Industrielle Programme sind auf Dauer nicht mehr sicher, monieren niederländische Ethical Hacker

Ethische Hacker in den Niederlanden rufen operatives Know-how hervor, und IT-Netzwerke können unerschütterlich eingebaut werden, um zu verhindern, dass Cyberangriffe in ihre Betriebe eindringen

Durch

Kim Loohuis

Veröffentlicht: 31. Mai vielleicht 2022 11:00

Die strikte Trennung zwischen IT- und Betriebs-Know-how (OT)-Netzwerken in Industrieumgebungen sind langfristig nicht mehr tragbar, so die Meinung zweier niederländischer ethischer Hacker.

Daan Keuper

und Thijs Alkemade

fair hat kürzlich den Umwelt-Hacker-Wettbewerb gewonnen, weil sie in verschiedenen Programmen, die in industriellen Umgebungen alt sind, unerhörte Schwachstellen gefunden haben.

Das Thema der diesjährigen

Pwn2Own World Hacker

Wettbewerb in Miami wurde sobald Industrie wieder ein Auge auf Programme geworfen. Als Folge der zunehmenden Digitalisierung in der Fertigungsindustrie wurden Hacker aufgefordert, Schwachstellen in verschiedenen Klassen industrieller Dienstprogramme und Programme zu beschaffen.

Alkemade und Keuper verlassen gemeinsam die Sektor-7-Lernabteilung der niederländischen Beratungsagentur Computest, mit der sie in die Sicherheit der digitalen Welt eintauchen ein Schwerpunkt auf Schwachstellen mit sozialem Einfluss. „Wir haben festgestellt, dass im täglichen Betrieb von Computest nicht mehr ständig genug Zeit und Vorrang für die Erforschung von Schwachstellen mit sozialem Rang vorhanden ist“, räumt Keuper ein. „Aus diesem Grund erreichen wir in unserer Beschaffungsabteilung das Ziel, dass wir dies einstellen können, ohne dass Termine von Kunden und unserer Beschaffungsagenda zeitlich begrenzt werden.“

Alkemade und Keuper gewannen auch die Hacker-Gegner des letzten Jahres mit den Schwachstellen, die sie in der Telekonferenzplattform Zoom gefunden haben. „Für unser Lernen stoßen wir sowohl auf der Erde als auch in den Niederlanden auf neue Merkmale“, sagte Keuper. „Als alle Amerikaner anfingen, überall in den Lockdowns mit Zoom zu arbeiten, haben wir die Sicherheit dieses Programms untersucht.“

Sie haben auch ernsthaft die

Coronacheck-App

, die Holländer von uns ausüben, um ihre gültigen Impf- und Wiederherstellungszertifikate in einen QR-Code für einen nationalen oder weltweiten Eintrag zu verwandeln.

„Wir mussten eine Zeit lang auch zwangsweise mit Industrieprogrammen arbeiten“, bestätigt Keuper. „Wir ordnen kaum gewöhnliche Anfragen von Kunden, um das Gelände ihrer Produktionsstätte zu testen. Bei OT-Programmen hat die Verfügbarkeit jedoch hohe Priorität. In dem Moment, als wir erwähnten, dass wir als ethische Hacker möglicherweise verdächtigen Datenverkehr an ihre Programme senden würden, der zum Ausfall von Programmen führen kann, wurden die Gespräche mit Kunden hier sofort eingestellt, da Ausfallzeiten für die Fertigungsindustrie nicht akzeptabel sind. Das macht es reizvoll, wirklich über die Sicherheit dieser Umgebungen zu stolpern.“

Die Gegner in Miami wurden gleich mehr als willkommen ein paar für Keuper und Alkemade, um sich mit der Schwachstelle der industriellen Automatisierung ohne Kundenauftrag zu befassen – und sie fanden 5 Schwachstellen. Alkemade räumte ein: „Ich werde mich aber nicht in Kleingedrucktes verkrampfen, weil nicht mehr alle vom Lieferanten gelöst wurden. Aber es waren Schwachstellen in Anwendungen, die uralt sein werden, um Programme im Auge zu behalten oder Dialoge zu manipulieren. Nun, jetzt nicht innerhalb der Maschinen auf der Produktionsstätte, sondern die Rechte haben ein Auge auf das System in der Höhe.“


Keuper hinzugefügt : „Uns wird beigebracht, dass Fertigungsunternehmen alles tun, um Angreifer vom OT-Netzwerk fernzuhalten. Möglicherweise gibt es in fast allen Industrieunternehmen eine strikte Trennung zwischen dem OT-Netzwerk und dem IT-Netzwerk, aber mit den Aufzeichnungen, die wir jetzt besitzen, gehe ich davon aus, dass dieses Modell langfristig nicht mehr tragbar ist.“

Alles wird zusammenhängen

Der Industriesektor wird klein


Hier weiter zum Artikel

Add Comment