In het Caribisch deel van het Koninkrijk blijkt dit apparaat overigens nauwelijks verkocht. Hier zijn het weer andere apparaten die vrij eenvoudig toegankelijk zijn.
Gelukkig voor de eigenaren geven lang niet alle Iomega’s hun opgeslagen gegevens prijs. Maar gedeeld wordt er nog volop, en dat zijn lang niet alleen gedownloade films of muziekbestanden. Zo deelde een Amerikaans advocatenkantoor onbewust alle juridische dossiers. Het kantoor, drie partners gespecialiseerd in letselschade, werkt dagelijks deze dossiers bij en bewaart alles op de Lenovo NAS schijf. Na onze melding werd een IT-specialist ingeschakeld die de beveiliging aanpaste.
Andere voorbeelden? Een Britse ex-gevangene bewaarde onder meer zijn psychiatrisch dossier op zijn server. Een Nederlands gezin sloeg tientallen jaren aan familie- en gezinsfoto’s op als backup. Een restaurant in Canada met diverse filialen gebruikte de centrale NAS als opslag voor de complete bedrijfsadministratie, inclusief belastinggevels, boekhouding, personeelsgegevens, sollicitatiebrieven en noem maar op.
En zij waren beslist niet de enigen. Zonder al te veel moeite vonden we netwerkschijven met daarop kopieën van paspoorten, rijbewijzen en geboortebewijzen. Alsof dat niet genoeg was: bankafschriften, belastingaangiften, verzekeringsbewijzen, testamenten, sollicitatiebrieven, medische dossiers en jaaropgaven. Maar ook studieresultaten, lesmateriaal, werkstukken en scripties. Of Outlook e-mailbestanden die soms wel tot tien jaar terug gingen. Materiaal dus te over voor identiteitsfraude. Of wat te denken van tekeningen van een alarminstallatie? En de hoofdprijs: wachtwoorden! Vaak als een o zo handig lijstje of spreadsheet inclusief de inlognamen en andere account gegevens. En dat was lang niet altijd bij, oneerbiedig gezegd, ‘digibeten’. Ook NAS-servers van IT-ers en automatiseringsdeskundigen, een ex-bankdirecteur en een commissaris van politie gaven moeiteloos toegang tot alle data.
Bijvangst
Voor zover mogelijk zijn alle eigenaars intussen gewaarschuwd. We waren daarbij nogal verrast door het gemak waarmee de data kon worden gevonden. Want eigenlijk betrof het hier bijvangst terwijl we zochten naar kwetsbare apparaten en systemen op de Caribische eilanden. We schreven hier al eerder over, bijvoorbeeld Solar Park Saba: wie doet het licht uit? en KNMI: ‘Bakens voor een internetcrimineel?
Vallen er lessen te leren? Zeker wel. De belangrijkste les is natuurlijk: pas meteen de inlognaam en het wachtwoord aan zodra een nieuw apparaat in gebruik wordt genomen. En controleer welke mappen eventueel worden gedeeld, en hoe. Het lijkt een open deur maar er worden nog steeds NAS-schijven gekraakt. En het advies beperkt zich natuurlijk niet alleen tot deze opslagapparaten. Ook webcams en routers zijn kwetsbaar, evenals industriële apparaten.
Kies verder sterke wachtwoorden en gebruik een goede wachtwoord manager. Een beetje zoekwerk op internet levert gauw genoeg bruikbare programma’s op, die niet veel geld hoeven te kosten of gratis (open source) zijn. Zelf geven we de voorkeur aan twee aparte wachtwoordmanagers, een voor privé-informatie, en een tweede voor het werk.
Controleer ook regelmatig of wachtwoorden niet al zijn gekraakt. Dit kan bijvoorbeeld via de website https://haveibeenpwned.com/. En zorg voor een (tweede) backup, het liefst op een losse externe schijf die niet met het internet is verbonden. Het zijn voor de hand liggende maatregelen, maar vaak worden ze uitgesteld. En dan kan het opeens te laat zijn.
Nachtmerrie
Het is natuurlijk een nachtmerrie, al je data wordt geroofd en alleen maar is terug te krijgen na betaling van losgeld. Maar er zijn meer apparaten en systemen die risico’s lopen als ze worden aangesloten op internet. In dit derde en laatste artikel over kwetsbare verbindingen geven we wat andere voorbeelden van onze eilanden.
Bij ons onderzoek naar kwetsbare systemen kwamen we de afgelopen tijd diverse routers tegen, zowel van privé-personen als van bedrijven. Van routers is al langer bekend dat ze worden geleverd met een standaard combinatie van inlognaam/ wachtwoord als ‘admin/admin’. Zo ook de router van een firma op Bonaire, een ‘LinkSys Smart Wi-Fi’.
Je kunt je afvragen of ‘smart’ hetzelfde is als ‘intelligent’. In elke geval was deze router ooit ingesteld met een standaard wachtwoord, dat daarna nooit meer was veranderd. Hierdoor kregen we eenvoudig toegang tot het netwerk. Omdat we ook toegang hadden tot de systeeminstellingen, konden we al snel een username en wachtwoord achterhalen. Ook de netwerknaam en het netwerkwachtwoord lagen voor het oprapen.
Ramen open
Uit wat nader onderzoek bleek dat het hier ging om een bedrijf met een aantal vakantievilla’s. De huurders kunnen gebruik maken van gratis wifi, inderdaad via datzelfde netwerk waarvan de achterdeur dus wagenwijd openstond. Alsof je gaat duiken en je portemonnee, paspoort, laptop en camera in het zicht in de auto laat liggen, met alle ramen open. Het bedrijf is intussen gewaarschuwd.
Een andere ondernemer op een van de eilanden investeerde in een camera-bewakingssysteem. Zo’n tien camera’s registreren zowel binnen als buiten de opslagloods elke beweging. Vergeten werd alleen om het standaard wachtwoord te wissen. Na te zijn ingelogd konden we onszelf eenvoudig toevoegen als beheerder van het systeem. Om niet op te vallen, kozen we als gebruikersnaam ‘777777’ om in lijn te blijven met de andere accounts: ‘666666’ en ‘888888’. Voor een kwaadwillende is het dan nog maar een kleine stap om de originele accounts te wissen en het systeem over te nemen.
En ook niet fijn: een huiseigenaar op Curaçao heeft een bewakingscamera op zijn ommuurde achtertuin, mèt zwembad, gericht. Niet alleen kon iedereen meekijken naar het buitenleven van deze familie, ook was de bediening eenvoudig over te nemen omdat het standaard wachtwoord niet was gewijzigd. Dat was binnen 60 seconden via Google gevonden met de zoekterm ‘mobotix login default’. De leverancier had nog wel zo gewaarschuwd op de pagina ‘Admin Menu’, in alarmrood en marker geel: ‘Some areas of the camera are still publicly accessible’.
Industrie
Tot slot: ook in de industrie zijn tal van apparaten en systemen met via internet met elkaar verbonden. ‘Scada’ is een term die in dat verband nogal eens valt, een systeem waarbij computers en apparaten gegevens met elkaar uitwisselen. En ook hier vind je poorten die al dan niet wagenwijd openstaan voor onbevoegden.
Een andere inlogpagina gaf toegang tot een alarmeringsconsole van de raffinaderij.
Op Curaçao vonden we bijvoorbeeld een inlogscherm dat toegang geeft tot het opslag- en betaalsysteem van een benzinestation. Een andere inlogpagina geeft toegang tot een alarmeringsconsole van de Isla raffinaderij. In beide gevallen bleek de digitale toegangsdeur vooralsnog gesloten. Maar er zijn diverse programma’s in omloop waarmee een spervuur aan inlognamen en wachtwoorden kunnen worden losgelaten, net zolang totdat de juiste combinatie is gevonden. Het is dus te hopen dat de systeembeheerders zeer sterke wachtwoorden hebben gekozen.
Om wille van de de privacy en bescherming van personen, bedrijven en instellingen zijn persoonlijke en andere gegevens geanonimiseerd.
(Dit artikel is – in iets aangepaste vorm – ook gepubliceerd in het Antilliaans Dagblad van 30-1-2021)
