“I laugh a little when I get hacked” (Per Gravesen, who makes software for 70 Danish waterworks)
https://ing.dk/artikel/jeg-griner-lidt-af-det-naar-jeg-bliver-hacket?1f4e2460cfb84ebe8cd48fb29bb9de08=rkdaLqzLoVqG4ItMlL_U7b9Yy7jo2dXs9pZ6T8C9YwA
Posted by Bukakkelb0rdet
21 Comments
Det er slet ikke landbruget der putter nitrat i vores vand, det er de fucking hackere!
Betryggende at den kritiske infrastruktur er i gode hænder.
Kan de virkelig ikke ansætte personer der går op i sikkerheden i stedet?
Det er sgu en spændende strategi han har. Er ikke sikker på at jeg er enig, men vil gerne høre hvad eksperterne der ikke bare bruger taletid til at blive berømte tænker.
Komplet vanvid, den strategi.
Jeg er lidt usikker på, om han har forstået spillets regler. Hackere har bevist, at de kan bryde ind og de har også bevist, at han har en backup, han ruller ind. Hvis han tror, at hackerne forsøger at forstyre forsyningen, NÅR de hacker sig ind, så tager han fejl. De prober for at undersøge hvordan og hvor hurtigt, at indbrud bliver opdaget og korrigeret.
Nu er jeg for alvor bange. De danske vandværker bør omgående skifte udbyder.
Altså… det er fint at en hacker ikke kan ødelægge fysisk udstyr, men det er jo ikke det eneste IT-sikkerhed handler om. Hvis en hacker kan få adgang til personoplysninger eller lignende, så er der også sket en sikkerhedsbrist.
Og selvom han kan genoprette fra en backup, så bør man stile efter at det aldrig bliver nødvendigt.
Jeg har ikke tiltro til, at den mand ved hvad immutable backup og microsegmentering er.
Jeg tænker det blot er et spørgsmål om tid, før de virkelig bliver ramt og får kompromitteret både drift og backup
Held og lykke herfra.
Jeg kan godt forstå at man som IT person bliver forarget. Men som maskin person tænker jeg at man bare køre ned og sætter frekvensomformeren i manuel, så er der vand igen.
Jeg tror folk overvurdere kompleksiteteten af de fleste lokale vandværker.
De er pinligt simple bygget op, det er et par pumper og et par instrumenter der registrerer tryk og temperatur.
Ja det er kritisk infrastruktur, men ikke infrastruktur der behøver, internet, wifi IOT, cloud AI eller lignende.
Hackere kan ikke ødelægge noget da der sidder sikkerheds ventiler på alt.
Manden er i min verden genial, han har et produkt der løser opgaven. Det er simpelt, helt sikkert billigt. Og uden dikkedarer.
Selvfølgelig kunne man hyre Netcompany til at lave en forkromet løsning der koster 1 milliard. Man kunne også pakke systemet ind i en eller anden dyr sikkerheds software. Men det er jo tydeligvis ikke nødvendigt.
Og regningen havner jo hos os forbrugere.
Edit: systemet opbevarer ingen personfølsomme oplysninger som nogen hentyder til. Tvivler på nogen hackere er interesseret i hvad vandtryk og hvor meget vand der bruges i en random provinsby.
Det er satme mange kommentarer i denne tråd fra pseudo hackere som ikke har nogen reel erfaring fra større virksomheder.
Ja – man kan fint udnytte bestemte ting i hans proces, men hvis nogen kan løsningen lytter jeg gerne i forhold til at der findes exploits i nogle af de mest moderne systemer.
Du kan f.eks. forsat ændre dine karakterer på Københavns universitet uden det bliver logget anderledes i deres system.
Burde driftsikkerhed for infrastruktur være generaliset? Sikkert – men det betyder satme ikke det er bedre.
Måske man sku undersøge om det er værd at pille internet kablet ud af vigtig infrastruktur.
Med forbehold for at der er detaljer som ikke fremhæves i artiklen, så fremstiller Per Gravesen sig selv som en pinlig uegnet leverandør af software til kritisk infrastruktur for tusindvis af mennesker.
Det er da bedøvende ligegyldigt om han kan få systemet “op og køre inden for 15 minutter”. Data integritet og konfidentialitet er to andre kæmpe aspekter inden for IT sikkerhed (foruden non-repudiation og authenticity), som manden tydeligvis ser stort på.
Det her stinker langt væk af, at han scriptede sig igennem en løsning for en menneskealder siden, som han så har klippe-klisteret nyt glimmer på med årerne, fordi han ikke fatter koncepter om moderne softwareudvikling.
Derudover, Windows Server 2003 med åbne porte i vor herrens år 2026? Sindssyg inkompetent.
> Man skal gå den anden vej og sørge for, at der ikke er mulighed for at ødelægge noget.
Det ene udelukker ikke det andet.
Manden er tydeligvis inkompetent på et helt uacceptabelt niveau!
> Han råder tværtimod sine kunder til at ignorere advarsler om it-sikkerhed.
Holy shit.
Jeg kan kun håbe at nogle af hans 70 kontrakter snart udløber så dem på den anden side kan finde en mere kompetent virksomhed.
Jeg ser en del kommentarer om der ikke er noget kritisk eller personfølsomme data på den server som kan tilgås af uvedkommende. Bare fordi hackere ikke har fundet et smuthul endnu, betyder det ikke at der ikke findes et smuthul overhovedet. Det virker lidt hjernedødt at lade en sårbar dør blive stående, bare fordi det ikke fører til et rum med værdigenstande. Fra det rum har hackere nye vægge at gå til angreb på.
Alt der data der er i serverne er nice to know, ikke need to know. En vandværks pumpe kan sådan set bare sættes i stikkontakten, så skal alle nok få vand.
Jeg har en Arduino i siddende offentlig tilgængelig, den ligger når nogle forsøger at komme ind med deres forespørgsel så jeg kan se det senere – den har i måske 10 år ageret / leget Windows Server 2008 og den er ret udsat for de kendte angreb konstant. Jeg for aktuelt cirka 600 forsøg i timen døgnet rundt.
Nu skal man godt nok lidt ned i teksten, men det synes at være relativt uinteressante data og muligheder der kan opnås adgang til.
Vi er enige om at det er skidt at der ikke tages flere forholdsregler, men spørgsmål er vel også hvor stor en risiko det er at nogen har adgang?
Per Gravesen: »Hvad er problemet? Prøv lige at forklare mig, hvad du mener, problemet er der. […] De kan ikke programmere noget; de kan se de gamle driftsdata, og det er det, serveren bliver brugt til.«
Birkeskov må være hans reddit bruger med de kommentarer.
Wow så han kan revert til en backup på 15 min, hvad så når de bryder ind 2 min efter og efter igen? Så kan de sidde og lege katten efter musen hele natten? Gamle fucking nisser der sidder alt alt for længe i et job og så tror de at deres måde altid er den bedste måde..
Mandens versionsstyring er garanteret mapper på skrivebordet “vandvaerk_projekt”, “vandvaerk_projekt_1”, …. “vandvaerk_projekt_49”