Hackere ødelægger højovn på tysk stålværk

Ved hjælp af målrettede e-mails til udvalgte medarbejdere fik hackere adgang til netværket på et tysk stålværk og kunne forstyrre kontrolsystemerne til produktionsanlægget.

Et hackerangreb mod et tysk stålværk har resulteret i, at én af værkets højovne ikke længere kan bruges. Det skriver Der Spiegel.

Det er det tyske nationale center for it-sikkerhed, som oplyser, at angrebet har fundet sted, men uden at oplyse, hvilket stålværk der er ramt, eller hvornår angrebet skete.

Angrebet foregik angiveligt efter en opskrift, som er almindelig ved infiltration af virksomheders it-systemer. Første fase var et målrettet spear-phishing-angreb i form af e-mails til udvalgte medarbejdere, som skulle lokkes til at installere en bagdør på deres pc'er.

Derfra kunne hackerne få adgang til resten af stålværkets netværk, indtil de til sidst også fik adgang til de computere, som bruges til at styre produktionsudstyret. Her kunne hackerne udnytte specialviden om industrisystemer til at sætte højovnen ud af spillet.

Truslen mod industrisystemer kom for alvor på it-sikkerhedsdagsordenen efter angrebet med Stuxnet-ormen, som angiveligt var fremstillet specifik til at sabotere urancentrifuger på et iransk atomanlæg.

Kommentarer (24)

Ditlev Petersen

at en højovn skal kobles på internettet? Så man kan sidde hjemme og styre den? Efter min mening er det i høj grad idioti ukritisk at koble alt muligt på nettet, direkte eller indirekte. Det er at tigge om ballade i en verden fyldt med hackere og agenter (hvem kan se forskel?). Hvis det nu herhjemme lykkes en eller anden med et horn i siden på Danmark at lukke for strømmen i et par dage, så bliver vi godt nok tørstige.

Michael Zedeler

Jeg har tilfældigvis haft den glæde at tale med en sælger som solgte stålvalseværker. Både højovne, valsesystemer - hele værker. Det er nogle år tilbage, men dengang var der kun to leverandører i hele verden, der kunne levere samlede værker. Et salg tog som regel 5-10 år og man skulle være glad hvis man i hele sin karriere som stålvalseværk-sælger fik solgt mere end bare ét nyt værk.

Nå, men hvis man tænker på at der kun er to leverandører, er det også oplagt at de gerne vil have fjernadgang til de it-systemer, der driver værkerne, så de kan fjerndiagnosticere de problemer, der dukker op en gang i mellem.

Poul Pedersen

Og så er det ikke ø-drift... Men en ret inkompetent IT-afdeling.


Nu fremgår det ikke om det er IT-afdelingens sikkerhedsimplementation eller firmaets generelle syn på sikkerheden der har været svagheden.
De fleste i IT-afdelinger ved udemærket godt hvordan fornuftig sikkerhed skal laves, men det koster jo som bekendt ikke gratis, og så vil det derfor næsten altid konflikte med firmaernes generelle politik om optimering af indtjening.
Præcist som med forsikringer, så køres der udelukkende efter bakspejlet, og de har helt sikkert ikke været hacket på lige denne måde før som har kunnet forsvare det økonomiske i et ordentligt setup overfor ledelsen.
At de så forsøger at vaske hænder i "specialviden omkring industrielle systemer" er forventeligt, og der vil komme flere fremover efterhånden som "specialviden" bliver almen viden.
Er der nogen der ved om kommunernes Scada herhjemme er begyndt at have password på (andet end default) i det hele taget?

Maciej Szeliga

Nu fremgår det ikke om det er IT-afdelingens sikkerhedsimplementation eller firmaets generelle syn på sikkerheden der har været svagheden.


Lige siden Stuxnet er det klart at alle type industrier som styres af en computer (hvilket er 100% nu om dage) kan være mål for hackere.
Det er et SCADA system og samme type system kan bruges til styring af noget helt andet, stålværket har muligvis bare været et let proof of concept mål.

Jens Mikkelsen

Der er ikke ret mange virksomheder der har styr på sikkerheden.
Jeg har selv arbejdet i branchen i nogle år, og der er godt nok ikke mange steder de ved hvad de har gang i - Jeg har set alt fra modems hvor alt det krævede for at få adgang til systemerne var at man kendte telefon nummer - og de fleste af dem er sikkert stadig aktive.
Jeg har også set dem der er gået fuldstændigt i den anden grøft og har pakket det hele så hårdt ind at det bliver nærmest umuligt at arbejde med.
Sikkerhed kolliderer tit med en eller anden produktions chef som vil have alle tal leveret direkte fra maskinerne til et excel ark på hans PC... og er det ikke ham som vinder er det tit pengene der vinder. - sikkerhed koster jo ekstra og mangel på sikkerhed koster jo ikke noget før det bliver et problem...

