Meetapparatuur van het KNMI waarmee de vulkanen op Saba en Statia worden ‘bewaakt’, is toegankelijk geweest voor internet criminelen. Zij konden via internet toegang krijgen tot de software waarmee de apparatuur wordt gemonitord en bediend. Het instituut heeft de apparatuur intussen extra beveiligd.
Het KNMI beheert een monitoringsnetwerk op Saba en Sint Eustatius waarmee vulkanen en bevingen in de gaten worden gehouden. Het netwerk bestaat uit seismometers die aardtrillingen registreren, GNSS-stations (Global Navigation Satellite System) die aardverschuivingen vastleggen en een temperatuur sensor.
Saba en Sint Eustatius hebben beiden een vulkaan: Mount Scenery op Saba en The Quill op Statia. Mount Scenery is met 887 meter de hoogste berg in het Koninkrijk. De laatste uitbarsting vond rond 1640 plaats maar Mount Scenery geldt als een slapende vulkaan. Ook The Quill (601 m) is als slapende vulkaan potentieel gevaarlijk, al is de laatste uitbarsting langer geleden, ergens tussen 100 en 400 na Christus.
‘Seismische onrust’
Waarom is het belangrijk om vulkanen te monitoren? Vóór het begin van een uitbarsting wordt er vaak ‘seismische onrust’ waargenomen, zoals het KNMI het noemt. Magma breekt bijvoorbeeld door rotsen of bestaande scheuren, met aardbevingen tot gevolg. Vandaar dat deze bewegingen nauwlettend worden gemeten.
Al in 2006 plaatste het KNM drie seismometers op Saba, Sint Eustatius en Om de vinger aan de pols te houden, plaatste het KNMI al in 2006 drie seismometers op Saba, Sint Eustatius en Sint Maarten, op elk eiland een. Eind januari waren twee wetenschappers van het KNMI nog op de Bovenwinden, onder meer om de apparatuur te controleren en onderhoud te plegen. Volgens het instituut zijn er op dit moment vier GNSS-instrumenten in Caribisch Nederland continue actief: twee op Saba (SABA en SABY) en twee op Statia (SEUT en SEUS).
Slim kastje
Het hart van het systeem is een PolarXx5. Dit is een zogeheten ‘GNSS Receiver’ en wordt geleverd door het bedrijf Septentrio. Eigenlijk is het een slim kastje met allerlei aansluitingen dat de informatie van de diverse meters en stations ontvangt en verwerkt. In real time worden de gegevens uitgelezen en naar een server gestuurd en worden de apparaten bestuurd. Ook regelt en bewaakt het systeem de digitale verbindingen tussen alle apparaten.
Eerst inloggen
Om dit alles overzichtelijk en gebruiksvriendelijk te kunnen doen, wordt een zogeheten ‘GUI’ meegeleverd: een online paneel in een webbrowser.
Volgens opgave van de fabrikant wordt het beheer geregeld via het ‘Admin’ menu. Er zijn twee niveaus: dat van ‘user’ en dat van ‘viewer’. De laatste kan anoniem inloggen maar geen instellingen veranderen.
Maar de panelen van het KNMI waren ook bereikbaar zonder in te hoeven loggen.
Afb. 1: Het overzicht scherm van – in dit geval – het GNSS Systeem Saby op Saba. Klik op de afbeeldingen voor een vergroting.
Ook de panelen van het KNMI waren voor een viewer bereikbaar zonder in te hoeven loggen. Nadat de IP (internet)-adressen via een gespecialiseerde zoekmachine waren gevonden, was eenvoudig verbinding te maken. Daarna hadden we toegang tot alle overzichtsschermen en konden we bestanden up- en downloaden.
Afb. 2: Zonder in te hoeven loggen, konden meetgegevens worden gedownload.
Pas als werd geprobeerd om verder in het systeem te komen, verscheen een melding dat er eerst moest worden ingelogd. So far, so good, zou je denken. Maar kwaadwillenden kunnen middels ’brute forcing’ proberen toegang te krijgen tot diepere niveaus van het systeem. Er zijn diverse computerprogramma’s vrij beschikbaar die desnoods dagen- of wekenlang volledig geautomatiseerd allerlei combinaties van gebruikersnamen en wachtwoorden kunnen afvuren. Na een geslaagde poging heb je alsnog volledige controle over de systemen.
Doelwit
Je kunt je afvragen of dergelijke meetapparatuur van het KNMI een logisch doelwit is voor buitenlandse hackers, al dan niet in overheidsdienst. Zo beschouwt ligt dat niet meteen voor de hand. De maatschappelijke impact van een geslaagde hack poging van een KNMI meetsonde is lang niet zo groot als – bijvoorbeeld – een digitale gijzeling van een ziekenhuis.
Maar er zijn andere risico’s, een actie van script kiddies bijvoorbeeld: jongeren die technieken of programma’s (scripts) gebruiken die door anderen zijn ontwikkeld. Dergelijke scripts zijn handige programmaatjes die veelal geautomatiseerd allerlei handelingen kunnen herhalen, zoals bij een brute force aanval. Dergelijke scripts zijn juist bedoeld om zwakke plekken in netwerken en systemen te ontdekken zodat ze gedicht kunnen worden.
Je zult maar net zo’n zich vervelende puber treffen die je geavanceerde meetapparatuur aan een brute force aanval onderwerpt, en daarin slaagt. Een vulkaan zal er niet meteen vuur door gaan spuwen; een beetje systeembeheerder waarschijnlijk wel.
Reactie KNMI
Afb. 3: Na onze melding paste het KNMI de toegangsrechten tot de interface aan.
Onze bevindingen hebben we gemeld bij het KNMI. Dat bedankt in een reactie ‘voor de melding van mogelijke kwetsbaarheden in de web interfaces van de Septentrio PolaRx5 receivers (dataloggers) op Saba en St. Eustatius’.
“De data die gedownload kunnen worden zijn open data en zijn – omdat KNMI open data belangrijk vindt – ook via andere kanalen vrij toegankelijk. Inmiddels hebben we het downloaden van de data voor anonieme gebruikers aangepast.”
“Het systeem was en blijft beschermd door een password/username combinatie.”
Wat het KNMI zoal doet op de Caribische eilanden is te lezen op een apart deel van hun website: www.knmidc.org.
(Dit artikel werd gepubliceerd in het Antilliaans Dagblad van 07-04-2020)