Unter dem Namen Project Robus prüfen Adam Crain, Chris Sistrunk und Adam Todorski Protokolle für das Überwachen und Steuern technischer Prozesse (SCADA) und industrielle Kontrollsysteme (ICS) auf Herz und Nieren. Da diese Systeme mitunter die Strom- und Wasserversorgung ganzer Landstriche kontrollieren, sind ICS-Sicherheitslücken besonders brisant.
Die drei Forscher haben für neun der insgesamt 25 Schwachstellen Details veröffentlicht, da Updates bereitstehen. Informationen über die restlichen Lücken sollen folgen, sobald die entsprechenden Hersteller ebenfalls Zeit gehabt haben zu reagieren. Die neun publizierten Lücken können allesamt für Angriffe aus dem Netz ausgenutzt werden. Manche Schwachstellen ermöglichen Angreifern, den Masterserver des Netzwerkes abstürzen zu lassen oder in eine Endlosschleife zu schicken. Die Betreiber können damit die Vorgänge in ihrem System nicht mehr überwachen oder kontrollieren. Durch andere Lücken können Codes in einen Server eingeschleust werden, wodurch Angreifer Schaltkreise von Umspannwerken manipulieren und Stromausfälle herbeiführen können.
Das eigentliche Internet-Protokoll (IP) sei weniger das Problem, berichten die Forscher dem US-Magazin Wired. Vielmehr brächte die Umsetzung der Hersteller Sicherheitslücken mit sich und serielle Protokolle wie DNP3 würden oft vernachlässigt. Die Sicherheitslücken würden dementsprechend oft in Geräten gefunden, die für die Kommunikation zwischen Leitsystemen und Unterstationen eingesetzt werden. Das Knacken von seriellen Protokollen ist zudem einfacher, weil Angreifer nicht mehrere Firewalls umgehen müssen.
Angreifer könnten die Schwachstellen ausnützen indem sie sich vor Ort Zugang zu einem der Werke schaffen, die meist nur ungenügend gesichert sind und dort Hunderte von Schaltanlagen ausschalten. Die zweite Möglichkeit besteht im Knacken der kabellosen Kommunikation mit dem Server. Bei der Black Hat-Konferenz 2013 in den USA wurde besonderes Augenmerk auf das Hacken der kabellosen Funknetze gelegt. Daten in Funknetzen sind nicht sicher, jene von Wasserwerken genausowenig wie die des Smartphones oder der NFC-Bankomatzahlung.
