18:54
10/2/2021

O ciekawym incydencie, który mógł zagrażać życiu i zdrowiu kilkunastu tysięcy ludzi informuje szeryf z Florydy. W piątek ktoś włamał się do wodociągów w habstwie Pinellas i zwiększył stężenie wodorotlenku sodu stukrotnie.

“W tym można rozpuszczać zwłoki”

Wodorotlenek sodu jest stosowany przez wodociągi na Florydzie do sterowania kwasowością wody. Włamywaczowi udało się wpłynąć na jego stężenie, które zmienił do wartości 11000 ppm, ale na szczęście pracownik wodociągów zauważył tę zmianę i błyskawicznie przywrócił poprawne parametry. Władze uspokajają, że nawet jeśli pracownik nie przywróciłby ustawień ręcznie, to zadziałałyby inne systemy bezpieczeństwa m.in. monitorujące pH wody. Dodają też, że woda o zmienionych parametrach trafiłaby do mieszkańców i tak najwcześniej następnego dnia.

Gdyby jednak tak się nie stało, to skutki kontaktu z wodorotlenkami sodu mogły być tragiczne. Jakie? O wyjaśnienia poprosiliśmy Wojciecha Orlińskiego, nauczyciela chemii:

Jeżeli w tym artykule nie ma pomyłki w liczbach, to jest to bardzo wysokie stężenie NaOH (…) gwarantujące pH przekraczające 13. Przy takiej wartości to już nie tyle zatrucie, co poparzenie silną zasadą – po prostu woda w kranie zamieniłaby się w udrażniacz rur, zwany potocznie “kretem”. W tym można rozpuszczać zwłoki! W razie kontaktu ze skórą nie zeżre nam tak od razu, zdążymy opłukać wodą… no ale tutaj “woda” z kranu jeszcze pogorszy sytuację. A w razie wypicia… boję się myśleć, po prostu jakby pić wrzący olej. Zniszczy błony śluzowe i wszystko na swojej drodze.

Wbił się przez TeamViewera

Jak się okazało, atakujący do systemu uzyskał dostęp dwa razy. Za każdym razem na kilka minut, podczas których swobodnie zmieniał parametry w interfejsie. Choć praca włamywacza w systemie była obserwowana przez pracownika, to nie wzbudzała podejrzeń, bo do tego systemu zdalny dostęp regularnie wykorzystywał przełożony pracownika. Ruszający się kursor myszy był “normalnością”. Dopiero po tym incydencie władze wodociągów zdecydowały się na zablokowanie zdalnego dostępu do swoich systemów.

Wodociągi korzystały z TeamViewera — nie jest jednak jasne, jak włamywacz przejął nad nim kontrolę. Czy hasło pozyskał, a jeśli tak to skąd, czy odgadł?

Trudno uwierzyć, że to pierwszy raz

Aż dziwne, że takich incydentów jest tak mało. Niestety sporo HMI (Human-Machine Interface) różnego rodzaju rozwiązań ICS (w tym SCADA) / automatyki przemysłowej jest dostępnych z poziomu internetu. Aktualne dane z Shodana (dla Polski podaje 1600+ hostów):

Systemy te można, jak widać powyżej, łatwo znaleźć właśnie na Shodanie. Tu przykład panelu sterowania browarem:

Po internecie krąży też screen z panelu sterowania chyba (?) fabryki ogórków. Niestety gdzieś nam się zapodział screen, ale może któryś z Czytelników ma mirrora?

Wracając do HMI wystawionych do internetu. Do niektórych da się dostać się albo za pomocą prostych, domyślnych haseł albo wykorzystując proste błędy w panelach logowania, omijających uwierzytelnienie. Bo większość systemów automatyki przemysłowej nie była tworzona z myślą o “dostępie” do nich z poziomu niezaufanej sieci, z poziomu internetu. W dzisiejszym świecie jednak, zwłaszcza tym pandemicznym, zdalny dostęp jest coraz bardziej pożądany. Ale nie zawsze wdrażany z głową i odpowiednimi zabezpieczeniami.

Piję wodę z kranu — co robić, jak pić?

