Computernetwerken liggen vrijwel constant onder vuur. Toch is maar een klein deel van die aanvallen succesvol. De meerderheid van de cyberaanvallen is opportunistisch en niet gericht op een specifiek doelwit. Hackers prikken en voelen hier en daar in de hoop op een open netwerkpoort te stuiten. Proberen voor de hand liggende wachtwoorden uit, zoeken naar ongepatchte netwerkdiensten en versturen phishing-e-mails. Aanvallers besteden geen tijd aan aanvallen die nauwelijks kans van slagen hebben en kijken liever uit naar het volgende, potentiële slachtoffer.
Als je deze werkwijze vergelijkt met die van een autodief die langs geparkeerde auto’s loopt en net zo lang aan portieren trekt totdat er ééntje openspringt, dan is het eigenlijk heel eenvoudig om je tegen opportunistische aanvallen te beschermen. Je hoeft slechts enkele basale beveiligingsregels uit te voeren, waarbij de belangrijkste is: doe je auto op slot.
In een digitale wereld betekent dit dat je een router moet hebben met een ingebouwde firewall, geen eenvoudige wachtwoorden gebruikt en je besturingssysteem en software up-to-date houdt. Andere tips die we de afgelopen tien, twintig jaar uitentreuren hebben gehoord: open geen e-mail-attachments van onbekenden, installeer wel anti-malware, installeer juist geen software van onbetrouwbare sites en steek usb-sticks die je op straat vindt niet in je pc.
Ik werk voor een bedrijf dat netwerkcamera’s maakt en daarom wil ik cybersecurity van die kant belichten. Wat zijn de risico’s als je een ip-camera installeert?
Camera’s staan niet bloot aan dezelfde dreigingen als pc’s. Op een camera loggen geen gebruikers in, wordt geen software geïnstalleerd, ze bezoeken geen websites en openen geen e-mails. Toch bieden steeds meer camera’s diensten die aanvallers graag inzetten. De explosie van Internet of Things heeft geleid tot een groot aantal slecht beveiligde apparaten, inclusief camera’s, die allemaal aan internet hangen en een eenvoudig doelwit zijn voor hackers.
Daarom een aantal eenvoudige aanbevelingen die de kans om doelwit te worden van opportunistische hackers sterk reduceert.
Onnodige risico’s
Basisregel: koppel alleen iets aan internet als het nodig is. Als dat inderdaad het geval is, weet dan dat het apparaat eerst goed beveiligd moet zijn voordat het online gaat.
De uitdaging met een netwerkcamera is dat klanten hem graag van afstand willen kunnen benaderen. Ip-camera’s hebben een webserver en de videobeelden zijn vaak eenvoudig te bekijken via een webbrowser of een speciale app. Het lijkt een goed idee om een gat te prikken in de router/firewall (port forwarding) en een browser als primaire video-client te gebruiken, maar het brengt onnodige risico’s met zich mee. Advies: niet doen.
Er zijn namelijk betere en vooral veiligere manieren om toegang tot je video-content te krijgen. Voor bedrijven die niet beschikken over videomanagementsoftware (VMS) zijn er diverse (soms zelf gratis) tools die veilige toegang mogelijk maken voor camera’s zonder dat ze gelijk openstaan voor de rest van internet.
Als je wel beschikt over vms is het in de regel verstandig de aanbevelingen van de leverancier te volgen voor remote-toegang tot jouw video-content. Wanneer jouw videobeelden publiekelijk gestreamd worden op het web, dan is het aan te raden een mediaproxy te gebruiken met een degelijk geconfigureerde internetwebserver. Als het gaat om meerdere fysieke locaties, dan kun je het best gebruikmaken van een virtual private network (VPN).
Moeilijk te raden wachtwoorden
Net als bij de meeste andere apparaten die aan internet hangen, is het invoeren van een wachtwoord ook bij camera’s de eerste beveiligingsmaatregel tegen ongeautoriseerde toegang tot data en services. De meningen over wat een sterk wachtwoord is, lopen nogal uiteen. De algemene opvatting is dat je minimaal acht karakters gebruikt met een mix van hoofd- en kleine letters, cijfers en speciale karakters. Een ‘lompe login-aanval’ houdt niet zo van dergelijke wachtwoorden omdat het in theorie duizenden jaren kost om binnen te komen. In een vms-omgeving is authenticatie primair een machine-to-machine-proces omdat gebruikers zelf geen verbinding maken met de camera’s. Het toevoegen van login failure delay in een vms-omgeving is risicovol; je kunt jezelf immers onbedoeld buitensluiten.
