Over camera’s en nalatigheid: De uitdaging voor IoT-fabrikanten

F-Secure heeft meerdere kwetsbaarheden gevonden in Foscam IP-camera's waardoor hackers de controle krijgen over de apparaten. Maar het probleem is groter dan één merk en model.

Auteur: Martijn
Datum: 07/06/2017
Leestijd: 4 Minuten

Het Internet of Things is hier. En daarmee ook alle spannende mogelijkheden, kostenbesparingen en efficiëntie. Maar deze nieuwe wereld heeft ook een donkere kant en kan worden opgesomd in wat wij de wet van Hypponen noemen: als het slim is, dan is het kwetsbaar.

Aan de lopende band ontdekken we kwetsbaarheden in ‘slimme’ apparaten. De wet van Hypponen werd recent weer bewezen met het ontdekken van meerdere kwetsbaarheden in twee IP-beveiligingscamera’s van de Chinese fabrikant Foscam. In ons laatste rapport staan de 18 geïdentificeerde kwetsbaarheden uitgebreid beschreven. Door hier gebruik van te maken kan iemand met slechte bedoelingen de controle over de camera overnemen, de video feed bekijken en zelfs downloaden.

Download hier ons volledige rapport

Dit is niets nieuws, we weten dat camera’s gehackt kunnen worden. We hebben allemaal wel de verhalen gehoord over hackende gluurders die nietsvermoedende slachtoffers bespioneren. Maar in het geval van de Foscam camera’s hebben we hier te maken met camera’s die ook als server fungeren. Een server die de aanvaller toegang geeft tot de rest van het netwerk.

Als dit apparaat aan het bedrijfsnetwerk hangt en de aanvaller toegang krijgt tot de server, kan deze het hele netwerk besmetten met malware om toegang te krijgen tot de rest van het netwerk.

De Foscam-made Opticam
De Foscam-made Opticam

Netwerken veranderen constant

De grenzen van een netwerk vervagen door cloudification, consumerization, mobiele workforces, devices, assets en data die voorheen intern beheerd werd en tegenwoordig extern. En Internet of Things doet hier nog een schep bovenop, met slimme apparaten die het netwerk groter maken dan alleen workstations, laptops, smartphones en tablets.

Janne Kauhanen, een van onze cybersecurity deskundigen, stelt als volgt: “IoT brengt meer apparaten in het netwerken, die je niet als netwerkapparatuur beschouwt. Dit leidt tot een situatie waar bedrijven niet op de hoogte zijn van alle apparaten in hun netwerken. En je kunt hetgeen niet beschermen, waarvan je niet weet dat het er is.’

Nauwelijks beveiligd

Harry Sintonen, onze security consultant die de kwetsbaarheden vond, zegt dat hij nooit een apparaat heeft gezien dat zo slecht ontworpen is. “Grotere kwetsbaarheden dan deze gaan we niet vinden,” zei hij. “ze geven de hacker alle vrijheid. De aanvaller kan de kwetsbaarheden één voor één misbruiken of als combinatie om nog meer rechten binnen het apparaat én het netwerk te krijgen.”

Veel van de kwetsbaarheden in deze camera zijn het gevolg van nalatigheid. De fabrikant heeft het nagelaten om default wachtwoorden random te maken, om gebruikers die teveel incorrecte wachtwoorden gebruiken buiten te sluiten én om toegang te beperken tot belangrijke mappen en bestanden. En sommige kwetsbaarheden zijn te gek voor woorden, deze maken dingen mogelijk die helemaal niet mogen. Verborgen Telnet toegang bijvoorbeeld of hardcoded credentials waarmee een hacker het unieke wachtwoord van een gebruiker kan omzeilen.

Maar alles wijst op dezelfde tekortkoming: IoT-fabrikanten die het belang van beveiliging chronisch onderschatten. Dit is een probleem van slimme apparaten in het algemeen. Beveiliging is geen reden om zo’n apparaat te kopen. Daarom investeren fabrikanten er niet in. Dit heeft geleid tot legioenen onbetrouwbare camera’s, routers, thermostaten, DVR’s, waterkokers, auto’s, noem maar op. En dat is niet alleen een gevaar voor de eigenaar van de apparaten, maar voor het hele internet. De DDoS-aanvallen van afgelopen najaar lieten zien wat IoT-apparaten samen voor schade aan kunnen richten. Omdat de beveiliging van de apparaten niet op orde is, is het hele internet in gevaar.

Het vinden en infecteren is een koud kunstje voor hackers, omdat de fabrikanten het ze wel heel makkelijk hebben gemaakt. Kauhanen zegt: “Als één van deze apparaten in jouw netwerk zit, dan garandeer ik je dat de bad guys deze vinden.”

De oplossing

Gelukkig is het niet alleen kommer en kwel volgens onze experts. Hoewel regelgeving nooit een ideale oplossing is, zet het fabrikanten wel op scherp om de beveiliging op orde te krijgen.

“Verschillende branches doorlopen dit proces en komen er achter dat ze beveiligingsissues op te lossen hebben.” zegt Sean Sullivan, Security Advisor bij F-Secure. “Auto’s bijvoorbeeld: ooit bedachten we dat veiligheidsgordels een goed idee waren. IoT zit nu een beetje in dezelfde fase. Over tien jaar hebben de problemen zichzelf opgelost. De vraag is: ga jij hier op wachten en laat je de concurrenten voor?”

Voor bedrijven is het belangrijk dat dergelijke apparaten voorzien zijn van een eigen netwerk, los van het internet. Dit vraagt om een holistische, multi-layer aanpak van de beveiliging. Zorg er daarom voor dat je een goed beeld krijgt van hoe het netwerk eruit ziet. Begrijp de risico’s en minimaliseer deze.

Fabrikanten van IoT-apparaten die zich nu druk maken om de beveiliging, zijn hun concurrentie voor op het moment dat de regelgeving wordt toegepast. Neem daarom de beveiliging van het apparaat al vanaf de start mee bij het ontwerp. Dit geeft jou een flinke voorsprong op de rest.

Download hier ons volledige rapport met de kwetsbaarheden, compleet met aanbevelingen om de risico’s voor bedrijven en leveranciers te beperken.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s