Hackers kunnen fabrieken opblazen met smartphone-apps

Eni | Flickr





Veel bedrijven laten werknemers machines - en soms hele industriële processen - bewaken en beheren via mobiele apps. De apps beloven efficiëntiewinsten, maar ze creëren ook doelwitten voor cyberaanvallen. In het slechtste geval zouden hackers de gebreken kunnen misbruiken om machines en mogelijk hele fabrieken te vernietigen.

Twee beveiligingsonderzoekers, Alexander Bolshev van IOActive en Ivan Yushkevich van Embedi, onderzochten vorig jaar 34 apps van bedrijven, waaronder Siemens en Schneider Electric. Zij gevonden in totaal 147 gaten in de beveiliging in de apps, die willekeurig uit de Google Play Store zijn gekozen. Bolshev weigerde te zeggen welke bedrijven de grootste overtreders waren of de gebreken in specifieke apps te onthullen, maar hij zei dat slechts twee van de 34 er helemaal geen hadden.

Sommige van de kwetsbaarheden die de onderzoekers ontdekten, zouden hackers in staat stellen om de gegevensstroom tussen een app en de machine of het proces waaraan deze is gekoppeld, te verstoren. Een ingenieur kan dus worden misleid door te denken dat een machine bijvoorbeeld op een veilige temperatuur draait, terwijl deze in feite oververhit raakt. Een andere fout is dat aanvallers kwaadaardige code op een mobiel apparaat kunnen invoegen, zodat het frauduleuze commando's kan geven aan servers die veel machines besturen. Het is niet moeilijk voor te stellen dat dit chaos veroorzaakt aan een lopende band of explosies in een olieraffinaderij.



Bolshev zegt dat deze combinatie van apps en industriële controlesystemen een zeer gevaarlijke en kwetsbare cocktail is, hoewel hij benadrukt dat het risico sterk zal variëren. Sommige bedrijven hebben mogelijk meerdere faalveilige systemen die potentiële schade beperken. Ze kunnen er ook op aandringen dat technici vertrouwen op verschillende gegevensbronnen voor een machine in plaats van een enkele lezing van een app.

Dat is echter niet helemaal geruststellend, omdat er aanwijzingen zijn dat hackers al in staat zijn geweest om bredere verdedigingswerken rond productiefaciliteiten te omzeilen (zie Een nieuwe industriële hack benadrukt de cybergaten in onze infrastructuur). En de risico's strekken zich uit tot andere gebieden; Ook elektriciteitscentrales en transportsystemen worden aangesloten op het internet. Ook hier kunnen mobiele apps zwakke punten zijn.

De onderzoekers zeggen dat ze niet hebben gekeken of een van de gebreken daadwerkelijk is uitgebuit. Voordat ze hun bevindingen publiceerden, namen ze contact op met de bedrijven waarvan de apps gebreken vertoonden. Sommigen hebben de gaten al gerepareerd; velen hebben nog niet gereageerd.



Beau Woods, innovatie fellow op het gebied van cyberveiligheid bij de Atlantic Council, zegt dat er een dilemma is voor bedrijven. Het laatste wat je wilt in een noodgeval, zegt hij, is dat operators worden buitengesloten van een kritiek systeem, dus ze zijn ontworpen om op meerdere manieren toegankelijk te zijn, zoals via mobiele apps. Maar het toevoegen van deze connectiviteit zorgt ook voor blootstelling aan de slechteriken.

zich verstoppen