Ruimtehackers: mythe vs. realiteit

We onderzoeken wat een reële cyberdreiging in de ruimte zou kunnen inhouden.

Het is algemeen bekend dat schrijvers in het fantasy-genre maar al te graag asteroïden of brokstukken van de maan in de richting van de aarde te sturen. Maar de film Moonfall, die in februari in een bioscoop bij u in de buurt te zien is, richt zich niet op een natuurramp maar op iets dat lijkt op een kunstmatige, op technologie gebaseerde dreiging. En u zult de naam Kaspersky herkennen onder de beschermingstechnologieën die in deze ruimtethriller worden gebruikt.

Maakt u zich geen zorgen – we doen hier niet aan spoilers. We zijn meer geïnteresseerd in het onderzoeken van wat een echte cyberdreiging in de ruimte zou kunnen inhouden. Fantasy-auteurs hebben dit al lang geleden begrepen: in hun schrijfsels is het vaak zo dat iemand gewoon thuis zijn laptop gebruikt om een raket om te leiden of typt hij één enkel commando in waarmee hij een controlecentrum kan hacken en een heel leger drones kan wegvagen. Of op het laatste moment slaagt hij erin de code voor een luchtsluis te kraken terwijl hij tegen zijn collega’s roept: “Oké, nu hoeven we alleen nog maar 600 miljard combinaties te doorlopen!” In een andere veel voorkomende verhaallijn dringen buitenaardse wezens in de vorm van radiosignalen de ruimte-onderzoeksapparatuur van de aardbewoners binnen en kapen van daaruit het internet en de mensen die ermee verbonden zijn. Indrukwekkend, nietwaar?

In werkelijkheid zien we nog geen grootschalige, succesvolle cyberaanvallen op ruimtevaarttechnologie. Maar soms rijzen er wel verdenkingen. Sommige aanhangers van complottheorieën hebben hackers de schuld gegeven van de laatste mislukte lanceringen van Russische sondes naar Mars. Daar zit een zekere logica in: in 1971 maakte het Sovjet-ruimteschip Mars-3 immers de eerste zachte landing op Mars, en werd zelfs de eerste Marsrover ingezet. Dus je zou denken dat het vervolgens alleen nog maar beter kan gaan. Maar een kwart eeuw later, in 1996, ging het Mars-96 ruimtevaartuig met vier landers kort na de lancering in vlammen op. In 2011 deed zich een andere mislukking voor, toen de Russische Phobos-Grunt, die Yinghuo-1 vervoerde, de eerste Chinese sonde die op weg was naar Mars, zonder succes werd gelanceerd en vervolgens aan zijn einde kwam.

Natuurlijk vermeldt het officiële verslag van deze ongelukken niets over hackers. Maar als u dit interview met de vroegere directeur-generaal van de Lavochkin Research and Production Association leest, wordt duidelijk gesteld dat er grote problemen waren met de veiligheid en dat de hardware van de Mars-ruimtetuigen gemakkelijk vóór de lancering gesaboteerd had kunnen worden.

Met dit soort verhalen in het achterhoofd hebben mijn collega’s en ik een paar jaar geleden een ruimtepanel gehouden op een cybersecurity-conferentie. Over het geheel genomen waren de presentaties interessant, maar de ruimtevaartexperts zetten ons weer even met beide benen op aarde toen het over cyberaanvallen ging. Ze zeiden dat de traditionele hackersystemen niet werken met ruimtecontrolesystemen. Bij de klassieke aanpak kopen hackers een openbaar verkrijgbare controller, downloaden ze de firmware van de fabrikant, onderzoeken die eenvoudig op hun eigen testbed en vallen vervolgens het daadwerkelijke systeem aan door gebruik te maken van de kwetsbaarheden die ze hebben gevonden. Maar ruimtevaarttechnologie is tamelijk uniek, wat betekent dat u jaren aan een bepaald systeem moet werken voordat u er uw weg in leert kennen, en een tweede systeem vinden dat precies hetzelfde werkt om tests op te draaien, zal niet gebeuren.

Dat betekent dat de belangrijkste kwetsbaarheden zich niet “in de ruimte” bevinden, maar op aarde, zo vertelden de experts op het gebied van ruimtesystemen ons. Dit is niet bepaald het materiaal voor spannende thrillers, maar eerder voor comedy’s. Stel bijvoorbeeld dat u geheime gegevens van een satelliet ontvangt en deze aan een klant moet overdragen. Hoe zou u dat doen? Via het gewone internet met al zijn lekken. Als u dat niet wilt, kunt u het ouderwets aanpassen: boodschappers met kogelvrije aktetassen.

Hier is nog een aards verhaal. Begin september 2018 ontruimden FBI-agenten het Sunspot Solar Observatory in New Mexico en legden het meer dan een week plat. Zaten hier buitenaardse wezens achter? Zo begint immers de fantasy-roman “Blind Lake” van Robert Charles Wilson en het korte verhaal “White Cane 7.62” van Ondřej Neff. Maar nee, er was een eenvoudiger verklaring: een conciërge gebruikte het wifi-netwerk van het observatorium om kinderporno te downloaden.

