Als je dacht dat de beveiliging van Internet of Things een bijkomstigheid was. Kijk dan naar de beelden die je makkelijk via internet kan bekijken. Het privacy- en security-aspect rond al die verbonden toestellen is een aandachtspunt, alleen wordt het nog vaak onderschat.
Google voor camera’s
Ken je Shodan? Dat is een soort van Google, maar dan voor Internet of Things. Niet naar websites dus, maar naar objecten die via internet zijn verbonden. Een tijdje geleden lanceerde Shodan een nieuwigheidje: een sectie waar internetgebruikers via hun browser makkelijk kunnen surfen naar onbeschermde webcams.
Vijf minuten zoeken en je beseft eens te meer dat er een ernstig probleem is. Er zijn talloze camera’s en vele daarvan zijn compleet onbeveiligd en toegankelijk via internet. De zoekresultaten via Shodan gaat alle kanten uit. Van marihuanaplantages, keukens van restaurants en zwembaden tot garages, winkels en kinderdagverblijven.
De collega’s van Arstechnica deden een kleine zoektocht. Zij toonden beelden van wat er via internet te bekijken valt. Eén beeld zegt meer dan duizend woorden, en dat is bij onbeveiligde webcamera’s zeker het geval. Van foto’s van slapende boorlingen, kinderen in een klaslokaal tot mensen in huis. Ik kon wel vermoeden dat er een en ander beschikbaar was, maar wist niet dat het zo erg was. En veel.
Sharon Stone
Het deed me een beetje denken aan het bekende Insecam-project, de zogenaamde ‘World online live cameras directory’. Ongeveer vijftienduizend onbeveiligde bewakingscamera’s op één website. Toen ik de website naar aanleiding van deze column even bezocht, moest ik denken aan film Sliver uit de jaren negentig, waar Sharon Stone door een snode huisbaas wordt begluurd via een netwerk van verborgen camera’s.
Op Insecam zie je bijvoorbeeld een volle wachtzaal van een bank in Brussel, magazijnen in Oudenaarde, een kantoor in Ternat en een voortuin in Mechelen. Maar vaak ook camera’s binnenshuis. En de meeste mensen zijn zich totaal niet bewust dat ze bekeken worden.
Shodan doet het dan nog iets grondiger. Het speurt het Web af naar ip-adressen met zogenaamde open ports. Als bij die poort enige vorm van authenticatie ontbreekt, wat vaak het geval is, en een video feed streamt, dan wordt die geregistreerd. De feed is in principe betalend, al voorziet de dienst ook gratis accounts.
Privacy geen verkoopsargument
Hoewel de implicaties op het vlak van privacy me duidelijk lijken, toont de image feed van Shodan volgens mij nog iets anders aan: de rampzalige staat op het vlak van beveiliging waar internet of things (IoT) zich vandaag in bevindt.
Security volgt de weg van de minste weerstand, en dan komen ook al deze toestellen onder de aandacht. Je kan je pc’s en servers zo goed als mogelijk beveiligen, maar gebeurt dit ook met al die andere apparaten? Al die onbeveiligde toestellen maken internet ook gewoon meer kwetsbaar.
Uiteraard zijn onbeveiligde camera’s niet nieuw. Maar het zijn er meer en meer. De drempel ligt ook ontzettend laag. Webcamera’s zijn spotgoedkoop geworden en fabrikanten zitten in een hevige concurrentiestrijd. Maar privacy blijkt geen verkoopargument. Meer zelfs: onlangs nog veroordeelde de Amerikaanse Federal Trade Commission fabrikant Trendnet voor het ‘blootstellen van het private leven van honderden consumenten op het publieke internet.’
Werkvloer
Er is meer aan de hand dan live beelden uit kindercrèches en magazijnen. Het gaat niet enkel om camera’s, maar om allerhande toestellen, die rechtstreeks verbonden zijn en vaak erg vertrouwelijke informatie delen. Vaak gaat het om cruciale onderdelen van onze infrastructuur. En heel dikwijls ook om zakelijke toepassingen.
En natuurlijk ook wel om privacy, ook op de werkvloer. Op een jaar tijd werden in ons land 7 procent meer camera’s geregistreerd in bedrijven, alleen maar om het eigen personeel in de gaten te houden. Ik wil niet weten hoeveel daarvan niet beveiligd zijn. Via Shodan kom je dat wel te weten.
Dit is al jaren lang bekend. Shodan kan je bijvoorbeeld ook gebruiken om vele typen onbeveiligde routers te vinden en zelfs business software rechtstreeks verbonden met het internet. Overigens, via wat Google search operators kom je ook al een heel eind.