image

Veel ICS-leveranciers missen security@ e-mailadres

maandag 2 februari 2015, 14:16 door Redactie, 3 reacties

Veel bedrijven die systemen voor de vitale infrastructuur ontwikkelen hebben geen security@ e-mailadres waar beveiligingsonderzoekers hen op kunnen bereiken in het geval er kwetsbaarheden worden ontdekt. Maar zowel met als zonder dit e-mailadres blijken leveranciers meldingen van lekken te negeren.

Dat meldt beveiligingsbedrijf Digital Bond. Het bedrijf houdt zich bezig met het onderzoeken van SCADA- (supervisory control and data acquisition) en ICS- (Industrial control system) systemen. Onlangs ontdekte het bedrijf een kwetsbaarheid waardoor aanvallers de werking van industriële en vitale systemen zouden kunnen beïnvloeden. De onderzoekers besloten alle leverancier die de kwetsbare software gebruiken te benaderen.

In totaal werden 32 leveranciers gemaild op een security@ e-mailadres. Slechts drie van deze e-mails kwamen aan, bij de overige 29 leveranciers bleek het e-mailadres niet te bestaan. Vervolgens werd de leverancier via het standaard support@ e-mailadres benaderd. Twee maanden later heeft nog geen één van de getroffen leveranciers een reactie gegeven, op een geautomatiseerd ticket na. Reid Wightman van Digital Bond roept leveranciers dan ook op om de afwerking van bugmeldingen te verbeteren.

"De sleutel om met onderzoekers om te gaan is echt communicatie", stelt hij. Bedrijven die nog geen security@ e-mailadres hebben doen het dan ook verkeerd, aldus Wightman. "Er heerst nog steeds angst onder leveranciers dat het hebben van een security-e-mailadres aangeeft dat er beveiligingsproblemen zullen zijn. Zet je erover heen." Het omgaan met bugmeldingen zou juist de houding en de volwassenheid van de leverancier aantonen. Wightman besluit door te zeggen dat er al tal van bedrijven zijn die dit soort zaken goed oppakken, maar dat er nog maar weinig ICS-bedrijven zijn die dit doen.

Reacties (3)
02-02-2015, 14:33 door Anoniem
Iedereen die een maildomein bedrijft hoort een postmaster@ te hebben, en (informeler) een abuse@. Veel te vaak bestaan ze beiden niet. Verder is er de whois-informatie waar ook een contactadres (strikt genomen voor het domein zelf) in zou moeten staan. Ik zie niet dat deze bloggerts daar naar gekeken hebben, of zelfs het aloude info@ of sales@ geprobeerd hebben. Wat dat betreft hadden ze best even door mogen gaan met proberen.
02-02-2015, 15:20 door Anoniem
Note that "security@" may not be a viable option because IETF RFC 2142 suggests using that mailbox name for reporting or inquiring about network operational security issues.
03-02-2015, 10:41 door Anoniem
Maak je geen zorgen hoor. Mensen trekken zich geen zak aan van welk officieel adres er zou moeten bestaan of waar iets officieel heen zou moeten. Men gooit persoonsgegevens of andere informatie waarvan je zou willen dat alleen de juiste persoon het ontvangt met het grootste gemak naar een lukraak gekozen emailadres of voeren het op ieder willekeurig formulier wat ze kunnen vinden in. Niet in de laatste plaats omdat men er heilig van overtuigd is dat ze het beter weten dan de rest en het de verantwoordelijkheid van de ontvanger is om maar uit te zoeken voor wie de gegevens zijn en het door te sturen. Mensen verwachten massaal nog dat er een soort van postkamer achter mailadressen en webformulieren zit waar je lukraak iets heen kan sturen voor een bedrijf of organisatie. En aan de andere kant klagen personen dat je de persoonlijke gegevens dan intern hebt doorgezet als blijkt dat ze de verkeerde persoon of organisatie hebben aangeschreven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.