» »

Na Floridi preprečili zastrupitev vodovoda na daljavo

Na Floridi preprečili zastrupitev vodovoda na daljavo

vir: Pixabay

Slo-Tech - Nadzorni delavec vodnega zajetja v mestu Oldsmar, v ameriški zvezni državi Florida, je med svojim delom opazil, da so v njihov sistem uspeli vdreti neznanci, pri čemer so na daljavo upravljali z uporabniškim vmesnikom in na ta način želeli povečati koncentracijo natrijevega hidroksida z običajnih 100 delov na milijon delov vode, na 11.100 delov na milijon. Gre za približno stokratno in potencialno nevarno povišanje, saj gre za močno bazo, ki jo v zajetjih uporabljajo za uravnavanje PH vrednosti vode, v gospodinjstvih pa je pogosta sestavina tekočih sredstev za čiščenje odtokov.

Dežurni operater je poskus k sreči zaznal in koncentracijo povrnil na običajno vrednost. Sistem za upravljanje vodovoda na daljavo pa so za zdaj onemogočili. Za storilci, ki so ogrozili življenja okoli 15.000 uporabnikov vodovoda, pa so se zapodile tajne službe in FBI. Za zdaj še ni jasno ali je bil napad izveden iz ZDA ali pa morda iz tujine.

Podobni incidenti so se v preteklosti že dogajali. Leta 2016 je tak napad na neimenovano mesto analiziral Verizonov Risk Team, lani pa se je več podobnih poskusov odvilo v Izraelu. Jasno je, da je javna infrastruktura, povezana s transportom, proizvodnjo ter dobavo vode in elektrike, še kako izpostavljena informacijskim grožnjam, pred čemer že leta svarijo varnostni strokovnjaki. Ne le zato, ker lahko tak napad ogrozi na milijone prebivalcev, pač pa tudi zato, ker t. i. kritična infrastruktura še vedno pogosto teče na zastarelih in ranljivih informacijskih sistemih.

42 komentarjev

Matevz96 ::

Narejena pa je na principu najnižje cene...
#hooldthedoor

vostok_1 ::

To pa bi bilo zanimivo ja.
Kako je z nuklearkami, imajo ločen intranet, so vsi ključni deli off line?
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

ssokec ::

Predvidevam da že sam uporabniški vmesnik ne bi smel dopuščati vnosa tako velikega parametra.
Govorim o omejitvi vnosnih polj.
Drugače pa se za spremembo "kritičnih" parametrov naj bi uporabljalo ponovno preverjanje pooblastil.

David Novak ::

ZDA imajo že tako ali tako zastrupljeno vodovodno vodo. Dodajajo, ji namreč fluor, industrijski odpadek:
Water fluoridation by country @ Wikipedia
V Evropi se temu zaenkrat še uspešno izogibamo.

starfotr ::

Teamviewer so uporabljali.

Če imajo nadzorni center 24/7, je to neumnost. Scado bi morali imeti odklopljeno od interneta.

MrStein ::

Marsikdo čisla TeamViwer kot zelo varno rešitev.

Več o tem: https://www.washingtonpost.com/nation/2...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

filip007 ::

Fluor za sladkor, saj to je to.
Trevor Philips Industries

acookook ::

ssokec je izjavil:

Predvidevam da že sam uporabniški vmesnik ne bi smel dopuščati vnosa tako velikega parametra.
Govorim o omejitvi vnosnih polj.
Drugače pa se za spremembo "kritičnih" parametrov naj bi uporabljalo ponovno preverjanje pooblastil.

Đabe, ti omejitve na frontendu, če api nima enakih omejitev.

srus ::

Če Američani sejejo FUD okoli nemških (Teamviewer), kitajskih (Zoom) ali ruskih (Kaspersky) IT rešitev, ni to nič novega.

dexterboy ::

Še en povod več, da bo Bidenko še bolj povečal državi aparat... še več nadzora ;(
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

nekikr ::

Se že ve kakšne bodo sankcije proti Rusiji?

zmaugy ::

