De software die voor energienetwerken, de watervoorziening en andere kritieke infrastructuur wordt gebruikt is minder veilig dan iTunes, aldus twee bekende beveiligingsonderzoekers. Onderzoekers Billy Rios en Terry McCorkle wijzen naar een voorval met een lek in de software van Tridium. Het bedrijf reageerde niet op bevindingen van de onderzoekers en wilde volgens Rios en McCorkle ook geen verantwoordelijkheid nemen.
Tridium ontwikkelde het Niagara Framework dat onder andere wordt gebruikt voor het beheer van verschillende Pentagon-faciliteiten. Rios ontdekte dat de software kwetsbaar was voor een directory traversal-aanval, waardoor hij gehashte wachtwoorden en gebruikersnamen kon achterhalen. Ook werden er in de software andere kwetsbaarheden ontdekt die op afstand zijn te misbruiken. Eén van die lekken werd tijdens een audit ontdekt.
Toch besloot de Amerikaanse overheid om de Tridium software aan te schaffen. "We zijn teleurgesteld dat ons belastinggeld voor de genegeerde security audit, de aanschaf en implementatie en uitrol van software heeft betaald waarvan bekend was dat er lekken in zaten", aldus de twee onderzoekers. Die roepen de Amerikaanse autoriteiten op om het proces met de betrekking tot de aanschaf van SCADA-software te herzien.
Reactie
De grootste teleurstelling voor de onderzoekers is de reactie van Tridium waarbij de schuld van de problemen bij de klant wordt gelegd. "We hebben dit ook bij andere ICS-leveranciers gezien. Het zou nooit de verantwoordelijkheid van de klant moeten zijn om slecht ontwerp te compenseren." Tridium liet een reactie tegenover de Washington Post weten dat het industriestandaarden volgt en klanten beter gaat onderwijzen, maar volgens de onderzoekers is dat niet het probleem.
ICS- en SCADA-software loopt lichtjaren achter op moderne software. Het gaat dan om zaken als automatisch patchen en richtlijnen voor veilige installaties. "De oorzaak van de problemen bij Tridium is het slechte ontwerp en programmeren van het bedrijf zelf. Misschien zou Tridum eerst moeten investeren om de ontwikkelaars veilig te laten programmeren", besluiten Rios en McCorkle.
Deze posting is gelocked. Reageren is niet meer mogelijk.