Standardkodeord, manglende login-mulighed og et vælg af bagdøre er bare nogle af de huller i sikkerhedssystemet, som netop er blevet offentliggjort i en række populære Scada-systemer. Det vil sige systemer til produktionsstyring - altså systemer, der kontrollerer mekanikken på kraft-varme-værker, fødevarevirksomheder, atomværker etc.

Det er den amerikanske publikation Wired, der kan fortælle om offentliggørelsen af sikkerhedshullerne, der gør det muligt at hacke sig ind i Scada-systemerne og overtage kontrollen med, eksempelvis hvor meget strøm et elværk producerer, eller hvor varmt vandet skal være i en svømmehal.

Bag sårbarhedsopdagelserne står seks sikkerhedseksperter, der har arbejdet for Scada-sikkerhedsvirksomheden Digital Bond for at finde sårbarheder i systemerne. De testede (og sårbare) produkter er:

General Electric D20ME
Koyo/Direct LOGIC H4-ES
Rockwell Automation/Allen-Bradley ControlLogix
Rockwell Automation/Allen-Bradley MicroLogix
Schneider Electric Modicon Quantum
Schweitzer SEL-2032

Ovenstående er de såkaldte PLC’er (programmable logic controllers), som er de programmerbare enheder i et Scada-system – de bliver eksempelvis brugt til at styre, hvor mange omdrejninger en elektromotor i en centrifuge skal køre med.

Rent sikkerhedsmæssigt står det værst til med den dyreste af PLC’erne, D20ME fra Generel Electrics, de øvrige produkter indeholder dog også indtil flere alvorlige sårbarheder.

Sikkerhedsforskeren Reid Wightman, der arbejder for Digital Bond, fandt frem til, at PLC’en fra Generel Electrics, der koster i omegnen af 15.000 dollars, ikke anvender autentifikation i forbindelse med indlæsning af 'ladder logic' til PLC’en. Ladder logic er en betegnelsen for programmeringssprog til omkodning af PLC’ere.

Derudover gør bagdøre i D20ME det muligt at opliste processor og skrive til systemets hukommelse. Ligesom det er muligt at tilgå en konfigurationsfil til systemet, hvor brugernavn og kodeord ligger opbevaret i klar tekst, så det er muligt for en hacker at tilgå systemet med et lovligt login.

D20ME er næsten 20 år gammel, men den bliver stadig anvendt til styring af mekanikken i kraftværker.

Leg med ilden
Ifølge den danske sikkerhedsekspert Peter Kruse fra virksomheden CSIS er det langtfra unikt, at aktive PLC’er har mange år på bagen, og at de derfor ikke er helt up-to-date, hvad sikkerheden angår.

»De bliver brugt i særdeles produktionskritiske systemer, og derfor er det ikke bare noget, man sådan skifter ud. Det har først og fremmest været vigtigt, at de kører stabilt, og så er sikkerheden kommet i anden række,« siger han.

Peter Kruse kalder de sikkerhedshuller, som altså nu er blevet offentliggjort af Digital Bond, for 0.-klasses sikkerhedshuller – altså huller, som for flere år siden er lukket og fjernet i almindelig software.

»Leverandørerne af de her PLC’er har bestemt ikke gjort deres arbejde særlig godt. De her huller - som at anvende et standardpassword - burde have været lukket for længst,« siger Peter Kruse.

Alligevel bryder han sig ikke om, at hullerne nu er blevet offentliggjort – vel at mærke før leverandørerne har haft mulighed for at lukke dem.

»Man leger med ilden. Det er en dårlig idé at offentliggøre det, når det er så kritiske anvendelsesområder, vi taler om. Men nu er katten ude af sækken, og så er det med at få dem lukket så hurtigt som muligt, før det går galt. Det er bare ikke noget, man lige gør, fordi systemerne stadig skal køre stabilt,« siger han.

Digital Bonds' hold af sikkerhedseksperter forsvarer sig med, at de har offentliggjort hullerne for at lægge pres på leverandørerne, så de kan lukke sårbarhederne.

Ifølge Peter Kruse er der helt sikkert også danske produktionsvirksomheder, der anvender de ovennævnte PLC’er. Og han har fra andre sammenhænge kendskab til, at sådan noget som standardpasswords, som alle altså i princippet kan gætte, også er udbredte i danske systemer til produktionsstyring i Danmark.

Læs mere om de konkrete sårbarheder ved at følge linket til Wireds artikel til venstre (engelsk).