Slej ko prej bo potegnilo - za golazen, ki je pripravljena narediti kaj takšnega, ni milosti. Za golazen od držav, ki ščitijo tovrstno golazen, ni milosti.
Za butaste operaterje kritičnih sistemov, ki mislijo, da je to njihov hobi, ni milosti.
Biseri...
PS: MENSA klub ST, obvoz. ŠIC! Ne zanimajo me vaše neštetokrat reciklirane
neumnosti.

poweroff ::

Ampak je pa fino, da se lahko od doma s Teamviewerjem povežeš direkt v službo, a ne?
sudo poweroff

zmaugy ::

A to si meni odgovoril? Ne, tega ne počnem.
Biseri...
PS: MENSA klub ST, obvoz. ŠIC! Ne zanimajo me vaše neštetokrat reciklirane
neumnosti.

cuso ::

Kako lahko firmware sploh dopušča take vrednosti. Kot da bi hoteli, da nekdo to naredi oz. so si pustili odprto možnost, če se bo treba znebit množice ljudi na hitro.
Cusko

vostok_1 ::

Never underestimate the power of human negligence and general carelessness.

And or corruption.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

Zgodovina sprememb…

  • spremenil: vostok_1 ()

zmaugy ::

nekikr je izjavil:

Se že ve kakšne bodo sankcije proti Rusiji?

Rusija eta nedolžna. Kanješna.
Biseri...
PS: MENSA klub ST, obvoz. ŠIC! Ne zanimajo me vaše neštetokrat reciklirane
neumnosti.

SmeskoSnezak ::

srus je izjavil:

Če Američani sejejo FUD okoli nemških (Teamviewer), kitajskih (Zoom) ali ruskih (Kaspersky) IT rešitev, ni to nič novega.

Lahko das vsaj druge, po moznosti Evropske resitve?
Kaj namesto Zooma?
Cisco Webex je ameriski :)
Za TeamViewerja se ve od kje je, pa da je mal luknast. :)
Kaj torej priporocas namesto tega?
RDP je MS, LogMeIn je tud iz Amerike.
Antivirusnih resitev pa itak prevec, pa skor vse so si podobne. Je sploh kaksna Nova in se nezlorabljena programska oprema anti virusom, iz EU v tem pogledu?
@ Pusti soncu v srce... @

kixs ::

vostok_1 je izjavil:

To pa bi bilo zanimivo ja.
Kako je z nuklearkami, imajo ločen intranet, so vsi ključni deli off line?


Ja. NEK ima loceno omrezje nadzornega centra.

c3p0 ::

MrStein je izjavil:

Marsikdo čisla TeamViwer kot zelo varno rešitev.


Za babici naštelat driverje, ja.

Realest ::

vostok_1 je izjavil:

To pa bi bilo zanimivo ja.
Kako je z nuklearkami, imajo ločen intranet, so vsi ključni deli off line?


Delam neki podobnega in ja, je ločena mreža, ki načeloma ni dostopna od zunaj. Razen za remote commissioning seveda ;)

poweroff ::

O Teamviewerju ni naletelo na nikogar, govorim o tem, kako je ljudem fino, da imajo remote dostop, pozabijo pa na varnost.

Lahko bi imeli vsaj VPN in potem remote dostop preko VPN-ja. Pa omejitev koliko je max možen izpust na hardwerskem nivoju.
sudo poweroff

mitja ::

vostok_1 je izjavil:

To pa bi bilo zanimivo ja.
Kako je z nuklearkami, imajo ločen intranet, so vsi ključni deli off line?


haha... ja, žal so dokaj enostavno dostopni sistemi. Ne govorim za našo JEK. V ZDA in še kje pa je večina "enostavno" dostopnih.
Nobody is perfect! But who wants to be nobody?

Gregor P ::

poweroff je izjavil:

Ampak je pa fino, da se lahko od doma s Teamviewerjem povežeš direkt v službo, a ne?

Si sploh nisem mogel predstavljati, da je to mogoče, kaj šele pri kritični infrastrukturi;((
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Invictus ::

TeamViewer kot software ni problem, problem je uporabnik, ki ne zna nastaviti pravilnih varnostnih omejitev.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

starfotr ::

Problem je celovita varnostna politika.

Začne se z izbiro zaposlenih.

Moraš imeti take zaposlene, ki jim zaupaš.

