ProRail haalt Chinese camera's weg, terwijl NS juist nieuwe bestelt

Het Nederlandse spoorwegbedrijf ProRail wil voor het einde van dit jaar alle bewakingscamera's van Chinese merken vervangen. Ondertussen heeft de NS duizenden nieuwe Chinese camera's besteld, blijkt uit rondvraag van nieuwssite Follow the Money.

ProRail beschikt over ongeveer zesduizend camera's, die voornamelijk op stations en bij fietsenstallingen hangen. Daar zitten ook camera's van Huawei tussen. Dat bedrijf werkte in 2018 aan een camerasysteem dat gezichten in een menigte scant en de leeftijd, het geslacht en de afkomst van alle personen schat, schrijft The Washington Post op basis van een Huawei-rapport in 2020.

De NS heeft camera's geplaatst in de buurt van toegangspoortjes en in de winkels op de stations. In de treinen van NS hangen 3500 bewakingscamera's. Het grootste deel van de camera's is afkomstig van westerse merken, waaronder Bosch en Siemens. De NS heeft ook camera's van de Chinese merken Hikvision en Dahua, die ook in verband worden gebracht met het surveillancesysteem van de Chinese overheid, schrijft Follow the Money. In dubbeldekstreinen van de series VIRM 2 en 3 hangen 1500 Chinese camera’s. Daarnaast komen in de 99 nieuwe ICNG-enkeldeksintercity's, die nog niet in gebruik zijn, ongeveer 5000 camera’s uit China te hangen.

Naast de betrokkenheid van de merken bij de Chinese overheid, zou het beveiligingssysteem van de camera's tekortschieten. Het onderzoekscollectief IPVM toonde in 2021 aan dat derden makkelijk toegang kunnen krijgen tot de camera's van Hikvision en Dahua. Afgelopen maand publiceerde het beveiligingsbedrijf Cyfirma een onderzoek waaruit bleek dat de beveiliging van 80.000 Hikvision-camera's nog steeds gebrekkig is.

Reacties ProRail en NS

ProRail zegt tegen Follow the Money dat het 'op de hoogte is van de kwalijke reputatie van Chinese camera’s'. Spionage via achterdeurtjes in de apparatuur zou echter onmogelijk zijn, doordat 'alle camera’s zijn gekoppeld aan een afgesloten en beveiligd deel van het netwerk van ProRail, waarbij bovendien gebruik wordt gemaakt van niet-Chinese servers en recorders'. Toch heeft ProRail besloten om de 196 camera’s van Hikvision en Huawei dit jaar nog weg te halen.

De NS gaat dit niet doen, omdat er 'geen negatief overheidsadvies' over het gebruik van de camera's is. Daarbij wijst het onder meer naar het Nationaal Cyber Security Centrum, ofwel het NCSC, en het ministerie van Justitie en Veiligheid. "NS volgt het advies van de NCSC en ziet daardoor momenteel geen aanleiding om die merken te vervangen", zegt het bedrijf tegen Follow the Money.

Het kabinet doet nog onderzoek naar inkoopeisen voor Chinese bewakingscamera's en naar de noodzaak voor veiligheidsrichtlijnen. Een meerderheid van de Tweede Kamer gaf in juni aan dat het camera's van Chinese makelij bij overheidsgebouwen en de politie zo snel mogelijk wil laten verwijderen.

Door Loïs Franx

Redacteur

Feedback • 06-09-2022 10:41
198 • submitter: Xtuv

06-09-2022 • 10:41

198

Submitter: Xtuv

Lees meer

ProRail wil 'slimme' flitscamera's bij spoorwegovergangen plaatsen
ProRail wil 'slimme' flitscamera's bij spoorwegovergangen plaatsen Nieuws van 17 januari 2024
NS start proef met bodycams voor hoofdconducteurs en servicemedewerkers - Update
NS start proef met bodycams voor hoofdconducteurs en servicemedewerkers - Update Nieuws van 15 januari 2024
Treinverkeer rond Schiphol is verstoord door data- en telefoniestoring
Treinverkeer rond Schiphol is verstoord door data- en telefoniestoring Nieuws van 3 oktober 2023
Eurostar start met check-in met gezichtsherkenning bij treinstation in Londen
Eurostar start met check-in met gezichtsherkenning bij treinstation in Londen Nieuws van 18 juli 2023
Israëlisch aftapsysteem Nederlandse politie is al vier jaar 'onwerkbaar'
Israëlisch aftapsysteem Nederlandse politie is al vier jaar 'onwerkbaar' Nieuws van 29 september 2022
Politie San Francisco kan toegang krijgen tot private beveiligingscamera’s
Politie San Francisco kan toegang krijgen tot private beveiligingscamera’s Nieuws van 24 september 2022
Nederlandse minister van Volksgezondheid wil faxen in zorgsector verbieden
Nederlandse minister van Volksgezondheid wil faxen in zorgsector verbieden Nieuws van 15 september 2022
Europese uitgevers eisen 25 miljard euro van Google wegens advertentiemonopolie
Europese uitgevers eisen 25 miljard euro van Google wegens advertentiemonopolie Nieuws van 13 september 2022
Meerderheid Nederlandse Tweede Kamer wil Chinese camera's bij overheid verbannen
Meerderheid Nederlandse Tweede Kamer wil Chinese camera's bij overheid verbannen Nieuws van 10 juni 2022
Tien Nederlandse gemeenten overwegen uitfaseren Chinese bewakingscamera’s
Tien Nederlandse gemeenten overwegen uitfaseren Chinese bewakingscamera’s Nieuws van 8 februari 2022
Meer producten en artikelen
Economie en maatschappij Politiek en recht Dahua Hikvision Huawei Nederland

Reacties (198)

-Moderatie-faq
198
193
93
7
0
78
Wijzig sortering

Sorteer op:

Weergave:
Polderviking 6 september 2022 10:44
Ik vind het eerlijk gezegd ook wel wat overdreven om ze weg te halen als ze in een gesloten circuit hangen en je aan de recorder kant alles gewoon onder controle en dus in eigen handen hebt.

En uiteindelijk komt ook veel "niet chinees" spul uit China... dus ik ben benieuwd wat ze dan gaan kopen en waarom dat beter is.
Want het is vast geen hardware wat volledig in het westen geproduceerd wordt.

[Reactie gewijzigd door Polderviking op 23 juli 2024 01:59]

Cyb @Polderviking6 september 2022 11:08
Ik vind het eerlijk gezegd ook wel wat overdreven om ze weg te halen als ze in een gesloten circuit hangen en je aan de recorder kant alles gewoon onder controle en dus in eigen handen hebt.
De fout die veel Tweakers gebruikers maken is: denken dat een vlan of lokaal netwerk voldoende is. Je hebt het dan pas in eigen handen als je daarnaast óók hebt uitgesloten dat er geen chips aanwezig zijn met draadloze protocollen, en indien die aanwezig zijn, ook de broncode hebt onderzocht op externe toegang.

[Reactie gewijzigd door Cyb op 23 juli 2024 01:59]

Mushroomician @Cyb6 september 2022 11:57
Je kunt prima zo'n ding uitelkaar schroeven en auditen op draadloze comm. Een beetje inkoper in zo een geval doet dat bij voorbaat en steeksproefgewijs. Indien er een model gekozen wordt waarvan men weet dat het draadloze antenne heeft, kun je kosten-baten-gewijs die misschien fysiek onklaar maken.

Hier lijkt nergens sprake van te zijn en ik ga ervan uit dat al het mogelijke onderzoek al gedaan is. Het licht immers onder de loep, maar er is geen resultaat zoals bij Amerikaanse producten zoals Cisco en Juniper systemen waarvan wel bewezen backdoors hebben:
nieuws: Alle Cisco WLSE's hebben niet te verwijderen backdoor
nieuws: 'Juniper gebruikt door NSA verzwakt algoritme voor encryptie'
nieuws: 'NSA installeerde backdoors op voor export bedoelde netwerkhardware' ...
nieuws: 'NSA manipuleert internetverkeer en tapt af via usb-stekkers'

Het artikel heeft het over een Chinese fabriekant puur en alleen omdat het Chinees is.

[Reactie gewijzigd door Mushroomician op 23 juli 2024 01:59]

Cyb @Mushroomician6 september 2022 12:11
Je kunt prima zo'n ding uitelkaar schroeven en auditen op draadloze comm.
Het bestuderen van de buitenkant van een chip, is geen garantie dat daar geen draadloze functionaliteit in zit.
dasiro @Cyb6 september 2022 17:55
dat is met geen enkel merk uit te sluiten. Uiteindelijk zal je *iets* moeten vertrouwen ipv tot op de laatste letter alle code te willen inzien. Als die dingen al chips zouden bevatten die data naar de chinese overheid kunnen sturen, dan zal dat niet via een satteliet zijn die boven elke trein hangt, dan zou je ook al *alle* apparatuur moeten openvijzen op zoek naar comchips, want ze zouden zo maar eens via jouw grijze import-GSM stiekem encrypted data wegsturen als je op de trein hebt gezeten.

