Det amerikanske sikkerhedsfirma NSS Labs ville onsdag præsentere lidt af en sensation under hacker-konferencen Takedown i Dallas. En sikkerhedsekspert hos firmaet har fundet et sikkerhedshul i Siemens-software til industrianlæg. Der er tale om de såkaldte Supervisory Control and Data Acquisition (SCADA) systemer, som også var målet for den meget omtalte Stuxnet-orm.
NSS-chef Rick Moy bruger store ord i sin blog: ”Angreb mod industrianlæg kan få ødelæggende konsekvenser i den virkelige verden. Folk kan dø, miljøet kan blive forurenet.” De pågældende systemer bruges blandt andet i fabrikker og kraftværker.
Det var Dillon Beresford fra NSS Labs, der skulle holde foredraget onsdag. Men sådan skulle det ikke gå. Foredraget blev aflyst i sidste øjeblik.
Det ser ud til at Beresford har fået mundkurv på – Siemens har stadig ikke fået lukket hullet og man ønsker ikke at informationerne skal slippe ud. Det skriver Wired.
Det amerikanske Department of Homeland Defense har angiveligt også blandet sig og udtrykt bekymring over, at informationer om sårbarheden kan falde i hænderne på de forkerte.
Den første patch fra Siemens til softwaren S7 fik ikke lukket hullet. Nu forsøger man igen hos Siemens og indtil man er klar skal detaljerne holdes under lås og slå.
Det er uklart hvorvidt det er muligt at bruge sikkerhedshullet til at overtage den fulde kontrol over systemerne. Men det kræver under alle omstændigheder, at man har fysisk adgang til maskinerne. Denne type anlæg er normalt ikke koblet på nettet.
NSS Labs bekræfter også, at det er nødvendigt med fysisk adgang til de pågældende maskiner.
Det minder igen om Stuxnet-ormen, der angiveligt blev spredt på USB-nøgler. Den blev altså smuglet ind og spredte sig herefter rundt i systemerne, når USB-nøglen blev sat i én af computerne. Det menes at Stuxnet blev skrevet for at ramme det iranske atomprogram.