Gluren bij de buren: de IP-camera als beveiligingsrisico
Het lijkt wel het scenario van een slechte science fiction-film, maar het is ondertussen al harde realiteit: hackers die zich toegang weten te verschaffen tot de beelden van IP-camera’s en die, vanuit hun luie zetel, rustig alles kunnen bekijken wat die camera’s capteren. De camera’s kunnen bovendien ook een toegangspunt vormen waarlangs de cyberboeven diep in de computernetwerken van bedrijven en organisaties kunnen doordringen. De Britse geheime dienst MI6 noemde het probleem eind vorig jaar nog zelfs een “bedreiging voor de nationale veiligheid”, nadat bekend werd dat een van de grootste leveranciers van CCTV-materiaal in het V.K., een Chinees bedrijf is met banden tot in de hoogste regeringskringen. De camera’s staan geïnstalleerd in onder meer luchthavens, overheidsgebouwen en de Londense metro.
Ook bij particulieren zijn er al heel wat gevallen aan het licht gekomen waarbij het een fluitje van een cent was om, via een beveiligingscamera, mee te kijken in de babykamer of de slaapkamer van de ouders. Vaak zijn niet alleen de beelden te bekijken, maar kunnen de camera’s ook van op afstand bediend worden, of zelfs uitgeschakeld. De Russische site Insecam.org verzamelt honderden van die videostreams van onbeveiligde camera’s, zodat ze voor de hele wereld te aanschouwen zijn. Op de beelden zijn nietsvermoedende mensen te zien in huizen, winkels en restaurants die zich er niet van bewust zijn dat het hele internet hen kan bekijken.
Afpersing en chantage
Het is ontegensprekelijk een feit dat video streams van veiligheidscamera’s een zeer interessant doelwit vormen voor cybercriminelen. Met de beelden kunnen mensen in de gaten gehouden worden en kunnen hun gewoontes en patronen worden bestudeerd, de beelden kunnen eventueel gebruikt worden voor afpersing en chantage, uit puur vandalisme kan men de camera’s uitschakelen, men kan bijvoorbeeld productiesites bespioneren,…er zijn heel wat lucratieve scenario’s te bedenken.
Om je adequaat tegen dit soort praktijken te beschermen, is het belangrijk dat IP-camera’s voldoende aandacht krijgen in de IT-veiligheids-policy die elk bedrijf (hopelijk) heeft opgesteld. Net zoals als alle andere netwerkapparaten, clients en servers maken de camera’s deel uit van het bedrijfsnetwerk en moeten ze ook op die manier beschermd worden. De meeste digitale inbraken kunnen alleen maar gebeuren door menselijk falen, nalatigheid, een slechte configuratie en/of gebrekkig onderhoud. Die bescherming begint dus al bij de keuze van de juiste, betrouwbare fabrikant, de kunde van de installateur en de kennis van de werknemers die er mee om moet gaan.
Zo is bijvoorbeeld belangrijk dat de apparaten uitgerold en geïnstalleerd worden op een veilige manier. Als bepaalde services niet gebruikt worden, zoals bijvoorbeeld FTP (file transfer protocol), dan is het zeker raadzaam om die meteen ook uit te schakelen. Via FTP kan een hacker zonder veel problemen kwaadaardige code en scripts in een netwerk injecteren om zo de controle over te nemen. Ook niet-technische zaken moeten hier in overweging genomen worden. Bij het plaatsen van de camera is het bijvoorbeeld niet alleen belangrijk dat de juiste beeldhoek op het scherm komt, maar ook dat de camera hoog genoeg hangt om hem niet te kunnen beschadigen.
Het is ook absoluut noodzakelijk dat alle apparatuur in het netwerk, inclusief camera’s, servers, printers en werkstations van de laatste firmware voorzien worden. Heel vaak voorziet die firmware immers in oplossingen voor recent ontdekte beveiligingsgaten. Dat is meteen ook de reden waarom een onderhoudsplan en -cyclus zo belangrijk is: alleen zo weten bedrijven nog welke apparaten nog niet geüpdatet zijn.
Als je de camera hebt uitgepakt en van de laatste firmware heeft voorzien, moet je meteen ook het standaardwachtwoord veranderen. Die standaardwachtwoorden zijn voor bijna alle fabrikanten immers probleemloos te achterhalen met een simpele zoekactie op Google. Zo maakt u het de hackers dus wel héél gemakkelijk. Kies daarbij natuurlijk ook een wachtwoord dat niet makkelijk te raden valt. Uw geboortedatum, de naam van uw hond, of nog erger, “123456” of “wachtwoord” zijn uiteraard totaal uit den boze. Verander deze wachtwoorden ook regelmatig.
Netwerk
Natuurlijk is een netwerk ook maar zo veilig als zijn zwakste schakel. Zorg daarom dat de juiste firewalls zijn geïnstalleerd en correct werken en gebruik steeds beveiligde connecties (http digest authentication en HTTPS). Op die manier bent u zeker dat alle informatie die over het netwerk loopt versleuteld is.
Tot slot is het ook aangeraden om duidelijke verantwoordelijkheden en “ownerships” bij de werknemers te leggen. In veel organisaties gaat het fout met cyberveiligheid omdat het niet duidelijk is welke mensen nu precies welke toegangsrechten hebben. Probeer daarbij te werken volgens het principe van “least privileged accounts”. Dat betekent dat werknemers enkel toegang krijgen tot die infrastructuur die strikt noodzakelijk is voor hun job. Specifiek bij het gebruik van IP-camera’s is het ook raadzaam om geen enkel apparaat rechtstreekse toegang tot de camera’s te geven, tenzij echt noodzakelijk. Gebruik beter een tussenstation als een Video Management Systeem of een media proxy.
Edwin Roobol is Regional Director Middle Europe bij Axis Communications.