Beveiligingscamera’s makkelijk te hacken

Hadden we het gisteren nog over het cameraplan dat verplicht gesteld wordt voor kleine bedrijven als ze aanspraak willen maken op subsidie voor beveiligingsmaatregelen dan gaan we vandaag nog even door op het hacken van beveiligingscamera’s.

Organisaties laten veelal na hun bewakingscamera’s te beveiligen. Daardoor is het voor mensen met kwade bedoelingen vaak heel eenvoudig om de besturing over te nemen of beelden op te vragen
(bron).

Voordat je denkt dat de beveiligingscamera’s met allerlei zware, ingewikkelde, technische tools aangevallen worden, zetten we je gelijk weer met beide benen op de aarde.

In 70 procent van de gevallen laten de kopers van dergelijke bewakingscamera’s na om de standaard inlognamen en wachtwoorden te veranderen. Terwijl de camera’s in kwestie in de configuratie waarin ze geleverd worden, wel op afstand te bedienen zijn.

Of je het hacken wilt noemen of dat je deze term vloeken in de kerk vindt, doet niet terzake. Het gaat er natuurlijk om hoe simpel het is om op dergelijke camera’s in te loggen. Ook dit is niet nieuw natuurlijk want dat bestond met de eerste netwerkcamera’s ook al. En voordat we camera’s aan het netwerk gingen hangen was het risico ook al aanwezig in modems en routers.

Weet je nog? Je kreeg je eerste ADSL-router. Plug-and-Play. Makkelijker kon niet. Uit de doos, kabel erin, activeren en na een paar minuten begonnen de lampjes te branden en kon jij razendsnel internetten. Met een draadloze router werd het allemaal nog makkelijker en kon je gewoon met je laptop op schoot vanaf de bank het hele internet onveilig maken.

Na een paar jaar kwam er ineens WEP (jij had geen flauw idee waar het voor stond, maar met 1 vinkje was ook jouw verbinding beveiligd). Later moest je over op WPA omdat WEP blijkbaar niet zo veilig meer was. Jij een ander vinkje aangezet en veilig was je weer. Nou ja, zo kunnen we nog wel even doorgaan.

Maar het feit dat er nu meer draadloze verbindingen beveiligd zijn, komt niet zozeer omdat de gebruikers zich bewust zijn geworden van de risico’s. Nee, het komt omdat de fabrikanten een trucje bedachten waardoor jij je standaard wachtwoord moest wijzigen en waarbij er automatisch een beveiligde verbinding werd opgezet. Jaren geleden heb ik al eens gekeken in mijn eigen omgeving en stonden er nog vele verbindingen open. Waarschijnlijk heeft iedereen in mijn omgeving inmiddels een nieuwe router, want alle verbindingen zijn nu wel voorzien van een slotje.

Nu kunnen we proberen om de bedrijven die de camera’s aanschaffen duidelijk te maken dat ze wachtwoorden moeten wijzigen maar dat gaat toch niet lukken. Nee, als de fabrikanten hetzelfde trucje toe gaan passen als ze bij routers hebben gedaan dan zijn de camera’s over een aantal jaren ook allemaal net iets beter beveiligd.

Tot die tijd moet het cameraplan (zie gisteren) ons dan maar beveiligen en dat dat een wassen neus is weten we allemaal maar een veel beter alternatief zien we helaas nog niet.

Man steelt naaktfoto’s uit gekraakte e-mailaccounts

Een Amerikaanse man heeft de e-mailaccounts van honderden vrouwen gekraakt opzoek naar naaktfoto’s…Van december 2009 tot september 2010 verschafte Bronk zichzelf toegang tot de e-mailaccounts van de vrouwen door de geheime vraag juist te beantwoorden. Op de Facebook pagina’s van zijn slachtoffers zocht hij naar informatie en hun e-mailadres. Vervolgens benaderde hij de e-mailprovider van het slachtoffer en deed zich als klant voor die zijn wachtwoord kwijt was. Bronk wist in veel gevallen de geheime vraag van de provider te beantwoorden met de informatie van de Facebook pagina’s (bron).

Met deze titel heb ik waarschijnlijk direct je aandacht, toch? Nou, oké, hartstikke goed maar het gaat me niet zozeer om de naaktfoto’s die de man stal (sensatiezoekerij natuurlijk) want dat is al erg genoeg. Nee, het gaat er hier om dat hij dus eenvoudig in staat is geweest om de geheime vraag van de accounthouders te kunnen beantwoorden.

Er is meer en meer informatie over ons op internet te vinden. Met een paar klikken kan ik al een aardig profiel van je opbouwen. En nee, we hoeven niet als kluizenaar in de anonimiteit te blijven, maar we moeten ons wel bewust zijn van de informatie die we achter laten.

