image

Industriële systemen voor het eerst onderdeel hackwedstrijd

maandag 28 oktober 2019, 14:57 door Redactie, 6 reacties

Industriële controlesystemen (ICS) zijn volgend jaar voor het eerst onderdeel van de bekende hackwedstrijd Pwn2Own, zo heeft organisator Zero Day Initiative aangekondigd. Pwn2Own is een jaarlijks terugkerend evenement dat sinds 2007 tijdens de CanSecWest-conferentie in Vancouver plaatsvindt.

In eerste instantie richtte de wedstrijd zich alleen op browsers. Onderzoekers en hackers die onbekende kwetsbaarheden in browsers demonstreerden ontvingen hiervoor geldprijzen. Niet alleen werden meer programma's als doelwit toegevoegd, er volgde ook een tweede competitie genaamd Mobile Pwn2Own, die sinds 2013 in Tokio wordt gehouden en gericht is op smartphones. Nu is er een derde competitie aangekondigd waar ICS-systemen het doelwit zullen zijn.

Pwn2Own Miami vindt plaats tijdens de S4-conferentie in januari, een conferentie over de digitale veiligheid van industriële en vitale systemen. De wedstrijd richt zich op acht producten in vijf categorieën: control server, OPC Unified Architecture (OPC UA) server, DNP3 gateway, human machine interface (HMI) en engineering workstation software (EWS). Het gaat om producten van onder andere Rockwell Automation en Schneider Electric.

In totaal is er meer dan 250.000 dollar prijzengeld beschikbaar. Voor aanvallen waarbij onderzoekers het systeem weten te compromitteren kunnen onderzoekers 20.000 dollar per aanval verdienen. Veel minder dan de 80.000 dollar die voor een Chrome-aanval wordt uitgekeerd. Kwetsbaarheden die onderzoekers tijdens het evenement demonstreren worden vervolgens aan de betreffende leverancier gerapporteerd, zodat die een update kan ontwikkelen. Pas daarna maakt ZDI de details openbaar.

Image

Reacties (6)
28-10-2019, 15:23 door Anoniem
nou dan ben je gouw klaar zo lek als een mandje
28-10-2019, 19:31 door Anoniem
Door Anoniem: nou dan ben je gouw klaar zo lek als een mandje
En waarop is deze mening gebaseerd? Van horen zeggen denk ik voornamelijk, geen eigen ervaring?
28-10-2019, 23:17 door Anoniem
Leuke oefening voor de ransomeware malcreanten.
Oh, die mogen niet meedoen. toch?
29-10-2019, 10:22 door Anoniem
Op basis van ZDI onderzoek blijkt inderdaad wel dat dit type software nog de nodige fouten bevat (waarvan een deel door fatsoenlijk testen en SDLC te verkomen waren e.g. command injection / backdoor users / buffer overflows en geen aslr/dep ondersteunen... etc.). Ze hebben er ook wel enkele blog postings over dus de mening is niet ongegrond. Men blijft voornamelijk veilig door het moeilijk te maken om aan de firmware of software te kopen. Bij veel leveranciers zit de download tegenwoordig achter registratie weg gestopt / alleen voor betalende klanten.
29-10-2019, 12:40 door Anoniem
nou dan ben je gouw klaar zo lek als een mandje

Da's afhankelijk van de vraag hoe goed je je systemen beveiligt. De vraag of er een wedstrijd wordt gehouden, heeft er niets mee van doen.
29-10-2019, 15:31 door Anoniem
Tijdens de HITB+Cyberweek conferentie in Abu Dhabi was er ook een Scada/ICS hack-wedstrijd: https://cyberweek.ae/competitions/standoff/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.