Scriptkiddie vindt makkelijk kwetsbare vitale systemen'

7 augustus 2019

Onderzoekers van de Universiteit Twente maken zich zorgen over de veiligheid van de vitale infrastructuur. Het is uiterst eenvoudig om industriële systemen aan het internet te vinden. Van de bijna duizend SCADA/ICS-systemen die onderzoekers van de Universiteit Twente vonden, zijn er ongeveer zestig op de een of andere manier kwetsbaar. "De gebruikte zoekmethode is vrij eenvoudig en ook kan ook door scriptkiddies toegepast worden", aldus de onderzoekers.

Onderzoekers van de Universiteit van Twente voerden in opdracht van het Ministerie van Justitie een onderzoek uit naar de veiligheid van zogeheten Industrial Control Systems (ICS)/Supervisory Control And Data Acquisition (SCADA)-netwerken. Aanleiding daarvoor was de berichtgeving, onder andere over de beveiliging van Nederlandse sluizen, dat deze systemen gemakkelijk succesvol zijn aan te vallen. “Als dergelijke systemen gehackt worden, kunnen aanvallers de besturing van vitale infrastructuren overnemen, met potentieel enorme gevolgen”, schrijven de onderzoekers in het rapport.

Volgens de onderzoekers zou het aantal kwetsbare systemen in werkelijkheid nog veel hoger kunnen liggen. De studie beperkte zich enkel tot IPv4-adressen, de gebruikte zoekmethode is vrij eenvoudig en met een geavanceerder methode zouden er wellicht meer systemen opduiken en er is alleen gekeken naar bekende kwetsbaarheden. “Professionele aanvallers, welke bijvoorbeeld voor nationale veiligheidsdiensten werken, zullen zeker meer kwetsbare systemen weten te vinden en in staat zijn binnen te dringen door gebruik te maken van zogeheten zero-dayexploits”, aldus de onderzoekers.

Onderzoeksmethode
De onderzoekers zochten eerst uit welke ICS/SCADA-protocollen bestaan en welke TCP-UDP-poorten door deze protocollen worden gebruikt. De 39 protocollen die werden gevonden, werden vervolgens ingevoerd in een speciale zoekmachine: Shodan. Op die manier werden bijna 70.000 systemenen gevonden die een of ander antwoord stuurden als ze ondervraagd werden. Dit waren echter niet alleen ICS- of SCADA-systemen, het konden ook PC’s, IoT-systemen of andere systemen zijn.

De onderzoekers maakten daarop twee lijsten; de eerste lijst zegt met zekerheid of een bepaald systeem een ICS/SCADA-systeem is, de tweede zegt met zekerheid dat het geen ICS/SCADA-systeem is. Zo werden er in totaal bijna duizend van dergelijke systemen gevonden die in Nederland op het internet zijn aangesloten.

Daarna onderzochten de wetenschappers welke van deze systemen kwetsbaarheden bevatten. Dat deden ze door kwetsbaarheden die ze vonden, te vergelijken met bekende lijsten van kwetsbaarheden.

De onderzoekers stellen wel dat niet met zekerheid is te zeggen dat de gevonden systemen onveilig zijn of dat deze systemen daadwerkelijk worden gebruikt voor vitale diensten. Daarom zou het Nationaal Cybersecurity Center de resultaten van deze studie moeten delen met organisaties die verantwoordelijk zijn voor de Nederlandse vitale infrastructuur. Verder onderzoek is nodig. En er moet een discussie worden gestart of er een apart veilig en openbaar netwerk moet komen ten behoeve van vitale infrastructuren.

https://www.agconnect.nl/artikel/scriptkiddie-vindt-makkelijk-kwetsbare-vitale-systemen