Hoe groot zijn de risico’s van een hack?

Wie of wat is nog veilig voor hackers? Zo bekende woordvoerder Robert Hickey van het Amerikaanse Department of Homeland Security onlangs dat hij er met een team in is geslaagd om een jaar geleden het systeem van een Boeing 757 te hacken. Het vliegtuig stond op dat moment aan de grond op het vliegveld van Atlantic City. De hack vond plaats op afstand, zonder ook maar in de buurt van het bewuste vliegtuig te komen. 'Om dit soort voorvallen te voorkomen zal security een steeds grotere impact op ons dagelijks leven gaan krijgen', zegt dr. ir. Hugo Jonker, universitair docent aan de Open Universiteit.

Hoewel de details van de hack 'classified' blijven, gaf Hickey wel toe dat zijn team de klus klaarde door toegang te krijgen tot de radiofrequentie en de communicatie van de 757. 'Zonder dat iemand van ons team het vliegtuig behoefde aan te raken. Ik stond op een afstand, uitgerust met typische apparatuur die je langs de security kunt smokkelen en slaagde er zo in om in het systeem van het vliegtuig te geraken.' Het Department of Homeland Security werd in 2002 ingesteld door toenmalig president George W. Bush, als reactie op de aanslagen van 11 september 2001. Doel van het ministerie is het voorkomen van dergelijke aanslagen in de nabije toekomst.

Ontkennen

Al in 2013 suggereerde een zekere Hugo Teso dat vanwege een gebrek aan authenticatievoorzieningen in het zogenaamde ACARS protocol (Aircraft Communications Addressing and Report System) het systeem van een vliegtuig relatief eenvoudig overgenomen kan worden met gebruik van een Android app. Zowel de luchtvaartautoriteiten als de verantwoordelijke softwarebedrijven ontkenden op dat moment Teso’s beweringen. Ook vliegtuigbouwer Boeing blijft beweren dat onderzoek geen cyber-kwetsbaarheden heeft aangetoond, noch in de 757 - een vliegtuig waar ook president Trump over beschikt -, noch in een ander Boeing toestel.

Grote risico’s

Dit soort verhalen zullen we volgens Hugo Jonker vaker voorbij zien gaan komen. 'Het is mede te danken aan onze neiging om steeds meer online te willen zijn en steeds meer apparaten aan het internet te willen hangen. Daarbij worden de risico’s van een succesvolle hack steeds groter. In dit geval gaat het om een vliegtuig, waarbij natuurlijk het risico bestaat dat de besturing door iemand van buiten wordt overgenomen. Immers, internetverbinding in de cabine betekent dat er een directe link is tussen het vliegtuig en de buitenwereld, met alle consequenties van dien. Maar wat denk je bijvoorbeeld van onze energievoorziening? Daar bouwen we steeds meer slimmigheid in. Denk aan slimme meters, zonnepanelen, elektrische auto’s. Zonder uitzondering apparaten die aan het internet hangen. Dat betekent dus ook dat ze wellicht bij een hack via het internet uit te schakelen zijn.'

Maatregelen

Op dit moment is het nog niet zover dat alles aan het internet hangt en hackbaar is, meent Jonker. 'Maar we gaan wel snel die kant op. Daarom zijn experts op het gebied van software security niet alleen hard nodig, maar werken ze ook hard aan het bedenken van maatregelen om de kansen op en de risico’s van hacks zoveel mogelijk in te dammen. Dat doen we uiteraard ook binnen onze ICT-opleidingen van de Open Universiteit. Het belang van deze experts en hun werk is inmiddels ook tot de politiek doorgedrongen. Zo zagen we dat in het recente regeerakkoord een passage opgenomen is over de standaarden die gelden voor op het internet aangesloten apparaten.'

Dr. ir. Hugo Jonker

Heerlen, november 2017