Men automations branchen er fyldt med hus elektrikere der måske kan få en maskine til at køre nogenlunde men som ikke ved nok om detaljer som dokumentation og sikkerhed både IT og fysisk.

Jeg kunne dog godt tænke mig at vide hvilket system der blev brugt til at drive den ovn? Men sikkert noget Siemens baseret nu det er i tyskland og det er sikkert ikke blevet opdateret de sidste 10 år, det forstyrer jo driften og koster penge i licenser hver gang.

Jens Knudsen

Ret uhyggeligt at de medarbejdere, som er i risikozonen for at blive inficeret med virus / bagdøre / etc sidder på samme netværk som deres produktionsnet. Adskil dog for hulan da det netværk - og hvis man så endelig skal lave noget remote access, så brug da en sikker løsning, såsom en SiteManager eller lign.

Niels Danielsen

En højovn kan ikke tåle at blive stoppet.
Det betyder at det er nok at lave et denial of service attack på systemet, og da det er et Tysk værk kan man gætte på at der anvendes Profinet.
http://www.profibus.com/technology/profinet/
Jeg kender ikke protokollerne, men jeg vil tro at det er muligt for en inficeret maskine der sidder på kontrol nettet at broadcaste events, der f.eks. får alle IO noder til at gå 'failsafe'.
Hvis ovenstående er tilfældet kræver det ikke noget kendskab til hvordan systemet er sat op.

Henrik Kramshøj Blogger

kender nogle gode artikler med målinger for hvor mange kendte hacker angreb der er blevet udført i 2013 & 2014?

Mange større internetfirmaer, antivirus leverandører m.fl. udgiver "state of the internet" rapporter med deres tal. Jeg nævner i flæng, men søg gerne, Mandiant, Symantec, Arbor Networks, F-secure, Akamai, Sophos, McAfee, Trend Micro, Fortinet, Checkpoint, Cisco, Juniper, IBM, ... så det er blot at søge lidt rundt med søge ord som state of the internet, threat report 2014, hacking attacks 2014, hacking threats 2014.

Note: det er som altid en god ide at være lidt kildekritisk og ikke tage alting for gode varer :-D

Finn Christensen

Naturligvis er der gode fordele ved at kunne tilgå disse værker udefra. Så må man blot sikre sig at det er beskyttet godt nok.

Du drømmer.. man kan ikke sikre sig 'godt nok'. Mængden af personer, der betjener systemer med følsomme data eller arbejder på vitale og kritiske områder stiger voldsomt måned for måned.

"Når bussen allerede ligger totalskadet i grøften, og passagererne allerede er enten døde eller kvæstet" så er det tiden at sende chaufføren til en køreprøve, "men heller ikke før, for vi har ikke pengene" siger blå Bjarne[1] ;)

Kravende om små omkostninger samt billigere og billigere fleksibel arbejdskraft sendes i en lind strøm fra bestyrelser ned gennem hierarkiet. Drypvis bliver personalet ringere for hver dag der går..

..e-mails til udvalgte medarbejdere, som skulle lokkes til at installere en bagdør på deres pc'er.

Check blot din egen offentlig sektor herhjemme (hint.. jævnligt datalæk ifm. CPR, uduelighed ifm. Rejsekort, Polsag, Nets, CSC m.fl.).

De manglende evne bekræftes jo åbenlyst i medierne, samt stakkels Frelle-Petersen & Co i Digitaliseringsstyrelsen har jo offentligt erkendt, at de ikke magter opgaven, ligeledes samme situation hos Datatilsynet.

Da antallet af gale/'psykopater' ligger mellem 2-5% i populationen, og der var aldrig noget test og sortering af disse horder mht. offentlig ansættelse og tilsvarende med deres private samarbejdsrelationer (alene i DK har vi vel > 500.000 offentlige ansatte uden det fjerneste check). Tag du blot lommeregneren og sig 2-5% af > 500.000.. ;)

Tilsvarende kommer der måned for måned nye horder (tusinder) af dumme/galninge/hellige/politisk blinde på nettet, der misbruger hvad som helst 'digitalt' for at fortælle alle andre om deres tilbedte 'guldkalv'.

Så medens man bygger borge, vandgrave, sluser og fælder for at sikre systemer (fysisk perimeter), så har følsomme data og vitale systemerne de seneste 2-5 år fortrinsvis være tappet og truet indefra - hvilket jo er bekræftet de seneste år utallige gange både herhjemme og i udlandet.

