Ongeveer een maand geleden kreeg de Twente Hacking Squad (THS) van LISA een doos vol elektronische apparaten zoals routers, slimme stekkers en mensentellers die dagelijks op de UT gebruikt worden, met de opdracht om te kijken of ze er iets van konden hacken. Dat konden ze. Het nieuws wordt nu pas naar buiten gebracht omdat LISA eerst maatregelen wilde nemen om het op te lossen. Ook over het precieze hoe en wat mogen de heren hackers niets zeggen, daar hebben ze een overeenkomst voor getekend. ‘Je hebt natuurlijk kans dat anderen met minder goede bedoelingen het ook gaan proberen,’ legt PhD’er Jerre Starink uit.
‘Slimme’ stekkers
De zogenoemde slimme stekkers zitten onder meer tussen schermen en stopcontacten van overlegruimtes. Ze zijn aangesloten op het WiFi-netwerk en geven de UT inzicht in onder andere stroomverbruik en hoe vaak de apparaten worden gebruikt. Starink: ‘De werking kun je vergelijken met een smart light thuis, die je met je telefoon kunt bedienen. Als je zo’n stekker gebruikt waarvoor hij gemaakt is, kun je ‘m slim noemen ja. Maar zo slim zijn ze niet als je er andere bedoelingen mee hebt.’
Accupunctuur
Een globale beschrijving van het proces kunnen ze wel geven. Slechts vier uur hadden ze nodig. Starink legt uit: ‘De eerste stap is zo’n apparaatje helemaal uit elkaar halen, gewoon om te kijken hoe het in elkaar zit en wat de verschillende onderdelen zijn. Daarvan kun je opzoeken wie de fabrikant is.’ Jorik van Nielen, ook PhD’er, had vervolgens twee uur nodig om met een speciale opstelling en volgens teamgenoot Mattia Napoli twee ‘accupunctuurnaalden’, toegang te krijgen tot een van de chips. Bachelorstudent Technical Computer Science Matas Aizenas keek daarna hoe die geprogrammeerd was en wat je moet doen om de werking te manipuleren.
Fabrikantensite gehackt
Daarna was het aan Starink en Napoli om de site van de fabrikant binnen te komen. ‘Fabrikanten van zulke apparaatjes houden na een bepaalde tijd vaak op te bestaan of draaien geen beveiligingsupdates meer, terwijl hun producten nog wel in gebruik zijn,’ legt hij uit. Het lukte Napoli in ieder geval om de controle over het dashboard van deze fabrikant over te nemen. ‘Ik zou de serienummers die in de bibliotheek gebruikt worden kunnen aan- of uitschakelen en daarmee alles plat leggen.’
Maar daar hield het op. Ze schreven een rapport, dat ze op 15 mei indienden bij LISA. Die reageerden binnen drie dagen met een reactie, waarna ze de nodige beveiligingsmaatregelen troffen.
Volgens de hackers geeft het een kick als het lukt, maar ze moeten toegeven dat de UT de beveiliging verder behoorlijk op orde heeft. ‘We konden alleen maar in de bibliotheek binnenkomen. De rest was goed afgeschermd.’ Volgens Aizenas is het daarnaast ook leerzaam. ‘Ik leer alleen al door met Jerre mee te kijken hoe hij het aanpakt.’
Tips
De hackers geven tips voor thuis: als je ‘slimme’ apparaten gebruikt, blijf dan de boel updaten en draai niet alles op hetzelfde netwerk. Wat het volgende project wordt? ‘Er zat nog meer in die doos,’ grijnzen ze.
Twente hacking Squad
Twente Hacking Squad is zo’n zeven jaar geleden opgericht als onderdeel van de UT-afdeling Semantics, Cybersecurity & Services (SCS) en bestaat voornamelijk uit PhD’ers, masters en bachelors van de faculteit Computer Sciences. Ze komen wekelijks bij elkaar om in verschillende challenges te strijden tegen vergelijkbare groepen van andere universiteiten. Met hun bevindingen voor SCS houden ze kennis van beveiliging op de UT op peil.
