De kan hacke fengselsceller

De kan hacke fengselsceller

Scada-styrte celler er ikke trygt. Dørene kan åpnes ubemerket av hackere.

Tre amerikanske sikkerhetsforskere har demonstrert at de kan ta kontroll over sikkerhetssystemet mange fengsler bruker for å åpne og stenge celledørene.

Forskerne Tiffany Rad, John J. Strauchs og Teague Newman begynte i kjølvannet av Stuxnet å snakke om hvordan tilsvarende angrep kunne brukes mot andre deler av samfunnet. Strauchs har vært med å sette opp sikkerhetssystem for over 100 amerikanske rettssaler, varetektsfengsler og fengsler, så dermed ble det nærliggende å gå dette området i sømmene.

De oppdaget kjapt at kombinasjonen av PLC – programmerbare logiske kontrollere – og sårbarheten i Scada-programmet gjorde at de i en test kunne åpne celledørene samtidig som de slo av alarmen koblet til dørene.

PLC-systemer er ikke ment for å være koblet mot nett, men de fleste er det likevel, påpeker Computer Sweden. I et fengsel forskerne besøkte så de for eksempel vaktene Twitre og sjekke epost fra kontrollrommet.

- Bruker du den maskinen der, risikerer vi at alle fangene slipper ut!

De snakket om temaet på Chaos Communications Camp, hvor Newman påpekte at det ikke nytter å si til vaktene ”den der datamaskinen kan du ikke bruke” – de må få konkret beskjed at ”om den datamaskinen brukes risikerer vi at alle fangene slipper ut”.

Det er 1800 fengsler og 3000 varetektsfengsler i USA, de fleste har PLC-systemer fra leverandører som Hitatchi, Panasonic, Samsung og Simens – det mest brukte, som også ble brukt i forskernes tester, er Simens S7-300.

- Etter Stuxnet sa folk at du i prinsippet må være et land for å gjøre research av slikt slag, at du må ha dyrt utstyr, men slik er det ikke. Vi kjøpte tingen vi behøvde for et par hundre dollar på Ebay og jeg fant mye programvare på internett i løpet av et kvarter, sier Newman, og legger til at 30 linjer kode holdt til angrepet.

Han mener slike systemer ikke nytter å lappes, det er bedre å koble dem fra internett og kjøre beinharde opplysningskampanjer overfor personalet om hvilken risiko som foreligger.

Norske fengsler

Computerworld snakket tidligere med Andreas Skulberg, avdelingsdirektør i Justisdepartementet, om norske fengsler i forbindelse med en annen sak. Da fikk vi vite at norske fengsler varierer med tanke på bruk av teknologi og styringssystemer.

- Det er en del fengselsbygg som er fra 1850 og den tiden, og de har jo alarmsystemer også videre, men de tekniske løsningene i et nytt fengsel som Halden er selvfølgelig mye bedre, sa han.

Computerworld har så vidt overhørt detaljer om dette konkrete forskningsprosjektet i fjor høst, før intevjuet med Skulberg, så temaet om fengselessikkerhet satt opp mot industrisystemer ble luftet i vår samtale med ham. Skulberg ønsket imidlertid ikke å gå i konkret detalj om hva slags teknologiske systemer, Scada eller øvrige, som er i bruk i norske fengsler.

- Jeg har ikke lyst til å gå inn på detaljer, fordi det går på sikkerhetsinstallasjoner. Men det er ulike varslingssystemer.

Les om: