Beveiligingscamera’s makkelijk te hacken

Hadden we het gisteren nog over het cameraplan dat verplicht gesteld wordt voor kleine bedrijven als ze aanspraak willen maken op subsidie voor beveiligingsmaatregelen dan gaan we vandaag nog even door op het hacken van beveiligingscamera’s.

Organisaties laten veelal na hun bewakingscamera’s te beveiligen. Daardoor is het voor mensen met kwade bedoelingen vaak heel eenvoudig om de besturing over te nemen of beelden op te vragen
(bron).

Voordat je denkt dat de beveiligingscamera’s met allerlei zware, ingewikkelde, technische tools aangevallen worden, zetten we je gelijk weer met beide benen op de aarde.

In 70 procent van de gevallen laten de kopers van dergelijke bewakingscamera’s na om de standaard inlognamen en wachtwoorden te veranderen. Terwijl de camera’s in kwestie in de configuratie waarin ze geleverd worden, wel op afstand te bedienen zijn.

Of je het hacken wilt noemen of dat je deze term vloeken in de kerk vindt, doet niet terzake. Het gaat er natuurlijk om hoe simpel het is om op dergelijke camera’s in te loggen. Ook dit is niet nieuw natuurlijk want dat bestond met de eerste netwerkcamera’s ook al. En voordat we camera’s aan het netwerk gingen hangen was het risico ook al aanwezig in modems en routers.

Weet je nog? Je kreeg je eerste ADSL-router. Plug-and-Play. Makkelijker kon niet. Uit de doos, kabel erin, activeren en na een paar minuten begonnen de lampjes te branden en kon jij razendsnel internetten. Met een draadloze router werd het allemaal nog makkelijker en kon je gewoon met je laptop op schoot vanaf de bank het hele internet onveilig maken.

Na een paar jaar kwam er ineens WEP (jij had geen flauw idee waar het voor stond, maar met 1 vinkje was ook jouw verbinding beveiligd). Later moest je over op WPA omdat WEP blijkbaar niet zo veilig meer was. Jij een ander vinkje aangezet en veilig was je weer. Nou ja, zo kunnen we nog wel even doorgaan.

Maar het feit dat er nu meer draadloze verbindingen beveiligd zijn, komt niet zozeer omdat de gebruikers zich bewust zijn geworden van de risico’s. Nee, het komt omdat de fabrikanten een trucje bedachten waardoor jij je standaard wachtwoord moest wijzigen en waarbij er automatisch een beveiligde verbinding werd opgezet. Jaren geleden heb ik al eens gekeken in mijn eigen omgeving en stonden er nog vele verbindingen open. Waarschijnlijk heeft iedereen in mijn omgeving inmiddels een nieuwe router, want alle verbindingen zijn nu wel voorzien van een slotje.

Nu kunnen we proberen om de bedrijven die de camera’s aanschaffen duidelijk te maken dat ze wachtwoorden moeten wijzigen maar dat gaat toch niet lukken. Nee, als de fabrikanten hetzelfde trucje toe gaan passen als ze bij routers hebben gedaan dan zijn de camera’s over een aantal jaren ook allemaal net iets beter beveiligd.

Tot die tijd moet het cameraplan (zie gisteren) ons dan maar beveiligen en dat dat een wassen neus is weten we allemaal maar een veel beter alternatief zien we helaas nog niet.

RTL laat expert 25 webwinkels hacken

Televisiezender RTL heeft een beveiligingsexpert gevraagd om bij 25 webwinkels in te breken, wat onder andere een database met de gegevens van 95.000 klanten opleverde…In totaal werden er bij vijf webwinkels ernstige problemen ontdekt, waardoor het mogelijk was om klantgegevens in te zien, schadelijke software te installeren of wachtwoorden te achterhalen (bron).

Informatiebeveiliging en het hacken van websites krijgt steeds meer aandacht. Op zich goed natuurlijk dat we ons meer en meer bewust worden van de risico’s. Maar nu moeten we met zijn allen ook weer niet doorschieten. Een Televisiezender die opdracht geeft om in te breken. Ik kan me zomaar voorstellen dat hier een strafbaar feit gepleegd wordt en ik ben dan ook benieuwd of hier stappen tegen worden genomen (als ik verantwoordelijk was voor een van de websites dan zou ik in ieder geval een advocaat raadplegen).

Misschien vind je dat ik doorschiet. Maar hoe zou jij het vinden als RTL besluit om uit te zoeken hoe makkelijk het is om bij jou thuis in te breken of hoe makkelijk het is om jouw auto te stelen voor een “joyride”?

De sociale discussie hierbij is natuurlijk wat zwaarder weegt: moet de eigenaar van de website privacy gevoelige gegevens beschermen en overtreedt hij de wet als hij dat onvoldoende doet? Of is en blijft inbreken bij wet verboden en mag niet zomaar iedereen opdracht geven om dergelijke tests uit te voeren? De vraag is natuurlijk of het maatschappelijk belang opweegt en of daar wel sprake van is als een televisiezender dergelijke opdrachten geeft.

Wat mij betreft begeven ze zich op glad ijs en is het eerder in het belang van een leuk nieuwsbericht dan dat ze het opnemen voor het maatschappelijk belang. Als hier geen duidelijke kaders voor komen dan wordt er straks, in opdracht van allerlei media, ingebroken in websites, bedrijfspanden en misschien zelfs bij jou thuis.

Tijdens de feestdagen is de beveiliging tijdelijk niet aanwezig…

Zoals wij natuurlijk weten is beveiliging niet iets wat je aan en uit zet, het is niet iets dat even een weekje met vakantie gaat, het is niet iets dat een pauze kan nemen. Nee, het is iets dat gewoon 24 x 7 moet werken, 365 (of voor 2012 366) dagen per jaar.

Toch zijn er partijen die daar anders over denken. Zo kwam ik op de site van de Radbout Universiteit van Nijmegen het volgende pakkende bericht tegen:

Geen beveiligingscertificaten tussen Kerst en nieuwjaar

Datum bericht: 9 december 2011

In de periode van 21-12-2011 t/m 2-1-2012 zullen aanvragen voor beveiligingscertificaten niet  in behandeling worden genomen.  U kunt uw aanvragen nog wel naar scs-ra@ru.nl toesturen maar ze worden pas na 2 januari 2012 in behandeling genomen. (bron)

Verzoek aan alle studenten is om dus tijdens de kerstvakantie de studie ook maar even te laten voor wat hij is. Vooral niet proberen om certificaten aan te vragen want de beveiliging is even met vakantie. Jammer dat jij hiermee je studiepunten voor 2011 niet meer haalt, maar dan had je maar beter moeten plannen.

Alle potentiële inbrekers verzoeken we ook om tussen 21-12-2011 en 2-1-2012 geen inbraakpogingen te doen. Doet u dat toch dan bent u gewaarschuwd: de beveiliging is niet aanwezig en zal dus geen alarm slaan. Gevolg hiervan is dat u zeer waarschijnlijk toch niet wordt opgepakt en de nacht ook niet in de cel hoeft door te brengen. Het is maar dat u het weet.

Nou, hopelijk had jij ook nog wat verlofuren over zodat je deze week even lekker bij kunt komen. Geniet ervan maar vergeet niet om je taken aan een ander over te dragen als je een kritische beveiligingsfunctie hebt.