Nie wpadajmy w panikę. Choć wszystko wydaje się przerażające to jest jedna rzecz, która powoduje, że jeszcze nie pijemy “kwasu z kranów” a nasze jednofazowe gniazda wtykowe (zwane kontaktami) nie zioną ogniem.

To prawda, że rozwiązania ICS/OT bywają dziurawe jak sito, ale pocieszające jest to, że często złośliwa zmiana nastawów, np. w elektrowni spowoduje wzbudzenie sprzętowych mechanizmów bezpieczeństwa, które mają na celu zapobiec tragedii, awarii lub po prostu błędom upoważnionych pracowników. I na szczęście sprawdzają się też w przypadku takich ataków hackerskich (choć nie zawsze). Oby sprawdzały się jak najczęściej.

PS. Jeśli ktoś z Was ruszy po tym artykule na poszukiwania HMI w Shodanie, to zanim poklikacie po jakimś interfejsie, dwa razy się zastanówcie co robicie. To nie zwykły “pecet”. I nie zawsze będzie to też honeypot. Choć czasem będzie ;->

Przeczytaj także:

47 komentarzy

Dodaj komentarz
  1. Ciekawe, czy mieli tam tyle tej substancji w zbiornikach, że nawet wlanie całości nie wpłynęło by znacząco na stan wody w kranie.

    • Oprócz sprzętowych mechanizmów bezpieczeństwa i czujności pracownika dodałbym do analizy jeszcze fakt, że najprawdopodobniej wodociągi nie były przygotowane do zużycia tak dużej ilości tej zasady. Przypuszczalnie bardzo szybko by jej po prostu zabrakło, a może w ogóle nie dałoby się osiągnąć tak dużego stężenia, zwłaszcza na terenie całej sieci.

    • No nie zupełnie. Zanieczyszczona woda pojdzie rurami. Część odbiorców dostanie zło. To nie jest tak, że cała woda z całej sieci to zawsze jest w jednym miejscu i naszczanie do jednej rury powoduje że siki rozwodnia się proporcjonalnie do całości wody w obiegu.

    • Ale potem zgoda, skończy się domieszka i reszta poleci już bez zła.

    • Nie do końca, bo jest jeszcze dyfuzja. Ta woda nie idzie partiami tylko w sposób ciągły, mieszała by się z tą już w rurach, i tą za nią już czystą.
      Obniżając stężenie.

    • No wlasnie nie wiesz. Otwierajac ogien z broni maszynowej, nawet na publicznym wiecu, wciaz nietrafic jest latwiej niz trafic – co nie znaczy, ze goscia ktory probowal powinno sie sadzic tak jakby chcial sobie postrzelac w niebo, ziemie czy pomiedzy ludzmi.

      Dopóki nie przeprowadzisz wlasnych eksperymentow w skali 1:1, ktory udowodni ze ten sposob trucia ludzi jest ***zupelnie*** nieskuteczny, nie mozesz chronic sie (mozliwym) brakiem zagrozenia – a i to tylko wtedy kiedy experymenty przeprowadzano PRZED proba potrucia ludzi, w innym wypadku wciaz jestes trucicielem – tylko niekompetentnym…

  2. “spowoduje wzbudzenie sprzętowych mechanizmów bezpieczeństwa” To akurat pobożne życzenie. Nowsze systemy coraz rzadziej posiadają jakieś tam “sprzętowe” mechanizmy. Mechanizm sprzętowy to kolejny czujnik wpięty w ten sam sterownik. Zamiana jednej skali w sterowniku (0-zawór zamknięty 20-otwarty) i taki system gotów ratować awarię “dolewając benzyny do ognia”. Swego czasu istniał taki temat jak “zakaz pełniej autonomii systemu” – ale został przez jakichś idiotów wygaszony.
    Większych szkód narobiłby zmieniając pracę pomp chloru – to mogłoby zagrażać pracownikom.

    • Do dozowania chloru nie używa się pomp, to nie są procesy podawania mediów do wody wprost. Ponadto z doświadczenia zawodowego mogę powiedzieć, że większość wodociągów w Polsce od strony IT może i jest słabo zabezpieczone ale procedury wewnętrzne są dobre – przy zastosowaniu takich mediów jak korekta pH – wodorotlenek, koagulacja, dezynfekcja itd. elementy te są dobrze kontrolowane. Zmiana ilości podawania niewiele da – zawsze zdublowany jest pomiar jakości wody, zużycia czy zmiany poziomu na zbiorniku (zbyt nagły włącza alarm) itd stacje są również zobowiązane do prowadzenia kontroli jakości wody w laboratorium.
      Tak drastyczne błędy są możliwe tylko przy sterowaniu ręcznym albo bardzo dużej ingerencji w cały system np PCS7 dla dużych zakładów.

    • “Do dozowania chloru nie używa się pomp” – to co ja naprawiałem tyle lat robiąc sobie białe plamki na ubraniu? “to nie są procesy podawania mediów do wody wprost” – są, i to na ostatnim etapie, możliwe jest też dodawanie chloru na etapie transportu (długie, brudne wodociągi). “zmiana ilości podawania niewiele da – zawsze zdublowany jest pomiar” – na 2 różnych systemach, na 2 różnych sterownikach ;) Dwa wejścia tego samego sterownika to nie dublowanie. Brakuje tylko, żeby alarm od obu był wystawiany przez ten sam marker w programie.
      “Tak drastyczne błędy są możliwe tylko przy sterowaniu ręcznym” – nie, właśnie pracownik nie sterownik, pomyli się o 10%, ale nie walnie 10 lub 100X większych. A właśnie beznadziejny soft w mojej obecnej pracy kiedy wpiszę 5 podpowiada mi propozycję 50, 500.

    • @ Michal
      Możesz powiedzieć jak to wyglądało u Cibie? Bo tam gdzie pracowałem stosowało się właśnie pompy, ale to były stosunkowo małe obiekty.

      @cranky
      Z życia wzięte: dwóch mechaników okrętowych (pierwszy i drugi – czyli ludzie po egzaminach, testach i odpowiednim czasem na burcie) wlali do zbiornika z wodą 50L chloru zamiast 5L tylko dlatego, że dostali środek innego producenta i nie umieli policzyć stężenia. Jakby tego było mało zamiast wlewać powoli po 10L i regularnie sprawdzać to po prostu wlali całość mimo iż cały czas byli przekonani, że to za dużo bo nigdy aż tyle lać nie musieli. Na szczęście potem kontrolowali stężenie na bieżąco i się połapali.

  3. Heh, moj kolega kiedyś – wprawdzie nie zdalnie, ale lokalnie jednym guzikiem wywołał w pewnej fabryce przypadkiem niezamierzone testy sekwencyjnosci startu urządzeń. Zakończyły się eksplozja oraz unieruchomieniem pobliskiej linii kolejowej… True story :)

    • Jak chłopcy machnęli się przy wymianie jakiegoś elementu w podstacji w Schiphol to w efekcie nie tylko nie miały prądu okoliczne miejscowości ale też uziemili lotnisko Amsterdam-Schiphol.

    • A mój kolega nie wiedział, że jest podłączony do systemu produkcyjnego i podczas implementacji i testów pewnej małej ficzki wyłączył wielką turbinę gazową produkującą prąd gdzieś w Niemczech.

  4. To screen ze sterowania warzelni w browarze

    • Przecież dokładnie na browar jest wskazanie w artykule

  5. Jeśli “mash” i “wort” to zapewniam was, że nie ogórki:D:D:D

    • Następny, który chyba po kilku browarach komentuje…

    • Najbardziej z tego artykułu wpadający w oko to jednak jest Wojciech Orliński, nauczyciel chemii…

    • Od czasu zwolnienia z Agory ma pewnie dużo czasu, a że jest przy okazji chemikiem…

