Overslaan en naar de inhoud gaan

Directiekamers af te luisteren via videoconferencingsysteem

Chief security officer H.D. Moore van het Amerikaanse Rapid7, dat penetratietesten uitvoert, besloot onlangs te testen, hoe veilig videoconferencingsystemen waren. Hij schreef een programma'tje om op twee hem bekende kwetsbare plekken te testen. Daarmee graasde hij in twee uur ongeveer 3 procent van het internet af.
Business
Shutterstock
Shutterstock

In die uitsnede van het internet vond Moore - die zijn bevindingen deelde met de New York Times - 5000 vergaderzalen met videoconferencingsysteem die voor ongenode gasten eenvoudig toegankelijk waren. Daarbij ging het onder meer om vergaderzalen bij grote namen uit de juridische wereld en uit de wereld van verstrekkers van risicokapitaal, bij farmaceutische bedrijven en bedrijven uit de olie-industrie. De videoconferencingsystemen waren geleverd door markleiders Polycom en Cisco, en door Sony, LifeSize en anderen.

Configuratiefouten

Moore concentreerde zich op twee configuratiefouten: het plaatsen van het videoconferencingsysteem buiten de firewall en het gebruik van het automatisch accepteren van inkomende oproepen - een functie die videoconferencingsystemen gemakshalve bieden zodat gebruikers niet steeds op de 'accepteer'-toets hoeven drukken bij een inkomende oproep. Die laatste staat vaak standaard ingeschakeld, bijvoorbeeld bij de systemen van Polycom. Polycom biedt wel mogelijkheden om de rechten van zo'n inbeller te beperken, maar die worden veelal niet gebruikt. Veel bedrijven laten ook na de camera af te dekken met een lenskapje als deze niet in gebruik is.

Zelfs achter firewall niet altijd veilig

De risico's van het buiten de firewall plaatsen van je videoconferencingsysteem behoeven nauwelijks betoog. Maar zelfs binnen de firewall ben je niet altijd veilig. Moore constateerde dat hij via een partner van de bekende investeringsbank Goldman Sachs toegang zou kunnen krijgen tot een systeem van Goldman Sachs, hoewel dat systeem door zijn testtool niet als onveilig was gevlagd. Grondige inspectie van de configuratie en beveiliging van deze systemen, en de mogelijkheden om via partners binnen te dringen lijkt dus de aangewezen weg.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in