VS waarschuwt voor aangevallen lek in industrieel veiligheidssysteem
Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft een waarschuwing gegeven voor een zeer ernstig beveiligingslek in een industrieel veiligheidssysteem dat door allerlei fabrieken wordt gebruikt en het doelwit van de Triton-malware is.
De kwetsbaarheid bevindt zich in het Schneider Electric Triconex Tricon-systeem. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid met de maximale score van een 10 beoordeeld. Het Triconex Safety Instrumented System (SIS) is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.
Vorig jaar wisten aanvallers via de Triton-malware toegang tot een SIS-werkstation van een Petrochemische fabriek in Saudi- Arabië te krijgen. Vervolgens besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten eerder dit jaar weten. Volgens Schneider Electric maakte de Triton-malware gebruik van een zeroday-lek in het systeem.
Het ICS-CERT, dat onderdeel van het Amerikaanse ministerie van Binnenlandse Veiligheid is, waarschuwt voor twee kwetsbaarheden in het Schneider Electric Triconex Tricon-systeem die specifiek door de Triton-malware worden aangevallen en eenvoudig zijn te misbruiken. Misbruik van de kwetsbaarheden maakt het mogelijk om het Safety Instrumented System verkeerd te informeren of te besturen, waardoor het mogelijk wordt om willekeurige code uit te voeren, het systeem uit te schakelen of het veiligheidssysteem te compromitteren. Schneider Electric heeft een update uitgebracht en klanten krijgen het advies om die te installeren. Daarnaast geeft het ICS-CERT nog aanvullende adviezen om Triconex-veiligheidssystemen te beveiligen.
Het overgrote deel van ons, de mensheid realiseert zich nog steeds onvoldoende hoe enorm diep digitale besturingssysteem zijn geworteld in realtech processen. Het bewustzijn van procesbewaker tot ingenieur/uitvinder komt langzaam op gang door enigszins vergelijkbare technologiën zoals Iot maar het gaat me te langzaam.
Wie realtech processen kan manipuleren - denk dan maar aan bijvoorbeeld dienstregeling van Prorail/NS vs. atb (automatisch trein beïnvloedingssysteem) heeft een griezelig grote machtsfactor in handen.
Het overgrote deel van ons, de mensheid realiseert zich nog steeds onvoldoende hoe enorm diep digitale besturingssysteem zijn geworteld in realtech processen. Het bewustzijn van procesbewaker tot ingenieur/uitvinder komt langzaam op gang door enigszins vergelijkbare technologiën zoals Iot maar het gaat me te langzaam.
Wie realtech processen kan manipuleren - denk dan maar aan bijvoorbeeld dienstregeling van Prorail/NS vs. atb (automatisch trein beïnvloedingssysteem) heeft een griezelig grote machtsfactor in handen.
Zonder privacy en een bewustzijn op dat vlak is er geen kans dat mensen zich hier wel bewust van zouden zijn. Het jouwe het jouwe laten is een mindset die veel breder is dan alleen het één of het ander. In een wereld waarin men gewend is dat alles publiek is zal alles ook vanzelf publiek zijn.
Het overgrote deel van ons, de mensheid realiseert zich nog steeds onvoldoende hoe enorm diep digitale besturingssysteem zijn geworteld in realtech processen. Het bewustzijn van procesbewaker tot ingenieur/uitvinder komt langzaam op gang door enigszins vergelijkbare technologiën zoals Iot maar het gaat me te langzaam.
Wie realtech processen kan manipuleren - denk dan maar aan bijvoorbeeld dienstregeling van Prorail/NS vs. atb (automatisch trein beïnvloedingssysteem) heeft een griezelig grote machtsfactor in handen.
Zonder privacy en een bewustzijn op dat vlak is er geen kans dat mensen zich hier wel bewust van zouden zijn. Het jouwe het jouwe laten is een mindset die veel breder is dan alleen het één of het ander. In een wereld waarin men gewend is dat alles publiek is zal alles ook vanzelf publiek zijn.
Ik moet een gloeiend heet vergelijkingscriterium aanroeren om mijn punt kenbaar te maken en je gaat nu juist daar alleen op in. Dat is niet slechts wat ik zo jammerlijk vind maar ook hoe alles op het gebied van digitale security meer en meer wordt gedwongen privacy gerelateerd te zijn, of het krijgt het stigma, anders wekt het blijkbaar weinig of geen beroering. Andere zaken die blijkbaar belang afdwingen zijn malware gerelateerd aangaande bedreiging of vernietiging van - ook weer - privacy gerelateerde zaken zoals computerbestanden.
