Lezing over lek in kerncentralesoftware afgelast

Dillon Beresford en Brian Meixell van NSS Labs wilden tijdens de TakeDown-conferentie een demonstratie geven van een aanval op een belangrijk SCADA-systeem. Het systeem zou volgens de twee zelfs in de 'best beveiligde fabrieken ter wereld' worden gebruikt.

Siemens en het Amerikaanse ministerie van Homeland Security vroegen de onderzoekers de lezing niet te geven. De twee gaven aan het verzoek gehoor 'in het belang van veiligheid', schrijft Cnet. NSS Labs laat weten dat het gevonden beveiligingslek 'ernstige fysieke en financiële gevolgen' kan hebben.

Exploits

De SCADA-software, Supervisory Control and Data Acquisition geheten, wordt gebruikt om hardware aan te sturen in industriële complexen als kerncentrales, olieplatformen en gasinstallaties. Beveiligingsonderzoekers hebben recent al twee aanvalscodes geschreven om de in totaal 34 kwetsbaarheden in SCADA aan te vallen.

Vorige week werd nog bekend dat door een beveiligingsgat in de SCADA-systemen van Iconis complete ict-infrastructuren zijn over te nemen. De kwetsbaarheid bestaat uit een stack-overflow bug in een ActiveX-controller, ontdekten onderzoekers van Security Assessment. Iconics heeft het gat gedicht door het lekke component te vervangen in een update. Maar het US Computer Emergency Readiness Team (US CERT) raadt bedrijven toch aan de betreffende systemen los te koppelen van internet.

Stuxnet-aanval

De SCADA-software wordt ook gebruikt in de uraniumcentrifuges van de Iraanse Bashir-kerncentrale die vorig jaar werden lamgelegd door de Stuxnet-worm. Stuxnet was ontworpen om verschillende kwetsbaarheden in de SCADA-software te misbruiken. Iran wil Siemens verantwoordelijk houden voor de schade die door Stuxnet is veroorzaakt.