‘Slimme’ steden, elke zichzelf respecterende stad wil graag ‘slim’ zijn, maar dat is toch vrij dom. ‘Slim’ wil alleen maar zeggen dat de hele stad aan het web wordt opgehangen en dat die daarmee een perfect mikpunt wordt voor e-krakers met minder goede bedoelingen. Onderzoekers van IBM Security en van het beveiligingsbedrijf Threatcare zijn eens gaan kijken naar sensoren die die ‘slimme’ stad mogelijk moeten maken en vooral hoe het met de beveiliging daarvan is gesteld. Drie fabrikanten namen ze onder de loep: Libelium, Echelon en Battelle. Dit jaar zou er 81 miljard dollar (zon € 70 miljard) worden uitgegeven aan ‘slimme’ oplossingen. Het viel niet mee, wat ze aantroffen: zeventien nieuwe kwetsbaarheden, waaronder acht ernstige fouten.
Die sensoren meten. Ze meten de weerstoestand, de luchtkwaliteit, de straling, het waterpeil, der verkeersdrukte en nog zo wat en geven die metingen door aan allerlei systemen. Dat gaat wel eens mis, zoals een (vals) raketalarm op Hawaii of de tornadosirenes in Dallas (Texas) die onlangs ten onrechte gingen loeien. Dat soort akkefietjes inspireerden Daniel Crowley van IBM en Jennifer Savage van Threatcare eens naar die systemen te gaan kijken, met, voorlopig, het bovengemelde resultaat.
Crowley: “We wilden naar de knooppunten kijken omdat als je het systeem beheerst je veel informatie kan manipuleren die daar om gaat. Het blijkt een geweldig kwetsbaar terrein te zijn en we hebben veel te verliezen als we de hele boel aan computers hangen en die veel taken geven zoals openbare veiligheid of de regeling van industriële systemen. Als dat mis gaat dan kan dat veel schade veroorzaken aan leven en goed en als we niet de juiste beveiligings- en privacymaatregelen treffen kan er een hoop vreselijks gebeuren, zeker met gemotiveerde en bedreven aanvallers.”
De twee onderzoekers vonden voordehandliggende klungeligheden zoals zwakke wachtwoorden naast lekken en/of mogelijkheden de beveiligingsmaatregelen te omzeilen. Het wereldwijde web is meestal ingebakken in het ‘slimme’-stadplan in plaats van een apart, los netwerk (niet dat dat zonder risico is). Dat maakt het alleen maar makkelijk voor e-krakers. De onderzoekers vonden met simpele ‘webkruipers’ als Shodan en Censys duizenden deerlijk kwetsbare producten. Ze namen contact op met een Amerikaanse en een Europese stad over de kwestbare status van hun ‘slimme’ netwerken.
Savage: “Ik woon in een stad dat ‘slimme’ producten begint te gebruiken. We kochten een huis en hadden kunnen beslissen geen apparaten aan het internet-der-dingen op te hangen en we hadden ook een ‘domme’ tv kunnen kopen, maar ik kan niet controleren of de straatlantaarns pal voor mijn huis met camera’s zijn uitgerust en ik heb geen zeggenschap over het verkeerssysteem. Het komt me voor dat steden zulke beslissingen voor mij nemen.”
‘Pleisters’
Er zijn netjes ‘pleisters’ gemaakt voor de zeventien geconstateerde veiligheidslekken. Echelon en Battelle (zonder winstoogmerk) zijn de onderzoekers erkentelijk. Het Spaanse Libelium konden de onderzoekers niet bereiken (?).
Die ‘pleisters’ zijn natuurlijk mooi, maar hoe breng je die aan. De sensoren zijn vaak niet voorzien van mogelijkheden om de programmatuur bij te werken. Op de een of andere manier zullen de gaten toch gedicht moeten worden, anders blijven die systemen kwetsbaar.
De onderzoekers hebben geen bewijzen dat die kwetsbaarheden al door onverlaten zijn misbruik, maar ten minste een lek waart al sedert 2015 rond op het web. Savage: “Er zijn altijd mensen die geen ethische krakers zijn die die lekken kennen en weten wat je er mee kan. Daar moeten mensen alert op zijn.”
Recent is er meer aandacht gekomen voor het inbreken in industriële regelsystemen, waar, althans dat denken de Amerikanen, vooral de Russen al jaren mee bezig zijn. Vooralsnog hebben die ‘gewetenloze’ Russische krakers nog geen misbruik van hun mogelijkheden gemaakt, maar wat niet is kan nog komen. In Oekraïne is al bewezen dat het mogelijk is een krachtcentrale plat te leggen (2015). Steden die steeds meer half of zelfs niet beveiligde apparaten en meters aan het wereldwijde web hangen in een poging om ‘slim’ te worden, zonder zich rekenschap te geven van de grote risico’s daarvan, zijn gedoemd gestraft te worden…
Bron: Wired