De paranoia moet gewoon ergens stoppen en in dit geval is het zelfs helemaal geen cruciale apparatuur.
Mushroomician @Cyb6 september 2022 12:22
Draadloos == verplichte antenne. Die kan verstopt zitten, maar als je een product audit zal je het vinden.
jorisporis @Mushroomician6 september 2022 12:47
Hoe vind je dat dan precies en waar kan je zo'n audit laten doen? Zou me verbazen dat de spoorwegen dergelijke audits laten doen.. Is die auditkost de moeite als je dit regelmatig steekproefgewijs doet tov werken met een betrouwbare leverancier?
Mushroomician @jorisporis6 september 2022 12:57
Hoe vind je een antenne is je vraag?
Antennes volgen natuurwetten. Net zoals transistors, condensators, etc. Daar herken je ze aan.
jorisporis @Mushroomician6 september 2022 13:42
Daarbij ben je ook nog eens je garantie kwijt op je camera..
GroeneThee @jorisporis6 september 2022 14:15
Serieus? Als je enkele stuks koopt in een dergelijke traject zijn die paar camera's die je zal auditen qua kosten te verwaarlozen.
jorisporis @GroeneThee6 september 2022 14:42
Waar laat je dit dan auditten en wat kost dat? Hoeveel moet je er laten auditten? Ik heb nog nooit dergelijke audits gezien in de industrie of infrastructuur.
Je vertrouwt je leverancier of neemt een aannemer waar je je verantwoordelijkheid op afwimpeld..
Ga je trouwens je hele project op de helling zetten omdat je nog niet zeker bent dat het cybersecure is?

[Reactie gewijzigd door jorisporis op 23 juli 2024 01:59]

RGAT @jorisporis6 september 2022 16:48
Waar laat je dit dan auditten?
Eh, naja zolang de huisarts het druk heeft zou ik ipv daarvan een IT securitybedrijf opbellen daarvoor ;)
Wat kost dat?
Hangt er vanaf hoeveel camera's je wilt laten auditten en waarvoor, hangt van je budget af dus.
Hoeveel moet je er laten auditten?
Dat bepaal je zelf, wat binnen het budget past en wat redelijk is. Elke camera openschroeven gaat wat ver maar om nou 1 camera per 100.000 te testen is ook wat schaars...
Juist leverancier-ketens worden belangrijker om te controleren ipv blind te vertrouwen dat het wel goed zit, ook in bijvoorbeeld de professionele netwerk en server markten zie je hardware root of trust cruciaal worden om te voorkomen dat leveranciers een zwaktepunt kunnen worden, dat speelt al jaren.

Ga je trouwens je hele project op de helling zetten omdat je nog niet zeker bent dat het cybersecure is?
Ik mag hopen dat als je voor zo'n project verantwoordelijk bent je de veiligheid/beveiliging ervan ook mee neemt in het project dus ja, natuurlijk ga je een project niet maar doordrammen onder het smoesje 'ik wist niet dat er backdoors in zaten want ik heb niet gekeken', dat smoesje is wel vaker gebruikt en is nog nooit een geldig excuus geweest.
jorisporis @RGAT6 september 2022 21:05
Ik vind deze antwoorden nog steeds erg vaag. Hoe ga je als overheid een IT-security bedrijf zoeken dat deze audit doet? Als je een openbare aanbesteding uitschrijft wint de goedkoopste, die je met plezier voor vele duizenden euries een briefje schrijft dat er niets mis is met het apparaat.
Natuurlijk neem je je security wel serieus. Daarom moet je leverancier voldoen aan ISO 27000 en aanverwante standaarden, zet je je netwerk netjes op zodat alles is afgeschermd en installeer je netjes je updates...
Zelf camera's gaan openschroeven omdat je je leverancier niet vertrouwt lijkt mij niet haalbaar. In dezelfde filosofie zou de overheid de brondcode van Windows moeten opvragen en elk lijntje gaan analyseren.
RGAT @jorisporis6 september 2022 21:38
Hoe ga je als overheid een IT-security bedrijf zoeken dat deze audit doet?
Je beantwoordt je eigen vraag al deels, maar ipv het op een ander te 'dumpen' ga je dan meer een samenwerking aan, noem het een project, waar je met een security-bedrijf/specialist erin duikt en uitwerkt wat nodig is. Niet alleen maar om op papier je er gemakkelijk van af te maken dus maar om echt een goede audit te doorgaan. Dat is niets nieuws en meerdere bedrijven die daar een prima reputatie mee hebben opgebouwd.
Ook verwacht ik van een audit wel wat meer dan een regeltje 'Het is veilig' en dus een heel rapport waar de methode van de audit, ontdekkingen en de gang van de audit gedocumenteerd is, anders is het niet een audit natuurlijk.
Voor wat betreft leverancier doet ISO 27000 vrij weinig anders dan de standaard 'onze website is veilig', het gaat hier er vooral om of er tijdens de hele keten van productie, assemblage, firmware uploaden en eind-levering er geen derde partij toegang kan krijgen tot de hardware of firmware, zulke garanties moeten vrijwel volledig vanuit de hardware zelf komen en door o.a. code signing gegarandeerd worden, niet een simpel certificaatje wat je trots op de website toont.

Zelf camera's gaan openschroeven omdat je je leverancier niet vertrouwt lijkt mij niet haalbaar.
Kwestie van prioriteit en verantwoordelijkheid, meeste camera's zijn niet erg moeilijk om te openen (enkele schroefjes) dus een praktisch bezwaar kan er niet zijn, security-specialisten zat die ernaar kunnen kijken en een goed onderzoek kunnen doen dus heel veel meer excuus dan 'geen zin' is er niet.

In dezelfde filosofie zou de overheid de brondcode van Windows moeten opvragen en elk lijntje gaan analyseren.
Ja dat zou wel heel bizar zijn :+
Participation enables controlled access to source code
Dus ja, o.a. een overheid toegang geven tot relevante stukken broncode zodat er audits en controlles plaats kunnen vinden gebeurt ook al vele jaren, ook bij Microsoft.

Dat Harry's Hobby en Beunwerk BV op de hoek dit niet doet betekent niet dat de rest van de industrie beveiliging ook niet serieus neemt.
jorisporis @RGAT6 september 2022 22:40
Ik denk dat je een vrij idyllisch beeld heb van hoe overheden en hun aannemers werken. Maar het kan natuurlijk wel allemaal, openmaken en kijken of er geen grote antenne inzit is geen probleem inderdaad.
De ISO 27000 reeks en afgeleiden zoals IEC 62443 houden echt wel wat meer in dan een website beveiligen.
maurits1 @RGAT6 september 2022 18:54
Een collega van mij werkte voorheen met politie en militare radio's zo iemand weet van elk onderdeel precies wat het is en wat het doet, is helemaal niet zo ingewikkeld als je kennis van zaken heb en in dit wereldje zit.

Zijn job toen de tijd was af en toe om een batch radio's open maken en handmatig deze om te bouwen zodat die aan de veiligheid eisen des tijds verdeed.

Tegenwoordig zijn we al iets verder en zal zoiets wel iets anders gaan, maar lijkt me niet heel ingewikkeld om in een gesloten ruimte alle radiogolven van een verdacht apparaat te monitoren en elk onderdeel door te meten of die wel doet wat het hoort te doen.

Daarnaast omdat Jorisporis redelijk als een wappy klink, hier heb ik er nog 1 voor je complot theorie.
Als iemand echt kwaad zou willen heb je tegenwoordig al geen antennes of kabels meer nodig, een standalone systeem is zelfs niet veilig en dit is niet eens fictie.
Een tijd geleden ging een artikel erover dat met een virus het stroomveld van je computer onderdelen kon worden beïnvloed en de stroom pulzering creëer dan een mini wifi signaal waarmee draadloos data uitgewisseld kan worden, waardoor je van buiten nieuwe commando's kan geven, enige is dat je al van tevoren in het systeem moet zitten en je door en door moet weten hoe die werk.
jorisporis @maurits16 september 2022 20:53
Ik kan me inbeelden dat het 20 jaar geleden zo ging bij de politie, maar ik hoop dat ze tegenwoordig hun ressources beter gebruiken en gewoon een kant en klare politieradio kopen.
Ik ben het er helemaal niet mee eens dat dit makkelijk te vinden is. Op een moderne printplaat of chip moet je met een microscoop kijken wat er gebeurd. en de case kan dienst doen als antenne. Radiogolven gaat het apparaat natuurlijk enkel uitzenden als het een activatie signaal heeft ontvangen. Maar goed, mijn bedoeling was niet om een wappie te spelen. Mijn punt is dat dit in de praktijk niet gebeurt, en niet erg gemakkelijk uit te voeren is.. Ik kan je in elk geval vertellen dat dit in grote chemiebedrijven en veel spoorweginfrastructuur niet gebeurt.
gimbal @jorisporis6 september 2022 15:19
Prorail is de club waar anderen gemakzuchtig schuld op afwimpelen; ze zitten best wel onderaan de trechter. Dus ik kan me goed voorstellen dat ze de broeiende rechtszaak, kamervragen en volkshaat voor willen zijn.

NS is een van de partijen die gemakzuchtig op Prorail afschuift. En zie hoe die er momenteel in zitten. "Iemand anders moet iets doen".

