• Onderzoek
  • 13/11/2025
  • English

Kill switches: een nieuwe manier van oorlogvoering

Exploderende pagers in Libanon waren slechts één voorbeeld: talloze apparaten zijn op afstand te manipuleren

Een kill switch is een stukje hardware of software waarmee de maker het apparaat plat kan leggen of juist op hol kan laten slaan. Ondertussen is er al bewijs van Chinese kill switches in onder andere windturbines, zonnepanelen en bussen. Zijn we omringd door tikkende tijdbommen?

door
foto MF3D / iStock

Het zijn een soort achterdeurtjes in elektrische apparaten, die kill switches. Ze kunnen het apparaat op afstand en op commando uitschakelen of in de war sturen. De switches zelf zijn niet nieuw, ze bestaan al jaren. Denk aan de discussie over het gebruik van apparatuur van Huawei in mobieletelefoonnetwerken. Maar de potentiële gevolgen zijn door het Internet of Things (IoT) wel nieuw en groots, waarover verderop meer. 

Om te begrijpen wat kill switches kunnen doen, is het goed te kijken naar de aanval van Israël met pagers in Libanon. Daarbij werd speciale gemanipuleerde software geplaatst in pagers die militantenbeweging Hezbollah in Taiwan besteld had. Communicatie met die software, in combinatie met explosief materiaal, zou ervoor kunnen zorgen dat ze op een door de Mossad (Israëlische geheime dienst) gewenst moment zouden ontploffen.

De New York Times meldde destijds dat er al met de pagers geknoeid was voordat ze in Libanon arriveerden. De Mossad zou daarvoor verantwoordelijk zijn en in vijfduizend pagers kleine hoeveelheden explosieven hebben geplaatst.

Op 17 september 2024 ontploften die pagers allemaal tegelijk nadat een gecodeerd bericht naar alle toestellen was gestuurd. Er vielen negen doden en bijna drieduizend gewonden in heel Libanon, en nog een onbekend aantal in Syrië.

Detectie

Er zijn nauwelijks cijfers over het aantal kill switches. Experts die we spraken durven dan ook geen schatting te geven. Achterdeurtjes in hardware opsporen is erg moeilijk: chips zijn extreem complex, bevatten veel componenten en er bestaat geen testprotocol dat subtiel verborgen gedrag betrouwbaar detecteert. Het inbouwen van subtiel gedrag blijkt daarom een effectieve manier om onder de radar te blijven.

Neem een zonnepaneel: in de hardware kan bijvoorbeeld een module zitten die controleert of een specifieke code binnenkomt die opdracht geeft te stoppen. Ook kan er een klok ingebouwd zijn die het systeem uitschakelt zodra een vooraf ingestelde tijd is verstreken.

“Dat kan een manier van oorlogsvoeren zijn: als je dit massaal doet en daarmee het elektriciteitsnet uit balans brengt”, zegt Jan Friso Groote, hoogleraar Formal Systems Analysis aan de TU/e. “Dat een kill switch zo moeilijk te vinden is, maakt het ook lastig om je ertegen te verdedigen.”

Jan Friso Groote. Foto | Vincent van den Hoogen
Potentiële impact

“In mei dit jaar is er reuring geweest door een bericht van Reuters over massale aantallen kill switches in converters voor vermogenselektronica van Chinese makelij – en die zijn aanwezig in bijna de gehele markt van zonnepanelen en batterijsystemen”, weet hoogleraar Guus Pemen, hoofd van de TU/e-onderzoeksgroep Electrical Energy Systems. Deze converters worden wereldwijd gebruikt, en een gecoördineerde activering van de kill switch zou kunnen leiden tot een grootschalige verstoring van de elektriciteitsvoorziening. Het elektriciteitsnet kan niet tegen een plotselinge disbalans tussen vraag en aanbod en kan uitvallen, mogelijk met schade aan kabels. Als een land dit doelbewust zou inzetten, kan het een andere staat strategisch verzwakken.

China beschikt over de grootste productiecapaciteit ter wereld en is de tweede economie wereldwijd qua bruto binnenlands product. Daarmee is de potentiële impact van hun kill switches aanzienlijk: het land beheerst momenteel 90 procent van de productiecapaciteit voor de batterijenmarkt en 60 procent van die voor windturbines.

Guus Pemen. Foto | Vincent van den Hoogen

Naast de apparatuur gericht op energieproductie, maakt China ook veel bussen die Europa gretig afneemt. Onder andere in Denemarken, Noorwegen en Nederland rijden Chinese bussen rond. De Yutong-bussen haalden afgelopen week het nieuws, omdat ook daar kill switches in gevonden zijn. De fabrikant kan de bussen middels een software-update stilzetten. 

Volgens het onderzoek van het Noorse busbedrijf Ruter, dat eind oktober werd gepubliceerd, zit er een simkaart in de bus, die verbinding maakt met het controlesysteem van de batterij. Busmaatschappij Ruter voegde er wel aan toe dat er ‘amper integratie’ is met andere systemen in de bus. De simkaart eruit halen, zou volgens hen dus de oplossing zijn om de aansturing vanuit China te verbreken. Maar honderd procent zeker weten dat er geen andere kill switches in zitten, is nagenoeg onmogelijk omdat de chips zo complex zijn, denken de experts aan de TU/e. 

