Verslag FERM Port Cyber Café: IT meets OT

Één van de bekende cyberdreigingen zoals geïdentificeerd door het NCSC is de kwetsbaarheid van IoT-apparatuur, de ‘slimme’ elektronica uit de wereld van Internet of Things. Daan Keuper van Computest illustreerde dat met een treffend voorbeeld. Door gebruik te maken van kwetsbaarheden in de interne communicatietechniek en het infotainmentsysteem is het team van Computest er namelijk in geslaagd auto’s van de Volkswagen Group te hacken.

Concreet ging Daan aan de slag met een Volkswagen en een Audi van collega’s. Doel: probeer een auto op afstand te hacken en te besturen. Dat hacken is gelukt, maar de auto werkelijk besturen zou toch een beetje de randen van het toelaatbare opzoeken en dat deden ze liever niet. “Volkswagengroep is toch een stukje groter dan Computest.” Belangrijker was dat het de onderzoeker daadwerkelijk is gelukt om op afstand in de Volkswagen te komen. Dat deed hij via het zogenaamde bus-protocol.

Een bus in de elektronica is een gemeenschappelijk transportmedium voor elektronische signalen. In de computertechniek is dat een standaardmethode om verschillende onderdelen met elkaar te verbinden, in dit geval tussen de computer(s) in de auto en de CAN-bussen of Controller Area Network-bussen, de kleine controllers in de auto die van alles meten en besturen. Alles wat via het internet in de auto komt is zwaar versleuteld, maar als je daar aan voorbijgaat en direct op de chips erachter inlogt, kun je dat omzeilen en er zelf nep updates inzetten. Zo kunnen ze bijvoorbeeld een nep signaal geven dat de bandenspanning te laag is en dan stopt de auto. Het ging er dus best technisch aan toe bij het eerste onderdeel, maar Daan wist mooi stap voor stap uit te leggen hoe ze uiteindelijk vrijwel alles konden besturen – met uitzondering van het gaspedaal.

Vervolgens probeerden ze ook de Audi. Die had een car entertainment systeem dat wel online ging. Toen ze daar binnenkwamen, konden ze ook de rest van de auto in. Missie geslaagd!

Daan besteedde vervolgens uitgebreid aandacht aan het waarom van zijn onderzoek. Hij is immers niet gevraagd door Volkswagen om de testen uit te voeren, dus wat motiveert hem de besproken zaken uit te zoeken? “Ik ben een techneut en vind dit gewoon leuk”, zei hij, maar uiteraard doet hij het ook om de wereld veiliger te maken. Daarom zijn de bevindingen eerst aan Volkswagen gerapporteerd alvorens ze bekendgemaakt werden. Daar bleek echter geen meldpunt Responsible Disclosure te zijn, dus hebben ze het via een interne klokkenluidersregeling gespeeld.

Maar wie doet nu de updates, om de kwetsbaarheden te fixen? De consument zal uiteindelijk toch naar je dealer moeten die zijn superbeveiligde Volkswagen SD-kaart gebruikt voor de aanpassingen, want even updaten via internet kan niet, want dat is niet veilig. Op de vraag of OT online moet, kun je dus geen eensluidend antwoord geven. Het hangt af van het apparaat. Er is evenwel opnieuw een lans gebroken voor het belang van het inrichten van een responsible disclosure-proces en hoe je dit kan doen. Computest deelde daarbij een brochure uit van de brancheorganisatie Cyberveilig Nederland met zes handige stappen om meldingen van goedwillende hackers in ontvangst te nemen, dat je op de website terug kunt vinden.

Tot slot deelde Daan een tweede interessante onderzoek van Computest, eveneens over controllers in netwerkcommunicatie en hoe je daar van buitenaf invloed op kunt hebben, maar dan in dure huizen en kantoren die gebruikmaken van KNX, een standaard voor domotica. Duizenden gebouwbeheersystemen van ‘slimme’ woningen en kantoren wereldwijd blijken namelijk eenvoudig toegankelijk te zijn voor hackers.