  6. Czytam tytuł i od razu skojarzenie “Gotham City”. Batman uratował na szczęście sytuację.

  7. Dlatego najlepiej pić mineralną i kąpać się i prać w rzece ;)

  8. Tylko mam nadzieje, ze ktokolwiek jest za to odpowiedzialny bedzie odpowiednio sadzony, bo rozpisywanie sie o tym jako o ataku hakerskim, to tak jakby pisac o kolesiu ktory wysadzil centrum handlowe, pisac jako o osobie nie stosujacej sie sie do zakazu wjazdu… (chodzi mi o skupianie sie na niewlasciwym aspekcie sprawy – ktos k* wlasnie usilowal popelnic ludobojstwo, bo szczerze watpie ze atakujacy ma niezbedna dokumentacje i badania, potwierdzajace ze nikt by powaznie nie ucierpial)

    • Albo po prostu zmienił zupełnie losowo nastawę przypadkowego suwaka, nawet nie rozumiejąc co robi.

    • To tak niedziała. To ze sie wlamal pozbawia go prawa nazywania ktoregokolwiek ze skutkow swojego dzialania przypadkiem. Podobnie gdybym ja wlamal sie do elektrowni atomowej i pozmienial ustawienia chlodzenia reaktora powodujac katastrofe a potem probowal tlumaczyc sie brakiem wlasciwego przeszkolenia, takiego jak to ktore wlasciciel elektrowni ma zapewnic swoim pracownikom (aka. wszystkim i kazdemu z ludzi ktorzy moga tam przebywac)…

      To dziala w odwrotnym kierunku, mechanizmy unikania odpowiedzialnosci powstaly aby umozliwic funkcjonowanie w zadaniach w ktorych istnieje spore ryzyko spowodowania zniszczen u siebie i innych, i nie ma zadnych podstaw zeby obejmowaly nawet przypadkowych ludzi nie mowiac o wlamywaczach…

      Podsumowujac: Nie wlamal sie przypadkiem, czyli przestawienie wajchy jest dzialaniem celowym, niezaleznie od jego intencji – poniewaz umozliwienie wykorzystania faktu popelnienia przestepstwa (i nie mowimy tutaj o popularnokulturowym alibi – a oczyms w stylu: “poniewaz zabil pana X, zabranie pieniedzy z jego sejfu przestalo byc kradzieza…”), zeby uniknac konsekwencji innego przestepstwa, to silne “nono”…

  9. “w elektrowni spowoduje wzbudzenie sprzętowych mechanizmów bezpieczeństwa, które mają na celu zapobiec tragedii, ”

    No oczywiscie, bo przeciez starzenie sie sprzetu nie istnieje, zakupy najtanszego badziewia sie nie zdarzaja, naciski politykow nie maja miejsca, czynnik ludzki nie odgrywa roli, itd itd Wrozka Zebuszka potwierdza.

    Polecam lekture “Normal Accidents”, przyklady z zycia wziete zweryfikuja te pobozne zyczenia.

  10. Kiedyś kupiłem w biedronce wodę Solaris i wylałem ją do zlewu – waliło z nich chlorem jak na basenie. Tam też rozlewnia ma jakiś proces automatyczny tylko pewnie bez zewnętrznego dostępu bo i po co.

    • Ja miałem kiedyś problem ze zhaczonym systemem rozlewania płynu do spryskiwacza. Tylko nie wiem czy zhaczył jakiś Brajanek ze swojej piwnicy czy pani Krysia z gabinetu księgowej. Waliło w aucie amoniakiem jak cholera, miałem problem jak wylać to świństwo ze zbiorniczka. Nigdy więcej marek własnych z dyskontu!

    • pompka do wina niezwykle pomocna

    • Woda, która “wali chlorem” mieści się jeszcze z zapasem w normach. Jak jest partia zasyfionej (bakterie) wody, to dodajesz chloru i wolno to sprzedać, choć pić się tego nie da (wykąpać byłoby się trudno). Takie mamy normy.

  11. “Wojciecha Orlińskiego, nauczyciela chemii”

    Trollizm najwyższej próby – gratulacje.

    • rozwiń

    • Ten pan to pierwszoligowy publicysta / pisarz, poza ukończeniem studiów chemicznych kilkadziesiąt lat temu, nic wspólnego z chemią w swojej obecnej karierze nie ma.

