Sporthal gehackt via wijd open SCADA-systeem
Gepubliceerd: Woensdag 18 januari 2012
Auteur: Brenno de Winter
Een openstaande log-in heeft internetgebruikers onbeperkte toegang gegeven tot het beheren van fysieke zaken als luchttoevoer, temperatuur en alarmen in een sporthal in Spijkenisse.
Het probleem speelde bij een beheersysteem voor allerhande fysiek te regelen functies in sporthal 'Den Oert' in Spijkenisse. Willekeurige internetgebruikers konden op dat systeem inloggen, simpelweg door in een browser het IP-adres in te tikken en op enter te drukken. Vervolgens wordt een Java-applicatie gestart waarmee het daadwerkelijke beheer wordt gedaan.
Verwarming opvoeren
Dit beveiligingslek is ontdekt door beveiligingsonderzoeker @ntisec, die zich meldde bij Webwereld. Hij is vooral verbaasd dat er geen gebruikersnaam of wachtwoord wordt gevraagd. Het is daardoor voor iedereen mogelijk om de verwarming hoger of lager te zetten, de luchttoevoer in bijvoorbeeld de damesdouches of wc's aan te passen en zelfs het alarmsysteem aan te passen.
De temperatuur van de sporthal viel door iedereen op internet in te stellen:
Ook de logboeken blijken op deze manier toegankelijk. Uit het bekijken daarvan wordt duidelijk dat de focus vooral ligt op het operationeel beheer en dat het systeem geen informatie biedt die ict-beveiligingsincidenten helpt analyseren. Ook blijkt er niet gefilterd te worden op ip-adressen voor toegang tot het beheersysteem, waardoor letterlijk iedereen op internet kon inloggen.
'Gasttoegang'
Webwereld heeft de problemen bij de gemeente Spijkenisse aangekaart, die daarop als eerste actie gebruikersnamen en wachtwoorden verplicht heeft gesteld. Nu bekijkt de gemeente nog wat er verder moet gebeuren. Het is niet helder hoe lang het beheersysteem van de sporthal wagenwijd open heeft gestaan.
Ook is de gemeente een onderzoek gestart hoe deze fout heeft kunnen ontstaan. "Het is niet bekend wie er deze 'gasttoegang' heeft aangevraagd", stelt een zegsvrouw van de gemeente. "Waarschijnlijk heeft een installateur of iemand die er wat moest doen een gastaccount aangevraagd bij het bedrijf dat het programma heeft geleverd."
Ook de afzuiging van de toiletten was via internet in te stellen:
SCADA-lekken
Het gebruikte, openstaande systeem valt in de categorie SCADA (supervisory control and data acquisition); beheersystemen voor fysieke apparatuur, zoals fabrieken, energiecentrales en klimaatkamers bij bijvoorbeeld TNO. De gebrekkige beveiliging van SCADA-systemen is al enige tijd onderwerp van discussie.
Deze systemen worden gebruikt voor het beheer van allerhande apparatuur. In de Verenigde Staten doen ze bijvoorbeeld ook dienst voor het beheren van gevangenissen. Daar heeft een hacker ooit alle deuren op 'death row' (gedetineerden die de doodstraf hebben gekregen) open gezet.
Beveiligingsgebrek
Beveiligingsexperts wijzen er al langer op dat het beveiligen van dit soort systemen ingewikkeld is, omdat ze doorgaans niet met beveiliging in het achterhoofd zijn gebouwd. In een aantal gevallen wordt goede beveiliging zelfs niet mogelijk geacht. In het geval van de sporthal in Spijkenisse is juist het probleem dat de aanwezige beveiligingsvoorzieningen niet is gebruikt.
Het beheer van de sporthal was vooral operationeel ingericht, en niet op het loggen van beveiligingsincidenten:
