Hackers openen gevangenisdeuren op afstand

BERLIJN – Door het direct aansluiten van cruciale systemen op internet lopen bedrijven en overheden gevaar. In Amerika konden hackers bijvoorbeeld al gevangenisdeuren openen.

Dat blijkt uit onderzoek van beveiligingsonderzoekers professor Tiffany Rad en Teague Newman.

Zij deden onderzoek naar op afstand bedienbare systemen. Op kerstavond 2010 gingen in een gevangenis in de VS de deuren van alle cellen van gedetineerden met een doodstraf open. “Die mensen hebben niets te verliezen en dat is gevaarlijk”, stelt Rad. Nu presenteren zij resultaten van hun werk op de hackerconferentie CCC in Berlijn.

Ondoordacht

Onderzoek maakte duidelijk dat er nogal wat beveiligingsfouten in het ontwerp van de ruim 4700 huizen van bewaring zitten. De meeste zijn ingericht rond een centrale locatie, die vanaf enkele computers worden bestuurd. Zij beheren deuren in de faciliteit en bewaken of deuren ook daadwerkelijk op slot zitten.

“Maar op die computers werd ook de privémail gelezen en getwitterd”, vertelt Newman. Hij wijst erop dat sommige computers ook qua beveiliging tekort schieten en het installeren van kwaadaardige software eenvoudig is.

Stuxnet

Het fundamentele probleem is dat de deuren worden beheerd met industriële elektronica, PLC’s. Die worden op afstand aangestuurd vanuit de computersystemen, waarbij een verbinding met het internet aanwezig is.

Deze systemen werden onderwerp van discussie toen Stuxnet uitbrak. Dit virus bracht een kerncentrale in Iran in problemen.

Voor Rad en Newman reden om een onderzoek te starten en te kijken of zij de systemen ook konden kraken. Dat lukte in minder dan twee maanden en een investering van nog geen €2000, waarbij dat goedkoper had gekund omdat veel software ook illegaal is te downloaden. Zij schreven een virus om hun punt te maken.

Niet alleen is het mogelijk de deuren te openen en te sluiten, maar kunnen ook nepmeldingen gegenereerd worden”, stelt Rad. Zij wijst erop dat het daardoor mogelijk is gevangenen te laten ontsnappen, terwijl bewakers op hun computer zien dat alle deuren op slot zijn. Een ander scenario is dat deuren bij een brand niet meer willen openen.

Computercentrum vernielen

De technologie wordt echter breder dan gevangenissen ingezet. Zo worden ook kerncentrales, waterkrachtcentrales, watervoorziening en verwarming binnen bedrijven op afstand bediend. “Veel gaat nog steeds over internet”, vertelt Rad tegen NU.nl.

Voor koeling en verwarming van computercentra is dat een probleem, omdat computers beschadigd raken als de temperatuur te ver oploopt. Daarom schreven de onderzoekers ook hiervoor een voorbeeld.

“Daarmee kun je computers vernielen, want die kunnen al snel beschadigd raken”, legt Rad uit. Ze wijst op het scenario waar eerst de airconditioning wordt uitgezet en daarna de verwarming wordt aangezet. In combinatie met de hitte van de computers is dat funest. “Met een half uur heb je dan al forse schade.”

Geen snelle oplossing

Volgens Newman is er geen snelle oplossing, omdat het bijwerken van software niet voldoende is. “Onze software doet volgens het ontwerp niets verkeerd”, legt hij uit. Wel pleit hij voor het dichten van lekken en het scheiden van netwerken, maar vooral opleiding.

“Kijk naar Stuxnet. Dat virus kwam de fabriek in door een menselijke fout, niet omdat de computer op internet is aangesloten.”

Lees meer over:
Tip de redactie