Vannverket i Illinois ble ikke hacket: En foreløpig rapport som påsto det motsatte, feiltolket logger og unnlot å undersøke årsaken til forekomsten av en russisk IP-adresse. Dette bildet er laget på grunnlag av skjermbilder fra et annet hack av vannverk i USA.

Vannverk-«hack» var falskt

Alt fra den ødelagte pumpen til den russiske IP-adressen har en legitim forklaring.

De siste to ukene har et påstått hack av et vannverk i den amerikanske delstaten Illinois gått verden rundt. Kilden var en rapport lekket til en uavhengig sikkerhetsekspert, Joe Weiss, som blogget om tilfellet.

Nå viser det seg at konklusjonen i den lekkede rapporten, om at vannverket var blitt hacket av en IP-adresse i Russland og at hacket hadde ført til at en pumpe var blitt ødelagt, bygger på feilaktige tolkninger av logger og annet materiale.

Digi.no har dekket dette i to artikler. I den første, USA-vannverk hacket, forteller vi om to hack mot vannverk i USA: Det referert av Joe Weiss, og et annet som ble gjennomført av hackeren «pr0f» mot et vannverk i Texas. Pr0f hadde lest rapporten lekket av Weiss, og tok på seg å bevise at det slett ikke var umulig for uvedkommende å bryte seg inn i kontrollsystemer for amerikanske vannverk via Internett. Skjermbildene i artikkelen er fra hacket til pr0f.

I den andre artikkelen, FBI etterforsker hacking av vannverk, gjenga vi to utgaver av en melding fra ICS/CERT (Industrial Control Systems Cyber Emergency Response Team, et offisielt organ under USAs Department of Homeland Security) og FBI. Begge utgavene sier at det ikke er funnet dekning for påstandene i den lekkede rapporten, og at det ikke er registrert ondsinnet trafikk fra en IP-adresse i Russland. Vi refererte hvordan Wired hadde konfrontert Weiss med dette, og Weiss’ svar der han undrer seg over hvordan to offentlige organer kan være så uenige.

Forklaringen er nå publisert i en ny artikkel på Wired: Comedy of Errors Led to False ‘Water-Pump Hack’ Report.

Grunnen til at den første rapporten konkluderte med at vannverkets kontrollsystem (SCADA) var hacket fra Russland, var at systemloggen viste en innlogging fra Jim Mimlitz fra en IP-adresse i Russland. Mimlitz leder et ingeniørfirma, Navionics, som var med på å installere vannverkets kontrollsystem. De som skrev rapporten tok det for gitt at noen i Russland hadde kapret Mimlitz’ identitet.

Det som nå er klart, er at Mimlitz var i Russland på det tidspunktet, på ferie med kone og tre små døtre. Han hadde fått en henvendelse fra noen i vannverket som trengte hjelp til en oppgave, og brukte sin mobiltelefon til å sjekke SCADA-systemet i Illinois. Oppringeren var ikke klar over at Mimlitz var i Russland. De som skrev den første rapporten tok heller ikke kontakt med Mimlitz for å spørre hvorfor han var blitt registrert som pålogget fra en IP-adresse i Russland.

Det er også helt klart at alle vannverkets logger tyder på at det var elektromekaniske årsaker til at pumpen sviktet, og at svikten ikke hadde noe med SCADA-systemet å gjøre. Hvorfor den første rapporten knyttet Mimlitz’ innlogging fra Russland til den ødelagte pumpen, er derimot ikke klart.

Overfor Wired forklarer Mimlitz også hvorfor det var registrert «hikke» i fjerntilgangen til SCADA-systemet. Denne hikken ble nevnt som mistenkelig i den første rapporten, og som tegn på at systemet kan ha vært under angrep. Mimlitz sier fjerntilgangen var satt opp for lenge siden og nylig justert av en annen leverandør til vannverket. Justeringene hadde medført problemer innloggingsproblemer.

De som laget den første rapporten, som Illinois Statewide Terrorism and Intelligence Center har det formelle ansvaret for, har åpenbart gjort slett arbeid. Senteret samler representanter fra politiet i Illinois, FBI, Department of Homeland Security og andre føderale instanser. Den andre rapporten, underskrevet av ICS-CERT og FBI, samler tilsvarende organer, med unntak av politiet i Illinois.

Senteret i Illinois fraskriver seg ansvaret for innholdet i den første rapporten, og sier deres oppgave bare har vært å distribuere den. De sier det er folk i departementet og tilhørende instanser som har ansvaret for innholdet.

Representanter for departementet avviser dette, og sier at rapporten ble skrevet av senteret i Illinois.

Senteret i Illinois sier de ikke er opptatt av å finne ut hvorfor den første rapporten trakk helt feil slutning. Det er opptil departementet, sier de. Derimot er de opptatt av å finne ut hvordan Weiss, den som varslet om rapporten fordi han mente det var viktig å gjøre allmennheten oppmerksom på det dårlige kybervernet rundt USAs vannverk, fikk tak i den.

Weiss er på sin side opprørt over at det har vært laget en rapport med så mange feil. Han mener man må kunne stole på også lekkede rapporter fra senteret i Illinois.

Det er kanskje et poeng å peke på at hackingen til pr0f mot vannverket i Texas tyder på et behov for bedre IT-sikkerhet rundt slike installasjoner, uavhengig av den tåpelige komedien i Illinois?

Til toppen