Oostenrijkse gondel blijkt makkelijk doelwit voor hackers

Uit het verhaal blijkt dat de software verouderd was, en een dag later gepatcht is. Met andere woorden, een update van het liftprogramma of Windows of iets dergelijks was voldoende het gebruikte veiligheidslek te dichten.

Probleem ligt in mijn ogen dan toch echt aan de lift uitbater en niet aan de lift. Up to date houden scheelt al veel problemen.

Ziek dat dit kan gebeuren, maar benadrukt ook dat de producenten, als ook de uitbaters/gebruikers hier meer aandacht aan zullen moeten besteden. Je zal er maar in zitten dat één of andere gek aan de knoppen begint te draaien…

Ziek dat dit kan gebeuren, maar benadrukt ook dat de producenten, als ook de uitbaters/gebruikers hier meer aandacht aan zullen moeten besteden. Je zal er maar in zitten dat één of andere gek aan de knoppen begint te draaien…

Marijnt op 25 apr 2018 14:33

Ik denk dat het gevaar wel meevalt. Er zitten altijd liftbediendes in. Een fysieke noodstop is nog altijd niet van afstand te resetten. Zodra hij raar gaat doen geef je een mep op de noodstop en staat alles gelijk stil.

Wel handig als je 's ochtends niet wilt wachten tot alles officieel is opgestart :) First tracks for sure :)

Ik zie absoluut geen reden dat controle-, regel- en besturingssystemen van liften, maar ook van allerlei andere systemen, zoals bijvoorbeeld (kern)centrales, aan internet moeten hangen. Die systemen bestuur je rechtstreeks vanuit bedieningsposten en als er op managementniveau actuele informatie over de werking nodig is, dan zorg je dat er tussen besturingssystemen en managementsystemen uitsluitend eenrichtingverkeer mogelijk is. Je kan zoiets simpel met wat eenvoudige hardware, die onmogelijk softwarematig te beïnvloeden is, tussen beide omgevingen regelen. Het wordt tijd dat er eens goed nagedacht wordt of “the Internet of Things” in alle gevallen wel zo wenselijk is. Het begint met hotels en liften, maar voor je het weet ontstaat er een verkeersinfarct omdat hackers het leuk vinden om in de software van auto’s in te breken.

Ziek dat dit kan gebeuren, maar benadrukt ook dat de producenten, als ook de uitbaters/gebruikers hier meer aandacht aan zullen moeten besteden. Je zal er maar in zitten dat één of andere gek aan de knoppen begint te draaien…

Marijnt op 25 apr 2018 14:33

Ik denk dat het gevaar wel meevalt. Er zitten altijd liftbediendes in. Een fysieke noodstop is nog altijd niet van afstand te resetten. Zodra hij raar gaat doen geef je een mep op de noodstop en staat alles gelijk stil.

Matthias123 op 25 apr 2018 14:45

Heb je gelijk in, maar… Zie het voorval wat hierboven ook genoemd wordt…

Misschien ook maar goed dat hackers dit na buiten brengen. Zo is iedereen weer alert en kan er verder gewerkt worden om het goed te beveiligen.

Ik zie absoluut geen reden dat controle-, regel- en besturingssystemen van liften, maar ook van allerlei andere systemen, zoals bijvoorbeeld (kern)centrales, aan internet moeten hangen. Die systemen bestuur je rechtstreeks vanuit bedieningsposten en als er op managementniveau actuele informatie over de werking nodig is, dan zorg je dat er tussen besturingssystemen en managementsystemen uitsluitend eenrichtingverkeer mogelijk is.

Ronaldski op 25 apr 2018 15:26

Dat klinkt wel leuk, maar bedieningsposten ter plaatse zijn duur en het loont vaak om de bediening en controle te centraliseren en van afstand te bedienen. Strikt eenrichtingsverkeer is lastig te realiseren. Als je gegevens opvraagt, stuur je zelf ook data. Netwerkverbindingen laten wel eens steekjes (bitjes) vallen. Daarom zijn netwerkprotocollen altijd bi-directioneel en kunnen zulke foutjes hersteld worden. Zonder dat zou je alle datapakketjes tig keer moeten opsturen en dan maar hopen dat er minimaal 1 foutloze tussen zat.