Nee ik snap het volledig eigenlijk.
jorisporis @gimbal6 september 2022 15:38
NS is gewoon 100% verantwoordelijk voor zijn camera's in treinen en aan de poortjes, dat kunnen ze niet afwimpelen op Prorail.
Ze kunnen eventueel wel een openbare aanbesteding uitschrijven die dan de goedkoopste wint... Je kan geen merken uitsluiten. Tenzij men een technische reden kan verzinnen waarom bepaalde cameras niet mogen. Dus in je bestek schrijf je dan een of andere feature die huawei niet heeft.
Je kan een dergelijke keuring gaan eisen in je bestek, maar als je niet kan verwijzen naar een of andere security standaard komt dat neer op een heel duur betaalde stempel en verder niets. Behalve misschien een extra keuringsinstantie die kan deelnemen aan het vingerwijzen als het verkeerd loopt.
Frij5fd @jorisporis6 september 2022 20:54
Als je te opzichtig een eis opneemt die evident bepaalde partijen uitsluit, dan kan een uitgesloten aanbieder ook een procedure aanhangig maken. Het uitsluiten van Chinese partijen is nog niet zo makkelijk inderdaad.
cobis taba @jorisporis6 september 2022 14:20
Als je dat als steekproef doet op een aantal willekeurig gekozen camera's dan is dat natuurlijk geen probleem of zwaar argument.
FPSUsername @Cyb6 september 2022 19:29
Als je het echt serieus wilt nemen, Röntgenfoto nemen van het IC.
Urk @Cyb6 september 2022 23:22
Draadloze communicatie chips hebben toch ook op een of andere manier toegang nodig? Die kunnen toch niet zomaar data naar China versturen? Hooguit alleen als er ergens van een backdoor of lek gebruikt wordt gemaakt van andere hardware, maar dan moet dat toch ook hardware zijn op niet te grote afstand? Bovendien: zouden strakke outgoing firewall regels dit niet kunnen voorkomen?
Wazzim @Cyb7 september 2022 01:37
Doe anders direct een aluminium hoedje op. Dit gaat zo de niet-tech hoek in van samenzweringsdenken dat het op Nu.nl thuis hoort.
Xander2 @Mushroomician6 september 2022 13:13
Je kunt prima zo'n ding uitelkaar schroeven en auditen op draadloze comm. Een beetje inkoper in zo een geval doet dat bij voorbaat en steeksproefgewijs.
Dat is geen enkele garantie alleen maar een papieren werkelijkheid, m'n pa deed dat in een ver verleden voor militaire import uit Israël dat heel goed geaudit en meer dan alleen en uitvoerig met steekproeven getest werd waar uiteindelijk toch materiaal uit elkaar viel in het veld. Uiteraard niet van de eerste lichting.

En dat was een mechanisch product en handmatig meetbaar door elk persoon, een beetje inkoper heeft totaal geen benul van firmware extraction of hardware buiten specs, dat is niet te betalen.
Morress @Mushroomician6 september 2022 14:36
Inkopers zijn daar echt niet voor geschoolt. Ik snap je punt overigens.
Ablaze @Morress6 september 2022 18:09
Inkopers moeten ervoor zorgen dat wat zij inkopen voldoet aan de eisen van het bedrijf. Ze kunnen prima een sample aanvragen en die door een (extern) bureau of complianceafdeling laten onderzoeken.

[Reactie gewijzigd door Ablaze op 23 juli 2024 01:59]

Mellow Jack @Ablaze6 september 2022 19:24
Een inkoper verzorgd het proces. Een bedrijf verzorgd het framework waaraan een inkoper zich moet houden.
field33P @Mushroomician6 september 2022 14:13
Je kunt prima zo'n ding uitelkaar schroeven en auditen op draadloze comm. Een beetje inkoper in zo een geval doet dat bij voorbaat en steeksproefgewijs. Indien er een model gekozen wordt waarvan men weet dat het draadloze antenne heeft, kun je kosten-baten-gewijs die misschien fysiek onklaar maken.
De KGB had in de jaren 50(!) al microfoontjes/zendertjes ontwikkeld die niet uitzonden tenzij ze een signaal van buiten ontvingen (wat ook gelijk de stroomvoorziening was). Daarmee wisten ze jarenlang de Amerikaanse ambassade in Moskou af te luisteren. Er is niet echt een technisch obstakel om dit ook bij chips te doen, waarbij de zendfunctionaliteit pas geactiveerd wordt bij het ontvangen van een speciaal signaal.

[Reactie gewijzigd door field33P op 23 juli 2024 01:59]

dirk161 @field33P6 september 2022 14:20
Maar dan moet er nog steeds een vorm van antenne aanwezig zijn.
Stoney3K
@dirk1616 september 2022 15:27
Niet alleen een antenne, maar ook een endpoint aan het andere uiteinde die de informatie kan ontvangen, en die dichtbij genoeg is voor de antenne die ze willen gebruiken.

Voor een antenne die je ergens stiekem wil verstoppen, heb je het dan over een afstand van centimeters tot een paar meter. Dat endpoint aan de 'wal' zul je dus ook ergens moeten verstoppen én ervoor zorgen dat je geheime communicatie niet wordt onderschept.
laptopleon @field33P6 september 2022 14:40
(Niet dat ik Chinese camera’s vertrouw maar) dat wordt dan toch nog een heel gedoe met duizenden camera’s in honderden treinen. Zeker als het signaal na elke keer opstarten opnieuw gegeven moet worden. Tenzij je een wat betere antenne / systeempje per camera hebt maar dan zou je dat toch ook moeten kunnen vinden.
divvid @laptopleon6 september 2022 15:27
NS kan er ook voor kiezen om géén camera's in de trein te hangen, maar personeel in te schakelen ....oh wacht....
laptopleon @divvid6 september 2022 19:15
Ik volg het even niet. Dat is toch appels en peren vergelijken? Met een camera in elke coupe kun je op afstand in één oogopslag zien of het druk is en waar. Als je daarvoor op elke trein een personeelslid moet inhuren, wordt het wel een heel duur geintje.
divvid @laptopleon7 september 2022 07:04
En jij denkt dat die camera’s alleen dáár voor gebruikt worden?
Vroeger was get ook druk in de trein, was nooit een probleem.
laptopleon @divvid7 september 2022 09:51
Maar nu heb je nog steeds niet gezegd waar ze dan wél nog meer voor gebruikt worden. Ik snap het ‘oh wacht’ nog steeds niet.
divvid @laptopleon7 september 2022 11:34
NS...personeel, tekorten, stakingen....nieuws ... onder steen vandaan kruipend....
Meer NS personeel wordt 'm dus niet de komende tijd. Overal maar camera's neer plempen is leuk, maar uiteindelijk symptoom bestrijding, met de kans op misuse
Bart_Smith @Mushroomician6 september 2022 13:46
Erg apart hoe men over het deel dat de US bewezen spionage pleegt op zijn bondgenoten :) en de antenne theorie aanvalt.
Radiografische afluisteren is niet een echt oplossing omdat je hiervoor in de buurt van het apparaat moet zijn. Beter is om een richt antenne te gebruiken en direct het wifi netwerk aan te vallen.
Stoney3K
@Bart_Smith6 september 2022 16:10
Erg apart hoe men over het deel dat de US bewezen spionage pleegt op zijn bondgenoten :) en de antenne theorie aanvalt.
Radiografische afluisteren is niet een echt oplossing omdat je hiervoor in de buurt van het apparaat moet zijn. Beter is om een richt antenne te gebruiken en direct het wifi netwerk aan te vallen.
Punt is vooral dat het eigenlijk niet mogelijk is om dat stiekem te doen. Gerichte uitzendingen worden heel erg gauw opgemerkt, juist doordát ze gericht zijn.

Het is beter om dan het principe van 'hiding in plain sight' toe te passen en je aanval te laten verdwijnen in de massa van normaal uitziend verkeer.
Zyphlan
@Mushroomician6 september 2022 14:35
Een beetje inkoper in zo een geval doet dat bij voorbaat en steeksproefgewijs.
Geloof me ... dit doen een merendeel ( zo niet alle) echt niet... met de gedachtegang het is toch vast al gechecked door de nederlandse overheid anders zouden het NCSC wel een negatief advies gegeven hebben ( zelfs in b2b met regelmaat meegemaakt).

Het zou wel moeten en ben het volledig met je eens alleen IT is eigenlijk altijd druk en het IT budget is ook niet oneindig en heeft de gemiddelde inkoper de kennis?

Ik gok dat als er al iets plaatsvind dit bijv meer zou zijn met wissels van treinsporen zal zijn en andere kritieke netwerken.

On Topic: gevalletje prorail die bereid is het risico te nemen om financieel er beter vanaf te zijn.

Mocht er uiteindelijk wel iets in zitten kun je er vergif op in nemen dat de NS aan de deur staat te kloppen om ze met subsidie te vervangen :+

[Reactie gewijzigd door Zyphlan op 23 juli 2024 01:59]

Wijnands @Mushroomician6 september 2022 16:14
je meest recente link is uit 2015....
Polderviking @Cyb6 september 2022 11:12
Geef eens een praktijkvoorbeeld dan van een chip met "draadloze protocollen" die in een gesloten circuit toch een videostream naar huis kan sturen?
En dan dus ook dusdanig dat dat gewoon onder de radar blijft ondanks het verschepen van miljoenen van die camera's.

[Reactie gewijzigd door Polderviking op 23 juli 2024 01:59]

Zoop @Polderviking6 september 2022 11:36
Er hoeft helemaal geen stream gestuurd te worden voor dit voorbeeld.
Maar ik zal een situatie schetsen voor je:

We hebben een gesloten netwerk met verscheidene camera's.

Ik hang daar een nieuwe camera bij, ik gebruik hier voor de bedraadde aansluiting, maar besteed verder geen aandacht aan wat het apparaat verder kan. Nu blijkt deze camera ook over wifi en bluetooth verbindingen te beschikken en om met deze te verbinden/pairen heb je enkel default credentials nodig (welke je gemakkelijk met wat gegoogle kan vinden). Eenmal verbonden, kan je ook in zijn admin panel terecht, welke ook enkel default credentials gebruiken. Of whatever andere connectiviteit die misbruikt kan worden zoals @merethan's voorbeeld van een fax-inbelfunctie.

Je hebt niet veel fantasie nodig om te bedenken wat voor ongein je dan kan uithalen. Een situatie als deze ontstaat door onkunde/onwetendheid en zet een deur open voor derden om er mee te klooien. Dit hoeft dus niet eens malafide intenties vanuit de fabrikant te zijn (en of een merk dus chinees is of niet, zegt dan dus ook weinig).

Kortom: Besteed geen aandacht aan een apparaat met draadloze functionaliteit, hang deze in je gesloten netwerk en je netwerk is simpelweg niet meer gesloten.
Tjidde @Zoop6 september 2022 12:52
Plus zonder broncode weet jij niet zeker of er een user verborgen is. Waardoor je achterdeur openstaat.

Het liefst zou ik zien dat je voor dit soort dingen een configuratie kan generen, waarbij je gewoon een standaard profiel in stopt. Dat je zodra je zo'n camera aan je systeem koppelt, die automatisch die configuratie krijgt. Dit zou te doen moeten zijn als je bijvoorbeeld een standaard DNS regel hebt in je DNS server. Dit in combinatie met iets van een DHCP en je kunt gaan.

Dat je daarna via je beheer applicatie, de camera kan beheren.

Dan is de mogelijkheid je per ongeluk een instelling vergeet aan te passen als je het ding ophangt een stuk kleiner.

Je kunt/moet natuurlijk wel testen of een camera toch nog draadloos iets verstuurd als je dit uitzet in de instellingen. Genoeg oplossingen voor.
goarilla @Tjidde6 september 2022 13:56
Plus zonder broncode weet jij niet zeker of er een user verborgen is. Waardoor je achterdeur openstaat.

Het liefst zou ik zien dat je voor dit soort dingen een configuratie kan generen, waarbij je gewoon een standaard profiel in stopt. Dat je zodra je zo'n camera aan je systeem koppelt, die automatisch die configuratie krijgt. Dit zou te doen moeten zijn als je bijvoorbeeld een standaard DNS regel hebt in je DNS server. Dit in combinatie met iets van een DHCP en je kunt gaan.

Dat je daarna via je beheer applicatie, de camera kan beheren.

Dan is de mogelijkheid je per ongeluk een instelling vergeet aan te passen als je het ding ophangt een stuk kleiner.

Je kunt/moet natuurlijk wel testen of een camera toch nog draadloos iets verstuurd als je dit uitzet in de instellingen. Genoeg oplossingen voor.
Je kan met behulp van 802.1x (Port Network Access Control) of Mac based VLAN assignment je toestel in een untrusted/camera network krijgen die je dan interne IPs geeft die je niet routeert naar de rest van het netwerk/internet. Maar dan heb je wel de toestellen nodig die dit ondersteunen en ga je wellicht dezelfde lijstjes moeten onderhouden op verschillende switches/firewalls of ook die configuratie centraliseren en integreren met de rest (LDAP/Radius/DNS?).

Dat is een hele boel werk en geld voor een thuisnetwerk. Ik ben persoonlijk al blij dat mijn switches VLAN ondersteuning hebben en ik er een pfSense firewall heb kunnen voorsteken die de (inter-VLAN) routering, firewalling en traffic limiting doet.
Tjidde @goarilla6 september 2022 14:05
Ik had het nu over bedrijven/(semi) overheden.

Er zijn inderdaad nog meer dingen te doen met 802.1x maar je moet nog steeds elk ding opnieuw instellen. Terwijl zo iets makkelijk centraal geregeld kan worden, via een server.

Voor thuis zou ik via een firewall het achter een (V)LAN gooien. Waarbij je via VPN bij kunt. Ik heb zelf 2 switches i.p.v. van VLANs maar het effect is niet veel anders buiten dat ik 2 "kastjes" heb hangen terwijl jij maar 1. Bij mij zit er een NUC tussen die mijn firewall host tussen hij host ook een interne website en nog een paar dingen.
goarilla @Tjidde6 september 2022 14:16
VPN om vanaf het internet je camera's te bekijken of om je camera je interne RFC1918 netwerken niet te weten te laten komen ?
Tjidde @goarilla6 september 2022 14:30
VPN om bij mijn IoT netwerk te komen. Mijn IoT's hebben een eigen netwerk. Waarvoor een Firewall zit. Alles naar buiten is afgesloten wat afgesloten kan worden. Als er toch verbinding naar buiten moet dan mag ook alleen dat ding het en de rest niet. Waarbij ook enkel de broodnodige verbinding toegestaan is.

Mijn NUC heeft 3 nic's 1 zit direct op mijn modem, voor uitgaande verkeer vanuit het IoT netwerk. De andere twee zitten op mijn switches. Tussen mijn "normale" switch en mijn modem zit nog een extra firewall.

Beetje overkill maar het is een doorgeslagen hobby. Ik vind het namelijk super leuk en gaaf om te kijken wat ik allemaal kan met losse netwerken en VLAN's firewalls en ga zo maar door. Dan kom je uit op zo iets. Het is ooit begonnen met een apart netwerkje voor een server. Die server draai ik niet meer, maar dit is het resultaat.

Zit wel te kijken of ik het kan versimpelen, aangezien fysiek toegang tot mijn netwerkkast een mega klein risico is.
Polderviking @Zoop6 september 2022 12:59
Ik hang daar een nieuwe camera bij, ik gebruik hier voor de bedraadde aansluiting, maar besteed verder geen aandacht aan wat het apparaat verder kan. Nu blijkt deze camera ook over wifi en bluetooth verbindingen te beschikken en om met deze te verbinden/pairen heb je enkel default credentials nodig (welke je gemakkelijk met wat gegoogle kan vinden). Eenmal verbonden, kan je ook in zijn admin panel terecht, welke ook enkel default credentials gebruiken. Of whatever andere connectiviteit die misbruikt kan worden zoals @merethan's voorbeeld van een fax-inbelfunctie.
Als die camera zijn eigen radio zit uit te sturen zit je camera dus niet in een gesloten circuit. Dat was toch wel de grote voorwaarde van mijn opmerking.

Als jij dingen als wifi aan laat, standaard credentials in tact laat en meer van die gein en via je camera is vervolgens de rest van je infra exploitabel heb je een probleem ja. Maar dan hoop ik ook niet dat je je bezig houd met het camera circuit bij Prorail.

[Reactie gewijzigd door Polderviking op 23 juli 2024 01:59]

supersnathan94
@Polderviking6 september 2022 13:27
Maar hoe ze je het uit dan? En hoe check je dat het ook daadwerkelijk uit blijft?

“Ja maar toggle in het menu”, ja die heeft ziggo ook, maar ten tijde van die wifi spots kin je die niet gebruiken en moest de klantenservice deze voor je uitzetten.

“Ja maar credentials wijzigen”, Volgens mij weten we ondertussen ook dondersgoed dat er veel hardware wordt verkocht waar je het überhaupt niet kan wijzigen en dat het heel goed mogelijk is dat er nog een generated ROOT account in zit met hardcoded password.

Dit moet je dus actief allemaal checken en bijhouden, maar bewijzen dat deze dingen er wel in zitten is relatief triviaal. Bewijzen dat het er niet inzit is een ander verhaal.
Polderviking @supersnathan946 september 2022 13:55
Maar hoe ze je het uit dan? En hoe check je dat het ook daadwerkelijk uit blijft?
Radiosignalen kan je gewoon meten hoor.
Voor jou als jan hobby misschien wat lastig maar als je zo'n ding serieus moet auditen lijkt me dat moeilijk verborgen te houden.
“Ja maar credentials wijzigen”, Volgens mij weten we ondertussen ook dondersgoed dat er veel hardware wordt verkocht waar je het überhaupt niet kan wijzigen en dat het heel goed mogelijk is dat er nog een generated ROOT account in zit met hardcoded password.
Volgens mij is vooral Cisco beroemd met precies dit soort gerommel in hun software. Geen chinees bedrijf. ;)
supersnathan94
@Polderviking6 september 2022 16:00
Welkom in de wereld van voorspelbare controles.

Auditing is geen continu proces wat 24/7 staat bijhoud en alarm slaat als er iets niet klopt. Het zijn momentopnames van bepaalde zaken.

Een simpel voorbeeld waarom Samsung bijvoorbeeld zo kut is met zijn TV’s, deze gaan na verloop van tijd steeds meer reclame tonen, maar hier beginnen ze pas mee na de retourwindow. Wat vaak dus minstens een maand is. Hierdoor valt dit dus buiten alle reguliere reviews en als het je eenmaal opvalt kun je het apparaat als consument niet meer retour doen.

Wat heeft Samsung gedaan? Heel simpel door een timer het hele auditing proces van reviews en WKOA omzeilen.

Zelfde geldt hier. Ja je kunt wifi meten, maar als je dit met een handmatige audit doet is de kans vrij groot dat je dit gewoon overdag tijdens kantooruren doet. Dus? Simpelweg gewoon de radio niet aan hebben staan tussen 7 en 20 uur. Ga je het overdag dus gewoon niet meten.

Zo zijn er wel meer truukjes om auditing te omzeilen. Zoals je antenne vermommen als trafo of PCB trace bijvoorbeeld (fake ground).
Volgens mij is vooral Cisco beroemd met precies dit soort gerommel in hun software. Geen chinees bedrijf. ;)
Oh ja eens. Ben ook absoluut niet per se tegen chinese meuk, maar ben me er wel van bewust dat het niet handig is om het risico te lopen.

[Reactie gewijzigd door supersnathan94 op 23 juli 2024 01:59]

Zoop @Polderviking6 september 2022 14:37
Punt is dat het heel erg makkelijk mis kan gaan, en als de apparatuur van een plek vandaan komt waardoor dit moeilijker te controleren valt (vandaar de angst voor chinees spul, niet dat dit niet mis kan gaan in producten van andere landen ofzo), zeker als de software niet open is (want welke garantie heb je, dat als je je alles digtimmert en uitzet, dat de software dit niet ongedaan maakt? hetzij door een simpel bugje).
hamsteg @Zoop6 september 2022 14:32
Theoretisch heb je gelijk, praktisch is het ook zeker te doen maar dat geldt voor elke apparaat met wireless connecties van elke leverancier. Omdat het woordje 'Chinees' er direct aanhangt schieten we in een reflex, pak een Amerikaans/Duits bekend merk ... dan zit daar ook in meerderheid China/Taiwan in.

