BEWintersporters is ook beschikbaar op wintersport.be
sluiten
Oostenrijkse gondel blijkt makkelijk doelwit voor hackers

Oostenrijkse gondel blijkt makkelijk doelwit voor hackers

Roel op 25 april 2018 · 20 reacties

De hypermoderne Patscherkofelbahn (foto: FB Patscherkofel MeinHausberg)
De hypermoderne Patscherkofelbahn (foto: FB Patscherkofel MeinHausberg)
Anderhalf jaar nadat een viersterrenhotel in Turracher Höhe slachtoffer werd van cybercriminelen is het (goedwillende) hackers gelukt om de bediening over te nemen van een skilift. Er is ingebroken in de software van de gloednieuwe Patscherkofel gondel bij Innsbruck waarmee de hackers naar eigen zeggen bijna alles hadden kunnen doen.

In de achteruit

In januari vorig jaar schreven we over de cyberaanval in het viersterren Romantik Seehotel Jägerwirt in Turracher Höhe. Pas na betaling van 1500 euro in Bitcoins konden gasten hun kamer weer in of uit. We speculeerden destijds al welke systemen het volgende mogelijke doelwit zouden kunnen zijn. Naar nu blijkt schort er ook aan de veiligheid van sommige skiliften het een en ander. De 'hackers' Tim Philipp Schäfers en Sebastian Neef die via het internet veiligheidslekken onderzoeken om producenten daarvan op de hoogte te stellen, is het gelukt de bediening van de Patscherkofel gondelbahn in Innsbruck over te nemen.

De gondel kon naar eigen zeggen worden gestart en gestopt, de afstand tussen de gondels kon worden gewijzigd en de lift kon in de achteruit worden gezet. Dit doet meteen denken aan het bizarre liftongeluk in Georgië waar een moderne stoeltjeslift met hoge snelheid achterstevoren ging waardoor verschillende mensen uit de lift werden geslingerd en gewond raakten.

Bedieningspaneel van Doppelmayr waar de hackers toegang tot hadden (screenshot Internetwache.org)
Bedieningspaneel van Doppelmayr waar de hackers toegang tot hadden (screenshot Internetwache.org)

Verouderde software

De beide onderzoekers lukte het om toegang te krijgen tot het liftsysteem vanwege verouderde software. Een issue waar eerder al voor was gewaarschuwd maar kennelijk onvoldoende mee is gedaan. De ontdekking is bijzonder pijnlijk omdat de lift is gebouwd door Doppelmayr, een producent die tot voor kort bekend stond om zijn moderne liftsystemen maar ook de producent bleek te zijn van de Georgische lift. De 10-persoons Patscherkofelbahn is pas vorig jaar gebouwd.

Doppelmayr erkent de fout maar benadrukt dat de veiligheid van de passagiers niet in gevaar is geweest. Het lek is een dag na de melding gedicht.

Op de hoogte blijven van de laatste artikelen? Meld je aan voor onze wekelijkse nieuwsbrief!


Plaats een reactie

Om te posten op dit forum heb je een account nodig. Login of maak een account aan.

Reacties

  • Gaston 25 april 2018 · 13:14
    Uit het verhaal blijkt dat de software verouderd was, en een dag later gepatcht is. Met andere woorden, een update van het liftprogramma of Windows of iets dergelijks was voldoende het gebruikte veiligheidslek te dichten.

    Probleem ligt in mijn ogen dan toch echt aan de lift uitbater en niet aan de lift. Up to date houden scheelt al veel problemen.
    Tijd voor een uitpakparty?!
  • Marijnt 25 april 2018 · 14:33
    Ziek dat dit kan gebeuren, maar benadrukt ook dat de producenten, als ook de uitbaters/gebruikers hier meer aandacht aan zullen moeten besteden. Je zal er maar in zitten dat één of andere gek aan de knoppen begint te draaien...
  • Matthias123 25 april 2018 · 14:45
    Ziek dat dit kan gebeuren, maar benadrukt ook dat de producenten, als ook de uitbaters/gebruikers hier meer aandacht aan zullen moeten besteden. Je zal er maar in zitten dat één of andere gek aan de knoppen begint te draaien...Marijnt op 25 apr 2018 14:33

