enkele weken beschikbaar zou zijn en dat de kwetsbaarheid lastig voor hackers te misbruiken was. Dit tot groot ongenoegen van Beresford. "Siemens heeft sommige dingen tegen de pers gezegd waar ik het niet mee eens ben", aldus de onderzoekers op de SCADASEC-mailinglist. "Ik wil het graag hier in het open met jullie over hebben, omdat 'damage control' en het bagatelliseren van de impact een typische tactiek van leveranciers is om hun publieke imago te beschermen."
Laboratorium
Volgens Siemens zijn de kwetsbaarheden tijdens "speciale laboratorium omstandigheden" ontdekt, met onbeperkte toegang tot protocollen en controllers. "De lekken zijn niet lastig voor een doorsnee hacker te misbruiken, omdat ik de code aan een aantal Metasploit modules heb toegevoegd", laat Beresford weten. De modules worden waarschijnlijk pas vrijgegeven als Siemens een patch heeft uitgerold.
De onderzoeker is ook niet te spreken over de 'security feature' die Siemens voorstelde. Beresford wist die binnen 45 minuten na het gesprek met de Siemens security engineers te omzeilen. "Ik wist dat de feature lek was vanaf het moment dat ze de oplossing voorstelden en uitlegden, omdat ik veel meer dan alleen de PLCs heb gehackt." Daarnaast waren er geen speciale omstandigheden waarin de onderzoeker opereerde of onbeperkte toegang tot protocollen.
"Criminelen kijken ook naar deze lekken en spelen niet volgens dezelfde ethische spelregels. Je kunt beter dankbaar zijn dat ik de problemen eerst heb gevonden en als je denkt dat je dankbaar bent, denk dan nog eens na en kijk naar de verklaring van je PR-team", haalt Beresford naar Siemens uit. "De klok tikt. Ik verwacht meer van een bedrijf dat 80 miljard waard is en zo ook de klanten."
Hij had bij het uitstel gelijk aan moeten geven wanneer hij het publiceert. Dan weet Siemens waar ze aan toe zijn. De druk die op hem is uitgeoefend zal dus wel erg hoog zijn geweest want hij geeft nog steeds geen datum af.
Siemens PLC's zitten in de helft (gegeven hun marktaandeel) van alle
industriele installaties in NL. Dus, als je straks in je auto over een brug
rijdt, hoop dan maar dat de PLC niet net besluit om het brugdek omhoog
te doen vanwege een hackkie. Om maar eens wat recente voorbeelden
te noemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
