image

Onderzoeker lanceert whitelist van goede SCADA-bestanden

dinsdag 2 december 2014, 11:01 door Redactie, 2 reacties

De bekende beveiligingsonderzoeker Billy Rios heeft een gratis online whitelist gepubliceerd waarmee bestanden voor SCADA- en ICS-systemen kunnen worden gecontroleerd, zo heeft de onderzoeker via Twitter bekendgemaakt. SCADA (supervisory control and data acquisition) en ICS (Industrial control system) zijn systemen die door fabrieken, industrieën en de vitale infrastructuur worden gebruikt.

Via WhiteScope, zoals de tool heet, kan er een hash van een bestand of een bestand zelf worden geüpload. Vervolgens wordt er in een database van bekende, goedaardige SCADA-bestanden gekeken of het om een bekend bestand gaat. De database bestaat uit bestandshashes, registeraanpassingen, processen en geladen modules voor ICS/SCADA-software. De informatie is van installatiemedia en draaiende systemen afkomstig.

Rios besloot de tool te ontwikkelen omdat het vrij lastig voor beheerders is om te bepalen wat een "legitiem" ICS/SCADA-bestand is en wat niet. "Doordat de meeste ICS/SCADA-leveranciers weigeren hun software digitaal te signeren, is moeilijk om vast te stellen wat een bestand precies is", aldus de onderzoeker. Met dit in het achterhoofd ontwikkelde Rios WhiteScope, zodat anderen hun bestanden kunnen vergelijken.

Reacties (2)
02-12-2014, 12:41 door Anoniem
SCADA-beveiliging is vooral gebaseerd op security by obscurity in de praktijk, dit gaat daar natuurlijk niet aan bijdragen.

Wel is het een goed initiatief om ontwikkelaars eens met de neus op de feiten te drukken.
Echter, ik blijf van mening dat cruciale infrastructuur niet aan het WWW gehangen mag worden; goedkoop = duurkoop.
02-12-2014, 12:47 door Orion84
Incl. MD5 support. Dus met wat knutselwerk fiks je als aanvaller gewoon een kwaadaardige file die netjes een collision geeft met een goedaardige file en dan duimen dat de admin zo dom is om de validatie tegen deze white-list te doen met behulp van MD5.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.