Blogs

Alarmsystemen worden veiliger met de jaren? Welnee!

de strijd tegen inbrekers met alarmsystemen

De beveiligingsrisico’s van alarmsystemen zijn steeds belangrijker in de discussie over de kwetsbaarheid van IoT, zegt Wilco Ravestein van Paessler.

Alarmsystemen en hun beveiligingsrisico’s worden steeds belangrijker in de discussie over de kwetsbaarheid van slimme apparaten. Als een alarmsysteem met internetverbinding een Trojaans paard kan worden, is het dan misschien beter om te kiezen voor een ouderwets systeem?

Laten we eens kijken naar de klassieke, niet-gedigitaliseerde anti-inbraaksystemen van het type dat in 1993 populair was. Volgens beveiligingsanalisten zijn die populaire alarmsystemen voor huishoudens eenvoudig te manipuleren, door alarmen te onderdrukken of een reeks van valse alarmen te genereren. Dit is mogelijk met een simpele tool vanaf een afstand tot 300 meter. In beide gevallen wordt het systeem onbetrouwbaar.

Het maakt niet uit wie de fabrikant van je beveiligingssysteem is. Het belangrijkste probleem is dat de meeste alarmsystemen gebruikmaken van hoogfrequente signalen. Die worden verzonden tussen de deur- en raamsensoren en het besturingssysteem. Dit systeem genereert een alarm als er via een raam of deur wordt ingebroken. Het stuurt tegelijkertijd een stil alarm naar het beveiligingsbedrijf, dat daarop de bewoners of politie informeert.

Veel systemen bieden geen encryptie of verificatie van signalen die de sensoren naar het besturingssysteem verzenden. Dit maakt het eenvoudig voor kwaadwillenden om data te onderscheppen of instructies te ontsleutelen en aan te passen.

Complexere systemen maken gebruik van uiteenlopende hardware, maar werken grotendeels op dezelfde manier. Ze maken nog altijd gebruik van technologie voor draadloze communicatie die uit de jaren negentig stamt. Daarmee bestaat de kans dat signalen worden geblokkeerd om te voorkomen dat er een alarm afgaat. Dit is onder meer mogelijk door de draadloze verbinding opzettelijk te verstoren met interferentie. De ‘stoorzenders’ die daarvoor nodig zijn kunnen voor minder dan 100 euro in elkaar worden geflanst.

Veel alarmsystemen werken daarnaast met een afstandsbediening. Dit maakt het mogelijk om alarmen te activeren en deactiveren zonder de noodzaak om een wachtwoord in te voeren via een bedieningspaneel. De data wordt via een draadloze verbinding verzonden in de vorm van platte tekst en kan gemonitord worden.

Slimme alarmsystemen
Maar nu wordt het pas echt griezelig.
Als je liever vertrouwt op een systeem dat met het netwerk is geïntegreerd, dan ben je mogelijk nog minder veilig uit dan voorheen, omdat je systeem dan in de categorie van IoT-hardware valt.

Beveiligingsanalisten die onderzoek deden naar geavanceerde anti-inbraaksystemen ontdekten dat deze IoT-systemen bol staan van de kwetsbaarheden. Ze zijn via de cloud met mobiele apparaten verbonden en bieden een keur aan functies, van bewegingsdetectors tot deur- en raamsensoren en bewakingscamera’s met opnamemogelijkheden. Hoewel deze alarmsystemen de bewoner veiligheid beloven, is de eigenaar ervan vanwege de beveiligingslekken mogelijk niet de enige die het huis in de gaten houdt.

De onderzoekers stuitten op diverse problemen met het authenticatieproces en gebruikersrechten. Ze zetten ook vraagtekens bij de veiligheid van mobiele en cloud-interfaces. Alle geteste alarmsystemen stonden het gebruik van zwakke wachtwoorden toe en waren vatbaar voor de onderschepping van aanmeldingsgegevens.

Vier op de zeven camerabewakingssystemen boden de eigenaar de optie om andere gebruikers toegang tot bewakingsbeelden te bieden. Dit verergerde de problemen rond aanmeldingen en het beheer van accounts. Twee alarmsystemen boden lokale videostreaming zonder enige vorm van authenticatie. En wat firmware en patches betreft: 60% van de systemen bood geen update-functie aan, laat staan automatische updates. Eén systeem werkte de firmware bij via een ftp-server. Dit biedt cybercriminelen de mogelijkheid om aanmeldingsgegevens en schrijfrechten op de updateserver te bemachtigen.

Zolang er alarmsystemen met kwetsbaarheden bestaan, zullen mensen manieren bedenken om daar misbruik van te maken. Dat geldt voor de systemen uit de jaren ’90, maar zeker ook voor beveiligingssystemen met IoT-functionaliteit.

Naar boven