Bewakingscamera’s worden al sinds jaar en dag gebruikt bij bedrijven, particulieren en overheid om gebouwen en situaties 24 uur per dag in de gaten te houden. Maar hoe veilig zijn deze camera’s? Kunnen criminelen ‘de kastjes’ naar eigen hand zetten. En zo ja, hoe voorkomen we dit?
Patrick de Brouwer begon in 2005 met het ‘hobbyen’ in security. Vervolgens ging hij in 2010 aan de slag bij de Security Academy, waar hij trainingen op het gebied van hacking ontwikkelde. “Een jaar later ontstond mijn eigen cursus: ‘Ethical Hacking Foundation’, tegenwoordig een van de basistrainingen in Nederland. Bij Northwave B.V. ben ik werkzaam als Ethical Hacker en ‘stroop ik de IT’ af.”
Onwetendheid over veiligheid van camera’s
Bewakingscamera’s kruisen niet vaak het pad van De Brouwer. Hij verklaart: “Het plaatsen van de camera’s gebeurt dikwijls door bedrijven in fysieke beveiliging. Komen we ze wel tegen, dan bevinden de camera’s zich in een netwerk, maar vallen in eerste instantie buiten de scope van de opdracht.
Vaak vraagt de klant ‘slechts’ een x-aantal servers aan te vallen of te onderzoeken, niet om ook de veiligheid van camera’s te bekijken. Dat heeft veelal te maken met onwetendheid: ‘Het gebeurt ons toch niet’. Maar camera’s zijn wél een factor bij een aanval.”
Alles met wifi is niet betrouwbaar
De Brouwer vervolgt: “We kennen camera’s met kabel en camera’s met wifi. Alles met wifi is niet betrouwbaar. Van buitenaf kan een hacker de verbinding met het apparaat verbreken of verstoren. Een wachtwoord is daarvoor niet nodig. Resultaat? Beelden komen niet door en worden niet opgenomen. Of de hacker voorziet de bewaker achter de pc van een totaal ander beeld.”
Wifi is dus niet echt betrouwbaar. Maar waarom kiezen bedrijven dan wel voor deze optie in combinatie met camera’s? “Dat is puur praktisch’, zegt Patrick de Brouwer. “Het scheelt kabels leggen. Overigens, grotere bedrijven zoals banken, hebben het vaak wel beter geregeld. Maar de buurvrouw op de hoek, die een winkel begint, kiest simpelweg voor wifi.”
Wat wel en niet doen?
We gaan wat dieper in op hoe camera’s te hacken en te verstoren zijn. Patrick de Brouwer: “Het is gemakkelijk om via wifi een signaal te verzenden naar een camera met bijvoorbeeld het bericht ‘je bent niet meer verbonden’. Een andere optie voor criminelen is een netwerk te bouwen met dezelfde netwerknaam.
Een sterk wachtwoord voorkomt veel ellende
Gevolg? De camera wordt niet meer met het juiste netwerk verbonden. We spreken dan van een Denial of Service (Dos). In de meeste gevallen zien we echter dat het hacken van camera’s gemakkelijk gemaakt wordt door het niet goed afschermen.
Het wachtwoord is te eenvoudig. Hackers kunnen in het beheersysteem en er zo voor zorgen dat de camera bijvoorbeeld op de muur gericht wordt. Een sterk wacht-woord voorkomt veel ellende. Kies geen persoonlijk wachtwoord of een simpele als ‘welkom’. Wifi maakt het mogelijk een wachtwoord van 63 karakters te gebruiken.”
Een camera aan een kabel lijkt dus veiliger. “Maar dat is niet altijd het geval”, zegt De Brouwer. “Een kabel die los zit – niet goed gemonteerd – is gemakkelijk in te pluggen op de computer van de hacker. Met als gevolg dat alle gegevens binnen het netwerk open en bloot op tafel komen te liggen.”
Vooropgesteld plan
De Brouwer vervolgt: “Helaas zien bedrijven niet altijd het belang van een vooropgesteld plan in geval van het hacken van camera’s. Ze maken zich vooral druk over een website die uit de lucht kan vallen of klantgegevens die openbaar worden als gevolg van hacking.
Maar let wel, ook beelden kunnen gevoelige klantgegevens bevatten. En beelden zijn te gebruiken voor planning van fysieke inbraak. Wie bevindt zich wanneer en waar? Een plan geeft een overzicht: welke apparatuur bevindt zich waar in het netwerk? Welke server kunnen we uitzetten als er hacking plaatsvindt? Hebben we back-ups? Maar eigenlijk is het dan al te laat. Hoe ver is de hacker al gekomen? Wel maakt een vooraf opgesteld plan duidelijk of via camera’s andere applicaties binnen het netwerk gevaar lopen. Hierop kun je dan nog acteren.”
Slimme bewakingscamera’s
En de bewakingscamera’s zelf, zijn er types op de markt die voor een stukje extra beveiliging tegen hacken zorgen? De Brouwer: “Sommige duurdere types beschikken over een ander soort communicatiekanaal dan computernetwerken. Beelden van de camera’s komen terecht in een ‘kastje’ dat met het netwerk verbonden is. Maar eerlijk, op de markt zien we vooral netwerkcamera’s. Ze zijn goedkoper en geven betere kwaliteit beelden.”
Awareness bij bedrijven over risico’s
We mogen concluderen dat een goed securitybeleid en dito plan – óók voor bewakingscamera’s – van uitermate groot belang is. “Maar dat is stap twee”, zegt Patrick de Brouwer.” In eerste instantie gaat het om awareness.
Bedrijven zijn niet bekend met de risico’s. Krijgt Northwave B.V. een opdracht van een klant, dan pakken we dit deel als eerste aan. We brengen het netwerk in kaart en benadrukken waar de prioriteiten moeten liggen. ‘Log eens in op applicatie X. Is probleem B mogelijk?’ Het antwoord dat we vaak krijgen: ‘Daar hebben we nog niet naar gekeken!’”
Bedrijven zijn niet bekend met de risico’s
Andere bedrijven wijzen op hacking
Patrick de Brouwer tot slot: “Onderzoeken wijzen uit dat in 90 procent van de gevallen andere bedrijven het bedrijf wijzen op hacking. Bijvoorbeeld omdat ze veel spam ontvangen. Het duurt soms maanden voordat een bedrijf in de gaten heeft dat er iemand ‘binnen’ is geweest.
Ook blijkt uit dezelfde onderzoeken dat initiële inbraak vaak gemakkelijk is. Dikwijls staat slechts één apparaatje – zoals een camera – open, waardoor hackers naar binnen komen en het hele netwerk te pakken krijgen. Dus ja, ook bewakingscamera’s kunnen een goudmijn zijn voor hackers.”
Patrick de Brouwer is keynote speaker op Amsterdam Security Conference, op 1 november aanstaande. Meer informatie: www.amsterdamsecurity.com/nl/