Jammer dat je het gevaar, zoals het onderwerp van dit topic, buigt - overigens heel goed geformuleerd - in een richting die al zo uittentreure belicht wordt.
Ik vermoed dat het misschien pas tot maatschappelijk bewustwording komt als bijvoorbeeld de sturing van een riooolwaterzuiveringsinstallatie wordt gecompromitteerd waardoor onvoldoende gereinigde lozingen in het waterwingebied van bijvoorbeeld de zuidelijke randstad plaatsvinden met als gevolg een groot aantal mensen die een dioxinevergiftiging oplopen.
Ik voorspel ook nagenoeg zeker dat dit belangwekkende nieuwsbericht met misschien nog enkele reacties hierna, wegkwijnt tussen de eindeloze reacties elders over privacy.
Verzuchting: Wat denken wij (hier) toch eenzijdig over digitale veiligheid. Betreuringswaardig.
Niet iedereen doet dit.
Kregen we maar de algehele overtuiging dat we niet zonder "Safeguard" maatregelen kunnen van "front-end" tot "back-end".
Krijgen we maar het besef dat met een mogelijk te gebruiken 1 biljoen x 1 biljoen x 1 biljoen IPv6 addressen er levensbedreigende IoT onveiligheid op ons af kan komen. Automatisch botje-shodannetje-pats!
Ik ben maar bezig in mijn eigen kleine niche met mijn cold reconnaissance 3rd party website security analise en fouten jagen. Kwaadwillenden noemen mij een scan-ridder en een wanabee security figuur. Het deert me niet.
Ik laat ze in hun waan. F.R.A.V.I.A. waardeerde me en G2G waardeert me.
65% van alle op PHP gebaseerde WordPress CMS websites is tot op hoge mate onveilig.
Een XSS Cookie Stealer schrijven is niet zo'n toer.
Bij kwetsbare versies /#?-s achter de uri plaatsen en hopla, interessante PHP info vertoont zich.
Grotere onveiligheid nog in combinatie met angular.js.
Wat gebeurt eraan, leren we mensen betere websites bouwen
of krijgen we alleen maar alerts voor malware waar een afspraak over bestaat,
dat ze moeten worden gedetecteerd?
Hoe maken we een eind aan certificaten als root op bijvoorbeeld de naamserver?
Hoe voeren we code af, die kwetsbaar is of niet langer onderhouden wordt?
Het eenzijdige privacy denken gerelateerd aan het steeds meer verschuiven van server naar client voor big data ad grab.
En de client (browser) is het moeilijkst te verdedigen door de gemiddelde gebruiker zonder relevante kennis.
Er zijn er nog wel een paar die als jij denken, Aha, geloof mij.. Voel je niet zo alleen in deze,
maar vaak zijn wij de roependen in de woestijn en de sprekers voor het eigen koor.
Dus dan komt vanzelf, die niet luisteren wil moeten dan maar voelen
en met hun k*ntje op de spreekwoordelijke IT-blaren zitten.
Jodocus Oyevaer
Tja dan kan een klant zich natuurlijk ook lastig verdedigen.
Embedded/PLC/e.d. heb ik wat minder ervaring mee dus daar heb ik verder nog niet naar gekeken.
Niet iedereen doet dit.
Kregen we maar de algehele overtuiging dat we niet zonder "Safeguard" maatregelen kunnen van "front-end" tot "back-end".
.....
Wat gebeurt eraan, leren we mensen betere websites bouwen
of krijgen we alleen maar alerts voor malware waar een afspraak over bestaat, dat ze moeten worden gedetecteerd?
......
Het eenzijdige privacy denken gerelateerd aan het steeds meer verschuiven van server naar client voor big data ad grab.
....
Jodocus Oyevaer
Met een andere technische achtergrond en andere ervaringen zit ik in de zelfde insteek. De mens en menselijke factor wordt te veel genegeerd met het achterna lopen van technische hypes in combinatie met groepsconformatie.
Je zou haast gaan denken dat het doorgeslagen "want privacy" geroeo heel goed uitkomt om geen betere ict aanpak met de menselijke maat de aandacht te geven.
Hoe kwetsbaar zijn we als er wat uitvalt. Ik krijg een beeld van figuren die niet we komen van een uitgevallen roltrap.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
