Daan Keuper en Thijs Alkemade hebben in Miami een prijs gewonnen voor de ontdekking van kwetsbaarheden in industriële it-systemen. De Nederlandse ethische hackers, die vorig jaar faam maakten door een beveiligingslek in videovergadertool Zoom bloot te leggen, strijken een bug bounty van 90.000 dollar op.
Het duo demonstreerde tijdens de internationale hackerswedstrijd Pwn2Own dat onbevoegden toegang kunnen krijgen tot systemen die in industriële omgevingen worden gebruikt voor aansturing en beheer van productieprocessen. Ze gebruikten een tot dusver onbekende kwetsbaarheid, ofwel een zero-day. Al bij de voorbereidingen ontdekten ze meerdere beveiligingslekken. Volgens het tweetal besteedt de industriële wereld onvoldoende aandacht aan de digitale beveiliging, wat de systemen een interessante doelwit maakt.
De nieuwe ontdekking levert Keuper en Alkemade een flink geldbedrag op en een bestendiging van hun aanzien in de gemeenschap van ethical hackers. De twee medewerkers van het Zoetermeerse cybersecuritybedrijf Computest legden bij de vorige editie van hetzelfde event een grote kwetsbaarheid in de software van Zoom bloot (zie kader onderaan). Toen gingen ze met 200.000 dollar naar huis, dat bedrag werd beschikbaar gesteld door het videoconferencingbedrijf.
Control servers
Het tweetal onderzocht verschillende industriële systemen en vond zwaktes in control servers Iconics Genesis64 en Inductive Automation. Dat zijn oplossingen die zorgen voor de connectiviteit, monitoring en het beheer van industriële systemen.
Ook constateerde het duo kwetsbaarheden in zowel de .Net-implementatie als de C++-implementatie van OPS Unified Architecture, het universele vertaalprotocol waarmee systemen van verschillende leveranciers gegevens kunnen uitwisselen. Er waren bovendien zwakke plekken in Aveva Edge. Dat is software die beheerders toegang geeft tot hardware-onderdelen. Tussenkomst door kwaadwillenden vertroebelt het inzicht in de status van de hardware.
Zoom doorgelicht
In 2021 lichtten Alkemade en Keuper Zoom Messenger door in het kader van de wereldwijde hacking-wedstrijd Pwn2Own 2021. Deelnemers moesten hun pijlen richten op Microsoft Edge, Zoom Messenger of andere veelgebruikte software als Microsoft Exchange of Apple Safari. De specialisten van Computest vonden ernstige tekortkomingen in Zoom. Sinds de competitie in april 2021 mogen Keuper en Alkemade zich tooien met de eretitel ‘Master of Pwn’.
‘Op zichzelf is het niet zo moeilijk onvolkomenheden in de software te vinden. Wij hadden de kwetsbaarheden in Zoom in anderhalve week boven water’, vertelde Keuper later aan Computable. ‘Het meeste werk gaat zitten in het maken van de exploit. Je moet immers kunnen laten zien dat je werkelijk in staat bent om van buitenaf een computer van een ander te kunnen overnemen. Daar zijn we anderhalve maand mee bezig geweest.’ Zoom toonde zich bijzonder ingenomen met de bevindingen van het tweetal en beloonde de ontdekking met tweehonderdduizend dollar.
