Wat is een Replay Attack?
Een Replay Attack is een aanval waarbij een aanvaller legitieme communicatie onderschept en later opnieuw verstuurt (replayt) om ongewenste acties uit te voeren. Het bericht lijkt geldig, omdat het afkomstig is van een betrouwbaar apparaat, maar het wordt buiten de oorspronkelijke context herhaald.
In OT-netwerken kunnen replay-aanvallen leiden tot onbedoelde besturing van machines, misleiding van SCADA-interfaces of het overschrijven van procesdata in Historian-systemen.
🧠 Voorbeeld in OT-context
| Scenario | Gevolg van replay |
|---|---|
| Aanvaller herhaalt een eerder ‘open klep’-commando | Klep opent opnieuw, buiten het bedoelde moment |
| Gemanipuleerde sensorwaarden worden opnieuw verzonden | SCADA toont foutieve meetwaarden |
| Beheerscommandoreeksen van een PLC worden gerepliceerd | Productieproces wordt onbedoeld beïnvloed |
| Geauthenticeerde login wordt opnieuw aangeboden | Toegang tot systeem zonder geldige sessie |
🔍 Waarom werkt dit?
- Veel OT-protocollen (zoals Modbus, DNP3, S7 Comm) hebben geen sessiebeveiliging of tijdstempels
- Data is vaak niet versleuteld en niet gesigneerd
- Apparaten herkennen geen verschil tussen een originele en herhaalde boodschap
- Legacy-systemen zijn ontworpen voor beschikbaarheid, niet voor authenticiteit
🔐 Bescherming tegen Replay Attacks
| Maatregel | Toelichting |
|---|---|
| Message Authentication Codes (MAC-adress) | Bevestigen dat berichten echt zijn en niet gewijzigd |
| Tijdstempels + Nonce | Verhinderen hergebruik van oude berichten |
| Secure Protocols zoals TLS, OPC UA | Beveiliging op sessieniveau met encryptie en integriteitscontrole |
| Code Signing voor firmware | Voorkomt replay van gemanipuleerde updates of configuraties |
| Anomaliedetectie | Herkent patronen van herhaalde of ongebruikelijke communicatie |
| Zero Trust Architecture | Vertrouw geen berichten puur op basis van herkomst, evalueer inhoud en gedrag |
🔧 Specifieke OT-maatregelen
- Gebruik OPC UA i.p.v. OPC Classic – ondersteunt authenticatie en sessiebeheer
- Implementeer IEC 62443-3-3-maatregelen zoals SL3 voor cryptografische integriteit
- Log alle commando’s inclusief tijdstempel in Historian of SIEM
- Detecteer herhaalde berichten met identieke inhoud, zonder tussenliggende events
🧪 Herkenning van een Replay Attack
| Signaal | Detectiemethode |
|---|---|
| Herhaald commando zonder aanleiding | Anomaliedetectie, IDS, gedragsscripts |
| Vervalste sensorwaarden | Onlogische trends of dubbele waarden in Historian |
| Exacte kopieën van oude pakketten | Te herkennen met Wireshark, incl. tijdsvergelijk |
📌 Samengevat
Replay Attacks misbruiken het gebrek aan tijdscontext en verificatie in OT-communicatie. Alleen berichten beveiligen is niet genoeg — je moet inhoud, sessies en herkomst controleren.