Wat is Session Hijacking?
Session Hijacking is een aanvalstechniek waarbij een aanvaller de controle over een actieve sessie van een gebruiker of apparaat overneemt. De aanvaller doet zich daarbij voor als het slachtoffer, vaak zonder dat die het merkt.
In OT-netwerken kan Session Hijacking leiden tot ongeautoriseerde besturing van systemen, wijziging van parameters of manipulatie van SCADA-visualisaties.
🧠 Hoe werkt Session Hijacking?
- Een legitieme sessie wordt tot stand gebracht (bv. via HMI, remote access, engineering tool)
- De aanvaller onderschept of raadt de sessie-ID, tokens of verbindingskenmerken
- Verkeerscontrole of commando-overname volgt (bijvoorbeeld via Man-In-The-Middle)
- De aanvaller kan vervolgens handelen als de originele gebruiker zonder nieuwe authenticatie
🎯 Voorbeelden in OT-context
| Scenario | Gevolg |
|---|---|
| Web-based HMI via browser | Aanvaller neemt sessie-ID over en stuurt commando’s |
| Remote desktop of VPN-verbinding | Verbinding wordt gekaapt en overgenomen |
| Engineeringtool zoals TIA Portal actief | Aanvaller stuurt projecten of code zonder toestemming |
| Historian of visualisatieportaal | Foutieve data wordt ingezien of aangepast via gekaapte sessie |
🔓 Waarom is het mogelijk?
- Gebruik van onversleutelde protocollen zoals HTTP, VNC, Telnet
- Sessies zonder expiratietijd of actieve monitoring
- Gebrek aan multi-factor authenticatie (MFA)
- Statische of voorspelbare sessie-ID’s
- Niet gecontroleerd gedrag tijdens sessie (bijv. IP-wijziging of her-authenticatie)
🔐 Beschermingsmaatregelen
| Maatregel | Toelichting |
|---|---|
| TLS-versleuteling | Sessietokens zijn niet leesbaar voor afluisteraars |
| MFA op HMI/webportals | Maakt sessieovername zinloos zonder extra verificatie |
| IP-binding of user fingerprinting | Sessie-ID koppelen aan bron-IP of apparaatkenmerken |
| Timeout op sessies | Inactieve sessies automatisch beëindigen |
| Zero Trust Architecture | Verifieer gedrag en toegang voortdurend, niet slechts bij login |
| SIEM of Anomaliedetectie | Herken afwijkend gedrag tijdens actieve sessie |
🔧 Monitoring en detectie
| Detectiemethode | Beschrijving |
|---|---|
| SIEM-loganalyse | Meerdere sessies vanaf verschillende IP’s met hetzelfde account |
| Session replay-patterns | Herhaalde commando’s of verdachte tijdstippen |
| Sudden privilege escalation | Gebruiker krijgt onverwacht meer rechten tijdens sessie |
| IDS detecteert sessie-overnamepogingen | Bijvoorbeeld via cookie- of headermanipulatie |
📌 Samengevat
Session Hijacking is een stille, maar impactvolle aanval waarmee een kwaadwillende volledige controle over een bestaand systeem kan verkrijgen — zonder brute force of nieuwe login.
Zeker in OT, waar langdurige sessies vaak onbewaakt blijven openstaan, is bescherming via Encryptie, Authenticatie en gedragsevaluatie cruciaal.