Een Yutongbus in Nederland. Foto | André Muller / iStock

Transdev, moederbedrijf van Connexxion en ook actief in Eindhoven en omgeving, doet extra onderzoek naar de eigen bussen om te zien of daar ook kill switches in zitten. Het vervoersbedrijf stelt in De Telegraaf ‘met fabrikant Yutong te hebben afgesproken dat zulke systemen niet zijn toegestaan’. 

Chaos 

Pemen is van mening dat de kans op een grootschalige gecoördineerde sabotageactie klein is. “Ons elektriciteitssysteem is robuust en netbeheerders zijn zich redelijk bewust van gevaarlijke scenario’s. Maar er is wel een serieus risico op lokale uitval van energieproductie in het geval van het massaal uitzetten van zonneparken.”

Groote denkt net als Pemen dat we ons nu in Nederland niet meteen zorgen hoeven te maken over een vergelijkbaar scenario als bij de pagers in Libanon. Toch ziet hij wel het risico van geheim ingebouwd gedrag in apparaten die op afstand worden bediend: het kan chaos creëren. “Stel je voor dat plots alle moderne auto’s er met maximale snelheid vandoor gaan. Dan is er zoveel onrust, dat dat het ideale moment is om een aanval te plegen. Je kunt een land militair destabiliseren.”

Hij trekt een vergelijking met de Tweede Wereldoorlog. Toen werden dijken gebombardeerd, kwamen grote stukken land onder water te staan en moest alle aandacht daarheen. “Nu kun je technische apparaten inzetten om zulke afleidende manipulaties voor je te regelen.”

Pemen ziet wel andere ongewenste neveneffecten van de dreiging. Berichten over het bestaan van kill switches en mogelijke impact van het gebruik ervan leiden tot verhoogde spanningen in de maatschappij. “Het kan schade toebrengen aan het vertrouwen in de betreffende systemen en daarmee de markt. Maar ook verzekeringspremies kunnen stijgen.”

Savio Sciancalepore. Foto | TU/e
Geopolitieke munitie

Niet alleen China bouwt actief kill switches in producten, maar daar is het meest over geschreven. Of er ook in Nederland of Europa kill switches worden ingebouwd, is een vraag die aan de AIVD is voorgelegd. De dienst laat weten geen database bij te houden van producten met een kill switch en doet ook geen onderzoek naar mogelijke aanwezigheid ervan, ongeacht het herkomstland. Dit valt niet onder hun takenpakket.

Wanneer de AIVD wél op de hoogte is van een kwetsbaarheid in een systeem of product, kunnen zij gebruikers op basis daarvan informeren over de risico’s.

Lokaal produceren

Je zou je kunnen afvragen waarom we niet gewoon hier chips produceren, als we hardware zo moeilijk kunnen controleren op kill switches. Dat heeft te maken met de kosten en is een keus uit het verleden. Ja, we hebben hier ASML om de hoek die de chipmachines maakt. Maar het produceren van de chips verplaatste Europa al tientallen jaren geleden naar China, omdat de loonkosten daar veel lager waren. En dat heeft China naast marktaandeel ook veel expertise en daarmee macht opgeleverd. 

Savio Sciancalepore, universitair docent Internet of Things, waarschuwt dat we bij terughalen van productie naar Europa scherp moeten zijn op supply chain security. Een product bevat vaak honderden componenten, afkomstig van leveranciers die op hun beurt weer onderdelen bij andere partijen betrekken. Het is daardoor lastig om de volledige toeleveringsketen in kaart te brengen. Sciancalepore onderzoekt hoe je die keten zo veilig mogelijk kunt inrichten.

Auto hacken

Enkele programmeurs kwamen erachter dat je een moderne auto vrij eenvoudig kunt hacken. Ze hebben dit gedaan bij een Jeep, maar het concept ging op bij alle auto’s die werken met Uconnect of een vergelijkbare functie. Dat is een computer in het dashboard, verbonden met het internet. Via dat systeem kun je informatie opvragen, maar ook opdrachten geven. 

Informatie opvragen gebeurt bijvoorbeeld via de GPS-functie. Dan weet je waar de auto rijdt, maar verander je niets aan de auto. Opdrachten geven aan de auto kunnen wel een directe impact hebben op de toestand ervan (en eventueel die van de bestuurder). Zo kan een hacker de muziek superluid zetten, het sturen of accelereren overnemen of zelfs de remmen blokkeren. Om dit te doen, moet je eerst inbreken via het mobiele netwerk en dan canned messages (een soort sjabloonberichten) sturen. Daarmee kun je het systeem overnemen. 

Klik op de video om het afspelen te starten. Hackers laten zien hoe een module in de auto misbruikt kan worden door ermee te verbinden via het internet en hem opdrachten te geven.

