VS meldt aanvallen op waterbedrijven via standaard wachtwoorden
Amerikaanse drinkwater- en rioolwaterzuiveringsbedrijven zijn het doelwit van aanvallen waarbij gebruik wordt gemaakt van standaard wachtwoorden, bruteforce-aanvallen en andere 'ongeraffineerde methodes', aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De overheidsdienst spreekt over 'active exploitation' van operationele technologie (OT) en industriële controlesystemen (ICS) die vanaf het internet toegankelijk zijn, waarbij specifiek waterbedrijven worden genoemd.
De afgelopen maanden werden meerdere waterbedrijven in de VS aangevallen doordat het standaard wachtwoord '1111' van Unitronics Vision-apparaten werd gebruikt. Het gaat specifiek om programmable logic controllers (PLC's) en human machine interfaces (HMI's) van Unitronics Vision-apparaten die een belangrijke rol spelen in de operaties van de drinkwaterbedrijven. Een aantal dagen geleden moest een Amerikaans waterzuiveringsbedrijf wegens een cyberincident, dat veel kenmerken van een ransomware-aanval heeft, terugvallen op handmatige bediening.
Het CISA roept waterbedrijven en andere OT/ICS-beheerders in de vitale sector op beveiligingsmaatregelen te nemen, zoals het loskoppelen van HMI's en PLC's van het internet, het implementeren van multifactorauthenticatie voor toegang tot OT-netwerken, het aanpassen van standaard en zwakke wachtwoorden, up-to-date houden van VNC, het loggen van remote logins op HMI's en het gebruik van een lijst met toegestane ip-adressen. Fabrikanten van OT-systemen worden door de Amerikaanse overheid opgeroepen om geen standaard wachtwoorden voor hun apparatuur te gebruiken en sterke wachtwoorden van gebruikers te eisen.
Het is ronduit schandalig! want Ik snap niet waarom fabrikanten van dergelijk intens belangrijke apparatuur de verantwoordelijkheid missen om na initiële invoer van zo'n simpel wachtwoord, in weer een ander invoerveld te eisen dat het wachtwoord in ieder geval wordt veranderd in een wachtwoord met minimaal 16 tekens. Zo moeilijk is dat toch niet te programmeren voor een IT specialist of klets ik nu maar wat uit mijn nek??
Het is ronduit schandalig! want Ik snap niet waarom fabrikanten van dergelijk intens belangrijke apparatuur de verantwoordelijkheid missen om na initiële invoer van zo'n simpel wachtwoord, in weer een ander invoerveld te eisen dat het wachtwoord in ieder geval wordt veranderd in een wachtwoord met minimaal 16 tekens. Zo moeilijk is dat toch niet te programmeren voor een IT specialist of klets ik nu maar wat uit mijn nek??
Extreem zwak beheer. Je ziet het overal terug, niet alleen bij dit soort bedrijven. Maar wel alles aan internet hangen, "want we kunnen niet anders". De middelmaat regeert, ook in de VS. Ik heb vroeger gewerkt bij een Nederlandse drinkwateraanbieder. Het was toen geen haar beter. Hopelijk is sindsdien het nodige veranderd.
Uiteraard hebben Amerikanen ook geen geheugen, anders hadden ze geleerd van de vorige voorvallen...
De zonnepaneelinstallateur heeft ook een standaardwachtwoord wat ze voor alle inverters en accusystemen gebruiken (en die hangen uiteraard wel aan internet). Die gasten vonden het niet grappig dat ik eiste om zelf een wachtwoord in te vullen omdat ik hun "<Bedrijfsnaam>123!" wachtwoord ziekelijk slecht vond; toen ik zei dat ze dan de hele zooi maar weer mee mochten nemen omdat dat niet ging gebeuren, "mocht" ik uiteindelijk zelf een wachtwoord invullen. Eikels...
Het is ronduit schandalig! want Ik snap niet waarom fabrikanten van dergelijk intens belangrijke apparatuur de verantwoordelijkheid missen om na initiële invoer van zo'n simpel wachtwoord, in weer een ander invoerveld te eisen dat het wachtwoord in ieder geval wordt veranderd in een wachtwoord met minimaal 16 tekens. Zo moeilijk is dat toch niet te programmeren voor een IT specialist of klets ik nu maar wat uit mijn nek??
Ja, je klets vermoedelijk uit je nek.
Afhankelijk van hoe oud/brak/klein/beperkt zo'n apparaat is, _is_ het erg veel werk om een moderne stijl "u moet het wachtwoord veranderen" interface er óók nog bij te bouwen - op dat kleine CPUtje met minimaal ram en een erg volle firmware eprom.
De tweede manier waarop je behoorlijk uit je nek kletst : ontzettend weinig apparaten zijn bedoeld voor, en geschikt om direct te 'dealen' met vijandige gebruikers of vijandig verkeer.
Afgezien van een behoorlijk wachtwoord heb je dan onzettend veel meer nodig : een erg hardened interface (liefst "zonder bugs") die tegen alle mogelijke rare crafted input kan , logging/audits van eindeloze pogingen in te loggen, blacklisten / lockout van IPs die te vaak proberen in te loggen, role based accounts etc etc etc.
Al die commentatoren die het zoveel beter weten en vinden dat zo'n controllertje "een goed wachtwoord" moet kunnen hebben vinden het blijkbaar een goed design DAT het controllertje de plaats is waar "de wereld" op probeert los te gaan.
Is het je opgevallen dat het slot op je slaapkamer deur (en de deur zelf) niet zo geweldig is ?
En vind je dan dat daar een driepuntssluiting, SKG *** op moet , anti-inbraakstrip, massief stalen plaat ?
Of zeg je "dat slot is ook alleen maar om even niet gestoord te worden, de echte beveiliging tegen de _boze_ buitenwereld zit op de voordeur"
Al dat embedded IOT spul moet je achter een serieuze firewall/remote access server hangen o.i.d. en niet meer van verwachten dan een paar accounts voor junior of senior operators.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
