.jpg)
Pwn2Own er navnet på en årlig konkurranse der hackere av den «snille» sorten konkurrerer om å bryte gjennom ulike typer sikkerhetsløsninger for å avdekke hull – og forhåpentligvis stikke av med en pen pengesekk som belønning.
Årets Pwn2Own ble nylig gjennomført i Miami i USA, og denne gangen stod det vinnende teamet for en heller urovekkende bragd, skriver nettstedet MIT Technology Review.
Hacket utbredt kontrollsystem
Et hackerteam fra Nederland vant nemlig førstepremien for å ha hacket seg inn i et industrielt kontrollsystem som benyttes av svært mange bedrifter globalt – og det gjorde de attpåtil uten store vanskeligheter.
OPC Unified Architecture (OPC UA) er en utbredt kommunikasjonsprotokoll som i korte trekk brukes til utveksling av data mellom ulike systemer i industrimiljøer, blant annen innen kritisk infrastruktur som energiproduksjon.
De to nederlandske hackerne Daan Keuper og Thijs Alkemade klarte å komme seg rundt autentiseringssystemet til OPC UA på relativt kort tid – en bragd som ble selve høydepunktet under arrangementet.
– OPC UA brukes overalt i industriverdenen som en forbindelse mellom systemer. Det er en sentral komponent i typiske industrinettverk, og vi kan omgå autentiseringen som normalt kreves for å lese eller endre noe som helst. Det er derfor folk synees dette var det viktigste og mest interessante. Det tok bare et par dager, sa Keuper til MIT Technology Review.
Ifølge Keuper finnes det fremdeles mye «lavthengende frukt» når det gjelder sikkerhetshull som kan utnyttes innen industrielle kontrollsystemer, og han mener sikkerheten henger langt etter på dette feltet.
Mange gamle sikkerhetshull
OPC UA var ikke det eneste målet hackerne fikk bryne seg på under årets Pwn2Own-arrangement. Et annet kontrollsystem, en utbredt automasjonsprogramvare kalt Iconics Genesis64, ble hacket hele seks ganger på en slik måte at hackerne fikk full kontroll over systemet.
Pwn2Own-deltakerne fant en rekke store sikkerhetshull i Genesis64-programvaren, og den generelle lærdommen fra årets Pwn2Own-arrangement var at slike systemer står overfor mange sikkerhetsmessige utfordringer.
_logo.svg.png){kind=logo}
– Mange av feilene vi ser i industrielle kontrollsystemer, ligner på feil vi så i bedriftsprogramvare for 10-15 år siden. Det er fremdeles mye arbeid som gjenstår, sa sjefen for årets arrangement, Dustin Childs, til MIT Technology Review.
At programvare som benyttes innen kritisk infrastruktur, tilsynelatende er relativt enkle mål for hackere, er bekymringsfullt med tanke på hvor stor skade angrep mot slike systemer kan forvolde.
I forbindelse med den pågående krigen i Ukraina og den økte spenningen mellom Russland og Vesten har faren for denne typen angrep økt dramatisk. Her i Norge har Nasjonal sikkerhetsmyndighet bedt norske virksomheter om å øke beredskapsnivået i denne forbindelse.
Microsoft til storaksjon mot kinesiske hackere