Dit zijn massaproducten die niet zomaar extra componenten aan boord hebben in verband met kostprijs. Bestel ze gewoon zonder WiFi/BT en er is niets aan de hand. Vertrouw je het niet dan zet er een dag of wat een stralingsmeter naast.
locke960 @Polderviking6 september 2022 11:58
Zo werkt beveiliging dus niet. Beveiligen is niet afwachten totdat iemand komt met een voorbeeld. Beveiligen is vooral anticiperen en potentiële aanvalsvectoren preventief blokkeren.

Met andere woorden, als de informatie van jou camera (niet alleen de video stream) zo belangrijk is dat deze niet in vreemde handen mag vallen, dan zul je ook met wat exotischer scenario's rekening moeten houden.

In het camera voorbeeld kan ik in 2 minuten het volgende bedenken:

UMTS hardware ingebouwd, standaard niet actief. Wifi ingebouwd, zend niet, luistert alleen maar tot dat de geheime code ontvangen wordt. Chinese "tourist" gaat met zijn laptop naar "interessante plekken" en probeert via wifi met camera's te verbinden. Indien succes: UMTS activeren, software SIM installeren en backdoor is daar.

Teveel werk? Niet waarschijnlijk? bedenk dan dat er nu directe UMTS naar satellieten mogelijk is. De link verwijst naar een artikel over Tesla. Maar de Chinezen kunnen zoiets natuurlijk ook, zijn ook bedrijven hard mee bezig.
Dergelijke verbindingen zijn waarschijnlijk niet snel genoeg om mee te kijken, maar wel om de camera naar huis te laten bellen, daar te bepalen of de camera interessant is, en indien dat het geval is een permanente SIM voor een lokaal UMTS network up te loaden.

Op dit moment klinkt dit misschien wat overdreven, maar het zal niet zolang meer duren totdat "satelliet UMTS" universeel aanwezig is, en UMTS in chips geen drol meer kost.

En als je nog steeds denkt, ik ben niet interessant voor de chinezen, bedenk dan dat dat heel snel kan veranderen, bijvoorbeeld als je zoon met een oeigoerse vriendin thuiskomt, vooral als het er eentje is die niet te beroerd is haar mond open te trekken.

[Reactie gewijzigd door locke960 op 23 juli 2024 01:59]

Polderviking @locke9606 september 2022 13:57
En die UMTS hardware gaat niemand die zo'n ding een keer openschroeft zien zitten?
Kecin @Polderviking6 september 2022 14:11
De grap is vaak met zulk soort exploits dat ze niet in elk apparaat zitten. Alles volstouwen en verzenden (schieten met hagel dus) is onbetrouwbaar en het valt teveel op. Je zal dus eerder zien dat een aannemer een intern board vervangt of ergens in de productielijn een aanpassing. Vergeet ook niet dat je met andere apparaten makkelijk signalen kan sturen, fysieke toegang is bijna mogelijk op centimeters na. Er kan prima een bepaald activatie machinisme inzitten. Niet in alle, maar bijvoorbeeld 0,01 procent.
Stoney3K
@Kecin6 september 2022 15:35
De grap is vaak met zulk soort exploits dat ze niet in elk apparaat zitten. Alles volstouwen en verzenden (schieten met hagel dus) is onbetrouwbaar en het valt teveel op. Je zal dus eerder zien dat een aannemer een intern board vervangt of ergens in de productielijn een aanpassing. Vergeet ook niet dat je met andere apparaten makkelijk signalen kan sturen, fysieke toegang is bijna mogelijk op centimeters na. Er kan prima een bepaald activatie machinisme inzitten. Niet in alle, maar bijvoorbeeld 0,01 procent.
Dan is zo'n kwaadwillend apparaat dus al onderdeel van een heel gerichte aanval op een specifiek target. Dat ga je er met geen enkele steekproefsgewijze audit er uit pikken, omdat zo'n apparaat bewust gemaakt is om alle screenings zo veel mogelijk te ontglippen.

Maar die situatie ga je niet tegen komen bij standaard beveiligingscamera's van de NS, want daar heeft welke spionerende overheid dan ook vrij weinig te zoeken.
Kecin @Stoney3K6 september 2022 17:24
Nou, dat is het hem dus. Een bluetooth beacon in een trein kan super interessant wezen op het moment dat je iemand volgt. Maargoed, er zijn wel meerdere manieren om dat makkelijker te doen dan via een import camera.

Zelf vond ik dit wel geinig om te zien qua clandestiene operaties in o.a Moskou en Iran, de vrouw Jonna Mendez (vrouw van de man die Ben Affleck speelt in de Argo) heeft gewerkt bij de CIA om spionnen camouflage te geven en mogelijkheden om surveillance minder makkelijk te maken. Tegenwoordig werkt ze bij het “Spy Museum”, apparaten die 40+ jaar oud zijn werken perfect, superklein, dus dan wil je niet weten wat er nu is. Incoming YT spam van het Wired kanaal:

https://youtu.be/DD841NmJbjM
https://youtu.be/D07CkMbGEkM
https://youtu.be/mUqeBMP8nEg
Stoney3K
@Kecin6 september 2022 17:31
Nou, dat is het hem dus. Een bluetooth beacon in een trein kan super interessant wezen op het moment dat je iemand volgt. Maargoed, er zijn wel meerdere manieren om dat makkelijker te doen dan via een import camera.
Dat is het dus precies: Hooguit voor een specifieke, gerichte aanval is het interessant, en dan heb je het al over een situatie waarin een aanvaller koste wat kost een vector wil vinden om één enkel doelwit aan te vallen. Je hebt als aanvaller dan ook fysieke nabijheid nodig tegenover je slachtoffer, even een camera aan de andere kant van de wereld wakker maken met een magic packet over het internet zit er echt niet in.

In dat geval spreek je ook niet meer over grootschalig uitbuiten van kwetsbaarheden maar om speldenprik-aanvallen en die zijn heel moeilijk te detecteren, juist omdat ze er op gemaakt zijn om zoveel mogelijk detectiemethoden te ontglippen.

[Reactie gewijzigd door Stoney3K op 23 juli 2024 01:59]

locke960 @Polderviking6 september 2022 14:59
Je focust nu op mijn specifieke voorbeeld welke ik, als niet expert in zulke zaken, in 2 minuten bedacht heb. Dat betekent dat experts, voor wie dit hun werk is, met veel betere variaties op de proppen kunnen komen.

Het belangrijke deel zijn de eerste regels. Als je serieus iets te beveiligen hebt, dan moet je het goed doen, er hard over nadenken, en niets uitsluiten als "dat gebeurt toch niet".
Want als je serieus iets te beveiligen hebt, heb je ook te maken met een serieuze tegenstander die er wel de nodige moeite voor wil doen.

ps. in mijn voorbeeld: ik zou de UMTS in een bestaande chip bijbouwen, en voor de antenne sporen op de printplaat gebruiken. Aangezien je het ontwerp als geheel onder controle hebt, zou het te doen moeten zijn legitieme sporen een dubbelfunctie te geven. waarschijnlijk niet ideaal, maar perfectie is niet noodzakelijk.

[Reactie gewijzigd door locke960 op 23 juli 2024 01:59]

Cyb @Polderviking6 september 2022 11:22
Als het volledig gesloten is, dan gaat dat niet. Het probleem is dat mensen denken een systeem gesloten is, maar dat in werkelijkheid niet volledig het geval hoeft te zijn. Het simpelweg hangen van een camera in een lokaal "afgesloten" netwerk of vlan, is niet per afgesloten.
Bijna alle camera's hebben chips met draadloze protocollen (802.11 etc). Zolang je niet weet hoe en wanneer deze aangestuurd worden of kunnen worden, is een systeem niet gesloten. Daarvoor heb je het hardware ontwerp nodig, en vaak aangevuld met broncode.

Een camera in een vlan zou bijv. extern aangestuurd kunnen worden via wifi, ook als je denkt dat wifi uitgeschakeld is, of hebt "uitgeschakeld" in de instellingen. De camera zou bijv. voorgeprogrammeerd kunnen zijn om 1 sec per dag open te staan voor externe opdrachten over wifi, wat voldoende is volledige controle over de camera over te nemen. Of dit daadwerkelijk kan, hangt allemaal af van de hardware en software.
k995 @Cyb6 september 2022 11:40
En is dit ooit voorgekomen?
Cyb @k9956 september 2022 11:46
In cybersecurity wordt (i.t.t. veel andere vormen van security) meestal niet gekeken naar of iets ooit voorgekomen is, maar of iets technisch mogelijk is. (Het antwoord op dat laatste is: ja, en dat gaat nog heel gemakkelijk ook.)
SED @Cyb6 september 2022 12:05
Zien of er een chipset met WiFi op zit is simpel te doen.
Een gesloten vlan maakt externe controle onmogelijk.
Controle firmware is lastiger. Je zou echter kunnen kijken naar een vervangende Community firmware om ook dat risico verder te vermijden.
Maar een afgeschermd deel van het netwerk met eigen dvr servers zonder internet access is ruim voldoende.
Zynth @SED6 september 2022 12:43
Hoe controleer je precies op een chipset met wifi?
China maakt tegenwoordig aardig veel chips.
Wat als ze een chip zonder wifi klonen, er wifi bij in proppen, en er een het labeltje op printen van de gekloonde chip.
Een mini antenne past in de behuizing van de chip, met een bereik van slechts een meter, of je doet het op een andere manier creatief.
Natuurlijk kan je daar achter komen, maar zo'n audit is bijzonder complex.

[Reactie gewijzigd door Zynth op 23 juli 2024 01:59]

EraYaN @Zynth6 september 2022 12:49
Wifi heeft nou eenmaal een antenne nodig en is ook erg goed te detecteren aan signalen. Ze zouden UWB ofzo moeten doen om in de noise weg te vallen.

