Nederlanders winnen hackwedstrijd met kraken industriële systemen

De hackwedstrijd Pwn2Own is door de Zero Day Initiative opgezet om op een verantwoordelijke manier kwetsbaarheden te onthullen. Dit gebeurt door hackers aan te sporen om tijdens de wedstrijd systemen te kraken aan de hand van kwetsbaarheden die nog niet bekend waren, zogeheten zerodays. Deze editie van de wedstrijd draaide specifiek om het kraken van industriële systemen, wat Keuper en Alkemade dus lukte.

Keuper zelf zegt op de website van Computest dat de gevonden problemen vergelijkbaar zijn met kwetsbaarheden die eerder in IT-systemen van bedrijven gevonden werden. "Je zou ze kunnen zien als de groeipijnen van software", verklaart hij. De fouten kunnen echter grote gevolgen hebben voor de productieprocessen, die op hun beurt weer de gehele toeleveringsketen raken. "Voor organisaties die deze systemen gebruiken is het belangrijk om te beseffen dat nu fabrieken steeds meer softwaregedreven worden, ze ook een interessant doelwit zijn voor hackers."

Veel fouten gevonden

De Nederlanders waren onder meer succesvol in de categorie Control Sever-oplossingen, waarin producten zitten die gebruikt worden voor de connectiviteit, het monitoren en het beheer van diverse industriële systemen, aldus Computest. Keuper en Alkemade vonden binnen deze categorie fouten in de controlservers Iconics Genesis64 en Inductive Automation Ignition. De fouten kunnen door aanvallers gebruikt worden om systemen volledig over te nemen. 

Daarnaast werden er fouten gevonden in de categorie OPC Unified Architecture. Dat is een universeel vertaalprotocol dat door bijna alle industriële controlesystemen gebruikt wordt om data tussen de systemen van verschillende leveranciers te verzenden. Keuper en Alkemade konden binnenin de .NET-implementatie niet-geautoriseerde toegang krijgen, waarmee de werking van systemen aangetast kan worden. In de C++-implementatie werd een DoS-fout gevonden. Wordt die misbruikt, dan kunnen de systemen mogelijk niet meer met elkaar communiceren en vallen ze stil. 

In de categorie Human Machine Interface - systemen waarmee beheerders toegang kunnen krijgen tot hardwarecomponenten - werden ook fouten gevonden, specifiek in AVEVA Edge. Als zo'n systeem wordt overgenomen door cybercriminelen, hebben beheerders geen inzicht meer in de status en problemen van hardware. Daardoor kunnen productieprocessen ernstig verstoord worden, aldus Computest. 

Eerdere winst

Het is niet de eerste keer dat Keuper en Alkemade succesvol zijn bij Pwn2Own. Vorig jaar wonnen ze 200.000 dollar bij de wedstrijd door videobelplatform Zoom te hacken. Keuper zelf hackte in 2012 met een team bovendien een nieuwe iPhone tijdens Pwn2Own - goed voor een geldprijs van 30.000 dollar.