Vi er den 01.01.2015 allerede en hel bølge bagefter de kommende ulykker. Det er synd for mine børn og børnebørn. Vi har da ellers nok af kompetente folk til at lave arbejdet og få ryddet op, men iflg. [1] skal alle ulykker og omkostninger tørres af på kommende regering(er).

[1] Vi trykker enter - og så kører det... http://www.fmn.dk/nyheder/Documents/National-strategi-for-cyber-og-infor...

Henrik Kramshøj Blogger

Hvorfor er det lige at en højovn skal kobles på internettet?

Jeg synes måske nok kommentaren er en smule naiv, og dermed dum. I dagens Danmark, og verden også, er vi på internet. Det betyder at vi har noget udstyr som er forbundet til en fælles infrastruktur som dækker hele verden (måske undtagen Nordkorea, men det er en anden snak). Denne infrastruktur giver mulighed for at bruge internet protokollerne, som idag også benyttes indenfor virksomhederne, herunder selskaber til fysisk infrastruktur som el, vand, gas osv.

Siden midten af 1990'erne har vi dog haft mulighed for at filtrere og begrænse adgang mellem systemer som indgår i den fælles internet infrastruktur. Det betyder at vi idag kan tale om at sætte ting direkte på internet, hvad mange firmaer til stadighed gør - eksempelvis oplever jeg jævnligt ting som:

  • Printere direkte på internet
  • ESXi hosts direkte på internet, hvor man kan forsøge at logge ind, og dermed potentielt overtage hele serverparken internt

men derfra til at tro at højovnen som sådan er "direkte på internet" er nok at gætte eller antage at folk er helt 100% debile, inkompetente og farligt dumme. Så måske skulle vi prøve med nogle mere sandsynlige antagelser, som:

  • man har en firewall
  • man har en vis grad af adskillelse mellem enheder/netværk som er direkte på internet
  • deres kontrolsystemer til højovnen er mere komplekse end som så - som formentlig også angivet benytter andre kontrolsystemer som SCADA el lignende.

Derfra giver det også mening at nævne begrebet spearphishing angreb hvor man ved at etablere et brohovede ind i virksomheden efterfølgende kan grave sig dybere og dybere ind i netværkene.

Kobler man ligeledes dette med viden vi har fra Stuxnet og andre angreb - hvor vi taler om angreb ind i systemer der bruges til våbenfremstilling og behandling af radiaktivt materiale med forventet højt sikkerhedsniveau. Kan vi så reelt forvente at en produktionsvirksomhed vil kunne modstå en målrette angriber her? Egentlig ikke.

Så hvis DU Ditlev stadig fastholder din kommentar, så håber jeg ikke du arbejder med noget vigtigt i IT-Danmark ;-) Det er farligt at klappe sig selv på skuldrene som om det aldrig kunne ske for dig, jer, jeres firma, jeres systemer. Firewalls og adskillelse er ikke altid nok!

Så hvorfor ikke blot erkende at vi med en ukritisk accept af nye "smart meters" og andet guf i vores danske infrastruktur åbner en ladeport af sikerhedsproblemer. DEN erkendelse ville gøre at flere ville afkræve en LIDT anden tilgang til sikkerhed, før vi trykker enter og sætter fart og fut i mere indføring og udrulning i DK.

Hat-tip til de andre debattører som giver lidt bedre indspark, tak

Jens Mikkelsen

og hvis man så endelig skal lave noget remote access, så brug da en sikker løsning, såsom en SiteManager eller lign.


De fleste har en eller anden form for VPN til adgang, vi bruger tit Sitemanagers og de virker ganske fint til at give fjernadgang på en nem måde, men har svært ved at se at de skulle være mere sikre end en eller anden VPN løsning. Hele ideen med Sitemanagers kræver at du stoler på Secomea eller Ewon eller hvem der nu leverer den model du bruger.

Peter Stricker

Fejl i Acrobat Reader?

"Når bussen allerede ligger totalskadet i grøften, og passagererne allerede er enten døde eller kvæstet" så er det tiden at sende chaufføren til en køreprøve, "men heller ikke før, for vi har ikke pengene" siger blå Bjarne[1] ;)


Jeg kan ikke finde de citerede passager i det dokument, du linker til. Jeg har også prøvet med diverse pdf-readers, men uden held.

Vil du være så elskværdig, at angive side- og linjenummer på de to citater?

Jeg kan heller ikke finde titlen

Vi trykker enter - og så kører det...


Er du helt sikker på, at det er det rigtige link, du har angivet? Titlen er den samme som en nylig blog af Kim Bjørn Tiedemann
http://www.version2.dk/blog/vi-trykker-enter-og-saa-koerer-det-75733
men det kan næppe være den du linker til, da de citerede passager heller ikke forekommer i Kims blog.

iflg. [1] skal alle ulykker og omkostninger tørres af på kommende regering(er)


Det kan jeg heller ikke læse ud af dokumentet. Dokumentet omtaler en strategi, som udgiveren har tænkt skal være gældende fremadrettet i flere år, men dokumentet beskæftiger sig ikke med hverken financiering, regeringsrokade eller folketingsvalg.