    Ik denk dat het gevaar wel meevalt. Er zitten altijd liftbediendes in. Een fysieke noodstop is nog altijd niet van afstand te resetten. Zodra hij raar gaat doen geef je een mep op de noodstop en staat alles gelijk stil.
    Born to Ride
  • evr66 25 april 2018 · 14:50
    Wel handig als je 's ochtends niet wilt wachten tot alles officieel is opgestart 😃 First tracks for sure 😃
    Edwin van Riel
  • Ronaldski 25 april 2018 · 15:26
    Ik zie absoluut geen reden dat controle-, regel- en besturingssystemen van liften, maar ook van allerlei andere systemen, zoals bijvoorbeeld (kern)centrales, aan internet moeten hangen. Die systemen bestuur je rechtstreeks vanuit bedieningsposten en als er op managementniveau actuele informatie over de werking nodig is, dan zorg je dat er tussen besturingssystemen en managementsystemen uitsluitend eenrichtingverkeer mogelijk is. Je kan zoiets simpel met wat eenvoudige hardware, die onmogelijk softwarematig te beïnvloeden is, tussen beide omgevingen regelen. Het wordt tijd dat er eens goed nagedacht wordt of "the Internet of Things" in alle gevallen wel zo wenselijk is. Het begint met hotels en liften, maar voor je het weet ontstaat er een verkeersinfarct omdat hackers het leuk vinden om in de software van auto's in te breken.
  • Marijnt 25 april 2018 · 16:37
    Ziek dat dit kan gebeuren, maar benadrukt ook dat de producenten, als ook de uitbaters/gebruikers hier meer aandacht aan zullen moeten besteden. Je zal er maar in zitten dat één of andere gek aan de knoppen begint te draaien...Marijnt op 25 apr 2018 14:33

    Ik denk dat het gevaar wel meevalt. Er zitten altijd liftbediendes in. Een fysieke noodstop is nog altijd niet van afstand te resetten. Zodra hij raar gaat doen geef je een mep op de noodstop en staat alles gelijk stil.Matthias123 op 25 apr 2018 14:45


    Heb je gelijk in, maar... Zie het voorval wat hierboven ook genoemd wordt...
  • Tim. 25 april 2018 · 17:59
    Misschien ook maar goed dat hackers dit na buiten brengen. Zo is iedereen weer alert en kan er verder gewerkt worden om het goed te beveiligen.
    Stuff: Rossignol Radical 8GS, Rossignol Radical 9SL Ti, Atomic Panic and Volkl Gotama
  • Martin7182 25 april 2018 · 22:28
    Ik zie absoluut geen reden dat controle-, regel- en besturingssystemen van liften, maar ook van allerlei andere systemen, zoals bijvoorbeeld (kern)centrales, aan internet moeten hangen. Die systemen bestuur je rechtstreeks vanuit bedieningsposten en als er op managementniveau actuele informatie over de werking nodig is, dan zorg je dat er tussen besturingssystemen en managementsystemen uitsluitend eenrichtingverkeer mogelijk is.Ronaldski op 25 apr 2018 15:26
    Dat klinkt wel leuk, maar bedieningsposten ter plaatse zijn duur en het loont vaak om de bediening en controle te centraliseren en van afstand te bedienen. Strikt eenrichtingsverkeer is lastig te realiseren. Als je gegevens opvraagt, stuur je zelf ook data. Netwerkverbindingen laten wel eens steekjes (bitjes) vallen. Daarom zijn netwerkprotocollen altijd bi-directioneel en kunnen zulke foutjes hersteld worden. Zonder dat zou je alle datapakketjes tig keer moeten opsturen en dan maar hopen dat er minimaal 1 foutloze tussen zat.

    Maar is het probleem echt zo groot? De zwakste schakel is altijd nog de mens. Heb je eindelijk 100% veilige software, belt er een belangrijke "leidinggevende" en gaan mensen opeens aan allerlei knoppen draaien. Weg veiligheid 😉

    Misschien een concreter voorbeeld, wat is het verschil tussen:
    "Hacker legt skilift stil" en "Baldadige skiër drukt op noodstop" ? Niets volgens mij.
  • RCGrootveld 25 april 2018 · 23:23
    Ik zie absoluut geen reden dat controle-, regel- en besturingssystemen van liften aan internet moeten hangen.
    Noodzaak? Niet echt ...
    Argument? Kosten
    Moderne liften hebben vaak ook op 'het andere station' of tussendoor mechanieken die gemonitord en/of bediend moeten kunnen worden.
    Waarom dan aparte verbindingen (van welke aard dan ook) aanleggen als je gebruik kunt maken van bestaande infra en IP?


    Rob
  • RCGrootveld 25 april 2018 · 23:28
    Maar is het probleem echt zo groot? De zwakste schakel is altijd nog de mens. Heb je eindelijk 100% veilige software, belt er een belangrijke "leidinggevende" en gaan mensen opeens aan allerlei knoppen draaien. Weg veiligheid
    Je legt de vinger precies op de goede, zere plek ....

    Je ziet/leest het vaker in de krant:
    Grote sensatiekop: Inbraak in ...., ... systeem gehackt etc.
    En als je dan door leest (in een echte krant wel te verstaan), is het vaak geen inbraak, hacken of kraken, maar onterecht gebruik van toegangsrechten.
    Inderdaad: De mens dus...
    Rob
  • ThomJ 25 april 2018 · 23:42
    Ik vind het wel onterecht dat het ongeluk in Georgië er bij genoemd wordt. Ja, het was een Doppelmayr lift, maar de schuld van het ongeluk/de storing lag niet bij Doppelmayr. Het is goed dat je gewezen wordt op beveiligingsproblemen, maar dat alleen maakt je nog geen onbetrouwbare partij. Volgens mij worden zo'n beetje alle grote tech bedrijven wel eens op een lek gewezen.
  • Paulvw 26 april 2018 · 00:18
    Ik zie absoluut geen reden dat controle-, regel- en besturingssystemen van liften, maar ook van allerlei andere systemen, zoals bijvoorbeeld (kern)centrales, aan internet moeten hangen. Die systemen bestuur je rechtstreeks vanuit bedieningsposten en als er op managementniveau actuele informatie over de werking nodig is, dan zorg je dat er tussen besturingssystemen en managementsystemen uitsluitend eenrichtingverkeer mogelijk is. Je kan zoiets simpel met wat eenvoudige hardware, die onmogelijk softwarematig te beïnvloeden is, tussen beide omgevingen regelen. Het wordt tijd dat er eens goed nagedacht wordt of "the Internet of Things" in alle gevallen wel zo wenselijk is. Het begint met hotels en liften, maar voor je het weet ontstaat er een verkeersinfarct omdat hackers het leuk vinden om in de software van auto's in te breken.Ronaldski op 25 apr 2018 15:26
    Het kan prima op een veilige manier worden opgezet hoor, maar daar hangt een prijskaartje en een klein beetje kennis van zaken aan vast. Een simpele 2way factor authentication zou je al een heel stuk op weg helpen om bijvoorbeeld brute-force-attacks tegen te gaan, maar ook wat meer "nadenken" over de setup scheelt al een bak ellende. Zo is 24/7 remote access tot een dergelijke installatie vrij onzinnig. Dat je buiten bedrijfsuren remote toegang wil hebben voor onder meer het uitvoeren van updates e.d. valt te begrijpen, maar tijdens bedrijfsuren wil je toch niet dat er iemand bij kan kunnen komen van buitenaf om maar een voorbeeldje te geven, of in ieder geval niet ongecontroleerde toegang wil verschaffen (denk onder meer aan remote support).

    Daarnaast is encryptie van de datastream ook wel een vrij logische stap, kan je denken aan limiteren van remote access op IP-basis etc etc. Oftewel, er zijn technisch zat mogelijkheden om het wel goed op te zetten, maar het wordt er niet goedkoper op.
    Blijft natuurlijk daarnaast wel het punt bestaan dat als iemand écht binnen wil komen, hij ook wel binnen komt op dergelijke systemen. Vergelijk het met een woning; je kan het nog zo goed beveiligen, maar als iemand echt heel graag wil, dan lukt het altijd wel, ongeacht hoe goed je de boel beveiligd, en zelfs als je het (zelf) fysiek niet remote toegankelijk maakt. Het zal niet voor het eerst zijn dat er wordt ingebroken, niet om iets weg te nemen, maar iets bij te plaatsen...
  • Gaston 26 april 2018 · 08:10
    @paulvw Weet je zeker dat je op t juiste forum zit? Met zoveel jargon lijkt me tweakers.net een betere plaats voor je post😉

    Overigens wordt de term ‘hacker’ veel te vaak gebruikt door de media, is bij veel mensen synoniem voor ‘internetcrimineel’
    Ook in dit geval blijkt weer dat het een good guy was die juist wilde helpen/ingehuurd was. Moet eigenlijk een andere term voor gebruikt worden om het onderscheid te maken.




    *bericht bewerkt door Gaston op 26 apr 2018 08:10
    Tijd voor een uitpakparty?!
  • Roel admin 26 april 2018 · 09:11
    Ik vind het wel onterecht dat het ongeluk in Georgië er bij genoemd wordt. Ja, het was een Doppelmayr lift, maar de schuld van het ongeluk/de storing lag niet bij Doppelmayr. Het is goed dat je gewezen wordt op beveiligingsproblemen, maar dat alleen maakt je nog geen onbetrouwbare partij. Volgens mij worden zo'n beetje alle grote tech bedrijven wel eens op een lek gewezen.ThomJ op 25 apr 2018 23:42 Ik zeg ook niet dat Doppelmayr schuldige is maar dat het pijnlijk is voor dit bedrijf dat al niet fijn in het nieuws kwam.
    Weerman, skiër, Limburger
  • RCGrootveld 26 april 2018 · 11:16
    Overigens wordt de term ‘hacker’ veel te vaak gebruikt door de media, is bij veel mensen synoniem voor ‘internetcrimineel’
    Eens .... Hacken is vergelijkbaar met "inbraak": Het je wederrechtelijk toegang verschaffen met gebruik van geweld.

    Veel "Hack" incidenten zijn geen "hack" incidenten, maar "insluip":
    Gebruikmaken van openstaande tuinhekjes of niet ingeleverde sleutels.

    Als iemand die ontslagen is met z'n gebruikersnaam en wachtwoord gewoon in kan loggen of iemand die met zijn eigen gebruikersnaam gewoon bij data kan waar hij/zij eigenlijk niets te zoeken heeft (de Barbie affaire), is dat geen "hacken".
    Dan is er iemand gewoon laks geweest ...

    Rob
  • RCGrootveld 26 april 2018 · 11:17
    Overigens wordt de term ‘hacker’ veel te vaak gebruikt door de media, is bij veel mensen synoniem voor ‘internetcrimineel’
    Eens .... Hacken is vergelijkbaar met "inbraak": Het je wederrechtelijk toegang verschaffen met gebruik van geweld.

    Veel "Hack" incidenten zijn geen "hack" incidenten, maar "insluip":
    Gebruikmaken van openstaande tuinhekjes of niet ingeleverde sleutels.

    Als iemand die ontslagen is met z'n gebruikersnaam en wachtwoord gewoon in kan loggen of iemand die met zijn eigen gebruikersnaam gewoon bij data kan waar hij/zij eigenlijk niets te zoeken heeft (de Barbie affaire), is dat geen "hacken".
    Dan is er iemand gewoon laks geweest ...
    Maar een krantenkop met "EPD Gehackt" doet het natuurlijk wel goed bij het grote publiek

    RCGrootveld op 26 apr 2018 11:16
    Rob
  • Shane 26 april 2018 · 12:11
    Eens .... Hacken is vergelijkbaar met "inbraak": Het je wederrechtelijk toegang verschaffen met gebruik van geweld.

    Eigenlijk noem je iemand die de beveiliging "breekt" een cracker 😉. Dit omdat veel gewone programmeurs graag naar zichzelf refereren als hacker. Dus eigenlijk wordt de term in dit geval volkomen juist gebruikt @Gaston 😉.
    *bericht bewerkt door Shane op 26 apr 2018 12:12 (12% bewerkt)
    I can stick uphill ice, on my saucer...
  • Martin7182 26 april 2018 · 22:08
    Vergeet ook het zgn. "social hacking'" niet. Behulpzame mensen zonder een gezonde dosis achterdocht zetten zonder probleem alle poorten open en geven hackers zo vrij spel. Bij een veiligheidsinspectie op kantoor kwam eens een persoon ons bedrijf binnen en vroeg mij of ik de deur wilde ontgrendelen want hij had "even geen sleutel bij zich". Ik vroeg wat hij kwam doen en dat was precies de vraag waarop hij had gehoopt.
  • Auke83 27 april 2018 · 14:34
    Volgens mij is er maar één manier om hackers tegen te houden: netwerkkabel voor altijd uit de computer halen. Anders blijft het een kat en muis spel.
  • Arnh 27 april 2018 · 15:24
    Is de vergelijking met het ongeluk in Georgië niet wat van de pot gerukt? :/

Plaats een reactie

Om te posten op dit forum heb je een account nodig. Login of maak een account aan.