Hackers Remotely Kill a Jeep on a Highway | WIRED

Klik op de video om het afspelen te starten. Hackers laten zien hoe een module in de auto misbruikt kan worden door ermee te verbinden via het internet en hem opdrachten te geven.

In bovenstaande video begint het ‘onschuldig’ met het aanzetten van de airco, de sproeier en ruitenwissers. De bestuurder raakt hierdoor al afgeleid. Het extreem luid zetten van de muziek zorgt voor verdere afleiding. Gecombineerd met het slechte zicht door de sproeier, kan dit gevaarlijk zijn op de weg. Vervolgens grijpen de hackers in bij de werking van de motor; de bestuurder kan plots niet meer accelereren. Iets wat bijvoorbeeld erg gevaarlijk is op een drukke snelweg of tijdens een inhaalmanoeuvre. Later blokkeren ze de remmen en rijdt de bestuurder ongewild een greppel in.

Chrysler, fabrikant van Jeep, heeft intussen een patch uitgerold. Dat is een update speciaal bedoeld om een kwetsbaarheid te repareren. Toch blijven producten die verbonden zijn met het internet kwetsbaar om gehackt te worden. Dit experiment is ondertussen al zo’n tien jaar oud, maar ook dit jaar zijn er nog waarschuwingen uitgegaan voor risico’s op hacks bij auto’s.

De woordvoerder van de AIVD laat weten dat in heel veel producten die optie zit om het proces te stoppen. Er is dan hard- en/of software ingebouwd die bijvoorbeeld voor de veiligheid in kan grijpen. Denk aan het automatisch noodremsysteem (AEB) en lane control in auto’s. Ook is het altijd mogelijk dat er kwetsbaarheden in software zitten. De meeste daarvan zijn fouten die gemaakt zijn tijdens het ontwikkelen daarvan. Daar is niet altijd opzet in het spel, wat niet wegneemt dat deze wel misbruikt kunnen worden. 

Internet of Things

Internet of Things (IoT) is het verbinden van fysieke objecten, zoals apparaten en voertuigen, met het internet. Deze ‘slimme’ objecten zijn uitgerust met sensoren, software en andere technologie om gegevens te verzamelen en te delen met andere apparaten en systemen. Voorbeelden zijn een smartwatch die stappentellingen deelt met je telefoon of een slimme thermostaat die de temperatuur op afstand regelt. 

Het IoT heeft een vlucht genomen de afgelopen tien tot vijftien jaar. Er zijn nu naar schatting meer dan 50 miljard (!) apparaten met het internet verbonden en daarmee op afstand controleerbaar geworden. Dat biedt niet alleen gemak voor gebruikers, maar vormt ook een risico op ongewenste inmenging. “Ik ben ervan overtuigd dat Rusland de beveiligingscamera’s in Oekraïne gebruikt om rond te kijken, en andersom zal dat ook gebeuren”, zegt Groote.

Nederland telt miljoenen camera’s die mogelijk voor dit doel kunnen worden ingezet. Zo hebben 1,2 miljoen mensen een slimme deurbel die met het internet verbonden is, en een vergelijkbaar aantal beschikt over andere camera’s in of rond het huis. Veel andere huishoudelijke apparaten zijn tegenwoordig ook online verbonden.

Sciancalepore benadrukt dat de digitale toegang van een fabrikant tot een product via internet een voorbeeld is van dual use-technologie. Zo kan een fabrikant een patch sturen om een kwetsbaarheid te verhelpen, maar ook een signaal naar het apparaat sturen om het uit te schakelen — zoals bij kill switches mogelijk is.

Wereldverhoudingen

De wereldverhoudingen zijn de afgelopen jaren snel veranderd en de relatieve rust na de Koude Oorlog is voorbij. Groote vindt het jammer dat dit ook impact heeft op de wetenschap.

“Tot enkele jaren geleden konden we conferenties bijwonen waar ook Russische onderzoekers deelnamen. We werkten intensief samen met Chinese universiteiten en leken echt op weg naar een wereld waarin de wetenschappelijke gemeenschap één was.” Het vertrouwen dat er tot voor kort was, heeft inmiddels plaatsgemaakt voor wantrouwen en breuken.

Afweging

“Nu geldt de wet van de sterkste”, ziet Groote. “En daar past het inbouwen van kill switches bij.” Hij denkt dat de beïnvloeding door Rusland en China veel heeft gedaan met de houding van burgers, zowel hier als daar. “Extreme leiders zoals Trump zijn hierdoor ook groter geworden. Als zulke mensen hun macht willen uitoefenen, kunnen kill switches een gemakkelijk middel zijn om in te zetten.”

Sciancalepore erkent de gevaren, maar blijft realistisch. “Als je geen enkel risico wilt lopen op schadelijk misbruik van kill switches, moet je niets meer gebruiken dat met het internet verbonden is.” Met zijn eigen smartphone voor zich op tafel, weet hij dat bijna niemand zo leeft. “Bij elke verbinding maak je hopelijk wél een afweging tussen de toegevoegde waarde en de risico’s.”

Deel dit artikel