'Aanvallen op smart city-systemen kunnen tot breed verspreide paniek leiden'

Onderzoekers hebben 17 zero-day kwetsbaarheden gevonden in vier smart city systemen. In acht van de gevallen gaat het om beveiligingsproblemen waarvan de ernst 'kritiek' is. Threatcare en IBM X-Force waarschuwen dat aanvallen op en manipulatie van smart city systemen tot breed verspreide paniek kan leiden.

De onderzoekers wijzen op een valse alarmmelding die in januari 2018 op Hawaii werd verstuurd. De boodschap luidde toen 'BALLISTIC MISSILE THREAT INBOUND TO HAWAII. SEEK IMMEDIATE SHELTER. THIS IS NOT A DRILL.' Al snel bleek het te gaan om een valse alarmmelding die door een menselijke fout was verstuurd. Dergelijke alarmmeldingen kunnen echter ook bewust worden uitgestuurd indien kwaadwillenden toegang weten te krijgen tot smart city-systemen. De beveiliging van dergelijke systemen is dan ook van cruciaal belang.

Beveiligingsproblemen

Desondanks blijken smart city-systemen - net als andere IT-systemen - kwetsbaarheden te bevatten. Zo hebben onderzoekers van Threatcare en IBM X-Force zeventien zero-day kwetsbaarheden - beveiligingsproblemen die nog niet eerder zijn ontdekt - geïdentificeerd in vier smart city systemen van de bedrijven Libelium, Echelon en Battelle. Libelium verkoopt hardware voor draadloze sensornetwerken en Echelon industriële IoT, embedded applicaties en systemen voor de maakindustrie. Battelle is een non-profit organisatie die technologie ontwikkelt en commercialiseert.

Met behulp van openbare zoekmachines als Shodan en Censys hebben de onderzoekers in kaart gebracht hoeveel smart city-systemen die deze kwetsbaarheden bevatten via internet toegankelijk zijn. Het blijkt om honderden systemen te gaan, die voor uiteenlopende doeleinden worden ingezet. Zo wijzen de onderzoekers erop een Europees land te hebben aangetroffen dat kwetsbare apparaten inzet om radiatie te detecteren, terwijl een grote Amerikaanse stad de apparaten inzet om verkeersstromen te monitoren.

Patches

Alle kwetsbaarheden zijn door de onderzoekers gemeld aan de fabrikanten. Deze bedrijven hebben volgens de onderzoekers direct actie ondernomen en de beveiligingsproblemen verholpen. Ook gebruikers van kwetsbare systemen zijn door de onderzoekers gealarmeerd. Meer informatie over het onderzoek en de bevindingen van de onderzoekers is hier te vinden.