Onbeveiligde IoT-servers geven hackers toegang tot gevangenissen, oliepijpleidingen en zelfs kerncentrales

Abonneer je gratis op Techzine!

Onderzoeker Lucas Lundgren heeft ontdekt dat verkeerd ingestelde IoT-servers ertoe kunnen leiden dat kwaadwillenden zich toegang kunnen verschaffen tot wel heel veel verschillende zaken. Gevangenissen, oliepijpleidingen, kerncentrales en zelfs deeltjesversnellers blijken gebruik te maken van onbeveiligde servers. 

Lundgren sprak uitgebreid met ZDNet over de problemen die hij ontdekte. Tijdens een telefonisch interview demonstreerde hij hoe je vanaf een afstandje de deuren van gevangenissen kan openen en sluiten. “Ik zou zelfs commando’s als ‘open alle celdeuren’ kunnen laten uitvoeren,” vertelde hij. Toegang verschaffen daartoe lijkt kinderlijk eenvoudig.

Zeer veel apparatuur de op de een of andere manier met het internet verbonden is, maakt namelijk gebruik van een protocol dat bekend staat als MQTT. Via dat protocol versturen apparaten en sensoren gegevens naar een centrale server, zonder al teveel dataverbruik. Door in te breken op dat protocol, kunnen kwaadwillenden zich toegang verschaffen tot servers. Lundgren stelt een opmerkelijke hoeveelheid onbeveiligde servers ontdekt te hebben.

Volgens de onderzoeker zijn de servers die inkomende data verwerken slechts zeer zelden beveiligd met een gebruikersnaam en wachtwoord. En daarom kon Lundgren zich eenvoudig toegang verschaffen tot onbeveiligde servers. “Het is een angstaanjagende situatie. Niet alleen kunnen we de data inzien – en dat is al erg genoeg – maar we kunnen de gegevens ook schrijven,” aldus Lundgren.

Tijdens zijn scans vond hij, zo schrijft ZDNet, servers van over heel de wereld met heel uiteenlopende doelen. Zo trof hij thuissystemen aan met bijvoorbeeld slimme thermostaten, maar ook geavanceerde beveiligingssystemen in bijvoorbeeld gevangenissen en kerncentrales. Maar ook trof hij ziekenhuisservers waar toegang was tot pacemakers en insulinepompen aan, evenals een oliepijplijn.

“Het probleem ligt niet bij MQTT. Je moet gewoon altijd encryptie gebruiken, en een gebruikersnaam en wachtwoord op een server. Maar de meerderheid neemt de moeite niet eens,” vertelt Lundgren aan ZDNet. Hij stelt dat bedrijven als Amazon, IBM en Microsoft al actief mensen dwingen servers goed op te stellen, maar dat mensen vooral zelf verantwoordelijkheid moeten nemen.

Dat het dwingen van mensen echter het belangrijkste blijft, bleek wel uit de problemen met WannaCry. De malware kon zo breed verspreid raken omdat veel mensen hun software niet up to date hielden, dus wellicht ligt de oplossing vooral in lichte dwang naar beheerders toe.