Wat is een Man-in-the-Middle (MitM) aanval?
Een Man-in-the-Middle (MitM) aanval is een aanval waarbij een kwaadwillende zich onzichtbaar tussen twee communicatiepartijen positioneert, met als doel om verkeer af te luisteren, te manipuleren of om te leiden zonder dat de partijen dit merken.
In OT-omgevingen is dit een kritiek risico bij communicatie tussen PLC, HMI, SCADA en veldapparatuur – vooral bij gebruik van verouderde of onbeveiligde protocollen zoals Modbus, DNP3 of OPC Classic.
🧠 Hoe werkt een MitM-aanval?
- De aanvaller onderschept netwerkverkeer tussen twee legitieme partijen
- Hij kan het verkeer passief afluisteren of actief wijzigen (bv. waardes aanpassen)
- Beide partijen denken dat ze direct met elkaar communiceren
- De aanval blijft vaak onopgemerkt zonder detectiemechanismen
🎯 Voorbeelden van MitM in OT-context
| Scenario | Gevolg |
|---|---|
| Vervalsing van meetwaarden tussen sensor en PLC | Onjuiste aansturing van processen (bv. pomp blijft draaien) |
| Wijziging van commando’s in Modbus-TCP verkeer | Openen/sluiten van kleppen op basis van valse data |
| SSL-strip tussen HMI en webinterface | Stelen van wachtwoorden of sessiegegevens |
| Injectie van valse alarmmeldingen in SCADA | Operator wordt misleid of afgeleid van echte incidenten |
🛡️ Detectie- en verdedigingsmaatregelen
| Maatregel | Toelichting |
|---|---|
| Encryptie (TLS, VPN, IPsec) | Beveilig de communicatie tussen OT-componenten |
| Authenticatie en Code Signing | Zorg dat berichten van legitieme bronnen komen |
| DPI | Herken manipulaties of afwijkend protocolverkeer |
| Anomaliedetectie / IDS | Detecteer verdacht gedrag zoals herhaalde ARP-requests |
| Netwerksegmentatie | Beperk de toegang tot kritieke delen van het netwerk |
| Zero Trust Architecture | Verifieer elke connectie en authenticatie voortdurend |
| MAC Binding / Port Security | Verhinder spoofing op switch-niveau |
Verouderde protocollen zoals Modbus en DNP3 hebben geen ingebouwde beveiliging. Daar is extra netwerkbescherming essentieel.
🔁 Gerelateerde risico’s
| Aanvalstype | Relatie met MitM |
|---|---|
| Spoofing | Gebruikt om zich voor te doen als legitiem apparaat |
| Replay Attack | Verouderde berichten worden opnieuw afgespeeld om acties te herhalen |
| Session Hijacking | Overnemen van sessies via gestolen tokens of inloggegevens |
| ARP poisoning | Techniek om verkeer via de aanvaller om te leiden |
📌 Samengevat
Een Man-in-the-Middle-aanval vormt een fundamenteel risico in onbeveiligde OT-netwerken. Door verkeer te onderscheppen of te manipuleren kan een aanvaller processen ontregelen of onzichtbaar spioneren.