Atomkraftværker lækker følsomme oplysninger via personsøgere
Et overraskende stort antal forsyningsvirksomheder har opbygget deres kontrolsystemer med usikre trådløse personsøgere. Herunder kemiproducenter, atomkraftværker, entreprenører, chip-producenter og andre industrielle virksomheder, der har med forsyning og infrastruktur at gøre.
Ifølge en rapport gør personsøgerne dem særdeles sårbare over for spionage og ondsindet hacking. Det skriver Ars Technica.
Det lykkedes forskere fra sikkerhedsfirmaet Trend Micro at indsamle mere end 54 millioner sider med kontrol- og sikkerhedsoplysninger fra de pågældende virksomheder.
Oplysningerne blev opsamlet over en periode på fire måneder ved hjælp af billig hardware.
Blandt de indsamlede oplysninger var meddelelser om usikre forhold. Eksempelvis var der et klimaanlæg, der brugte en ‘mail-to-pager’ gateway til at advare et hospital om et potentielt farligt niveau af spildevand.
Der er også et eksempel på et kontrol- og dataopsamlingssystem tilhørende en af verdens største kemivirksomheder, der blotlagde en komplet ‘stack dump’ af sine enheder.
I rapporten, der kom frem tirsdag, bliver det blandt andet beskrevet, at ukrypterede beskeder fra personsøgersystemerne er en værdifuld kilde til passiv intelligens og indsamling af oplysninger, der utilsigtet bliver lækket af netværksbaserede virksomheder.
Rapporten konkluderer yderligere, at oplysningerne tilsammen kan udgøre en stor trussel, da konkurrenter eller aktører med ondsindede hensigter kan rekognoscere deres mål og derved udnytte eller drage fordel af de informationer, de kan få fra disse personsøgere.
Selvom der er tale om meget følsomme data, der er under strenge fortrolighedskrav, har det været relativt nemt for forskerne at indsamle oplysningerne.
Dongle til 20 dollars
Til indsamlingen af de mange følsomme oplysninger brugte forskerne en teknologi, der bliver kaldt ‘software defined radio’, kombineret med en dongle til 20 dollars (135 kroner).
Det gav forskerne mulighed for at overvåge virksomhederne i realtid, hvilket gav dem adgang til en lang række oplysninger, der foruden sikkerhedsadvarsler indeholdt navne og e-mailadresser på højtstående ledere, trackingnumre og projektlederes navne.
Problemet er, at hackere vil kunne anvende de indsamlede data til at målrette angreb og derved til at montere et 'social engineering-trick' eller til at få fysisk adgang på eksempelvis et atomkraftværk, hvor der er registreret en fejl.
Yderligere åbner oplysningerne om navne og e-mailadresser døren for at udføre målrettede spearphising-kampagner.
Forskerne viste også, at det ikke var noget større problem at sende falske beskeder til personsøgersystemerne hos de virksomheder, de overvågede.
Den spoofing, som forskerne simulerede, blev udført i et sikkert miljø, så de overvågede virksomheder ikke modtog beskederne i deres faktiske systemer.
Sikkerheden i beskedapplikationer som Signal eller WhatsApp er langt bedre, og de indeholder langt bedre kontrol end de advarselsmekanismer, der bliver brugt på rigtig mange atomkraftværker.
En af grundene til, at personsøgere stadig bliver brugt til kommunikation, er, at mobilsignaler ofte er for svage eller ikkeeksisterende.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
