Tienduizenden verkeerslichten in Nederland te hacken, lek nog jaren te misbruiken

De kwetsbare verkeerslichten maken deel uit van duizenden kruispunten in Nederland, blijkt uit onderzoek van RTL Nieuws. Door een lek in het systeem dat de lichten aanstuurt, kan een aanvaller ze op afstand op groen of rood laten springen.

"Dit is een ernstige hack die de fysieke wereld kan manipuleren", zegt cybersecurity-expert Dave Maasland. "Vroeger dachten we altijd dat dit soort hacks alleen in films gebeurden, maar we worden als samenleving steeds vaker met de neus op de feiten gedrukt dat het hacken van onze infrastructuur daadwerkelijk de realiteit is."

De oplossing is het vervangen van alle kwetsbare verkeerslichten. Daar zijn de wegbeheerders mee bezig. De verwachting is dat in 2030 de kwetsbare verkeerslichten zijn vervangen door nieuwe systemen.

Hulpdiensten krijgen automatisch groen

Het lek is ontdekt door de 29-jarige ethisch hacker Alwin Peppels. Hij onderzocht de manier waarop verkeerslichten verbinding maken met hulpdiensten. 

Als de politie, ambulance of brandweer met zwaailichten komt aanrijden, springen de verkeerslichten automatisch op groen om de auto voorrang te geven. De andere verkeerslichten gaan dan op rood. Ook het openbaar vervoer maakt gebruik van dit systeem om sneller groen licht te krijgen en verwachte aankomsttijden door te geven.

Peppels bouwde een soortgelijk systeem om deze verkeerslichten te hacken. Met een druk op de knop lukte het hem de lichten op groen te zetten. Dat kan zelfs op afstand, veelal op enkele kilometers – wat de kans op misbruik vergroot. Een aanvaller hoeft dan niet in de buurt van een verkeerslicht te zijn om het aan te sturen.

Het lek zit in korteafstandsradio (KAR), een systeem dat sinds 2005 in Nederland en België wordt ingezet om verkeerslichten te besturen via radiosignalen. RTL Nieuws publiceert geen verdere details van de hack om misbruik te voorkomen, maar heeft de methode van de digitale aanval en het daadwerkelijk hacken van de verkeerslichten geverifieerd.

Peppels heeft de afgelopen jaren in zijn vrije tijd aan de hack gewerkt omdat hij het leuk vindt om 'digitaal te puzzelen', zoals hij het hacken noemt. "Verkeerslichten maken deel uit van onze kritieke infrastructuur en zijn een geliefd doelwit van kwaadwillenden", vertelt hij tegen RTL Nieuws. 

"Of het nou criminele hackers zijn of vijandelijke landen die het hebben gemunt op onze infrastructuur, het is van groot belang om te zorgen dat dit soort systemen goed zijn beveiligd. We moeten aandachtig blijven kijken naar alle systemen die we in onze infrastructuur gebruiken."

'Zeer gevaarlijk lek'

Daar is cyberexpert Maasland het mee eens: "Dit is een zeer gevaarlijk lek dat een fundamenteel probleem in onze gedigitaliseerde samenleving blootlegt: dat veel van onze systemen zijn gebouwd in een tijd dat de digitale wereld nog niet vijandig was. En nu, in een tijd van geopolitieke onrust en spanning, komen deze systemen opeens bovendrijven. Deze keer zijn het verkeerslichten, de volgende keer is het een sluis of dijk."

Kwaadwillenden zouden het lek kunnen misbruiken om chaos te creëren op drukke plekken door specifieke verkeerslichten op rood te zetten. Maasland: "Een aanvaller zou met zo'n hack kunnen laten zien: kijk eens wat we kunnen. Dat zou het gevoel van onrust en onveiligheid in onze maatschappij kunnen doen toenemen."

Drugsbendes

Ook de georganiseerde misdaad zou interesse hebben in deze hack, stelt Maasland: "Het is algemeen bekend dat drugsbendes samenwerken met hackers om containers met drugs op de juiste plekken in de haven te laten zetten. Als ze havens hacken, dan is het niet ondenkbaar dat ze ook verkeerslichten gaan hacken."

