Computerworld News Service: En sikkerhedsanalytiker har for nyligt offentliggjort kode, der kan bruges til at tage kontrol over computere, der bruges til at administrere industrielle maskiner, hvilket potentielt giver hackere en bagdør ind i forsyningsnet, vand- og elværker og selv olie- og gasraffinaderier.
Denne software blev offentliggjort fredag af sikkerhedsanalytiker Kevin Finisterre, som siger, at han ønsker at skabe opmærksomhed om disse systemers sårbarheder, som ofte undervurderes af softwareleverandørerne.
"Disse leverandører stilles ikke til ansvar for den software, de producerer," skriver Finisterre, som er ledende analytiker hos sikkerhedstestvirksomheden Netragard.
"De fortæller deres kunder, at der ikke er noget problem, mens kritisk infrastruktur er afhængig af deres software."
Modul til Metasploit
Finisterre offentliggjorde sin angrebskode som et softwaremodul til Metasploit, som er et meget udbredt hacker-værktøj.
Ved at integrere det i Metasploit har Finisterre gjort sin kode meget lettere at bruge, vurderer sikkerhedseksperter.
"At integrere exploiten i Metasploit giver en bred vifte af mennesker adgang til angrebskoden," siger Seth Bromberger, som er direktør for informationssikkerhed hos PG&E.
"Det eneste, det kræver nu, er at downloade Metasploit, og så er man klar til at iværksætte dette hackerangreb."
Udnytter fejl i software-program
Koden udnytter en fejl i Citects software CitectSCADA, som oprindelig blev opdaget af Core Security Technologies og offentliggjort i juni.
Citect udgav efterfølgende en sikkerhedsopdatering, og softwareleverandøren har udtalt, at problemet kun udgør en risiko for virksomheder, der forbinder deres systemer direkte til internettet uden brug af firewall, hvilket er noget, der aldrig ville ske overlagt.
Herudover ville et offer også være nødt til at have tændt for en specifik database-funktion inden i CitectSCADA-produktet, for at et angreb skulle kunne lykkes.
Har været svære at anskaffe - men ikke længere
Disse typer af industrielle systemer til administration af SCADA (supervisory control and data acquisition) har traditionelt været svære at anskaffe, hvilket har gjort det besværligt for hackere at analysere dem for sikkerhedshuller.
I de senere år er flere og flere SCADA-systemer imidlertid blevet bygget over velkendte styresystemer, såsom Windows eller Linux og er derfor blevet både billigere og lettere at hacke.
It-sikkerhedseksperter er vant til at lukke sikkerhedshuller hurtigt og ofte, men industrielle computersystemer er ikke som pc'er.
Da nedetid for et vand- eller elværk kan forårsage en samfundsmæssig katastrofe, kan ingeniørerne godt være modvillige til at foretage softwareændringer eller i det hele taget tage systemet off-line for at foretage en sikkerhedsopdatering.
Denne forskel har foranlediget disse uoverensstemmelser mellem på den ene side it-professionelle som Finisterre, som oplever, at sikkerhedsproblemer nedtones, og på den anden side industriens ingeniører, som har ansvaret for at holde disse systemer kørende.
En form for kultursammenstød
"Vi oplever en form for kultursammenstød lige i øjeblikket mellem forsyningsingeniører og it-folk," siger Bob Radvanovsky, som er en uafhængig analytiker, som bestyrer et onlinediskussionsforum om SCADA-sikkerhed, som har været skueplads for nogle ophedede diskussioner om emnet.
Citect udtaler, at virksomheden aldrig har hørt omkunder, der er blevet hacket på grund af denne fejl.
Men virksomheden planlægger dog en snarlig udgivelse af en ny version af CitectSCADA med nye sikkerhedsfunktioner, skriver softwareleverandøren i en meddelelse, der blev offentliggjort tirsdag.
Denne ny version vil ikke komme et øjeblik for tidligt, ifølge Finisterre, som antager, at der er andre, lignende fejl i CitectSCADA-softwarens kode.
Og selvom SCADA-systemerne er adskilte fra andre computernetværk i forsyningvirksomheder, så kan de stadig opleve sikkerhedsbrud. I 2003 inficerede en projektansat for eksempel kernekraftværket Davis-Besse med SQL Slammer-ormen.
"Mange af de mennesker, der administrerer disse systemer, føler, at reglerne fra traditionel it ikke gælder for dem," udtaler Finisterre. "Deres branche er generelt ikke særlig bekendt med hacking og hackere."
Oversat af Thomas Bøndergaard
