Security-onderzoekers hebben details van een hele berg gaten in SCADA-systemen gepubliceerd. Een aantal van deze exploits zijn al beschikbaar in de hackerstool Metasploit. Het betreft kwetsbaarheden in systemen van onder meer General Electric, Rockwell en Schneider. De bekendste SCADA-fabrikant is Siemens.

SCADA exploits Berg SCADA hacks: rood kruis is eenvoudig te misbruiken gat, geel uitroepteken is ingewikkelder exploit, groen vinkje is security op orde.

Cruciale infra

SCADA, dat staat voor Supervisory Control and Data Acquisition, is software die wordt gebruikt om machines en systemen aan te sturen in industriële complexen als waterleidingsystemen, kerncentrales, olieplatformen en gasinstallaties. De hardwaremodule die deze systemen stuurt wordt programmable logic controller (PLC) genoemd.

Door het hacken van SCADA en PLC-systemen kan allerlei kritieke infrastructuur onklaar worden gemaakt. De bekendste en meest spectaculaire hack is de Stuxnet-worm, een ingenieuze digitale tientrapsraket die uraniumcentrifuges in Iraanse kerncentrale bij Natanz bespioneerde en saboteerde.

SCADA-fabrikanten laks

Opmerkelijk is dat de onderzoekers besloten hebben om de gehackte fabrikanten niet op de hoogte te stellen. Dit als shocktherapie voor de SCADA-branche, die al “tientallen jaren laks" is, aldus onderzoeker Dale Peterson.

Tegenover Wired geven ze nog een andere reden. Ze wilden niet dat hun presentatie van de exploits zou worden getorpedeerd door claims of verzoeken van de fabrikanten te elfder ure. Vorig jaar werd een presentatie over een Siemens SCADA-lek op het laatste moment afgelast, omdat volgens Siemens en het ministerie van Homeland Security hierdoor de veiligheid van kritieke infrastructuur in gevaar zou komen.

Tientallen SCADA-inlogs gepubliceerd

Vroeger waren SCADA-systemen allemaal stand alone, maar door de jaren heen zijn steeds meer systemen via het internet benaderbaar, met alle aanvalsvectoren van dien. De security van SCADA-software is desondanks achtergebleven, en patches worden zelden uitgegeven, laat staan geïnstalleerd.

Afgelopen week is de Nederlandse internetactivist @ntisec druk bezig geweest met het opsporen van webfaced SCADA-systemen en heeft een lijst overgedragen aan het Nationaal Cyber Security Centrum. Maar omdat hij, na een brief van dat Team, naar eigen zeggen "aan het lijntje" wordt gehouden over de afhandeling van die beveiligingsgevaren, besloot @ntisec deze week de inlogpagina's van de gevonden SCADA-systemen te publiceren via twitter. Volgens het Cyber Security Centrum is er wel degelijk actie ondernomen na melding van @ntisec.

Eerder deze week publiceerde Webwereld een gehackt SCADA-systeem van een sporthal in Spijkenisse. Het systeem kon van buitenaf worden bediend. Onder meer airco en temperatuurregeling konden door buitenstaanders worden bediend. Ook dit gat werd door @ntisec bij Webwereld aangemeld.