A Siemens több, a kritikus infrastruktúrákban működő rendszere hibájáról hazudott, amikor a sajtónak nemrég tagadták a sebezhetőségek létét – állítja egy biztonsági szakértő, aki bizonyítékként nyilvánosságra hozta kutatásai eredményét, többek között egy alapértelmezett jelszót is. Billy Rios szoftvermérnök december 20-ai blogbejegyzésében azt írja, hogy a Siemens SIMATIC nevű rendszerébe igen könnyű bejutni az internetről.
A mérnök felháborodásból írta meg cikkét, ugyanis a nemrég nagy visszhangot kiváltott, ám később téves riasztásnak bizonyult amerikai vízmű elleni informatikai támadás kapcsán a Cnet-nek egy hacker megerősítette, hogy már több gyengén védett közműves rendszerbe behatolt, egy texasi vízmű elleni támadást pedig demonstrált is. Akkor a Reuters hírügynökség megkereste a vízmű rendszerének gyártóját, a Siemenst, hogy mit szólnak „pr0f” állításaihoz, aki többek között azt mondta, hogy nem volt nehéz dolga, találkozott háromkarakteres jelszóval is. A Siemens képviselői azt mondták az újságíróknak akkor, hogy az általuk gyártott rendszerekben semmiféle autentikációs sebezhetőség nincsen. („pr0f” állítólag, eddig meg nem erősített hírek szerint egy magyar főiskolai hallgató)
„100”
Rios ezzel szemben kijelenti, hogy ő már májusban értesítette a vállalatot, hogy a SIMATIC rendszerekben súlyos hiányosságok tapasztalhatóak az azonosítási technológiában. Ha igaz a mérnök állítása, akkor igen komoly problémáról van szó.
Rios azt állítja, hogy a SIMATIC rendszerekben három internetes szolgáltatásban is (web, VNC, Telnet) az alapértelmezett jelszó a háromkarakteres „100” (felhasználónév: „Administrator:100”, de ezt nem kell beírni). Ami különös gond: ha a felhasználó csak az egyiket változtatja meg, a másik kettőben még marad a „100”, és feltételezése szerint ennek köszönhető, hogy „pr0f” bejutott az említett vízmű rendszerébe – ő maga is kipróbálta, és több olyan helyet is talált, ahol a „100”-at nem változtatták meg, és be lehetett lépni az elvileg védett rendszerekbe az internetről.
És ez még nem minden: ha a felhasználó a gyenge alapértelmezett jelszó helyett egy újat ad meg, ám abban szerepel egy speciális karakter is, akkor a rendszer automatikusan visszaállítja a „100”-at.
De itt még mindig nincs vége: Rios azt tapasztalta, hogy a SIMATIC HMI webalkalmazása nem véletlenszerűen, hanem kiszámíthatóan állítja elő a munkamenetekhez tartozó sütiket (session cookie), és így viszonylag könnyű egy olyan szoftvert írni, amivel egy támadó ezekhez hozzájut, és így be tud jutni azonosítás nélkül a rendszer HMI-szoftverébe.
A Siemens egyelőre még nem reagált a mérnök közleményére.