In kleinere organisaties maken clients vaak direct connectie met de camera (human to machine-authenticatie). Daarom adviseer ik het gebruik van moeilijk te raden, maar eenvoudig te onthouden wachtwoorden. Gebruik bijvoorbeeld lange wachtwoordzinnen zoals: ‘Dit is het wachtwoord van mijn camera’. En ja, spaties tellen ook gewoon mee. Maar hoe je het ook aanpakt, gebruik nooit – ik herhaal nooit – het standaardwachtwoord waarmee de camera wordt geleverd.
Nog een tip voor bij de keuze van de cameraleverancier: verifieer wat de strategie is van de fabrikant omtrent wachtwoordmanagement. De ervaring leert dat dit verschilt per leverancier. Er zijn zelfs fabrikanten die een lijst op het web zetten van wachtwoorden die hard gecodeerd zijn in de camera: een extreem groot risico.
Patch je firmware en software
Software die is gemaakt door mensen is (voorlopig in elk geval) feilbaar. Daarom worden er met enige regelmaat kwetsbaarheden ontdekt en dat zal ook wel zo blijven, ondanks dat we ons best doen om die te tackelen voordat de software live gaat.
De meeste zwakheden zijn niet kritiek, sommige wel. Zorg er daarom voor dat je software en firmware up-to-date zijn. Wanneer een kritieke kwetsbaarheid is ontdekt, is de kans reëel dat een kwaadwillende het lek misbruikt omdat het rendabel zou kunnen zijn. Als een aanvaller toegang heeft tot een ongepatchte netwerkdienst kan het heel goed dat hij er financieel op vooruit gaat. Reden genoeg om die mogelijkheid weg te strepen.
Gerichte aanvallen
Veel grote bedrijven en nutsbedrijven krijgen niet alleen te maken met opportunistische, maar ook met gerichte aanvallen (advanced persistent threats). Deze maken ook gebruik van de eerder genoemde, goedkope technieken, met dat verschil dat een gerichte aanvaller meer tijd heeft en neemt, beschikt over geld en tools en vastberadenheid is omdat er veel te halen valt.
Om te bepalen welke security-maatregelen genomen moeten worden, is het belangrijk eerst de risico’s in kaart te brengen middels bestaande modellen en ze grondig te analyseren. Over hoe je dat doet, vertel ik in een volgende bijdrage.
Edwin Roobol, director Middle Europe van Axis Communications
Hier ben ik het helemaal mee eens. Het advies om apparaten aan Internet te koppelen moet afgeraden worden. In ieder geval moet men hiervoor gewaarschuwd worden welke kwetsbaarheden hier aan verbonden zijn.
De infrastructurele kant van de routers kunnen hierin ook verbeterd worden. Dat zie je aan het feit dat apparaten als hardwarematige firewalls en de Bit Defender Box het internetwerkverkeer extra controleren en de IoT-apparaten extra beveiligen.
De functionaliteit van internetrouters moet zodanig uitgebreid worden dat het mogelijk moet worden om een een fijnmazige filtering van inkomend en uitgaand netwerkverkeer te regelen. Hoe beter de security in de eerste lagen van het ISO-model is afgedekt hoe beter. Misschien wordt het zelfs tijd voor een nieuw ISO-model met een dedicated security layer.
Aanvulling, veel camera’s zijn draadloos verbonden met een eigen netwerk en / of met het internet. Die camera’s moeten extra goed beveiligd worden. Immers, van die beelden maken inbrekers vaak gebruik. Banken en groothandelsbedrijven zijn overvallen / bestolen met behulp van de eigen bewakingscamera’s. Daarnaast speelt ook het privacy-aspect een belangrijke rol.
Verder moet gezegd worden dat veel bewakingscamera’s geen goed beeld kunnen geven en vaak ook slecht gepositioneerd zijn, er geen juiste verlichting is, enz., zodat ze weinig tot geen nut hebben. Ook zijn de opgeslagen camerabeelden vaak slecht fysiek beveiligd. De overvaller / inbreker loopt zo met de hardware en dus het bewijsmateriaal weg.
Heb je de camera’s nodig, maar heb je geen tijd om je in de problematiek te verdiepen, huur dan een professioneel bedrijf in.
Als men iedereen het advies gaat geven om lange wachtwoorden zonder cijfers of leestekens te gaan gebruiken, maakt men het de crackers wel erg makkelijk. Als men 1 spatie met een random cijfer zou vervangen en een andere spatie met een random leesteken is de situatie gelijk gigantisch veranderd.