Dit is echt niet het complexe onderdeel van die audit, de firmware is een veel grotere uitdaging. Daarbij zijn de meeste IP camera's verrassend simpele devices (op PCB niveau dan).
Zynth @EraYaN6 september 2022 14:08
Zoals eerder gezegd; de wifi zou uit kunnen staan, en maar 3 seconde per dag "ontvangst only" kunnen doen.
Met een micro antenne die maar een meter bereik heeft.
Dat is voldoende om met een laptop vanaf vlakbij een "hack" te activeren.

De firmware is inderdaad cruciaal. Maar je kan zelfs code in ROM stoppen, die niet eens deel uitmaakt van de "gewone" firmware. Of hard "vastbakken" in het chipontwerp zelf.

[Reactie gewijzigd door Zynth op 23 juli 2024 01:59]

EraYaN @Zynth6 september 2022 14:57
Maar goed dat is een veel minder grote dreiging natuurlijk want als iemand erbij kan kan er ook attack op de kabel gebeuren, dat is veel makkelijker. Het gaat om grootschalig op een afstand iets met die devices doen.
Zynth @EraYaN6 september 2022 15:14
Zoals door @locke960 uitgelegd, kan op deze manier bijvoorbeeld een UMTS modem geactiveerd worden.
Punt is dat als je 1 apparaat in het "beveiligde netwerk" kan binnendringen, je vervolgens via dat apparaat kan rondsnuffelen/hacken van binnenuit dat netwerk.
Het gaat om grootschalig op een afstand iets met die devices doen.
Dat is niet de enige use case voor een hacker.
Een entrypoint in een beveligd netwerk, om vanuit verder te hacken, is ook een prima usecase.

[Reactie gewijzigd door Zynth op 23 juli 2024 01:59]

SED @Zynth6 september 2022 20:34
Klopt, maar dat gaat onverminderd op voor elk merk van elke leverancier uit elk land.
Vertrouwen is de basis en een audit de zekerheid voor zover een audit alles kan onderzoeken.
ochhanz @SED7 september 2022 17:26
Klopt, maar dat gaat onverminderd op voor elk merk van elke leverancier uit elk land.
Vertrouwen is de basis en een audit de zekerheid voor zover een audit alles kan onderzoeken.
, maar dan ga je toch niet een Chinees staatsbedrijf (/beide zijn deels in handen van de Chinese staat) vertrouwen? We hebben het hier over een overheid die overal in eigen land gezichtsherkennings camera's rondhangt om mensen te volgen (voor dubieuze redenen) en een overheid die bekent staat dat die andere landen/bedrijven hacked om blueprints en dergelijk te stelen.
SED @ochhanz8 september 2022 09:01
Maar een commerciële partij die als verdienmodel die zelfde data heeft vertrouw je wel? 8)7
ochhanz @SED11 september 2022 15:57
Maar een commerciële partij die als verdienmodel die zelfde data heeft vertrouw je wel? 8)7
, ik vind dat er best een groot verschil is tussen camera's van een dubieus Chinees staatsbedrijf en bijvoorbeeld Bosch. 8)7
F_J_K Forummoderator @Cyb6 september 2022 12:25
Deels eens, maar dat geldt dan voor -alles- met een stekker, en zonder stekker (https://en.wikipedia.org/wiki/The_Thing_(listening_device) is een hele bekende). En alles uit China weren is niet voldoende zolang er dingen als nieuws: Maker it-managementsoftware Kaseya getroffen door 'supply chain attack' gebeuren.

Absolute veiligheid bestaat niet, de rest is een kwestie van afwegingen maken.
k995 @Cyb6 september 2022 12:54
De vraag is altijd wat is het risico, wat is de schade en hoeveel kost het om dat te vermijden.
Sn0wblind @k9956 september 2022 12:14
Er zijn systemen ontwikkeld wasrmee data werd verzonden door middel van de fan snelheid aan te passen constant om zo visueel de bits eruit te sturen. Onderschat niet hoever dit kan gaan.

Of pc vibraties.... https://www.zdnet.com/art...-using-pc-fan-vibrations/
k995 @Sn0wblind6 september 2022 12:56
Academische, nogmaals je moet risico altijd afmeten naar hoe vaak komt dit effectief voor.
BLACKfm @Cyb6 september 2022 12:35
"Het probleem is dat mensen denken een systeem gesloten is, maar dat in werkelijkheid niet volledig het geval hoeft te zijn."

Ah, het 'Whatsapp is veilig, want E2E encryptie', maar vervolgens niet weten wat er tussen het verzenden aan de ene kant en ontvangen aan de andere kant wel niet gebeurt...

En men kan dan nog wel 110% overtuigd zijn op basis van publieke informatie, zolang je niet zelf in de software en servers van Facebook zit kan de kans dat er 'niks' gebeurt hooguit 99,9999999...% zijn.

Anders zouden criminelen overigens totaal geen probleem moeten hebben met het gebruik van Whatsapp, want of ze nou een aanslag willen beramen of niet 'er kan toch niemand meekijken'...

Ik kan het niet bewijzen, maar als je maar genoeg 'triggerwoorden' in je berichten gebruikt gaat er wel ergens een lampje bij je whatsapp-account knipperen en staat er binnen de kortste keren ineens wel een heel verdacht wit busje aan het einde van de straat.
Ja, ik kijk veel films :P

[Reactie gewijzigd door BLACKfm op 23 juli 2024 01:59]

Tjidde @Cyb6 september 2022 13:01
Het valt te testen of uit ook uit is.

Stop dat ding in een Faraday doos, leg er een tester naast en zet de camera aan. Laat dit ding voor een extreme lange tijd liggen en je weet het zeker.

Maar het maakt het leven al makkelijker dat er broncode beschikbaar is, hardware ontwerp is wel extreme luxe.

Heb een instelling die betrouwbaar is die dit soort testen met bijvoorbeeld camera's doen. Waarbij (semi) overheidsorganen verplicht worden dat ze spullen gebruiken waarbij een test gedaan is.

Als je met een instelling of zo iets werkt, zou hardware ontwerpen met behulp van een NDA misschien een stuk makkelijker zijn. Je wilt als fabrikant, toch wel moeten kunnen zeggen onze camera is veilig genoeg voor de overheid dus koop ons.
Megarobo @Tjidde6 september 2022 14:08
Je geeft aan dat het te testen valt of uit ook uit is, maar van wat ik in andere reacties lees hoeft dit niet altijd het geval te zijn toch? Ik las eerder een voorbeeld van een systeem dat enkel luistert, en pas wanneer het een "geheime" code ontvangt gaat zenden. Je kan de camera dan zo lang als je wil in een doos leggen, maar je zal dan nooit iets meten.

Als je dan vervolgens de conclusie trekt dat de camera veilig is, en je je netwerk gesloten waant, is dat mogelijk nog gevaarlijker. Er hoeft ten slotte maar iemand langs te komen die de code weet en ze zijn zo binnen.
Tjidde @Megarobo6 september 2022 14:16
Daar moet echt wel omheen gewerkt kunnen worden. Bijvoorbeeld door random bits te sturen, een censor te bouwen die direct op de ontvanger zit aangesloten. Als de Wi-Fi(o.i.d.) module "uitstaat" en je luistert direct af op de chip zelf. Kun je echt wel zien of er data op en neer gaat.

Er zijn wel meer manieren te bedenken, ik zeg niet dat het makkelijk is. Maar het zou mogelijk moeten zijn.
merethan @Polderviking6 september 2022 11:21
Als er een radio op zit is je VLAN niet veilig. Het gaat niet om een videostream.

(Het zijn in essentie Linux servers met default root passwords.)

Doet mij denken aan dat goed beveiligde netwerk waar men binnen kwam via inbellen op de fax-functie van een multi-functional. VLAN's, firewall etc. nutteloos.
The_Woesh @Polderviking6 september 2022 11:51
Het zal lastig zijn, maar een camera zou uitgerust kunnen worden met een chip voor gezichtsherkenning die niet op de specificaties staat. Via een low-bandwidth netwerk zou deze met de buitenwereld kunnen communiceren.

Stel dat de camera éénmalig zich zou identificeren. Ik ben camera X op locatie XYZ en vervolgens niks meer doet.

Op een dag zoeken de chinesen een gevaarlijke dissident. Ze kunnen dan de telemetrie van zijn gezicht sturen naar de camera's rondom zijn vermoedelijke locatie. Zodra een camera de persoon herkend heeft stuurt deze dan een bericht door. Camera X, persoon Y gelokaliseerd.

Daar is geen video stream voor nodig en kan toch heel erg gevaarlijk zijn. Dit kan je alleen detecteren door alle onderdelen van de hardware zeer nauwkeurig te analyseren.
Tjidde @The_Woesh6 september 2022 13:11
Een bedrijf als ProRail, zou voor herkenning van objecten op hun beelden een server moeten hebben die de camera update. Of waar de camera aan de server de beelden doorgeeft, met de vraag "ik weet het niet help aub".

Daarvoor hoef je niet de buitenwereld in. Die server of train jezelf of je hebt extreem voorzichtig moet nieuwe datasets erop zetten.

Dit zou standaard moeten zijn voor (semi)overheid. Er zou geen enkel maar dan ook geen enkele reden moeten zijn dat een camera contact nodig heeft met de buitenwereld.

Als je een stream van een camera wilt tonen, doe je dat via een server in een DMZ die met zware restricties bij de server kan die de camera's verwerkt en enkel maar ook enkel de data laat zien van de camera's waar dat mogelijk bij is.

Ik zou zelfs voor een thuissysteem alles op een eigen (V)LAN gooien, met een extra firewall er tussen waar van ik enkel via een VPN bij kan. Hierbij zou ik zelfs zo ver gaan dat alle andere verbindingen dan via de VPN niet kunnen inloggen op de "server" die de data verwerkt.

Of ik die VPN beschikbaar zou maken voor buiten af? Denk het niet. Misschien achter mijn normale VPN.
svennd @Cyb6 september 2022 11:21
Akkoord, maar je moet wel je threat model bepalen. In theorie kan die camera voldoende straling geven dat de beelden kunnen uitgelezen worden op afstand, ondanks dat hij in een vlan staat. Maar dat zou enkel nuttig zijn in specifieke aanvallen, iets wat duidelijk niet de aanvals vector is hier.

Overigens is dat eenvoudig te fixen met een Faraday kooitje er rond te zetten.

[Reactie gewijzigd door svennd op 23 juli 2024 01:59]

Cyb @svennd6 september 2022 11:29
Mijn post ging niet over theoretische straling waarmee mogelijk beelden uitgelezen kunnen worden, maar over de aanwezigheid van wifichips waar je geen controle over hebt. Maar een Faraday kooi zou misschien inderdaad wel eens een goede oplossing kunnen zijn. Al hoewel ik niet weet of goed dat werkt bij de camera lens, die zichtbaar moet zijn.
svennd @Cyb6 september 2022 11:49
Wifi chips die rogue zoeken naar open wifi kanalen en daar data over versturen zouden wel zeer eenvoudig te detecteren zijn ... Bluetooth chips zijn ook eenvoudig te detecteren. Er zijn tal van vectoren te bedenken waar een aanvaller de camera kan bereiken, maar dat moet vrijwel altijd "in de buurt zijn". Dus niet op grote schaal te doen.

Als state actor is dat eigenlijk te traag, er zijn eenvoudigere manieren, zoals alle netwerking gear, die kun je niet eenvoudig in een aparte vlan steken, en die kunnen gerust jaren liggen wachten op een activatie signaal van thuis. Zodra je die in handen hebt kun je die simpele webcam gewoon forwarden en klaar :)
Oon @Cyb6 september 2022 11:32
indien die aanwezig zijn, ook de broncode hebt onderzocht op externe toegang.
8)7


Vrijwel geen enkel bedrijf onderzoekt broncode van apparaten die ze gebruiken, zelfs veiligheidsdiensten doen dat niet.

Je bepaalt of je een apparaat vertrouwt binnen het beoogde doel en de criteria voor dat vertrouwen, zo niet dan maak je er geen gebruik van. Als een camera inderdaad draadloze mogelijkheden heeft en je die niet dicht kan timmeren dan gebruik je die camera niet.

Maar ik kan me niet voorstellen dat ProRail of NS zo dom is om draadloze beveiligingscamera's te gebruiken, die gebruiken gewoon PoE camera's want anders heb je er geen reet aan voor beveiliging.
Cyb @Oon6 september 2022 11:40
Vrijwel geen enkel bedrijf onderzoekt broncode van apparaten die ze gebruiken, zelfs veiligheidsdiensten doen dat niet.
Tenzij open source.
Maar ik kan me niet voorstellen dat ProRail of NS zo dom is om draadloze beveiligingscamera's te gebruiken, die gebruiken gewoon PoE camera's want anders heb je er geen reet aan voor beveiliging.
Of een camerasysteem draadloos is, is iets dat je niet altijd uit de specs kunt halen. Je zal in dat geval wel degelijk de hardware moeten onderzoeken.
Oon @Cyb6 september 2022 11:44
Het proces is (als het goed is) dat er één camera besteld wordt, vaak kan dat gratis als sample. Die wordt ingesteld en bekeken, en er wordt dan gecheckt welke verbindingen mogelijk zijn.
Een camerasysteem op die schaal is echt zeker wel van te voren 100% zeker draadloos of bedraad, want deze partijen kopen expliciet PoE camera's in bij leveranciers, die kopen niet gewoon een camera op Bol.com in de hoop dat het iets is.

Zou heel vreemd zijn als er iemand bij ProRail gewoon 100 willekeurige Chinese camera's inkoopt zonder expliciet contact met de leverancier over wat de verbindingsmogelijkheden zijn en welke chip er bijv. in zit. Daar hoef je 'm niet eerst voor in handen te hebben, daar zit meestal gewoon een Nederlandse partij of Engelssprekende contactpersoon tussen die echt wel weet waar ze het over hebben.
Luchtbakker @Cyb6 september 2022 11:27
[...]

De fout die veel Tweakers gebruikers maken is: denken dat een vlan of lokaal netwerk voldoende is. Je hebt het dan pas in eigen handen als je daarnaast óók hebt uitgesloten dat er geen chips aanwezig zijn met draadloze protocollen, en indien die aanwezig zijn, ook de broncode hebt onderzocht op externe toegang.
Als er daadwerkelijk iets van draadloze communicatie in had gezeten, dan waren er voldoende onderzoeken geweest die het hadden geconstateerd. Zo iets is gewoon meetbaar.

Het risico zit hem (zoals bekend) meer in chinese camera's hangen in open netwerken. Een apart VLAN in een gesloten netwerk zonder mogelijkheid tot toegang naar buiten is voldoende.
Cyb @Luchtbakker6 september 2022 11:36
Als er daadwerkelijk iets van draadloze communicatie in had gezeten, dan waren er voldoende onderzoeken geweest die het hadden geconstateerd.
Dat zijn aannames. Veel mensen nemen hier net zo gemakkelijk aan dat het gebruiken van een VLAN "voldoende" is. Voor de gemiddelde niet-afpersbare thuisgebruiker, is dat vaak voldoende. Maar bijv. politici moeten voorzichtiger zijn.
Zo iets is gewoon meetbaar.
Het is inderdaad in theorie te meten of er wifi straling is, maar stel dat de camera 1 keer per maand, 1 seconden openstaat voor externe opdrachten, dan moet je dus 1 maand lang continue gaan meten of een camera potentieel wifi activeert. Dat is niet te doen, tenzij je een continue hoog accuraat monitoring systeem hebt draaien. Praktisch gezien valt dat al snel af.
bzuidgeest
@Cyb6 september 2022 14:26
En waar denk je dat die wifi mee verbind in die ene seconde? Een lokale chinees? En waarom stel je niet dezelfde eisen aan de Amerikanen? Wifi netwerken zijn gewoon in de meeste gevallen netjes beveiligd.
Stoney3K
@Cyb6 september 2022 15:47
Het is inderdaad in theorie te meten of er wifi straling is, maar stel dat de camera 1 keer per maand, 1 seconden openstaat voor externe opdrachten, dan moet je dus 1 maand lang continue gaan meten of een camera potentieel wifi activeert. Dat is niet te doen, tenzij je een continue hoog accuraat monitoring systeem hebt draaien. Praktisch gezien valt dat al snel af.
Ik kan mijn voordeur ook proberen te beveiligen tegen elke mogelijke 'aanval' die een potentiële inbreker er op los probeert te laten. Van lockpicks tot slijptiollen tot explosieven, als je élke aanvalsvector wil uitsluiten dan is de enige conclusie dat je je voordeur maar moet laten wat het is en er een muur van moet maken van gewapend beton.

In de praktijk maak ik een afweging als het om beveiliging gaat en is mijn voordeur voldoende beveiligd door hem met de sleutel op slot te draaien.
Skywalker27 @Cyb6 september 2022 11:39
Precies dat en airgapping helpt niet meer en is zelfs nog gevaarlijker door het gebrek aan updaten en monitoring.
MsG @Cyb6 september 2022 12:19
En dat wordt wel gedaan bij de veiliggewaande merken? Nee, in de praktijk gaat dat ook maar uit van een gevoel.
batjes @Cyb6 september 2022 12:31
Daar komt bij dat VLAN's zonder beetje fatsoenlijke modems/routers of switches waarbij je poorten vast zet op een VLAN, niet bepaald enige veiligheid toevoegd.
bzuidgeest
@Cyb6 september 2022 14:22
Achterdeurtjes in de broncode zijn nutteloos als ze in een gesloten netwerk hangen. Huawei geeft op verzoek gewoon inzicht in de broncode aan grote partijen. En er zijn manieren om te verifiëren welke code in jou apparaat zit.
Draadloze protocollen? Wifi en Bluetooth of de anderen hebben een beperkt bereik, die halen china niet. Zeker niet met een in de chip verborgen antenne. Wellicht verwacht je dat de chinese overheid onder elke camera een chinees parkeert? Verbinden met willekeurige netwerken zit er ook niet in als die goed beveiligd zijn. Misschien heb jij nog wifi zonder beveiliging, maar de meesten niet meer.
En als laatste waarom niet dezelfde controles op camera's van andere merken. Van de US is spionage bewezen, maar we lichten geen US materiaal door. Zouden we zeker wel moeten doen.
De grootste fout die jij maakt is denken dat de Chinezen anders zijn dan de Amerikanen.
blorf @Cyb6 september 2022 14:32
Het verdachte apparaat moet dan wel actief een draadloos protocol open ondersteunen, wat niemand door heeft. Klinkt me erg onwaarschijnlijk.
kodak
@Polderviking6 september 2022 10:58
Bij aanschaf en gebruik gaat het niet alleen om kosten of beveiliging, maar ook bijvoorbeeld of de fabrikant die je geld geeft en werk levert aan je maatschappelijke waarden voldoet.
Niet ieder bedrijf staat er bijvoorbeeld achter direct of indirect wat men noemt misstanden te steunen.
litebyte @kodak6 september 2022 11:01
In dit geval wel, prorail's besluit is om veiligheidsredenen.
watercoolertje @litebyte6 september 2022 11:27
Waar blijkt dat precies uit dat ProRail dat om die reden doet? Ik lees dat in het artikel niet terug.