Maar dit betekent niet dat alles dus wel in orde is met de cyberveiligheid in de ruimte en dat we gewoon moeten ontspannen en lachen om die dwaze ruimtefilms. Er is namelijk wel degelijk veel veranderd in de afgelopen jaren. In de nieuwe ruimtesystemen maakt analoge hardware met zijn unieke technologieën plaats voor steeds meer gestandaardiseerde digitale oplossingen van bekende fabrikanten. Dit is niet verwonderlijk – het zijn tenslotte IT-giganten die pretenderen de ruimtevaartleiders van de 21e eeuw te zijn.

Bewijsstuk A is SpaceX, gesteund door niemand minder dan Elon Musk, een van de oprichters van PayPal. Een ander bedrijf dat ruimtevaartuigen bouwt – voorlopig nog suborbitaal – is Blue Origin, het geesteskind van Amazon-oprichter Jeff Bezos. Dan is er ook nog SpaceShipOne, gefinancierd door Paul Allen, die samen met Bill Gates Microsoft oprichtte. SpaceShipOne werd later Richard Bransons SpaceShipTwo. Google probeert ook bij te blijven in de nieuwe ruimtewedloop met zijn Lunar XPRIZE-maanroverwedstrijd. Tenslotte heeft Mark Zuckerberg, die geen introductie behoeft, samen met Yuri Milner – de oprichter van Mail.ru en het DST Global durfkapitaalfonds – het interstellaire sondeproject Breakthrough Starshot opgezet. In het volgende decennium zal Starshot worden gelanceerd naar de exoplaneet die het dichtst bij de aarde staat, Proxima Centauri b.

Het is duidelijk dat het overbrengen van de huidige IT-industrie naar de ruimte alle problemen van de IT-industrie met zich meebrengt, van die ondraaglijke Agile-cultus tot hacker-oorlogen.

Dit treft in de eerste plaats communicatiesatellieten. In de jaren 80 kwam de Braziliaanse maffia bijvoorbeeld op het idee om Amerikaanse militaire satellieten te gebruiken. Ze ontdekten dat ze alleen maar een betrekkelijk eenvoudige antenne in elkaar hoefden te zetten om gratis anonieme communicatie van hoge kwaliteit te ontvangen.

Er is nog een kenmerk dat bijzonder waardevol is voor cybercriminelen: de fysieke onbereikbaarheid van de satellieten. Stelt u zich een hackersgroep voor die botnets controleert. Om een aanval door hen te verijdelen, moeten rechtshandhavingsinstanties normaliter het adres van het C&C-centrum traceren en vervolgens naar de provider gaan en de server in kwestie in beslag nemen. Maar hoe leg je beslag op een server als die zich ergens diep in de jungle bevindt en waarvan het adres in de ruimte vliegt? Helaas pindakaas. Daarom maken APT-groepen zoals Turla voor hun activiteiten met succes gebruik van gehackte satellietverbindingen.

En het is heel goed mogelijk dat de lancering van de nieuwe satellietconstellaties OneWeb, Starlink en Sfera hackers helpen. Beveiligingsexperts detecteren nu al dezelfde problemen in deze ruimteprojecten waar de aardse IT-industrie zich al lange tijd van bewust is. Fabrikanten proberen zo veel mogelijk kosten te besparen, dus om grote satellietconstellaties te assembleren en te onderhouden gebruiken ze goedkope, overal verkrijgbare componenten. Veel van die onderdelen worden niet op kwetsbaarheden geanalyseerd omdat dat zou betekenen dat er meer geld moet worden uitgegeven. Tegelijkertijd kunnen aanvallers deze componenten op aarde gemakkelijk vinden en de kwetsbaarheden identificeren die nodig zijn voor aanvallen, of deze kwetsbaarheden zelfs van tevoren inzetten. Bovendien zijn er nog steeds geen overheidsnormen voor de cyberbeveiliging van satellieten.

Ik zou willen besluiten met een ander scenario voor mensen die gewoonlijk zeggen: “Dit heeft niets met mij te maken. Ik heb geen miljoenen dollars die iemand kan stelen of servers die gehackt kunnen worden.” Als u een van die mensen bent, raad ik u aan de Russische fantasy-film Invasion te bekijken, die een zeer realistische aanval op gewone mensen weergeeft. Kunstmatige intelligentie uit de ruimte die telecommunicatie heeft overgenomen begint alle mensen op te bellen, doet zich met gebruik van de juiste stemmen voor als hun bazen en familieleden, en vraagt hen bepaalde dingen te doen. De mensen stemmen toe en zo veranderen ze in een leger van gehoorzame zombies.

Afgezien van de buitenaardse oorsprong van de kaping, heeft deze aanval bekende componenten: moderne methoden die door telefoonoplichters worden gebruikt in combinatie met een meer gedetailleerde verzameling van persoonsgegevens (ja, dit gebeurt al), stemsimulatie (dit bestaat ook al), en aanvallen op satellieten om telecomsystemen te hacken, wat ook verre van onmogelijk is, zoals u inmiddels vast wel begrepen hebt.

Kortom: leun niet achterover en ga er niet zomaar vanuit dat ruimtehackers u niet zullen treffen. Eet uw Galactic Crunch-ontbijtgranen op en drink nog een glas Tang, en update vervolgens uw ruimte-antivirussysteem.

Tips