De portscanner-site Shodan vergemakkelijkt het vinden van kwetsbare SCADA-systemen die zijn aangesloten op internet. Het US-CERT waarschuwt nu voor deze 'Stuxnet-scanner'.
De gespecialiseerde zoekmachine Shodan indexeert servers en systemen op het internet en helpt daarmee hackers in het vinden van kwetsbare systemen. Dat omvat ook industriële beheersystemen (SCADA), zoals WinCC van het Duitse Siemens dat doelwit is van de maatwerkworm Stuxnet. Onder meer de systemen in de Iraanse kerncentrale zijn door Stuxnet besmet. Volgens de Iraanse autoriteiten viel de schade mee.
Meldingen ontvangen
SCADA wordt daarnaast gebruikt in elektriciteitscentrales, olieraffinaderijen en andere industriële complexen. Het is echter wel ongebruikelijk dat dergelijke systemen rechtstreeks met het internet zijn verbonden. Niettemin heeft het Amerikaanse beveiligingsorgaan US-CERT een waarschuwing (pdf) doen uitgaan.
De aparte US-CERT-afdeling voor industriële systemen (ICS-CERT) heeft meerdere meldingen ontvangen van verschillende externe security-onderzoekers, vermeldt de waarschuwing. Die experts hebben Shodan gebruikt om kwetsbare SCADA-systemen op te sporen.
Datzelfde ICS-CERT is vorige maand nog flink bekritiseerd door security-experts; het zou achter de feiten aanlopen. De SCADA-zoekmogelijkheid van Shodan zijn in januari dit jaar al opgemerkt.
Zoekmachine is 'eng'
Beveiligingsexpert Robert Graham van Errata Security heeft de zoekmachine getest. “We vinden dit enger dan we ons hadden kunnen voorstellen”, schrijft de white hat hacker over de krap een jaar oude zoekmachine.
Hij stelt in een blogpost dat iemand een willekeurige exploit kan nemen om vervolgens via de zoekmachine doelen te vinden. Daar kan de kwaadwillende de gekozen exploit daadwerkelijk gebruiken. Graham zegt dat hij binnen enkele seconden een IBM AS/400-systeem had gevonden (wat hij omschrijft als mainframe) die kwetsbaar is voor een hackaanval. De zoekresultaten zijn ook te filteren op poort, hostnaam en land.
Aanbevelingen
De US-CERT waarschuwt dat hetzelfde geldt voor SCADA-systemen. Daarbij blijkt dat het gaat zowel om stand-alone systemen als om complete netwerkconfiguraties.
Het Amerikaanse overheidsorgaan geeft een aantal aanbevelingen, zoals het plaatsen van alle systemen achter firewalls, en het loskoppelen van industriële beheersystemen van het bedrijfsnetwerk. Ook voor de hand liggend is het uitschakelen van alle default accounts en het hanteren van complexe wachtwoorden.
---
Eigenlijk kleuterschool niveau, maar van regeren wordt ook gezegd dat het vooruit zien is...helaas blijkt daar in de praktijk ook vaak niets van.
Al jaren gedacht dat je netwerken moet opdelen in doel gerichte segmenten om beveiligings problemen in te dammen. Kennelijk ging het comfort vóór de veiligheid.
Ook het inloggen met naam/password is ontoereikend voor een goede beveiliging, maar als je zei dat de authentificatie middels een smartcard zou moeten werd je uitgelachen.