Maar is het probleem echt zo groot? De zwakste schakel is altijd nog de mens. Heb je eindelijk 100% veilige software, belt er een belangrijke “leidinggevende” en gaan mensen opeens aan allerlei knoppen draaien. Weg veiligheid ;)

Misschien een concreter voorbeeld, wat is het verschil tussen:
“Hacker legt skilift stil” en “Baldadige skiër drukt op noodstop” ? Niets volgens mij.

Ik zie absoluut geen reden dat controle-, regel- en besturingssystemen van liften aan internet moeten hangen.

Noodzaak? Niet echt …
Argument? Kosten
Moderne liften hebben vaak ook op ‘het andere station’ of tussendoor mechanieken die gemonitord en/of bediend moeten kunnen worden.
Waarom dan aparte verbindingen (van welke aard dan ook) aanleggen als je gebruik kunt maken van bestaande infra en IP?

Maar is het probleem echt zo groot? De zwakste schakel is altijd nog de mens. Heb je eindelijk 100% veilige software, belt er een belangrijke “leidinggevende” en gaan mensen opeens aan allerlei knoppen draaien. Weg veiligheid

Je legt de vinger precies op de goede, zere plek …

Je ziet/leest het vaker in de krant:
Grote sensatiekop: Inbraak in …, … systeem gehackt etc.
En als je dan door leest (in een echte krant wel te verstaan), is het vaak geen inbraak, hacken of kraken, maar onterecht gebruik van toegangsrechten.
Inderdaad: De mens dus…

Ik vind het wel onterecht dat het ongeluk in Georgië er bij genoemd wordt. Ja, het was een Doppelmayr lift, maar de schuld van het ongeluk/de storing lag niet bij Doppelmayr. Het is goed dat je gewezen wordt op beveiligingsproblemen, maar dat alleen maakt je nog geen onbetrouwbare partij. Volgens mij worden zo’n beetje alle grote tech bedrijven wel eens op een lek gewezen.

Ik zie absoluut geen reden dat controle-, regel- en besturingssystemen van liften, maar ook van allerlei andere systemen, zoals bijvoorbeeld (kern)centrales, aan internet moeten hangen. Die systemen bestuur je rechtstreeks vanuit bedieningsposten en als er op managementniveau actuele informatie over de werking nodig is, dan zorg je dat er tussen besturingssystemen en managementsystemen uitsluitend eenrichtingverkeer mogelijk is. Je kan zoiets simpel met wat eenvoudige hardware, die onmogelijk softwarematig te beïnvloeden is, tussen beide omgevingen regelen. Het wordt tijd dat er eens goed nagedacht wordt of “the Internet of Things” in alle gevallen wel zo wenselijk is. Het begint met hotels en liften, maar voor je het weet ontstaat er een verkeersinfarct omdat hackers het leuk vinden om in de software van auto’s in te breken.

Ronaldski op 25 apr 2018 15:26

Het kan prima op een veilige manier worden opgezet hoor, maar daar hangt een prijskaartje en een klein beetje kennis van zaken aan vast. Een simpele 2way factor authentication zou je al een heel stuk op weg helpen om bijvoorbeeld brute-force-attacks tegen te gaan, maar ook wat meer “nadenken” over de setup scheelt al een bak ellende. Zo is 24/7 remote access tot een dergelijke installatie vrij onzinnig. Dat je buiten bedrijfsuren remote toegang wil hebben voor onder meer het uitvoeren van updates e.d. valt te begrijpen, maar tijdens bedrijfsuren wil je toch niet dat er iemand bij kan kunnen komen van buitenaf om maar een voorbeeldje te geven, of in ieder geval niet ongecontroleerde toegang wil verschaffen (denk onder meer aan remote support).

