Verschillende bedrijfssystemen, waaronder verwarmingsketels, voedermachines en airco’s zijn ongecontroleerd aangesloten op het internet. Hacken is zelfs niet nodig om ze te manipuleren.
Internetgeconnecteerde Industrial Control Systems, zoals systemen voor gebouwbeheer, industriële machines, maar ook airco’s, ventilatiesystemen zijn zonder veel moeite opzoekbaar via het internet. Maar een groot deel daarvan is verbonden zonder enige authenticatie en dat zet letterlijk de deur open voor ongewenst bezoek.
De bevindingen komen van Maxim Deweerdt van cybersecuritybedrijf NVISO. Hij kon op een half uur tijd via Shodan, een zoekmachine voor IoT-toestellen, tientallen kwetsbare toestellen vinden. “Niet alles wat is terug te vinden, is per definitie ook onbeveiligd, maar op slechts een half uur tijd botsten we al snel op systemen zonder authenticatie.”
Temperatuur omhoog, rolluiken omlaag
Deweerdt kon zo toegang krijgen tot het beheersysteem van een loods waar hij het water kon afsluiten en de temperatuur regelen. Bij een domoticasysteem waren onder meer de lichten en rolluiken te bedienen. Ook botste hij op kassasystemen (PoS-systemen) die op een oude versie van Windows Embedded draaien, wat hen met behulp van oude veiligheidslekken kwetsbaar maakt voor hackers.
Het is niet de eerste keer dat blijkt dat internetgeconnecteerde toestellen zonder bescherming op het web staan. Zo maakte de DDoS-aanval op Dyn in oktober, de grootste DDoS-aanval ooit gemeten, gebruik van slecht beveiligde geconnecteerde huishoudtoestellen. Ook circuleren er al enkele jaren sites die open IP-camera’s streamen.
Weinig bedrijven op de hoogte
De beveiliging van dergelijke systemen ligt vaak moeilijk. “Veel bedrijven zijn er gewoonweg niet van op de hoogte dat deze systemen zomaar op internet te vinden zijn omdat ze vertrouwen op de expertise van de installateur, die mogelijk zelf niet altijd de risico’s juist inschat”, zegt Deweerdt aan Data News.
NVISO probeerde wel zelf de bedrijven te contacteren, al is ook dat niet evident. “Een aantal bedrijven hebben we kunnen identificeren en contacteren door hun IP-adres. De rest zit achter een Telenet- of Proximusrouter waardoor we enkel hun gebruikersnaam zien. Maar die hebben we intussen doorgegeven aan de betrokken providers.”
Fout opgemerkt of meer nieuws? Meld het hier