Computest deed een security-onderzoek naar de KNX-standaard voor woning- en gebouwautomatisering, waaruit blijkt dat de systemen die zijn gebaseerd op deze standaard veelvoudig aan het internet gekoppeld worden. Omdat deze systemen geen enkele vorm van authenticatie bevatten, kunnen kwaadwillenden op afstand onder meer de beveiliging, verlichting, airconditioning en verwarming van huizen en kantoren bedienen. In totaal zijn er maar liefst 17.444 gebouwen met systemen die zijn gebaseerd op de KNX-standaard, waarvan er zich 1.322 in Nederland bevinden. Je leest in ons eerdere artikel meer over het betreffende onderzoek van Computest.

Het tweede gedeelte van de bijeenkomst werd verzorgd door Freek Marks en Radjen Sewmangal van Siemens. ‘Onze wereld digitaliseert in hoog tempo en alles raakt met elkaar verbonden. Dat zien we in ons dagelijks leven, maar ook in productieprocessen, het elektriciteitsnetwerk of de mobiliteitsinfrastructuur – met andere woorden, onze kritische infrastructuur.

Om de uitwisseling van data mogelijk te maken worden onze systemen open en toegankelijk gemaakt, met standaard protocollen en interfaces. Als dat gebeurt zonder goed na te denken over cybersecurity, de beveiliging van onze informatie, dan levert dat kwetsbaarheden op. Kritische data of informatie kan worden gestolen, processen kunnen ongewenst worden beïnvloed, of de toegang tot kritische systemen kan worden ontzegd.

De simulatie van de brug is bedoeld om bewustwording te creëren dat kwetsbaarheden niet alleen in het domein van de IT-systemen aanwezig zijn, maar juist ook in het domein van de industriële automatisering. In een wereld waarin IT en OT convergeren is het van belang om na te denken hoe we tot maatregelen komen, die ons in staat stellen de voordelen van de digitale wereld op een veilige en beheersbare wijze te ontsluiten.

Om de simulatie inzichtelijk te maken, hadden de heren een schaalmodel meegebracht van een brug waarmee de verschillende PLC’s, de Programmable Logic Controllers, geduid konden worden. Deze controllers kunnen worden gebruikt om bijvoorbeeld de slagbomen te sluiten en de brug open te zetten. Een intrinsieke beveiliging daarbij is dat de logica van de PLC’s het niet toestaan dat brug en slagboom tegelijkertijd openstaan, omdat die combinatie gevaarlijk is. De demonstratie richt zich echter op de bediening van wat er wel mogelijk is.

Een vrijwilliger uit het publiek werd daarom met een tablet aan het werk gezet om de brug te bedienen; als de security “uit” staat, is het mogelijk om via een IP-adres naar een interface te gaan en vanaf daar zomaar de brug te bedienen. Vervolgens werd de security op “aan” gezet door Radjen, waardoor het scherm verdween en de brug niet langer bediend kon worden. De PLC’s accepteren dan alleen een versleuteld kanaal zodat je er met een internetverbinding alleen niet meer bijkomt. De simulatie was bedoeld om het belang van goede beveiliging aan te tonen en ervoor te zorgen dat dergelijke securitymaatregelen structureel aanwezig zijn en geïmplementeerd worden.

In maart 2017 organiseerden FERM de eerste bijeenkomst voor haar achterban, het ‘Sta jij FERM?’-seminar in Spijkenisse. Sindsdien organiseren we periodiek de FERM Port Cyber Café’s, waar we experts uitnodigen om samen met vaste moderator Chris van ’t Hof een actueel onderwerp uit de wereld van cybersecurity te bespreken. Op ferm-rotterdam.nl/port-cyber vind je alle actuele informatie over recente en aanstaande edities van de Port Cyber Cafés.

Het eerstvolgende Port Cyber Café vindt plaats op donderdag 23 mei. Aanmelden kan via aanmelden@ferm-rotterdam.nl.