Dit artikel beschrijft hoe een ICT beveiligingsconsultant toegang heeft verkregen tot het netwerk van een energiebedrijf en de mogelijkheid had om de energieproductie en -distributie te ontregelen.


Ira Winkler, een penetration-testing consultant, zegt dat hij en zijn team van experts een dag nodig hebben gehad om de aanval tegen het energiebedrijf op te zetten. De aanval omvatte zowel social engineering technieken als wel kwetsbare webbrowsers op de computers van het bedrijf. Tegen het einde van de dag had het team verschillende computers onder controle waardoor zij toegang had tot het productienetwerk. Dat was het moment waarop het energiebedrijf dat Ira en zijn team had ingehuurd de aanval afblies.

• via openbare lijsten met e-mailadressen van medewerkers van het energiebedrijf stuurde het team e-mails met daarin de uitnodiging op een weblink te klikken. Deze link voerde naar een website van het team waardoor automatisch malware werd geinstalleerd op de computers van het energiebedrijf. Dit was mogelijk omdat de webbrowsers softwarelekken bevatten. Hiermee had het team toegang verkregen tot het netwerk en kon zij vanaf deze werkplekken in het netwerk van het energiebedrijf de aanval voortzetten;
• het energiebedrijf wilde de productie niet stopzetten voor software upgrades waardoor vele belangrijke servers verouderde en gevaarlijke software draaiden. Hierdoor waren vele servers eenvoudig over te nemen. Dat de servers waren geinstalleerd met standaardconfiguraties droeg ook bij aan het eenvoudig kraken van de systemen.

De 'lessons learned' in deze case zijn:

• het up to date houden van software draagt bij aan de de beveiliging van computersystemen;
• het uitrollen van standaard configuraties draagt bij aan de onveiligheid van computersystemen;
• medewerkers zijn makkelijk benaderbaar via e-mail wanneer e-mailadressen openbaar zijn en hierdoor zijn de medewerkers kwetsbaarder voor social engineering tactieken.