April 2018
Laat niet iedereen meegluren
Installateur moeten gevaren hacken onderkennen
Dankzij internet wordt de communicatie met camera- en domotica-systemen steeds eenvoudiger. Met het gemak van de ict-wereld komen helaas ook de minder mooie kanten van internet de installatiewereld binnen: cybercriminaliteit. Want alles wat een bewoner via zijn smartphone of digitale assistent kan bekijken, aansturen en vastleggen, kan een hacker in principe ook.
Een zoekopdracht in IoT-zoekmachine Shodan levert al snel een lijst op met onbeveiligde camera’s en op internet worden ook al scripts aangeboden om geheel geautomatiseerd misbruik te kunnen maken van die zwakheden in de beveiliging. Voor je het weet wordt een zorgvuldig aangelegd systeem gekidnapt of gebruikt als botnet voor een distributed denial of service (DDOS)-aanval. Behalve dat de veiligheid en privacy van klanten op het spel staat, is zo’n aanval ook zeer schadelijk voor de reputatie van een installateur. Wees hackers dan ook voor en maak het ze niet té gemakkelijk.
Sluit de poorten
Hoewel een gemiddeld domotica-systeem niet zo snel gebruik zal maken van een highend camera zoals die van Mobotix, zou de veiligheidsfilosofie die het bedrijf hanteert de rest wel moeten inspireren. Volgens Luc Verbeurgt, technical project engineer bij Mobotix, begint veiligheid dan ook bij een doordacht ontwerp. ‘Om te beginnen moet je het aantal fysieke toegangen zo beperkt mogelijk houden. Een Mobotix-camera heeft dan ook maar één http-poort voor alle communicatie. Daarmee beperk je de functionaliteit van de camera niet, omdat je via application interfaces gewoon instructies kunt geven, maar je zorgt er wel voor dat er per ongeluk geen poorten blijven openstaan.’
‘De enige uitzondering van die één poort-gedachte is overigens een extra poort voor onvif-camera’s, omdat die standaard nu eenmaal niet via een http-API is aan te sluiten. Veel klanten willen compatibiliteit met onvif-camera’s, maar moeten daarbij wel beseffen dat die manier van werken tot minder beveiligde systemen leidt. Uiteraard zorgen wij ervoor dat deze extra poort ook goed beveiligd is, maar wees gewaarschuwd.’
De eerste stap is de fabrieksinstellingen wijzigen en het password aanpassen, een sterk wachtwoord, wel te verstaan
Geen achterdeurtjes
Vanzelfsprekend begint IP-beveiliging bij een goed password. Een aantal goedkopere camera’s van Chinese makelij staat nu negatief in het nieuws, omdat ze voorzien zijn van eenvoudige default wachtwoorden die ook nog eens niet te veranderen zijn. Verbeurgt: ‘De eerste stap die een installateur moet zetten, is de fabrieksinstellingen wijzigen en het password aanpassen, een sterk wachtwoord, wel te verstaan. Bij de betere camera’s, ook die van ons, kan je niet verder gaan voordat je het wachtwoord hebt aangepast. En ben je die kwijt, dan zal je de camera terug naar de fabriek moeten sturen om hem te laten resetten. Want ook achterdeurtjes, het op afstand resetten van de camera of digitale sleutels om toegang tot de camera te verlenen, vormen zwakheden in de beveiliging.’
Misschien nog wel de meest belangrijke tip die Verbeurgt wil meegeven, is dat installateurs niet op de stoel van de ict moeten gaan zitten. ‘Zodra de camera het netwerk betreedt, gelden de regels van de ict. Je kunt binnen dat domein veel doen met VPN en fire-walls om meekijken te voorkomen, maar dat is niet het domein waar de gemiddelde installateur veel verstand van heeft. Werk samen met de IT-afdeling van de klant en laat ook het wachtwoordbeheer aan hen – of liever nog de klant zelf – over.’
Zodra de camera het netwerk betreedt, gelden de regels van de ict, waar met zaken als VPN en firewalls, meekijken kan worden voorkomen
Portaalserver
KNX-specialist William Haverhals ziet dat consumenten vaak makkelijk met beveiliging omgaan. ‘Wij leveren onze klanten graag een gebruiksvriendelijke, maar ook veilige huisautomatisering en camerabeveiliging. De camera’s die wij installeren kunnen we bijvoorbeeld niet in gebruik nemen zonder de wachtwoorden aan te passen. Hetzelfde geldt voor de recorders die de camerabeelden opnemen. Ook die zal je van een uniek en lastig te achterhalen wachtwoord moeten voorzien. Wij beheren die wachtwoorden voor onze klanten, dus hebben we ook interne protocollen opgesteld om die gegevens te beschermen.’ De poortselectie is volgens Haverhals ook nog wel een manier om het hackers iets lastiger te maken. ‘Gebruik niet de standaard-poort 80 als http-poort, maar liever een custom-poort.’ Haverhals: ‘Ook onze klanten willen graag hun camera op afstand kunnen uitlezen of via een app de zonwering of het klimaatsysteem bedienen. Om te voorkomen dat de buren kunnen meekijken, maken we daarvoor gebruik van producten van onder andere Theben en Gira. De toegang tot de systemen verloopt met die producten niet direct, maar via een beveiligde portaalserver die selecteert op fysiek apparaat-ID voor de toegang en die gebruikt maakt van VPN-verbindingen. De Gira S1 verstuurt bovendien alleen versleutelde berichten, zodat derden niet kunnen meekijken. Klanten betalen een jaarlijkse vergoeding voor het gebruik van deze beveiligde systemen, maar daarmee weten ze wel dat ze actief worden beveiligd.’ <
‘U bent te zwaar’
Dat camera’s worden gehackt, blijkt wel weer uit een voorbeeld uit Brussel. Een grote installateur liet de fabriekswachtwoorden staan van een dertigtal camera’s die op twee locaties stonden. Een hacker stortte zich op de camera’s en deed drie dingen. Allereerst paste hij de wachtwoorden aan, zodat niemand er meer bij kon. Hij plaatste vervolgens een digitale over-lay op de beeldschermen van de camera’s met een doodskop. En meest gênant was wellicht dat zodra de in liften geïnstalleerde camera’s werden geactiveerd, een audioboodschap in het Frans meldde dat de persoon te zwaar was en de trap diende te gebruiken. Alle camera’s moesten worden gedemonteerd en teruggestuurd naar de fabrikant. Dit kostte de installateur niet alleen geld, maar ook zijn reputatie.
Tekst: David van Baarle
Fotografie: Industrie