Online toegangsdeuren tot kritieke infrastructuur makkelijk te vinden

Veel geld kostte het project niet, en er was ook geen specialistische apparatuur of software voor nodig. Radanovsky en Brodsky vertrouwden het voetenwerk toe aan de vrij toegankelijke zoekmachine SHODAN; die is ontworpen om online-apparatuur op te sporen. Gebruikers kunnen daarbij hun eigen zoektermen opgeven.

Half miljoen componenten van industriële systemen verbonden met internet

Radanovsky en Brodsky bedachten te samen zo'n 600 zoektermen die je kunt gebruiken om apparatuur voor het besturen van industriële apparaten te vinden die met internet is verbonden. Dat resulteerde in bijna 500.000 hits. In overleg met het Amerikaanse Department of Homeland Security beperkten ze hun lijst tot de 50 meest relevante kritieke systemen. Dat reduceerde het aantal industriële besturingssystemen dat met internet verbonden is - SCADA is een bekende naam in dit verband - tot 7200, alleen al in de VS.

De inventarisatie doet geen uitspraak over de kwetsbaarheid van die toegangsdeurtjes; dat hebben de onderzoekers niet onderzocht. Maar het gaat in de selectie wel om systemen waarvan bekend is dat ze vaak kwetsbaar zijn. Brodsky noemt daarbij specifiek apparaten die inloggen op afstand mogelijk maken; beheerders besteden vaak onvoldoende aan de beveiliging van dat soort tooltjes, omdat ze denken dat niemand van het bestaan ervan af weet. De inventarisatie van Radanovsky en Brodsky laat zien, dat dat ook niet nodig is om ze toch te vinden.

Honderd landen verwittigt

Via het Amerikaanse Computer Emergency Respons Team zijn de eigenaren van de 7200 systemen in de VS aangeschreven om ze te wijzen op de mogelijke risico's. Daarnaast zijn de autoriteiten in de andere landen op de hoogte gesteld van de bevindingen. Om hoeveel mogelijk kwetsbare systemen het buiten de VS gaat is niet bekendgemaakt maar het probleem is kennelijk wijdverbreid: CERT meldt dat er honderd landen zijn verwittigd.