In IT sektor mora poskrbeti za ustrezno varnost.

sainivedant ::

Kot da bi hoteli, da nekdo to naredi oz. so si pustili odprto možnost, če se bo treba znebit množice ljudi na hitro.

5erson ::

cuso je izjavil:

Kako lahko firmware sploh dopušča take vrednosti. Kot da bi hoteli, da nekdo to naredi oz. so si pustili odprto možnost, če se bo treba znebit množice ljudi na hitro.

Industrijske aplikacije so namenjene parim uporabnikom. Smatra se, da le-ti vedo kaj se v posamezne inpute vnaša, zato naročnik ne zahteva omejevanja vrednosti, izvajalec pa jasno tega tudi ne vgrajuje, ker...

Bom pa vesel, če bo kdo iz prakse povedal drugače.

starfotr ::

Saj se lahko zgodi napaka pri vnosu. Zato je potrebna omejitev oz. kontrola na višjem nivoju.

Vedno je treba stvari varovati z večimi zadevami.

mtosev ::

Res rabiš biti sranje od človeka, da ti sploh pride na idejo kaj takega. dobro, da so pravočasno odkrili.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

ssokec ::

Obstaja možnost da do vdora sploh ni prišlo, uporabnik - skrbnik sistema je nenamerno vnesel napačno vrednost in svojo napako (katero je kasneje opazil) opravičil z navideznim vdorom v sistem.

Še par komentarjev iz lastnih izkušenj pri postavitvi podobnih sistemov:
Nadzorni nivo - SCADA (po domače vmesnik za upravljanje):
- Omejitev vnosnih polj preprečuje morebitno napako operaterja (ljudje smo zmotljivi)
- Ponovna avtentikacija pri spremembi kritičnih parametrov
- Opcijsko tudi dvojna avtentikacija (nadrejeni operaterja)
- Varčevanje z denarjem pri postavitvi sistema ali zamude na projektu in je zmanjkalo časa za popolno validacijo sistema (saj to tudi študent zna narediti)
- premalo zaščiten OS (določena programska oprema za nadzorne sisteme zahteva lokalne full admin pravice na računalniku), temu sledi da uporabnik lahko namešča še ostalo programsko opremo (npr. TeamViewer za lažji oddaljen dostop, kajti njemu pa na iphone-u ne deluje VPN).

Pomojem je bila napaka narejena že pri sami zasnovi sistema:
Za doziranje raznih kemikalj v pitno (ali bazensko) vodo se uporabljajo namenske samostojne naprave katere se lahko poslužuje samo lokalno, na nadzornem nivoju so vidni samo njihovi statusi (nedeluje-deluje, napaka-OK). Dodatno se pa z drugo napravo (senzor + krmilnik) zajemajo ponovno meritve in morebitni odstopi le teh se alarmirajo.

Sistem mora biti zasnovan tako da lahko normalno - samostojno deluje tudi ob odpovedi računalnika (ali OS-a) kateri je pač najšibkejši člen v celotni verigi krmilno nadzornega sistema.

StratOS ::

Se strinjam z predhodnikom.
Tudi dozirne črpalke so narejene glede na maksimalni nominalni pretok cevovoda.
Ker v tem primeru gre za proporcionalni sistem doziranja na pretok ne verjamem, da bi ob načeloma 100x povečanem doziranju črpalka uspela zdozirati vsebino pri istih nastavitvah črpalke, mislim, da bi se spremenila le frekvenca delovanja črpalke (udarcev).
Večina batnih magnetnih črpalk ki se uporabljajo za ta namen deluje maksimalno pri 180 Hz (max. 3 udarce na sekundo).
Pri istem pretoku (frekvenci udarcev) ne moreš frekvenco udarcev vedno povečati za 100x, razen pri zelo zelo nizkih pretokih.
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

BigWhale ::

SmeskoSnezak je izjavil:

srus je izjavil:

Če Američani sejejo FUD okoli nemških (Teamviewer), kitajskih (Zoom) ali ruskih (Kaspersky) IT rešitev, ni to nič novega.

Lahko das vsaj druge, po moznosti Evropske resitve?


