

Det var en kompromitteret Teamviewer-bruger, der i sidste uge blev brugt, da en ukendt hacker forsøgte at forgifte vandforsyningen i den amerikanske by Oldmar, Florida, ved at ændre stofmængderne i vandet.
Det skriver Reuters.
Hackeren tvang sig adgang til Teamviewer-softwaren på en af computerne i byens vandrensningsanlæg og skruede op for mængden af natriumhydroxid.
Almindeligvis er fordelingen 100 mg/l vand, men efter angrebet var den 11.100 mg/l, og det kunne have haft konsekvenser for de 15.000 borgere, anlægget forsyner.
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Man kan spekulere på, om det overhovedet var "hacking" og ikke blot en med adgang til credentials, "der lige skulle se". Teamvieweren er garanteret installeret på værkets eneste betjeningsplads, så "vagten" kan fjernstyre anlægget uden for normal arbejdstid. Havde en indtrænger haft bevidst onde hensigter var "angrebet" nok heller ikke foretaget inden for normal arbejdstid, hvor der kunne tænkes at sidde en person foran skærmen.
hvis den f.eks. kun var sat op med en 4-cifret PIN
Det kommer helt an på hvordan det er lavet. Hvis fx. man skal vente 1 sekundt første gange man taster forkert password ind, 2 sekunder næste gange, derefter 4, 8, 16, e.lign. så giver 4 cifre rimelig sikkerhed (såfremt man tvinger brugeren til at skifte pin når der har været mere end 3 forkerte forsøg). 6 cifre vil i praksis være ubrydeligt.
Er det noget, som man bør forbyde i en virksomhed?
Jeg ville være bekymret. I praksis er din eneste sikkerhed den der ligger i Teamviewer ... stoler du på den? Er de mere troværdige end Solarwinds?
Det er fristende at have en PC stående på laboratoriet med en Teamviewer, som via intranettet kommer i kontakt med Teamviewers server.
Førhen var der 9 cifre nu 10 cifre i bruger id'et. Det gør at en angriber ikke ved hvad han har fat i når han går i gang med at gætte password.
Dertil kommer at der er 4-6 tegn i et password. Sætter man den til fjernbetjening, så kan password være endnu mere kompleks.
Er det noget, som man bør forbyde i en virksomhed?
Så var det i øvrigt også Windows 7, der som bekendt ikke får sikkerhedsopdateringer mere.
TeamViewer var deres fjernstyring "of choice", og det var med samme password til alle systemer, delt af alle teknikere i området.
I USA undrer man sig ikke over at det er sket, men mere at det er kommet ud. Vandværker er i USA som herhjemme små decentrale "virksomheder" - mange med ret få kunder, f.eks. 200-300, så de har ingen IT skills eller budget, og man deler vel bare password med en der evt skal hjælpe uden at rette bagedter.
Nationalt, båe USA og Danmark har man vel bestemt at vand ikke er en kritisk ressource, eller at det er så svært at lægge store områder ned, at man altid kan køre vand ind fra nabokommunen. Elnettet derimod er reguleret, da man frygter at fjendtlig kontrol et sted kan ramme hele elnettet/landet.
Men han var nu meget hurtig til at forgifte vandet. Han har vidst, hvor han kom hen.
Spørgsmålet er om han blot valgte øverste program på startmenuen og så valgte at ændre den første parameter det var muligt at pille ved. I øvrigt er det tvivlsomt hvilken skade han kunne have gjort ved blot at pille ved NaOH koncentrationen. Forgifte vandet er nok lidt overdrevet.
Men, hvis han nu havde haft adgang til at styre pumperne i vandforsyningen så ville han måske kunne bevirke ledningsbrud. Hvis en by i Florida mangler vand i dagevis så skal nødberedskabet sættes ind. Hvis det rammer mange byer i samme område så bliver det kritisk.
Men han var nu meget hurtig til at forgifte vandet. Han har vidst, hvor han kom hen.
Der er en del malware som installerer en TW klient som så er sat op med et prekonfigureret kodeord og autostart. Nu burde de ikke bruge hverken email eller USB nøgler på sådan en maskine men det har man jo set før. Det kan selvfølgeligt også være en fejlkonfigureret TW - hvis den f.eks. kun var sat op med en 4-cifret PIN så kræver det ikke så meget at komme ind. Men ellers lyder det ikke som om det var et stort planlagt angreb og næppe noget i relation til SolarWinds-sagen. Det er ikke engang sikkert at vedkommende der fik kontrol over maskinen vidste hvor han var kommet ind før han så softwaren.
han fik adgang til en pc, hvor der var installer teamviewer
Tvang han sig adgang via et hul i TeamViewer, eller har han brugt et gyldigt brugernavn og adgangskode?
//EDIT I artikel fra reuter står der intet om tvang. "The hackers remotely gained access to a software program, named TeamViewer".