Software kerncentrales en industriële installaties blijkt gatenkaas

De Italiaanse onderzoeker Luigi Auriemma vond althans binnen enkele maanden een veelheid aan lekken in veel gebruikte ‘supervisory control and data acquisition’ oftewel SCADA-software. Lekken die gebruikt kunnen worden om ongeautoriseerd toegang te krijgen tot de industriële installaties, en dus mogelijk voor sabotage, vaak ook van buitenaf. Terwijl Auriemma naar eigen zeggen geen kennis had van deze software voor hij zijn onderzoek begon.

Auriemma onderzocht SCADA-software van Siemens, Iconics, 7-Technologies en Datac. Details zijn gepubliceerd in 34 waarschuwingsberichten, sommige met meerdere fouten, op Bugtraq. Auriemma heeft ervoor gekozen meteen de publiciteit op te zoeken vanwege de veelheid aan fouten. Bovendien kunnen de productenten met zijn advisories heel snel maatregelen nemen, stelt Auriemma.

Amerikaanse regering adviseert maatregelen
De Amerikaanse regering heeft in reactie op de publicatie uitbaters van kerncentrales, energiecentrales en andere industriële complexen gewaarschuwd. De autoriteiten adviseren om controlesystemen zoveel mogelijk af te schermen van toegang tot het bedrijfsnetwerk, en in ieder geval van internet. Als toegang op afstand nodig is, zou dat via een virtual private network geregeld moeten worden, luidt het advies.

Vorige week publiceerde het Moskouse bedrijf Gleg overigens al het ‘SCADA Exploit Pack for Canvas', dat volgens het bedrijf inbraakmethoden levert voor 11 bekende lekken in SCADA-software. Of het om dezelfde lekken gaat als die Auriemma constateerde, is nog niet bekend.