ISL Online ne pozna nihce? :> Funny, pa slovenska resitev ja. :)

https://www.islonline.com/si/en/

MrStein ::

poweroff je izjavil:

Ampak je pa fino, da se lahko od doma s Teamviewerjem povežeš direkt v službo, a ne?

Če to počneš z drugim tool-om, pa je OK?

SmeskoSnezak je izjavil:

srus je izjavil:

Če Američani sejejo FUD okoli nemških (Teamviewer), kitajskih (Zoom) ali ruskih (Kaspersky) IT rešitev, ni to nič novega.

Lahko das vsaj druge, po moznosti Evropske resitve?
Kaj namesto Zooma?
Cisco Webex je ameriski :)
Za TeamViewerja se ve od kje je, pa da je mal luknast. :)
Kaj torej priporocas namesto tega?
RDP je MS, LogMeIn je tud iz Amerike.

Ne zaupaš RDP, zaupaš pa Windows? ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Invictus je izjavil:

TeamViewer kot software ni problem, problem je uporabnik, ki ne zna nastaviti pravilnih varnostnih omejitev.

Uporabnik? Misliš IT oddelek?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Invictus ::

Kdorkoli že...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

c3p0 ::

Teamviewer ipd. rešitve so 3rd party proxyji. Dejansko je velik problem kaj takega uporabljat za kritične aplikacije in kako to gre skozi security review (če kaj takega tam obstaja).

poweroff ::

MrStein, nihče ni govoril o tem, da je SAMO TW problem.

Je pa zanimivo... IT departmenti ne pustijo ljudem namestiti AdBlocka na brskalnik, ker kao "varnost"... TeamViewer je pa kosher. :))
sudo poweroff

starfotr ::

RDP seveda ni varen, če ga ne uporabljaš preko VPN.

darkolord ::

Tukaj si vas velik del narobe predstavlja, kako vse to izgleda.

Tukaj zelo verjetno sploh ni nobenega "IT departmenta".

V najboljšem primeru je nek IT nekje v občinski upravi, ki ima čez vse te facilitije, še bolj verjetno jim je pa vse skupaj postavil izvajalec, ki je vzpostavil celoten krmilni sistem.

Pač kupiš napravo/sistem/tovarno in zraven dobiš en PC, kjer teče gor nadzorni program.

Po defaultu je sicer v ločeni mreži, ampak:
- če nekaj crkne, si v zosu
- nekdo mora tam ždeti 24/7 in buljiti v tiste številke, da lahko občasno pogleda, če je vse OK

Zato je skoraj klasika, da se na te kompe potem (poskuša) poinstalira(t) TeamViewer (ali AnyDesk po novem) in zadevo butne na internet.

Zgodovina sprememb…

  • spremenilo: darkolord ()

poweroff ::

Saj to je jasno. Popolnoma razumljivo iz človeškega vidika.

Ampak zdaj je pač prišel račun za tole. Hkrati pa tudi priložnost, da se kaj spremeni.

Edino problem je, ker se sedaj zna zgoditi, da bo nekdo izkoristil paniko in jih konkretno nategnil z neko ultra drago rešitvijo (in vzdrževanjem za njo).
sudo poweroff

MrStein ::

starfotr je izjavil:

RDP seveda ni varen, če ga ne uporabljaš preko VPN.

Že tri leta teče honeypot RDP, z objavljenim naslovom takim, ki mislijo da je vdor stvar par minut. Pa še kar noben ni vdrl. Glej tudi: lažje je verovati kot si vzeti par minut in preveriti: https://slo-tech.com/novice/t780358/p70...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bolnik umrl med hekerskim napadom na bolnišnico (strani: 1 2 )

Oddelek: Novice / Varnost
8520088 (16386) nekikr
»

Čedalje več vrnjenih izdelkov predstavlja breme za spletne trgovce (strani: 1 2 3 )

Oddelek: Novice / Ostale najave
13033630 (27431) jernejl
»

Podražitev komunale za več 100% (strani: 1 2 )

Oddelek: Loža
7912616 (9746) Magic1
»

Ptičja gripa v Mariboru (strani: 1 2 3 4 )

Oddelek: Problemi človeštva
19315091 (10722) BluPhenix

Več podobnih tem