Hacker brugte Teamviewer til angreb på vandforsyning
Det var en kompromitteret Teamviewer-bruger, der i sidste uge blev brugt, da en ukendt hacker forsøgte at forgifte vandforsyningen i den amerikanske by Oldmar, Florida, ved at ændre stofmængderne i vandet.
Det skriver Reuters.
Hackeren tvang sig adgang til Teamviewer-softwaren på en af computerne i byens vandrensningsanlæg og skruede op for mængden af natriumhydroxid.
Almindeligvis er fordelingen 100 mg/l vand, men efter angrebet var den 11.100 mg/l, og det kunne have haft konsekvenser for de 15.000 borgere, anlægget forsyner.
- emailE-mail
- linkKopier link

- Sortér efter chevron_right
- Trådet debat
Man kan spekulere på, om det overhovedet var "hacking" og ikke blot en med adgang til credentials, "der lige skulle se". Teamvieweren er garanteret installeret på værkets eneste betjeningsplads, så "vagten" kan fjernstyre anlægget uden for normal arbejdstid. Havde en indtrænger haft bevidst onde hensigter var "angrebet" nok heller ikke foretaget inden for normal arbejdstid, hvor der kunne tænkes at sidde en person foran skærmen.
- more_vert
- insert_linkKopier link
hvis den f.eks. kun var sat op med en 4-cifret PIN
Det kommer helt an på hvordan det er lavet. Hvis fx. man skal vente 1 sekundt første gange man taster forkert password ind, 2 sekunder næste gange, derefter 4, 8, 16, e.lign. så giver 4 cifre rimelig sikkerhed (såfremt man tvinger brugeren til at skifte pin når der har været mere end 3 forkerte forsøg). 6 cifre vil i praksis være ubrydeligt.
Er det noget, som man bør forbyde i en virksomhed?
Jeg ville være bekymret. I praksis er din eneste sikkerhed den der ligger i Teamviewer ... stoler du på den? Er de mere troværdige end Solarwinds?
- more_vert
- insert_linkKopier link
Det er fristende at have en PC stående på laboratoriet med en Teamviewer, som via intranettet kommer i kontakt med Teamviewers server.
Førhen var der 9 cifre nu 10 cifre i bruger id'et. Det gør at en angriber ikke ved hvad han har fat i når han går i gang med at gætte password.
Dertil kommer at der er 4-6 tegn i et password. Sætter man den til fjernbetjening, så kan password være endnu mere kompleks.
Er det noget, som man bør forbyde i en virksomhed?
- more_vert
- insert_linkKopier link
Så var det i øvrigt også Windows 7, der som bekendt ikke får sikkerhedsopdateringer mere.
- more_vert
- insert_linkKopier link
TeamViewer var deres fjernstyring "of choice", og det var med samme password til alle systemer, delt af alle teknikere i området.
I USA undrer man sig ikke over at det er sket, men mere at det er kommet ud. Vandværker er i USA som herhjemme små decentrale "virksomheder" - mange med ret få kunder, f.eks. 200-300, så de har ingen IT skills eller budget, og man deler vel bare password med en der evt skal hjælpe uden at rette bagedter.
Nationalt, båe USA og Danmark har man vel bestemt at vand ikke er en kritisk ressource, eller at det er så svært at lægge store områder ned, at man altid kan køre vand ind fra nabokommunen. Elnettet derimod er reguleret, da man frygter at fjendtlig kontrol et sted kan ramme hele elnettet/landet.
- more_vert
- insert_linkKopier link
Men han var nu meget hurtig til at forgifte vandet. Han har vidst, hvor han kom hen.
Spørgsmålet er om han blot valgte øverste program på startmenuen og så valgte at ændre den første parameter det var muligt at pille ved. I øvrigt er det tvivlsomt hvilken skade han kunne have gjort ved blot at pille ved NaOH koncentrationen. Forgifte vandet er nok lidt overdrevet.
Men, hvis han nu havde haft adgang til at styre pumperne i vandforsyningen så ville han måske kunne bevirke ledningsbrud. Hvis en by i Florida mangler vand i dagevis så skal nødberedskabet sættes ind. Hvis det rammer mange byer i samme område så bliver det kritisk.
- more_vert
- insert_linkKopier link
Men han var nu meget hurtig til at forgifte vandet. Han har vidst, hvor han kom hen.
- more_vert
- insert_linkKopier link
Der er en del malware som installerer en TW klient som så er sat op med et prekonfigureret kodeord og autostart. Nu burde de ikke bruge hverken email eller USB nøgler på sådan en maskine men det har man jo set før. Det kan selvfølgeligt også være en fejlkonfigureret TW - hvis den f.eks. kun var sat op med en 4-cifret PIN så kræver det ikke så meget at komme ind. Men ellers lyder det ikke som om det var et stort planlagt angreb og næppe noget i relation til SolarWinds-sagen. Det er ikke engang sikkert at vedkommende der fik kontrol over maskinen vidste hvor han var kommet ind før han så softwaren.
- more_vert
- insert_linkKopier link
han fik adgang til en pc, hvor der var installer teamviewer
- more_vert
- insert_linkKopier link
Tvang han sig adgang via et hul i TeamViewer, eller har han brugt et gyldigt brugernavn og adgangskode?
//EDIT I artikel fra reuter står der intet om tvang. "The hackers remotely gained access to a software program, named TeamViewer".
- more_vert
- insert_linkKopier link