Såfremt citaterne er fri fantasi, så fratager det dit indlæg temmelig meget troværdighed. Det vil jeg på den anden side være glad for, for jeg var da ved at være bange for de tusindvis af galninge på internettet.

Jens Knudsen

Hele ideen med Sitemanagers kræver at du stoler på Secomea eller Ewon eller hvem der nu leverer den model du bruger.


Ja, og hvem kan man snart stole på i denne verden? Det er skræmmende... Dog har firmaer som Secomea ifølge deres press-release fået en sikkerhedscertificering (http://www.secomea.com/news/industry/press-release-security-certification/) - hvor meget den betyder, ved jeg dog ikke. Men det er jo snart sådanne ting, man bliver nødt til at sortere sit valg af firma på - for som sagt, hvem kan stole på?

Ditlev Petersen

Jeg ved godt, at kommentaren er naiv. Men det hele er jo en økonomisk vurdering, at en masse meget vigtige eller sårbare systemer konstant er koblet op på det smarte internet (uden tilstrækkelig sikkerhed). Det vil give problemer. Man vil ikke betale for et isoleret net (i "gamle dage") kunne man køre på fast opkoblede linjer. Og naturligvis skal indgangen stå åben 24/7. At det er sådan det er, er ikke nogen god undskyldning. Og man kan ikke lave sikkerheden god nok. Programmører begår fejl hele tiden, nogle af dem kan udnyttes og forresten tyder noget på, at nogle laver bagdøre til brug for hemmelige tjenester.

Jeg kender i hvert fald et sted, hvor jeg som leverandørens programmør ikke bare kunne logge på systemet. Jeg skulle kontakte dem først pr. mail, hvorefter jeg fik en tidsbegrænset adgang. Der er også muligheder for huller i den fremgangsmåde, men det er ikke en åben dør. Og når man nu ved, at der er folk og tjenester, der lever for at gøre skade, så bliver det dyrt at spare på sikkerheden. Og der er ingen grund til, at leverandøren af en højovn skal kunne tilgå den året rundt og uden varsel.

Det forlyder, at elsektoren er koblet op på internettet. Jeg aner ikke, i hvilket omfang det passer (ud over vindmøllerne). Det forlød også, at jernbanens signalsystemer skulle kobles op (med et højt niveau af security by obscurity). Men så sparer vi også de fast opkoblede linjer. Vi har ellers meget af kobberet liggende endnu. Man kan være naiv på flere måder. Jeg foretrækker min.

Jesper Lund Stocholm Blogger

Derfra giver det også mening at nævne begrebet spearphishing angreb hvor man ved at etablere et brohovede ind i virksomheden efterfølgende kan grave sig dybere og dybere ind i netværkene.


Præcist - og det nævnes også i artiklen, at

Første fase var et målrettet spear-phishing-angreb i form af e-mails til udvalgte medarbejdere, som skulle lokkes til at installere en bagdør på deres pc'er.

Derfra kunne hackerne få adgang til resten af stålværkets netværk, indtil de til sidst også fik adgang til de computere, som bruges til at styre produktionsudstyret.

Den der tanke om, at et kontrolcenter, der er lavet ordentligt, skal være omsluttet af et Faraday-bur og ophængt over en valdfyldt voldgrav med krokodiller og piratfisk i er himmelråbende tåbelig. Jeg arbejder pt. ved en stor dansk elproducent, og de bruger meget tid på at sikre, at deres net er adskilte, så angreb minimeres (har siddet og været med til at lave et system, der kunne transportere data imellem to sådanne net), og det er ikke sådan lige at krydse disse zoner.

Men hvis først hackerne er kommet ind i virksomheden, så har de jo tid til at finde den rigtige medarbejder og angribe hans eller hendes PC. Et eller andet sted er der jo nogen, der i en eller anden given kontekst har adgang på tværs af zonerne - uanset om disse er tidsbegrænsede, med 2-faktor-godkendelse eller lignende.

Erik Jensen

Prøv du at komme som IT-afdeling og sige at man skal køre Ø-drift og se hvor lang tid der går inden du bliver skiftet ud med nogen der giver adgang til alt fra Office 365 og Facebook til Dropbox samt diverse andre herligheder i "skyen".

Det er tendensen at firmaerne vil holde sig til deres "kerne kompetencer" og det er ikke IT, som helst skal flyttes udenlands. :)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen