IoT-beveiliging: Chinees bedrijf laat zien hoe je het niet doet

De IoT-apocalyps gaat maar lekker door. Opnieuw werden talrijke beveiligingsproblemen in een IP-camera gedocumenteerd. En de ontwikkelaar reageert al meerdere maanden niet op waarschuwingen. Het gaat om de Chinese fabrikant Foscam die onder verschillende merknamen IP-camera’s uitbrengt. Al deze camera’s bevatten een hoop lekken op het gebied van IoT-beveiliging. Volgens een bericht (PDF) van het Finse F-Secure zijn er 18 verschillende veiligheidslekken die de ontwikkelaar ook na meerdere maanden niet kon of wilde verhelpen.

Foscam C2

Camera ook in Nederland beschikbaar

De lekken gaan over de Opticam i5 HD, ook de Foscam C2 is gevoelig voor aanvallen. Laatstgenoemde is ook verkrijgbaar in Nederland. Hackers kunnen onder meer zonder controle toegang krijgen tot de interne opslag van het apparaat en op die manier opdrachten uitvoeren.

Ook de toegang tot de web-interface is niet beveiligd. De gebruikersnaam is ‘admin’, een wachtwoord is standaard niet ingesteld. Tenminste kan de gebruiker dit nog zelf aanpassen. Via de interface kan een kwaadwillende niet alleen instellingen aanpassen, maar zelfs de videobeelden van de camera opvragen. De geïntegreerde ftp-server heeft een vast ingesteld wachtwoord, dat niet aan de gangbare veiligheidseisen voldoet. Het is namelijk leeg. Ook de gebruiker kan geen veilige wachtwoord instellen.

Talrijke andere lekken

Het bericht noemt verder talrijke andere lekken in de IoT-beveiliging in beide apparaten. Zo kan een hacker een bestand aanpassen om meteen tijdens het opstarten opdrachten uit te voeren, een hoop bevoegdheden van bestanden zijn verkeerd geïmplementeerd en ook de geïntegreerde firewall werkt niet naar behoren. Hackers kunnen bovendien versleutelde configuratiebestanden downloaden (!) en lezen (!!!). Deze zijn niet met een individuele sleutel beveiligd, maar met een vast en vooraf ingesteld wachtwoord. Door een analyse van de firmware kan dit wachtwoord worden achterhaald. Maar eerlijk gezegd, dit is niet eens nodig! Omdat hackers naar hartenlust wachtwoorden mogen uitproberen (er is geen limiet voor het aantal pogingen), leidt ook een brute-force-aanval snel tot succes.

[userquote user="906"]De beveiligingslekken in IP-camera's maken het criminelen weer een stuk eenvoudiger om de privacy van de gemiddelde gebruiker te schenden en oneigenlijk gebruik te maken van onze gegevens. Mijn inziens zou een kwaliteitskeurmerk moeten worden opgesteld op basis waarvan deze producten worden goedgekeurd, voordat ze verkocht mogen worden.[/userquote]

Veiligheidsaspect compleet genegeerd

‘Het veiligheidsaspect werd bij deze producten compleet genegeerd’, zegt F-Secure onderzoeker Harry Sintonen. ‘Blijkbaar ging het voor de ontwikkelaar er alleen maar om de camera snel af te krijgen en in de verkoop te gooien. Gangbare veiligheidsmaatregelen hebben ze links laten liggen en dat brengt gebruikers en netwerken in gevaar. Ironisch genoeg moeten deze camera’s voor meer veiligheid in huis zorgen – tegelijkertijd maken ze het virtuele huis onveiliger.

F-Secure raadt aan om de camera – als het echt moet – alleen in een afgesloten gedeelte van je netwerk te gebruiken. Dat helpt echter niet tegen de slechte beveiliging van de ftp-server en ook de andere lekken kun je als gebruiker niet verhelpen. Dus het beste kan de camera de prullenmand in.

[userquote user="906"]Cybersecurity is een belangrijk thema voor onze leden en daarmee speerpunt van de BTG. Namens onze leden kan de BTG anticiperen op de nationale en internationale politieke agenda, waarbij sprake is van een zwaarwegende afweging van het hoogste goed, het recht op individuele vrijheid in relatie tot de benodigde bescherming van ons gemeengoed, onze privacy, het recht tot vrij handelen en communiceren.

Tijdens de Cybersecurity Trendsessie op 13 juni, samen met T-Mobile en ReciperoXS, is dit thema vanuit verschillende invalshoeken belicht. Interessant in deze was de zienswijze van Inge Philips, die vertelde dat de moderne hackers netwerkorganisaties zijn, die vanuit een agile principe werken. Wendbaar, niet qua locatie te traceren en gericht op snel resultaat. Maria Genova van "Komt een vrouw bij de H@cker" toonde ons aan hoe gerafineerd de hackers te werk kunnen gaan.[/userquote]

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.