Daarnaast is encryptie van de datastream ook wel een vrij logische stap, kan je denken aan limiteren van remote access op IP-basis etc etc. Oftewel, er zijn technisch zat mogelijkheden om het wel goed op te zetten, maar het wordt er niet goedkoper op.
Blijft natuurlijk daarnaast wel het punt bestaan dat als iemand écht binnen wil komen, hij ook wel binnen komt op dergelijke systemen. Vergelijk het met een woning; je kan het nog zo goed beveiligen, maar als iemand echt heel graag wil, dan lukt het altijd wel, ongeacht hoe goed je de boel beveiligd, en zelfs als je het (zelf) fysiek niet remote toegankelijk maakt. Het zal niet voor het eerst zijn dat er wordt ingebroken, niet om iets weg te nemen, maar iets bij te plaatsen…

@paulvw Weet je zeker dat je op t juiste forum zit? Met zoveel jargon lijkt me tweakers.net een betere plaats voor je post😉

Overigens wordt de term ‘hacker’ veel te vaak gebruikt door de media, is bij veel mensen synoniem voor ‘internetcrimineel’
Ook in dit geval blijkt weer dat het een good guy was die juist wilde helpen/ingehuurd was. Moet eigenlijk een andere term voor gebruikt worden om het onderscheid te maken.

Ik vind het wel onterecht dat het ongeluk in Georgië er bij genoemd wordt. Ja, het was een Doppelmayr lift, maar de schuld van het ongeluk/de storing lag niet bij Doppelmayr. Het is goed dat je gewezen wordt op beveiligingsproblemen, maar dat alleen maakt je nog geen onbetrouwbare partij. Volgens mij worden zo’n beetje alle grote tech bedrijven wel eens op een lek gewezen.

ThomJ op 25 apr 2018 23:42

Ik zeg ook niet dat Doppelmayr schuldige is maar dat het pijnlijk is voor dit bedrijf dat al niet fijn in het nieuws kwam.

Overigens wordt de term ‘hacker’ veel te vaak gebruikt door de media, is bij veel mensen synoniem voor ‘internetcrimineel’

Eens … Hacken is vergelijkbaar met “inbraak”: Het je wederrechtelijk toegang verschaffen met gebruik van geweld.

Veel “Hack” incidenten zijn geen “hack” incidenten, maar “insluip”:
Gebruikmaken van openstaande tuinhekjes of niet ingeleverde sleutels.

Als iemand die ontslagen is met z’n gebruikersnaam en wachtwoord gewoon in kan loggen of iemand die met zijn eigen gebruikersnaam gewoon bij data kan waar hij/zij eigenlijk niets te zoeken heeft (de Barbie affaire), is dat geen “hacken”.
Dan is er iemand gewoon laks geweest …

Overigens wordt de term ‘hacker’ veel te vaak gebruikt door de media, is bij veel mensen synoniem voor ‘internetcrimineel’

Eens … Hacken is vergelijkbaar met “inbraak”: Het je wederrechtelijk toegang verschaffen met gebruik van geweld.

Veel “Hack” incidenten zijn geen “hack” incidenten, maar “insluip”:
Gebruikmaken van openstaande tuinhekjes of niet ingeleverde sleutels.

Als iemand die ontslagen is met z’n gebruikersnaam en wachtwoord gewoon in kan loggen of iemand die met zijn eigen gebruikersnaam gewoon bij data kan waar hij/zij eigenlijk niets te zoeken heeft (de Barbie affaire), is dat geen “hacken”.
Dan is er iemand gewoon laks geweest …
Maar een krantenkop met “EPD Gehackt” doet het natuurlijk wel goed bij het grote publiek

RCGrootveld op 26 apr 2018 11:16

Eens … Hacken is vergelijkbaar met “inbraak”: Het je wederrechtelijk toegang verschaffen met gebruik van geweld.

Eigenlijk noem je iemand die de beveiliging “breekt” een cracker ;). Dit omdat veel gewone programmeurs graag naar zichzelf refereren als hacker. Dus eigenlijk wordt de term in dit geval volkomen juist gebruikt @Gaston ;).

Vergeet ook het zgn. “social hacking’” niet. Behulpzame mensen zonder een gezonde dosis achterdocht zetten zonder probleem alle poorten open en geven hackers zo vrij spel. Bij een veiligheidsinspectie op kantoor kwam eens een persoon ons bedrijf binnen en vroeg mij of ik de deur wilde ontgrendelen want hij had “even geen sleutel bij zich”. Ik vroeg wat hij kwam doen en dat was precies de vraag waarop hij had gehoopt.

Volgens mij is er maar één manier om hackers tegen te houden: netwerkkabel voor altijd uit de computer halen. Anders blijft het een kat en muis spel.

Is de vergelijking met het ongeluk in Georgië niet wat van de pot gerukt? :/