Siemens trekker Scada-foredrag

Siemens trekker Scada-foredrag

Dropper detaljer om industrisystemene av frykt for fatale konsekvenser.

Såkalte Scada-systemer, prosesskontrollsystemer som gjerne brukes i alt fra fabrikker til strømstasjoner, har fått mye oppmerksomhet siste året. Stuxnet-ormen ble skreddersydd for å tukle med nettopp slike systemer fra leverandøren Siemens og er ansett som den mest sofistikerte ormen i historien så langt.

To sikkerhetsforskere hadde planer om å snakke om problemer i Siemens-systemet på en sikkerhetskonferanse, men trekker nå foredraget sitt inntil videre. Det ble gjort i siste liten etter at U.S. Department of Homeland Security tok kontakt, skriver Computerworlds nyhetstjeneste.

Det viser seg nemlig at problemet forskerne hadde tenkt til å omtale foreløpig ikke har blitt løst av Siemens. Det er gjengs blant sikkerhetsforskere på rette siden av loven ikke å avsløre problemer før leverandøren har løst dem.

- Leverandøren hadde foreslått en fiks som viste seg ikke å virke, og vi følte det potensielt ville vært veldig negativt for offentligheten om informasjonen ble gitt ut uten at et botemiddel er tilgjengelig, sier Rick Moy, administrerende direktør i NSS Labs.

- Ikke kneblet

NSS Labs har vært involvert i forsøket på å løse problemet, i samarbeid med nevnte sikkerhetsdepartements ICS-CERT (IndustrialControl Systems Cyber Emergency Responce). De to forskerne som skulle snakke om problemet, Brian Meixell og Dilon Beresford, er også tilknyttet NSS Labs.

Tidligere har leverandører truet med rettssaker for å holde sikkerhetsforskeres munn lukket. Men Moy hevder noe slikt ikke er tilfellet her – de har verken blitt kneblet av Siemens eller sikkerhetsdepartementet.

- Det er en midlertidig tilbakeholding av informasjonen, det blir ikke gravlagt. Vi vil bare ikke slippe den uten at et botemiddel finnes der ute for de som eier og driver Scada-ustsyr, sier han.

- Siemens og sikkerhetsdepartementet sa det var opp til oss hvorvidt vi ville holde praten, men ga oss også informasjon om hvor mange og hvor slike systemer står i produksjon.

Feilen Meixell og Beresford skulle prate om, angår spesifikt Siemens Programmable Logic Controller (PLC). Det er PLC som er mellomleddet mellom Scada-programvaren og den fysiske industrimaskinen som styres.

Industriangrep uten statsstøtte

I beskrivelsen av foredraget som skulle funnet sted skriver de to forskerne at de vil vise hvordan man skriver ondsinnet programvaren rettet mot industrien.

«Vi vil demonstrere hvordan en motivert hacker kan penetrere selv de best beskyttede fasiliteteene i verden, uten å ha staten i ryggen,» skriver de om foredraget som egentlig skulle blitt holdt på en konferanse i Dallas i går.

Flere sikkerhetsforskere har hevdet at Stuxnet, som i særlig stor grad ble en plage for Iran, har blitt produsert av eller med støtte fra Israels etterretning Mossad. De fleste enes om at ormen var ment å klusse med sentrifugene Iran bruker i anrikningen av uran.

Enkelte sikkerhetsforskere tror også det velkjente Stuxnet-angrepet var todelt, der den ene delen skulle angripe sentrifugene mens den andre delen skulle angripe selve atomturbinene i Irans Bushehr-reaktor.

Sistnevnte angrep skal ha vært mulig ved at Stuxnet-ormen klusser med Siemens PLC via et mann-i-midten-angrep der koden sniker seg inn mellom de fysiske I/O-enhetene og programeksekveringen.

Les om: