Nederlanders kraken industriële systemen en winnen hackcompetitie

Twee Nederlandse hackers hebben kwetsbaarheden gevonden in computersystemen die worden gebruikt om onder meer energiecentrales en fabriekshallen aan te sturen. Daarmee wonnen ze de zogenoemde Pwn2Own-hackcompetitie, wat ze 90.000 dollar oplevert.

"Het ernstigste wat we vonden is een kwetsbaarheid waarmee we konden binnendringen in zo'n systeem", zegt een van de hackers, Daan Keuper, verbonden aan beveiligingsbedrijf Computest.

Samen met zijn collega Thijs Alkemade vond hij de kwetsbaarheden in een soort digitale blauwdruk die wordt gebruikt door makers van dat soort industriële systemen. Doordat veel van deze systemen deze blauwdruk gebruiken, komen de kwetsbaarheden in potentie in één keer op heel veel plekken voor.

Ook in vier andere systemen vonden de Nederlanders beveiligingsproblemen, waarmee ze industriële systemen zouden kunnen overnemen of platleggen.

Eerder Zoom gekraakt

De hackcompetitie in Miami was specifiek gericht op het kraken van dat soort industriële systemen. Vorig jaar wonnen ze al een algemene versie van het evenement, waarbij ze problemen in beeldbelsoftware Zoom vonden.

Dat soort algemene software is qua beveiliging een stuk verder dan industriële software. "Dat komt onder meer doordat industriële systemen lang meegaan: je bent dus software van 30 jaar geleden aan het beveiligen", zegt Keuper.

Ook is het moeilijker om dat soort systemen up-to-date te houden, een belangrijke voorzorgsmaatregel. "Voor eigenaren van dit soort systemen is het belangrijk dat de apparaten altijd blijven draaien", zegt Keuper. "Een software-update uitrollen is altijd een risico."

Digitaal conflict met Rusland

Tijdens de hackwedstrijd merkte Keuper weinig van de angst voor een digitaal conflict met Rusland. "Maar aan deze wedstrijd zit ook een conferentie vast, en daar merk je dat de angst voor een digitale oorlog wel aanwezig is."