  12. Gdzie separacja OT od internetu???

  13. “klik” i już ogórki są różowe :D

  14. fabryki to najmniejszy odsetek problemu bo coraz więcej ludzi ma wystawione na świat końcówki automatyki domowej https://i.postimg.cc/SRvK8X53/userpanel.jpg (screan z panelu) może zagotujemy komuś wodę w kotle wyłączając pompy obiegowe lub schłodzimy solarem zasobnik :)
    kto wie co to za popularny sterownik?

    • Lankontroler?

  15. myśle ze praktycznie żaden panel HMI nie ma dostępu na zasadzie zdalnego pulpitu do którego można się podpiąć. Tylko nieliczne wyjątki maja odpalone coś jak Smart Server (Siemens) . Głównie jest to dostanie się do komputerów z oprogramowaniem SCADA lub takich które maja zdalny dostęp do tego oprogramowania a wiec posiadają ThinClient do aplikacji a same mają zainstalowane TemViewer lub RDP Windowsa. W każdym razie świadomość zagrożeń musi rosnąć bo to są łatwe cele

  16. Hej, tak btw. to 11000 ppm to raptem 1,1%. Powołanie się na wartość pH i jej powiązanie z mocą zasady nie do końca trafne. Bardziej trafne byłoby tu przedstawienie jej molowo, gdyż takie stężenie to około 0,25 M. Not great, not terrible. Na pewno byłoby to odczuwalne np. na rękach w postaci zmydlania i śliskości rąk. Byłoby drażniące na śluzówkach.

  17. “panel sterowania chyba (?) fabryki ogórków” – fabryka ogórków to ogródek warzywny … serio, już tak daleko zaszliśmy w automatyzacji i IoT, że grządki mają swoje panele sterowania??? :-O

  18. Skrót ppm to (parts per million) czyli liczba części na milion, czyli bardzo niewielkie steżenie.

    Ja od jakiegos czasu nie piję wody z wodociągów tylko z potoku, źródła lub studni. Biorąc pod uwagę wzrastajacy stopień zanieczyszczenia środowiska, mam nadzieje, że w przyszłości inni też tak kiedyś zaczną robić.

  19. Pomijając fakt że samo ustawienie takiego stężenia to porażka na HMI sterującym danym procesem (input field powinien mieć zdefiniowane zakresy wartości) to naprawdę zabawne jest że automatyka jest dalej tak słabo zabezpieczona. Wydaje mi sie że to było na konferencji BlackHat w Berlinie z 10 lat temu gdzie pokazali jak dużo instalacji w Niemczech jest dostępnych zdalnie po czym obśmiali SIEMENSA za to że standardowo pozwala na załadowanie softu bez zabezpieczeń (w defaultowych ustawieniach przy konfiguracji tak po prostu jest). Nic sie nie zmieniło przez ten czas dalej można wgrywać co sie chce , a nawet elementarna wiedza sterowników PLC i SIEMENSA pozwala przynajmniej na zatrzymanie PLCka.

  20. Mnie zastanawia jeszcze jedna kwestia, która nie jest związana z komputerami. Jak zabezpieczone są wodociągi przed wpompowaniem trucizny od strony odbiorców. Nie trudno sobie wyobrazić, że ktoś przygotuje silną truciznę która nie wymaga dużego stężenia i wtłoczy ją do rurociągu przy pomocy pompy. Przed licznikami stosuje się czasami zawory antyskażeniowe. Skoro stosuje się je przy licznikach, to pewnie samo wpięcie do rurociągu nie jest zabezpieczone.

    • Przerabiali to w gminie Przytoczna – woj. lubuskie.
      wysyłajcie zapytania do Wójta – jako zapytanie z zakresu bezpieczeństwa publicznego – odpowiedź musi udzielić.

  21. – dlaczego cały system w ogóle miał możliwość podłączenia do internetu?
    – dlaczego była udostępniona?
    – jak to możliwe, że wodociągi i kanalizacja działały bez internetu i elektroniki w swoim czasie?

Odpowiadasz na komentarz Saj

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: