Lekken vinden in industriële stuursystemen is kinderspel
Aaron Portnoy van beveiligingsbedrijf Exodus zat zich stierlijk te vervelen, de ochtend van afgelopen Thanksgiving. Totdat hij - geïnspireerd door recente berichten over lekken in SCADA-software van Eaton Corp., Rockwell Automation, Schneider Electric, RealFlex en Indusoft - op de gedachte kwam enkele van die systemen de maat te nemen.
Shutterstock
© Shutterstock
23 lekken gevonden in een paar uur tijd
Zijn conclusies zijn schokkend. In een paar uur tijd vond hij 23 kritieke lekken in software van die leveranciers. Het eerste kritieke lek waar nog geen verdediging tegen is, vond Portnoy binnen 7 minuten. "Voor iemand die veel audits heeft gedaan van software voor bedrijven en de consumentenmarkt, bleek SCADA in vergelijking absurd eenvoudig", schrijft Portnoy op zijn blog. Volgens hem zal het voor inbrekers nog het moeilijkst zijn, om de software te lokaliseren.
Aanleiding voor Portnoys vrije-ochtendbesteding was de mededeling van ReVuln, vorige week, dat het kritieke lekken in de SCADA-systemen had ontdekt. ReVuln gaf geen details; het geeft alleen informatie aan klanten die daarvoor betalen. Portnoy heeft zijn bevindingen wel doorgespeeld aan ICS-CERT, de afdeling van het Amerikaanse Computer Emergency Response Team dat met de leveranciers werkt aan verbetering van de beveiliging van Industrial Control Systems.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee