​Drones: cyberaanval vanuit de lucht?

Stel je voor: je loopt op straat met je mobieltje in je hand en je ziet ineens een onbemand luchtvaartuig, oftewel een drone over je heen vliegen. Tegelijkertijd valt het je op dat de internetverbinding van je telefoon wegvalt. Waarschijnlijk zal je er niet al teveel aandacht aan besteden en denken dat het stom toeval is en vervolgens gewoon doorgaan met de rest van je dag.

Maar wat nu als ’s avonds blijkt dat je Twitter-account verwijderd is, je autosleutels gehackt zijn, je pacemaker data op straat ligt en iemand op Facebook heeft aangegeven dat je het volgende project X feest gaat geven? Een doomscenario, of is dit echt mogelijk door het inzetten van drones bij een cyberaanval?

De drone als vals toegangspunt

Enkele weken terug waarschuwden mijn collega’s Dick Berlijn en Thomas Bosboom al voor de gevaren van het inloggen op een openbaar WiFi-netwerk en ook De correspondent berichtte erover. Kortom, de gevaren van onbekende maar stabiele draadloze toegangspunten zijn bekend. Maar wat nu als dit gecombineerd wordt met een drone? De software om een drone en een wireless access point aan elkaar te koppelen zijn al een tijdje op de markt en er zijn zelfs al hackers die op YouTube gedemonstreerd hebben dat het mogelijk is om de software aan de drone te koppelen dus een aanval vanuit de lucht, met als doel de social media gegevens van je telefoon, is eigenlijk zo irrealistisch nog niet.

Ook andere variaties met deze software zijn al beschikbaar op internet. Zo is er een drone die het mogelijk maakt om meerdere mobiele apparaten te traceren door een stad. Dit zorgt voor een flinke inbreuk op je privacy en dan hebben we het nog niet eens over het bestaan van particuliere drones met een filmcamera.

De aanname dat in een fysiek beveiligde ruimte geen valse toegangspunten zouden kunnen zijn was al dubieus, maar met de mogelijkheid van drones om over verdedigingsmuren heen te vliegen gaat deze aanname al helemaal niet meer op. Een aanvaller zou zijn drone simpelweg over het ouderwetse hek heen kunnen laten vliegen en zijn drone daarna als access point laten fungeren. Met alle mogelijke gevolgen van dien.

Het internet der dingen

Het tijdperk van het internet der dingen komt eraan en gaat, naast het feit dat het ons veel innovatieve dingen zal brengen, ook de kans op cyberaanvallen vergroten. Doordat allerlei apparaten aan het internet gekoppeld worden, zullen zij met elkaar communiceren zonder dat de mens er nog tussen zit. Hiervoor gebruiken ze veelal korte afstandsprotocollen en juist deze lopen extra gevaar met de introductie van de drone als middel om cyberaanvallen uit te voeren. Nu verschillende apparatuur tot dichtbij benaderd kan worden door een onbemand luchtvaartuig, is het een stuk makkelijker om: autosleutels, auto’s of zelfs medische implantaten te hacken. Maar ook andere, in de toekomst mogelijk aangesloten apparaten zoals televisies, lampen, koelkasten of sluizen lopen extra risico met cyberaanvallen vanuit de lucht.

Om een digitale ingreep op dit type apparatuur succesvol uit te kunnen voeren, is het noodzakelijk om de benodigde hardware aan de drone te koppelen. Een tijd terug hebben een aantal onderzoekers op de hacker conferentie Blackhat al laten zien dat het mogelijk is om zo’n USRP/Drone combinatie te realiseren.

De drone als gebruikersvoorwerp

Naast hackers weten ook activisten, bedrijven en particulieren de drones te vinden. Zo liet de Duitse piratenpartij laatst een drone naast Angela Merkel landen om te protesteren tegen wetgeving die inbreuk maakt op privacy. Ook de overheid gaat deze devices inzetten voor opsporingsdoeleinden en inmiddels experimenteren marktpartijen met drones voor pakketbezorging.

Daarom is het tijd dat we de drone als aanvalsvariant in cybersecurity serieus gaan nemen. Ze bieden niet alleen kansen voor organisaties en technologisch gemak, maar maken het ook mogelijk om cyberaanvallen te lanceren die zich richten op producten die eerder veel lastiger aangevallen konden worden. Kortom, de drone introduceert nieuwe vraagstukken over security en privacy die om een oplossing schreeuwen; waar ik in mijn volgende blog verder op in ga.

Deze blogpost is geschreven door Jeroen Slobbe, Cybersecurity Expert bij Deloitte.

[Afbeelding via Fotolia]