Hoe er wordt omgegaan met ons belastinggeld en de NL #SCADA infrastructuur FULLDISCLOSURE KLOKKENLUIDEN www.telecontrolnet.nl https://www.telecontrolnet.

nl/login

#SCADA functie kort samengevat is digitaal Verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen. Met andere woorden al die dingen die vroeger door een mens werden bediend of gemeten (waterniveau, sluizen, gemalen, bruggen, windmolens, energiecentrales, gaspompstations, chemische industrie, wissels en seinen spoorwegen, drinkwatervoorzieningen, riool en afvalwater pompstations,maar ook koekjesfabrieken en machines die pacemakers fabriceren) worden sinds de jaren 70 steeds meer bedient en gecontroleerd door industriele apparatuur die lijkt op onze huidige internet netwerken en hardware.

Sinds de jaren 80 wordt er steeds meer gezocht naar integratie van deze bestaande systemen in het ons bekende internet. Het blijkt makkelijk om industrile systemen te koppelen aan consumenten elektronica en netwerken zoals ons WWW/internet. De apparatuur is meestal niet duidelijk te vinden via het internet omdat het vaak gaat om alleen IP adressen met iets obscuurs er achter zonder dat er een hostnaam aan vast zit die meer kan uitleggen over de functie van het systeem dat op het internet is aangesloten. Dit noemt men ook wel "security through obscurity" Ofwel niemand zal snappen wat dit is dus zullen ze het wel met rust laten. Toen ik rond augustus 2011 weer wat actiever werd op het internet en mijn oude hack-hobby op pikte, las ik al snel over STUXNET. Een worm/virus dat fysiek een aantal zeer specifieke machines en processen had verstoord in Iran. Dit was voor mij het 1e voorbeeld van een doelbewuste hack die fysieke besturing van industrile machines tot het gevolg had. Dat was iets dat ik tot nu toe alleen in films had meegemaakt of stripverhalen. Nooit bij stil gestaan dat dit ook werkelijkheid zou worden. Na wat verder lezen bedacht ik mij zelf de proef op de som te nemen en te zoeken naar wat er in NL dan zoal te vinden was via internet. En dat was schrikken.

Slecht beveiligd SCADA systeem doetinchem rioolmanagement. Pomp die stront maar naar het binnenhof! Scada systeem Rijkswaterstaat verkeer en water, gasunie, schiphol ga zo maar door. Allemaal te vinden door wat creatief gebruik te maken van wat zoekmachines.

Ik heb dit anoniem gemeld aan het NCSC "Nationaal Cyber Security Centrum" en maakte de afspraak dat ze mij op de hoogte zouden houden wat betreft afwikkeling. Dit gebeurde niet maar de dingen die ik had gelekt verdwenen wel van het internet. Ik voelde mij daardoor erg voor de gek gehouden. Het leek alsof alles wat ik te melden had in een doofpot verdween. Ook kreeg ik uiteindelijk geen communicatie meer terug van deze instantie.

Toen besloot ik op zoek te gaan naar systemen die open en bloot legaal benaderbaar waren via internet en deze openbaar te maken zodat ook anderen zich zouden kunnen verbazen over hoe slecht dit soort systemen zijn beveiligd. Dat begon met een sporthal. sporthal 'Den Oert' in Spijkenisse waar ik de mogelijkheid had alle aangesloten systemen te bedienen. Verlichting, Verwarming, Alarminstallatie, airconditioning etc. http://webwereld.nl/nieuws/109228/sporthal-gehackt-via-wijd-open-scada-systeem.html

Daarna nog systemen. vergelijkbaar systeem van Esprit te Veendam. Leuk om die slagbomen te kunnen bedienen.