Wees eens eerlijk, wanneer heb jij jezelf voor het laatst geGoogled? Wanneer heb jij je profiel gecheckt met www.wieowie.nl? Nog nooit? Oh, dan zou ik dat maar eens snel doen en ga dan ook even na hoe eenvoudig die geheime vraag van jou te beantwoorden is.

Een geheime vraag als: wat was de eerste school waar je op hebt gezeten is via Schoolbank makkelijk te achterhalen. De meisjesnaam van je moeder moet ook niet al te ingewikkeld zijn en de foto’s en naam van je lievelingsdier zijn waarschijnlijk ook wel op Hyves te vinden.

De geheime vraag mag dan geheim zijn, maar het antwoord is dat in veel gevallen niet. Het wordt tijd dat er toch eens wat mensen opstaan die serieus nagaan denken over nieuwe en vooral veilige internettoegang. Inlogaccount, wachtwoord en geheime vraag zijn blijkbaar niet voldoende meer, op naar een nieuwe oplossing en wie hem weet mag hem zeggen.

Wachtwoorden veiliger op papier dan op PC

Het is veiliger om wachtwoorden op papier te bewaren dan op een computer, dat zegt beveiligingsexpert Gunter Ollmann. In het verleden werd vaak gewaarschuwd om wachtwoorden juist niet op te schrijven, maar steeds meer kenners komen daar op terug…Volgens Ollmann hebben gebruikers zowel op werk als thuis tientallen wachtwoorden die ze moeten onthouden. “Voordat je het weet zit je tot over je oren in de wachtwoorden.” Nu zijn er wel allerlei tools om wachtwoorden te bewaren en bieden de meeste browsers dit standaard aan. “Het probleem is dat cybercriminelen betere tools hebben”, merkt Ollmann op (bron).

Je ziet hier dat het succes van een bepaalde beveiligingsmaatregel voorbij is gestreefd door de praktijk. Een wachtwoord op zich kan best veilig zijn, maar het probleem is dat je het met één wachtwoord niet meer redt tegenwoordig. Zoveel systemen, zoveel wachtwoorden. Natuurlijk is het niet veilig om je wachtwoord op te schrijven maar het is in ieder geval veiliger dan je wachtwoorden op je computer te bewaren, dat kan best zo zijn. Het veiligst is natuurlijk om je wachtwoord(en) te onthouden en nergens te noteren, niet op papier en niet op je computer, maar dat is een ondoenlijke zaak tegenwoordig omdat je zoveel verschillende wachtwoorden moet onthouden.

Ga eens na, hoeveel systemen kun jij binnen een minuut bedenken waar je een ander wachtwoord voor nodig hebt? Ik kan er zoal een stuk of 15 tot 20 bedenken die ik allemaal probeer te onthouden en dan weet ik zeker dat ik er nog eens zo’n 15 tot 20 vergeten ben (en nee, ik schrijf ze nog steeds nergens op, het gaat me nog redelijk af). Voor de één moet ik 4 cijfers onthouden (pincode, telefoon, etc.) terwijl ik voor de ander 6 karakters moet onthouden (Windows, websystemen, etc.) en de volgende vereist 8 karakters waarvan 2 cijfers en 2 symbolen (websites, email, etc.).

Uiteraard proberen we er een soort logica in te bedenken voor onszelf zodat we het kunnen onthouden, probleem daarbij is dat alle systemen op andere momenten vragen om een nieuw wachtwoord waardoor het niet meer synchroon loopt en je haast wel gedwongen wordt om het op te schrijven.

Natuurlijk kun je onderscheid maken in privé gebruik en zakelijk gebruik maar het is van de gekken dat je voor zakelijk gebruik alleen al 10 wachtwoorden moet onthouden en dat alleen maar om in te loggen (dan heb je dus nog geen werk verzet). Er zijn allerlei systemen om het te vereenvoudigen maar die worden als snel te duur bevonden. Er wordt altijd gevraagd naar de terugverdientijd van een bepaalde maatregel en hoewel die niet voor alle beveiligingsmaatregelen even eenvoudig te berekenen is, is die voor een goed inlog-systeem wel te bepalen.

Bedenk eens hoe vaak je de helpdesk hebt moeten bellen voor een wachtwoord reset? Dat kost de medewerker van de helpdesk veel tijd maar jij kunt ook niet aan je werk beginnen. Daar kun je best gemiddelden tegenaan gooien, qua tijd en gemiddeld uurloon. Ik denk dat je verbaasd zult staan over de korte terugverdientijd van een goed (en veilig) inlog systeem.

Oh, wacht, Windows vraagt om mijn wachtwoord te updaten…