Lees ook onze reconstructie van #Cameragate: Ze moesten en zouden er komen
‘We hebben mede naar aanleiding van de berichtgeving in Mare een veiligheidstest laten uitvoeren door een externe partij’, zo schrijft de universitaire woordvoerder. ‘Het resultaat hiervan is mede een bevestiging van de door Mare genoemde bevindingen.’
Op basis van deze bevindingen heeft de universiteit de leverancier van de camera’s verzocht de software te updaten om de veiligheidsproblemen te verhelpen. Volgens de universiteit heeft de leverancier dat inmiddels gedaan en wordt de software nu opnieuw getest op veiligheid.
Afgelopen november meldde Mare dat er mogelijk veiligheidsrisico’s verbonden waren aan het camerasysteem van het merk Xovis dat de universiteit gebruikt. Zo bleek dat de loginpagina van het systeem via een onbeveiligde verbinding te bereiken was, en dat niet-ingelogde gebruikers informatie over de camera konden uitlezen.
Ook bleek het systeem gebruik te maken van een zeer verouderde methode om wachtwoorden te versleutelen en was het wachtwoord in versleutelde vorm mogelijk ook zichtbaar voor niet-ingelogde gebruikers.
Ethisch hacker Sijmen Ruwhof noemde de risico’s in de software een teken van onzorgvuldigheid: ‘Het MD5-algoritme dat hier gebruikt wordt staat al zo’n vijftien jaar bekend als echt onveilig. Dat het versleutelde wachtwoord door de server naar de gebruiker wordt gestuurd is bizar en zou nooit nodig moeten zijn als het systeem veilig was opgezet. De combinatie van deze twee zwakheden levert een ernstig beveiligingsrisico op.’
Welke problemen tijdens het onderzoek precies aan het licht zijn gekomen en welke de fabrikant zou hebben verholpen wil de universiteit nog niet delen tot het hele onderzoek is afgerond.
Naast het externe onderzoek zullen in maart ook nog een openbare penetratietest en hack-demonstratie van het systeem plaatsvinden. De camera’s blijven in ieder geval uitgeschakeld tot die testen zijn afgerond.
Mare heeft Xovis om een reactie gevraagd op de veiligheidsrisico’s in de software, maar de camerafabrikant wilde niet ingaan op de vragen.