Intelligente verkeerslichten verbonden met internet zijn op afstand te manipuleren. Sommige verkeersregelinstallaties blijken behoorlijk lek. Pentesters Wesley Neelen en Rik van Duijn wisten een aantal van deze in Nederlandse steden opgestelde systemen volkomen in de war te brengen.
De ethische hackers presenteerden hun bevindingen tijdens Defcon Twitch. Neelen en Van Duijn, die onlangs het securitybedrijf Zolder begonnen, simuleerden een eindeloze stroom fietsers. De verkeerslichten bleven daardoor zoveel mogelijk op groen staan, terwijl er in werkelijkheid nauwelijks fietsverkeer was.
De twee onderzoekers tonen aan dat deze systemen, die bedoeld zijn om de doorstroming te bevorderen, kwetsbaar zijn. De installaties reageren op apps die fietsers op hun smartphone hebben gezet. Zodra fietsers nabij een verkeerslicht zijn, wordt hun aanwezigheid opgemerkt. Het verkeerslicht springt dan eerder op groen. Ook voor voetgangers en vrachtwagens bestaan dergelijke apps.
Heel intelligente installaties weten niet alleen dat er verkeer aankomt, maar ‘zien’ ook om welk type verkeer het gaat; met welke bestemming, in welke hoeveelheid en op welk tijdstip. De doorstroming wordt bevorderd door bepaalde verkeersstromen prioriteit te geven, of verkeerslichten op drukke wegdelen langer op groen te houden. Zo bestaan er al systemen die op groen springen wanneer ambulances en andere hulpdiensten arriveren.
Als een pentester zo’n systeem op dezelfde manier weet aan te vallen als Neelen en Van Duijn dat deden, zou het verkeer dus volledig in de knoop raken.
De ethische hackers onderzochten twee verschillende apps. Beide apps bleken kwetsbaar. Bij de meest gebruikte app bleken zaken als authenticatie niet te zijn geregeld.
Wie is er verbaasd? Ik niet.
Dit soort berichten zullen aan de orde van de dag blijven zolang er geen consequenties zijn voor het in de handel brengen van onveilige rommel. En consequenties zijn niet: Een negatief bericht in de vakpers. Consequenties zijn: Boetes, gevangenisstraffen, civiele aansprakelijkheid. Voor bedrijven zijn er nu nauwelijks consequenties voor de productie en distributie van onveilige software. Welk bedrijf gaat nu investeren in de veiligheid van zijn systemen als die veiligheid geen positieve financiële gevolgen heeft?