SCADA-bedrijf Xylem ontkent kwetsbaarheden

Uit een reportage van het tv-programma EenVandaag bleek eerder deze week dat de SCADA-systemen van de gemeente Veere eenvoudig te hacken waren vanaf computers op afstand. Door de brakke beveiliging zouden kwaadwillende met een druk op de knop polders en rioleringen laten overstromen in Zeeland.

SCADA is software die gebruikt wordt om machines en systemen aan te sturen. Sommige SCADA-systemen zijn vanaf het internet toegankelijk en niet of nauwelijks beveiligd.

Beveiliging

De gemeente Veere nam het onderhoudsbedrijf van de systemen Xylem kwalijk te laat op te treden toen beveiligingsonderzoeker Oscar Koeroo melding maakte van de SCADA-lek. Pas na twee weken, en na inmenging van de burgemeester, loste Xylem het beveiligingsprobleem uiteindelijk op.

Volgens Xylem zijn de aantijgingen van de gemeente Veere tegenover Webwereld zwaar overtrokken, meldt een woordvoerster van het bedrijf. Vandaag bracht het bedrijf een persbericht over de beveiliging naar buiten. "De Xylem SCADA-systemen zijn niet direct met het internet verbonden. Als er toegang via het internet tot het systeem is, dan is die ingericht met een Remote Access voorziening, beveiligd door inlogcodes en wachtwoorden", schrijft het bedrijf in een statement.

Wachtwoord

In tegenstelling tot de uitspraken van Xylem blijkt uit de gegevens van onderzoeker Koeroo dat de SCADA-systemen wel degelijk voor de buitenwereld toegankelijk waren. Niet alleen had hij toegang tot de Zyxel router en stonden de Web- en telnet-consoles geopend voor de buiten wereld. "Dit is volgens mij niet zoals de Internet Service Provider dit standaard aanbiedt, in verband met onveiligheid. Tot overmaat van ramp had ik in twee wilde gokken het wachtwoord geraden."

Eén van de problemen was het zwakke wachtwoord waarmee beveiligingsonderzoeker inbrak op de communicatielijn tussen de verschillende rioleringsgemalen. Dat bleek simpelweg uit "Veere" te bestaan. Xylem vertelt tegen Webwereld dat het een standaardwachtwoord aanmaakt, maar dat de verantwoordelijkheid voor het wachtwoord ook bij de eindgebruiker ligt.

De SCADA-systemen zijn volgens Koeroo volledig te besturen door iedereen op het internet. Uit screenshots die Koeroo maakte van zijn bevindingen, waren de SCADA-systemen van de pompen wel degelijk toegankelijk. Daarnaast blijkt uit het onderzoek van Koeroo dat de Windows Server bloot op het internet staat via de router. "Dit is beveiligingstechnisch een slechte praktijk. Dit zie ik vaker misgaan en met dergelijke installaties wil je extra voorzichtig zijn."

Communicatielijn

Xylem geeft aan dat de inbrekers alleen hebben ingebroken op de communicatielijn. Het is volgens het bedrijf onzin dat ze in de pomp konden vanwege de beveiliging. Koeroo reageert tegenover Webwereld: "Er is helemaal geen beveiliging op de pompen."

Xylem onderschrijft de beveiliging met bewijzen dat de inbrekers niet op de pomp konden inbreken. "Ze konden alleen tot het hek van de tuin komen, en dat is volgens ons wel een stap te ver", vertelt een woordvoerster.

Echter, de console van de gebruikte SCADA-systemen, de Moxa NPort 5110, was zonder wachtwoord te benaderen en te bedienen, terwijl er wel een wachtwoordbeveiliging op zit. De aanvaller kan dus naar believen een wachtwoord genereren, waardoor de beheerder zelf niet meer bij het systeem kan.

Aanvallers kunnen zelf wachtwoord veranderen in de console van Moxa. Zie groot. Bron: Oscar Koeroo

Autonoom

Volgens Xylem kon alleen de communicatie worden verstoord, maar werken de pompen autonoom gewoon door. Volgens Koeroo zijn de gevolgen zwaarder. "Je kan de pomp afsluiten van communicatie van de andere pompen. Vanuit de control in de seriële comport kan je vervolgens de pomp uitzetten. Daardoor kunnen ze er dan ook niet meer bij, alleen nog handmatig."

Maar het gaat verder volgens Koeroo. "Het is zelfs mogelijk om de firmware van de router te vervangen, de pomp af te sluiten, maar de pomp nog wel nepwaarden laten doorsturen naar de hoofdcomputer, waardoor het lijkt alsof de pomp gewoon werkt." Volgens hem beseffen de gedupeerde bedrijven niet helemaal de reikwijdte van de slechte beveiliging.

260 contactpersonen

Xylem heeft intussen 260 contactpersonen op de hoogte gebracht. "De klanten zijn daar blij mee en niet geschrokken", vertelt het bedrijf. De relaties van het bedrijf zijn volgens het statement voorzien van de noodzakelijke documentatie om vragen van belanghebbenden te beantwoorden.

Volgens Koeroo volgt Xylem geen beveiligingsadviezen van de fabrikant van de systemen op. "Fabrikant Moxa geeft op zich goede voorlichting. Het bedrijf heeft een whitepaper op zijn site staan met gebruiksaanwijzingen hoe je die apparaten moet beveiligen, met vpn-verbinding en firewall en de administratieve systemen apart ervan."

Koeroo weet dat er in Nederland nog tienduizenden apparaten zijn die te benaderen zijn via het Internet. Of de gemeente Veere nog veilig is? De gemeente gaf aan het systeem dichtgetimmerd te hebben. "Voor zover ik zag hebben ze het systeem gewoon uitgeschakeld zodat die offline is. Dat is het meest veilig natuurlijk."