Sommige criminelen 'lopen de spyshops af voor dit soort gadgets', zegt RTL Nieuws-misdaadjournalist Koen Voskuil. "Zo maken ze gebruik van verklikkers die hen waarschuwen voor naderende politieauto's, jammers die telefoon- of radioverkeer verstoren en apparaatjes om afluisterapparatuur te detecteren. Reken maar dat ze zo'n verkeerslichtapparaat ook meteen willen hebben."

'Fundamentele wijziging nodig'

Peppels zegt de meeste tijd kwijt te zijn geweest aan het uitvogelen van hoe de radiosignalen van het KAR-systeem werken. Iemand met die kennis zou de hack veel makkelijker kunnen uitvoeren, stelt hij.

Volgens de ethisch hacker is er een 'fundamentele wijziging' in KAR nodig om het systeem goed te beveiligen, en dat is makkelijker gezegd dan gedaan. "Ik had graag gezien dat het makkelijker op te lossen is, maar KAR stamt uit een tijd waarin cybersecurity nog een stuk minder belangrijk was."

De enige oplossing is de verkeerslichten compleet vervangen, bevestigt het ministerie van Infrastructuur en Waterstaat (I&W). Het is volgens het ministerie de verantwoordelijkheid van de wegbeheerders – de provincies en gemeenten – om deze kwetsbare systemen te vervangen. 

In een reactie laten de provincies en gemeenten weten het 'ongewenst' te vinden dat 'onbevoegden verkeerslichten kunnen beïnvloeden'. Het Nationaal Cyber Security Centrum (NCSC) benadrukt dat het hacken van verkeerslichten strafbaar is en voor 'gevaarlijke situaties op de weg' kan zorgen: "Misbruik komt dus met een aanzienlijk risico."

Peppels meldde het lek bij het NCSC. Daar is de organisatie blij mee: dit soort meldingen draagt bij aan de digitale veiligheid van Nederland omdat lekken dan kunnen worden gedicht. Daar is bij dit lek alleen een heel nieuw systeem voor nodig. 

Talking Traffic

Het nieuwe systeem voor slimme verkeerslichten heet Talking Traffic. Deze slimme verkeerslichten, die met internet zijn verbonden, zijn niet kwetsbaar voor deze specifieke hack, stelt het ministerie. 

Het vervangen van de oudere systemen is volgens het ministerie een kostbaar en tijdrovend proces. Ook moeten de hulp- en ov-diensten hun auto's en bussen vernieuwen om van het nieuwe systeem gebruik te maken.

Omdat KAR 'nagenoeg overal' wordt gebruikt, is de verwachting dat in 2030 het KAR-systeem volledig is vervangen door Talking Traffic. 

Talking Traffic wordt een 'landelijk dataplatform' dat niet werkt via radiosignalen, maar via een mobiele internetverbinding. Volgens Peppels levert een systeem waarin veel centraal wordt geregeld weer nieuwe risico's op: "Aanvallen op zo'n centraal systeem schalen veel beter omdat alles meer met elkaar verbonden is."

"Een aanval op dit nieuwe systeem kan in theorie nog veel schadelijker zijn dan mijn hack, want je zou mogelijk alle verkeerslichten in een hele provincie kunnen aansturen. Dit systeem gebruiken we over tien, misschien twintig jaar ook nog, en we krijgen maar één kans om het goed en veilig te bouwen. We moeten geen veiligheid voor gemak opofferen."

Privacyrisico's

De slimme verkeerslichten, ook wel intelligente verkeersregelinstallaties (iVRI's) genoemd, liggen al langer onder vuur. Het lukte ethisch hackers om slimme fietsverkeerslichten te kraken en recentelijk sprak de Autoriteit Persoonsgegevens zijn zorgen uit over de privacyrisico's van dit soort slimme verkeerssystemen.