Wat slimme meters, etc... Hoofdkantoor leger des hijls. Leuk die kachel op 10 graden zetten allemaal muts op en jas aan! Toen kwam ik terrecht bij de gemeente Veere. Ik begreep dat dit van een ander kaliber was en vroeg hulp aan Whitehat @oKOEroo uiteindelijk werd op 1vandaag landelijk getoond hoe wij de gemalen, bruggen en pompen van een gemeente Veere konden bedienen. Even een polder onderlaten lopen was mogelijk. http://www.eenvandaag.nl/binnenland/39770/sluizen_gemalen_en_bruggen_slecht_beveiligd

Niet veel later kwam ik in een video conferentiesysteem van het Ministerie van defensie terecht. Hier zijn ook de nodige journalisten in mee gegaan, aangezien het wel wat vreemd is dat ik de top van DEFENSIE kan bespioneren, en wel in de WARROOM te denhaag etc.. http://rickey-g.blogspot.com/2012/02/maandag-de-20ste-word-ik-getipt-door.html http://rickey-g.blogspot.com/2012/02/vragen-uurtje-nav-gehackte.html Mijn laatste FULLDISCLOSURE (openbaarmaking) gaat over een bedrijf dat deze #SCADA systemen van vele verschillende bedrijven en overheden verzorgt en plaatst op 1 plek/server van dit bedrijf. Lekker makkelijk en veilig natuurlijk, als je als kleine gemeente dit soort gevaarlijke systemen kunt overlaten aan een commercile 3e partij die hier vast veiliger mee omgaat! Probleem is echter dat er nu dus op 1 / enkele servers van 1 bedrijf heel veel scada systemen te vinden zijn. Welke sluizen pompen en gemalen en welke koekjesfabriek hier precies zijn ondergebracht is gissen. Maar het gaat over vele systemen op 1 geconcentreerde plek. De site was niet goed beveiligd en binnendringen en overnemen van al deze processen was in principe door een kwaadwillende hacker mogelijk. Ik vond dit toch dermate gevaarlijk dat ik opnieuw een melding heb gemaakt bij het NCSC met een termijn waarin ik heb aangegeven dit verhaal naar buiten te brengen. Ondertussen heb ik 1 site van dit bedrijf offline zien gaan, Enkele dagen later weer terug online zij het gelukkig verandert en verbeterd. Meest belangrijke is dat ik de portal/login-site / portal naar de scada systemen heb zien veranderen naar een beter beveiligde site. Hoe veilig?????? Tja Hackers kennende! Dit alles gebeurde onder mijn ogen in een tijdsbestek van ongeveer 3 weken. Dus ze hebben hard gewerkt. Dat is zeker. Maar het probleem van de concentratie van SCADA systemen op 1 plek is hiermee niet verholpen. Wat als ik via een botnet een DDos hen kant op stuur en het systeem onbereikbaar maak. Wat als ik al door de onvoldoende beveiliging toegang heb tot de inloggegevens van klanten die hier hen SCADA systeem hebben draaien. Je kan dus in 1 klap alle systemen onbereikbaar maken of met wat meer moeite alle systemen overnemen en besturen. Aangezien het hier gaat om systemen die invloed hebben op mijn fysieke omgeving (mijn land, buurt, water, etc) Wil ik dit hiermee aan de kaak stellen. Het gaat ons allen aan als het gaat om gevaren waaraan wij als bevolking moedwillig of door ondoor-dachtzaamheid worden blootgesteld door het niet op orde hebben en aansluiten van gevaarlijke systemen op het internet door bedrijven en overheden. Als er dan wat gebeurd wordt er gewezen naar de hacker. Maar dat gaat hier niet op. Als hier wat gebeurd, dan heb je hierbij een waarschuwing gehad van een hacker. Laten we daarom eens gaan wijzen naar de bedrijven en overheden die het veiligheids probleem juist creren.

FULLDISCLOSURE KLOKKENLUIDEN www.telecontrolnet.nl

Als het aan mij ligt zijn kritieke #SCADA systemen gewoon niet gekoppeld aan het internet. Zeker niet op deze manier waar er op 1

plek misschien wel honderden gemeenten en fabrieken etc hen gevaarlijke processen onder hebben gebracht bij een commercieel bedrijf dat dan de veiligheid moet garanderen. EN DAT KUNNEN ZE NIET!