Jaren geleden al voor gewaarschuwd toen AIS hier werd ingevoerd. Het was afwachten tot het een keer gebeurt.

Hetzelfde probleem als ADS-B (hetzelfde ding maar dan voor vliegtuigen): Het roeptoetert voortdurend DIT BEN IK! ZO HEET IK! IK BEN HIER! DIT BEN IK! ZO HEET IK! IK BEN HIER! en, uh, aan informatiebeveiliging danwel anonimiteit doet het he-le-maal niets. Best een leuk ideetje maar een klein beetje naief en er wordt een beetje teveel informatie rondgeslingerd.

Iets vergelijkbaars willen ze ondertussen ook met autos doen, en gezien zowel de beveiligingshistorie in de automobielindustrie als hoe dit soort "beveiligingsmiddelen" worden ontworpen, weet je gewoon zeker dat er aan beveiliging tegen misbruik of subversie van het systeem danwel privacy niet gedacht wordt. Ze zijn immers voor het grote goed bezig? Dat er mensen zijn die overal misbruik van zullen maken als het maar enigszins kan, inclusief bedrijven en overheden of hun employees en ambtenaren, dat snappen ze niet. Ondanks het zich toch zo langzamerhand wel opstapelende bewijs dat informatie gewoon te lekker en te sappig is om het niet gewoon overal voor te gebruiken, en dat de enige remedie tegen misbruik is die informatie niet gewoon maar weg te geven.

Het is vergelijkbaar hoe brandbeveiliging zich tot inbraakbeveiliging verhoudt: De brandweer heeft het liefst alle deuren en ramen zonder sloten want mocht er eens brand uitbreken, kun je altijd makkelijk wegkomen en kunnen ze er makkelijk bij. Dat het risico van inbraak of overval er ook nog mocht zijn, ach, niet hun pakkie an.

AIS is uitdrukkelijk een ondersteunend systeem. In tegenstelling tot zicht en radar, is AIS onvoldoende betrouwbaar om als safety critical systeem te gelden. Overigens leunt AIS zwaar op GPS data welke ook ongauthenticeerd en onversleuteld is, en dus gespoofed (en nog eenvoudiger gejammed) kan worden.

Het m.i. grootste risico van AIS is dat schippers en overheden denken dat AIS radar kan vervangen, niet dat een onderzoeker "bewijst" dat het mogelijk is om iets vergelijkbaars te doen als het stiekem vervangen van een autokenteken of het verdraaien/wijzigen van bewegwijzeringsborden.

Feitelijk barst het in onze maatschappij van "informatiesystemen" (en dan bedoel ik niet alleen op ICT-gebaseerde) waar wij vaak blindelings op vertrouwen. Ik ga me pas zorgen maken als er een serieuze business case voor een specifieke aanval kan worden bedacht, en die zie ik niet zo in dit geval.

Overigens overtreedt je, bij mijn weten, in Nederland de wet door vervalste AIS informatie uit te zenden; je hebt niet voor niets een zendvergunning nodig om op de voor AIS gereserveerde VHF kanalen te mogen zenden. En zodra je zendt ben je te peilen, en dus te vinden.

Aanvulling 2013-10-16: deze reactie is volledig op persoonlijke titel.

Dat is ook al eens gebeurd. Dat eerste is overigens gevaarlijker dan het tweede. Iedere schipper weet (nuja, hoort te weten) dat alles stuk kan en zal gaan, en dus is het wel handig nog met kompas en sextant overweg te kunnen. Maar ondertussen moet je AIS gebruiken, en dus zal het wel goed zijn, nietwaar?

Zodra een systeem lijkt te werken maar eigenlijk de grootste onzin staat te verkondigen, zijn de rapen pas echt gaar.

De gemiddelde schipper is geen informatieexpert, en dat'ie dan dus gedwongen wordt te gaan gokken wanneer een systeem staat te liegen of wanneer het de waarheid verkondigt is een bijzonder wrede en gemene manier om je werk als systeemontwerper slecht te doen. Het kan beter, maar dat was dan weer te moeilijk. De gevolgen zijn voor de gebruiker, wiens leven het kan kosten. Dat het systeem uitdrukkelijk als ondersteuning wordt neergezet is dan niet meer dan arse covering voor broddelwerk.


Je gaat volledig voorbij aan het probleem van lekken van evident misbruikbare informatie in ruil waarvoor je veel minder blijkt te kopen dan dat "iedereen" denkt dat het oplevert. Schippers is dat hier niet direct aan te rekenen, die hebben geen keuze. Want het zijn de overheden die dit soort slecht inelkaar bedachte geintjes verplicht stellen. En hun handelen laat zien dat hun oogjes best eens geopend mogen worden, dat doen ze niet zelf.

Niet dat dit niet sensationalistisch is, dat is het wel. En dat is een langlopend probleem in de beveiligingsindustrie, net als symptoombestrijding en gedoe met hoedjes en verder weinig echt nieuws kunnen brengen. Maar let wel, hun publiek is ook niet in staat verder te kijken dan hun neus lang is.

Dat kale feit is geen excuus, en het noemen helpt ook al niet met problemen oplossen.

Dus er moeten eerst doden vallen voordat jij serieus gaat nadenken over hoe dat toch zou komen? Ben ik even blij dat jij geen bestuurder bent. Het probleem is wel dat de mensen die dat wel zijn, ook al niet vooruit kunnen kijken.

De problemen met zulk gebrek aan vooruitzien zijn niet eens de directe gevolgen, maar wel dat lang nadat het stilletjes en goedkoop opgelost had kunnen worden het wachten is tot de bestaande systemen ineens spectaculair hopeloos brak blijken en dan tegen onnodige extra kosten vervangen moeten worden, wat jaren duurt, en dan vanwege de haast door nog meer broddelwerk vervangen worden, wat later nog eens voor vuurwerk kan, en vrijwel zeker zal zorgen. Beter gelijk goed nadenken. Maar dat gebeurt dus niet. En dat terwijl de techniek er best wel is.

De wet zal ons dus wel beschermen? En je denkt niet dat deze instelling niet een klein beetje naief is?

Dan ben je in goed gezelschap.

Een normale AIS ontvanger-zender is een stand-alone unit die niet in verbinding staat met internet!

Het is een betrekkelijk eenvoudige VHF zender die gegevens van de GPS en voorgeprogrammeerde gegevens meezendt. Dat voorprogrammeren gebeurd aan boord.

Dus ik ben wel benieuwd wat ze nu precies gehacked hebben.

Een track en trace volgsysteem is iets heel anders dan een AIS systeem.
En monitoring aan boord van AIS-signalen (=scheepsposities+gegevens) gaat ook rechstreeks via de VHF en niet indirect via terugkoppeling vanaf de wal van centraal verzamelde gegevens. (aan van boord van zeeschepen wordt bv marinetraffic.com niet gebruikt)

Dat track en trace en AIS allebei GPS gegevens gebruiken