Afgelopen week zijn er twee meldingen over onveilige videocamera’s verschenen. Niet voor de eerste keer valt dit type device in negatief op. Zijn ip camera’s zo vaak een securityrisico of lijkt het maar zo?
Hikvision
Hikvision haalde vorige week de pers. Nog steeds zijn 80.000 videocamera’s van het merk niet gepatched. Gevolg is dat deze devices, die gewoon via het internet te bereiken zijn, makkelijk kunnen worden overgenomen. De kans dat dit al is gebeurd is volgens onderzoekers extreem groot, ook al voor het nieuws naar buiten kwam.
Het nieuws is naar buiten gebracht door een security onderzoeksbureau. Men kan vraagtekens zetten bij de noodzaak van elke risico een hijgerig persbericht over een onderzoek (pdf) te maken. In dit geval lijkt de urgentie terecht. IP camera’s zijn al jaar en dag berucht als vehikel voor botnets. Sterker nog met Mirai is een hele familie van botnets ontstaan die primair via ip camera’s werken. De beveiliging van dit soort devices is namelijk opvallend vaak teleurstellend slecht.
Nu heeft Hikvision allang een patch uitgebracht om dit lek te dichten. Maar als na 11 maanden nog steeds tienduizenden devices unpatched zijn dan roept dat wel vragen op. Het heeft er veel van weg dat Hikvision devices in een aantal landen worden verkocht zonder enige vorm van service en/of door personen die niet meer doen dan uitpakken en aansluiten.
Foscam
Het andere bericht heeft betrekking op camera’s van Foscam. Volgens onder andere deze bron kon “een klein aantal gebruikers” met een bepaald abonnement tijdelijk de beelden van andere dan hun eigen videocamera’s zien.
Hier lijkt geen sprake te zijn van een hack of het ontbreken van patches, maar een fout in de Foscam cloud. Gebruikers van deze camera’s hoeven dus niet direct te vrezen dat de devices deel zijn van een botnet. Dat beelden door andere kunnen worden ingezien is natuurlijk wel zeer bedenkelijk. Het valt niet te rijmen met de AVG, want het is een digitaal datalek. De quote dat het een kleine groep betreft moet daarbij met een korrel zout worden genomen. Dergelijk taalgebruik heeft maar een doel en dat is verdere ophef en consternatie voorkomen.
Niet te verwijten
Het bredere plaatje, daar gaat het om. We zien een type device en twee verschillende incidenten. Beide incidenten zijn zeer vervelend. Bij Foscam kan zeer waarschijnlijk de reseller en de eindklant niets verweten worden. Daarmee is het probleem echter niet opgelost. Juist omdat zij hier geen invloed op hebben moet de vraag gesteld worden of het wel acceptabel is de infra van het bedrijf te gebruiken.
Communicatie
In het geval van de Hikvision patches is er een ander verhaal. Daarbij moet de lezer zich niet laten afleiden door opmerkingen als dat de meeste onveilige Hikvision camera’s in landen ver weg staan. Het gaat er om dat de fabrikant niet in staat lijkt te zijn de urgentie van handelen (“installeer die patch!”) over te brengen aan het kanaal en de eindgebruikers. Daarbij hoort de vraag of het bedrijf hier wel – direct of via het kanaal – snel en goed communiceert. Als dat niet het geval zou zijn dan kan dat consequenties hebben. Waarom? Omdat de reseller te maken kan krijgen met vervelende verwijtenoverr aansprakelijkheid en falen.
Nog even over de vraag die aan het begin is gesteld: zijn ip videocamera’s vaak een securityrisico of lijkt het maar zo? Elke security en netwerkspecialist zal vertellen dat er inderdaad te veel configuraties onveilig zijn. Dat heeft vooral te maken met de gebrekkige kennis van de eindklanten. Met segmenteren en uitgaand verkeer te blokkeren kan een hoop verdere ellende voorkomen worden. Maar wie gaat dat doen?
Onderhoud
Daar zit het echt probleem. De camera’s zijn in verreweg de meeste gevallen veilig te maken, maar dat is geen eenmalige handeling. IP videocamera’s hebben wat de security betreft – en dat is meer dan een patch installeren – onderhoud nodig. Onderhoud kost tijd en geld. Dat is niet wat de meeste eindgebruikers genoemd zien worden als zij via de webshop een plug and play camerasetje bestellen.
