Voor het eerst sinds de universiteit de omstreden camera’s onder een storm van protest uitschakelde, stonden er maandag weer een paar aan. Drie hackers probeerden de hele dag voor een zogeheten ‘pentest’ in het systeem in te breken, om te zien of eerder gevonden kwetsbaarheden zijn opgelost.
De universiteit lijkt eerdere kritiek over gebrek aan transparantie over het camerasysteem zoveel mogelijk te willen voorkomen. Er staat een bordje bij de ingang en een informatiebalie in de hal. Daar staan twee tafels met koffie en thee, en UFB-stafmedewerker Marcel Klomp, die studenten en medewerkers uitleg geeft over de camera’s. Op een groot scherm staan bezoekersaantallen die testcamera’s in het Lipsius hebben geteld.
In het glazen kantoor achter hem proberen de drie ethische hackers, twee informaticastudenten en een externe professional, in te breken in het camerasysteem.
Klomp ziet voordelen van een geautomatiseerd telsysteem, maar snapt ook waar de kritiek vandaan komt. ‘Onze les is dat we het hebben onderschat. Wij dachten zelf dat we het goed hadden aangepakt, maar we hadden veel duidelijker moeten communiceren wat onze intenties zijn en dat er waarborgen waren om te zorgen dat de veiligheid en privacy op orde zijn. Nu kregen mensen een beklemmend gevoel. Ze dachten: “Wacht even, dat apparaat kan nog veel meer.” Maar wij hadden nooit de intentie om er iets anders mee te doen dan bezoekersaantallen tellen.’
Update
Deze pentest is niet de eerste test sinds de universiteit de camera’s uitschakelde. Een eerdere hackproef bevestigde al veiligheidsproblemen die Mare eerder aan het licht bracht, zo bevestigde de universiteit vorige maand.
Fabrikant Xovis heeft vervolgens een software-update doorgevoerd, en die heeft effect gehad. De gaten in de beveiliging lijken gedicht, vertellen de testers. Waar voorheen verschillende gegevens van de camera, zoals de temperatuur, lichtsterkte en privacy-instellingen te zien waren voor niet-ingelogde gebruikers, is het systeem nu beter afgeschermd. Het inlogscherm heeft ook een fris nieuw kleurtje.
Een van de camera’s ligt op het bureau. Anders konden de hackers het systeem niet meer in. ‘We konden na de update het inlogscherm niet meer van buitenaf benaderen’, vertelt informaticastudent Julian, een van de drie hackers. ‘We hebben nu een van de camera’s van de muur gehaald en direct ingeplugd op onze computer om te kijken of we op die manier iets kunnen ontdekken.’
Als dat ook niets oplevert, vragen ze het wachtwoord om te kijken of ze van binnenuit nog kwetsbaarheden kunnen ontdekken. Eventuele bevindingen kunnen ze nog niet delen. Die komen allemaal in een rapport, dat over een paar weken aan de universiteit wordt overhandigd.
Er volgt ook nog een rapport van de privacy-officer, die zelf een onderzoek startte naar de kwestie. De universiteit heeft toegezegd dat de camera’s uit blijven staan tot het onderzoek helemaal is afgerond.