Ik lees over gebrekkige beveiliging van de camera's ik lees dat prorail alle camera's gaat vervangen (ook westerse), maar nergens staat dat ProRail die beveiliging als reden opgeeft/gebruikt?

[Reactie gewijzigd door watercoolertje op 23 juli 2024 01:59]

kodak
@litebyte6 september 2022 11:33
Er staat niet of het de enige reden is. Terwijl dat best belangrijk kan zijn in de beslissing. De redenen om aan te schaffen waren waarschijnlijk ook niet alleen of het aan de veiligheidseisen zou voldoen.
Polderviking @kodak6 september 2022 11:00
Maar die maatschappij heeft hun geld al als die camera's er al hangen.
kodak
@Polderviking6 september 2022 11:16
Dat is niet zomaar een reden om niet te gaan afschrijven. Afschrijven kost geld, maar dat kan minder waard zijn dan andere argumenten.
Iblies @kodak6 september 2022 12:11
Wat is dit voor onzinnig politiek geneuzel als de hardware uiteindelijk uit China komt?


Door dit soort activistisch ongein word er ergens op zee olie overgepompt van russische schepen naar andere schepen omdat er geen alternatief is, oliemarkt is geen vrije markt omdat aanbod fysiek beperkt is.
Hetzelfde zie je nu gebeuren bij gemeentes die nu ook langzaamaan wakker worden, gelukkig dat er veel lokale politieke partijen zijn,
Dat zit zo: gemeenten die hun contract opzeggen, moeten opnieuw gas inkopen op de Europese markt. De gasmix die daar beschikbaar is, is nog altijd deels Russisch. En omdat de prijs van gas inmiddels ruim tien tot vijftien keer hoger ligt, levert het Rusland flink extra inkomsten op.
Zelfs de NOS is om.


Als je echt iets wilt betekenen,
eet geen bananen, eet geen mango’s, eet geen avocado’s, eet geen ananas drink geen koffie,.


En een ieder die gaat schreeuwen whataboutism, 100% gelijk in, verschil is dat deze maatstaf veel makkelijk is na te leven en daar wordt niet eens over gesproken,
dus waarom ander politiek-correct geneuzel aanhoren als je weet dat uiteindelijk toch geen geld in eigen mensen en middelen wordt gestoken. Het materiaal is zelfs te koop maar met de kennis dat het achterhaalde techniek is.
goarilla @Iblies6 september 2022 14:08
Als je echt iets wilt betekenen,
eet geen bananen, eet geen mango’s, eet geen avocado’s, eet geen ananas drink geen koffie,.
Jep en misschien ook geen tomaten meer uit Nederlandse kassen in de herfst/winter (die gebruiken eigen gasgeneratoren voor verwarming/verlichting en CO2 productie) of Italie/Spanje. Je vervoert in dat laatste geval 95% water ook een 2000 tal km. Als er dan toch voedsel getransporteerd moet worden laat het dan al droog zijn (granen, noten, rozijnen, ...).
Iblies @goarilla6 september 2022 17:55
Nederlandse tomaten gebruiken hoofdzakelijk grondwarmte en in Spanje valt relatief veel regen 🤔
https://www.researchgate....-1971-2000_fig3_264889492

De zomers zijn er alleen relatief warm.
kodak
@Iblies6 september 2022 16:45
Ik stel alleen dat er meer redenen zijn om ergens mee te stoppen. Er zijn ook redenen om ergens mee te beginnen. Dan kan je wel van alles gaan noemen waarom het wel of niet redelijk is, maar dat is dat wijzigt niets aan de situatie dat er meer redenen kunnen zijn dat iets dan tot een andere keuze kan leiden.
Mars Warrior @Polderviking6 september 2022 11:31
Elk product heeft zo bij tijd en wijlen de nodige problemen met veiligheid: Ook Siemens (https://www.google.com/se...mens+camera+vulnerability), al stamt dat al uit 2016.

Verder als je geen DNS en IP Gateway invult bij de Dahua en Hikvision camera's dan doen ze het nog netjes op het LAN, maar kunnen verder niet naar buiten.

Of dat voldoende veilig is weet ik niet, maar zo komt het bij mij wel over...
wiseger
@Mars Warrior6 september 2022 11:41
Zo werkt het niet. Als de chips code bevatten om een verbinding naar een vast IP op te zetten, dan heb je niets aan DNS beperkingen. Je bent dan afhankelijk van je eventuele firewall.
Skit3000 @Polderviking6 september 2022 12:01
En wat als een overheid de leverancier van jouw camera's dwingt om een backdoor in te bouwen, waarbij bijvoorbeeld een verborgen wifinetwerk aan wordt gezet nadat de camera een bepaalde barcode heeft gedetecteerd? Een spion van die overheid kan dan dus gewoon naar zo'n camera toe lopen, de barcode tonen en inloggen op het apparaat en vanaf daar alle andere apparaten in hetzelfde vlan benaderen. Vanaf daar kan de spion achterhalen wat voor routers en switches worden gebruikt en op zoek gaan naar zwakheden in die apparaten om zo een stapje verder te komen. En het mooiste is nog, de spion hoeft niet onder de camera te blijven staan maar kan gewoon een telefoon achterlaten die in verbinding staat met het wifinetwerk van de camera, en het gewone telefoonnetwerk dus de kans om gepakt te worden is nul.
broit1975 @Polderviking6 september 2022 12:45
Prorail zegt dat het een gesloten circuit gebruikt. Dat zegt de NS niet
Mars2020 @Polderviking6 september 2022 21:07
Ik vind het eerlijk gezegd ook wel wat overdreven om ze weg te halen als ze in een gesloten circuit hangen en je aan de recorder kant alles gewoon onder controle en dus in eigen handen hebt.

En uiteindelijk komt ook veel "niet chinees" spul uit China... dus ik ben benieuwd wat ze dan gaan kopen en waarom dat beter is.
Want het is vast geen hardware wat volledig in het westen geproduceerd wordt.
Er zijn wel degelijk (grote) fabrikanten die alleen hardware gebruiken uit het westen. Deze zijn alleen iets duurder.
Wachten... 6 september 2022 10:52
Maar wat voor cameras zouden jullie adviseren als beveiligings camera thuis?

En is het echt zo erg als je je cameras in een aparte VLAN hebt en videos lokaal opslaat?

Ik ben oprecht benieuwd, want alhoewel onze beveiligingscameras niks bijzonders filmen (niet binnen o.i.d.) is het toch wel iets waar ik geregeld over nadenk.
Gelomidor1 @Wachten...6 september 2022 11:06
Ik heb net 2 week thuis een unify camera systeem opgehangen met 3 camera’s.
Ik sla t op op een cloud key gen2. Goedkope oplossing en werkt als een trein en als bonus kan je gelijk je WiFi upgraden 😁.
Gebruikte al tijdje een UDMP met ook 3 camera’s erop ergens anders en dat draait al jaren heel goed
Bergen @Gelomidor16 september 2022 11:23
Unify camera's zijn ook Made in China...
watercoolertje @Bergen6 september 2022 11:50
Ja dat ontkent hij gelukkig ook niet en de vraag is ook niet naar non-china camera's de vraag is hoe mensen er (in het algemeen) mee op gaan en hij geeft gewoon antwoord...

Er is overigens nog wel een verschil tussen laten maken in China en door China gemaakt, dat laatste is het 100x makkelijker om backdoors in te verwerken, dat eerste is toch een stuk lastiger en dus veel kleinere kans dat het gebeurd. Zeker als unify hun units zelf QCed en goede controle heeft over firmware (en die zelf flashen).

[Reactie gewijzigd door watercoolertje op 23 juli 2024 01:59]

Polderviking @Wachten...6 september 2022 11:05
Aparte VLAN's zijn handig voor IOT apparten die niet echt of twijfelachtig actueel gehouden worden en een mogelijk beveiligingsrisico vormen voor andere dingen in je netwerk maar dat is mijns inziens niet persé tegen Chinese spionage.
Ik ben persoonlijk meer van de stempel dat je die apparaten dan überhaupt niet moet willen gebruiken.

Je kan ook gewoon het internetverkeer van die camera specifiek tegenhouden op firewall niveau als je je zorgen maakt om waar die camera allemaal naartoe belt. Daarvoor hoef je niet persé aan de slag met VLAN's als je daar niet de expertise of hardware voor hebt.

Lokale opslag is mijns inziens breed genomen wel een goed idee, maar dan moet je wel zorgen dat je databron niet ergens staat waar hij gewoon meegenomen kan worden.

[Reactie gewijzigd door Polderviking op 23 juli 2024 01:59]

Stoney3K
@Polderviking6 september 2022 15:50
Aparte VLAN's zijn handig voor IOT apparten die niet echt of twijfelachtig actueel gehouden worden en een mogelijk beveiligingsrisico vormen voor andere dingen in je netwerk maar dat is mijns inziens niet persé tegen Chinese spionage.
Ik ben persoonlijk meer van de stempel dat je die apparaten dan überhaupt niet moet willen gebruiken.
Vergeet ook niet dat 'Chinese spionage' echt een heel beperkt risico is wat alleen van toepassing is voor specifieke klanten.

Ik denk echt niet dat Xi Jinping heel erg geïntresseerd is in stiekem opgenomen filmpjes van de kat van @Polderviking die alles van de keukentafel op de grond gooit wanneer ie niet thuis is. ;)

[Reactie gewijzigd door Stoney3K op 23 juli 2024 01:59]

Stoffel @Wachten...6 september 2022 11:02
Ik heb het ook zo, camera's van Dahua en Hikvision in een apart VLAN, gescheiden van het internet en van de rest van mijn netwerk. Eerlijk gezegd maak ik me er weinig zorgen over. Nog los van met opzet ingebouwde backdoors is de firmware van dit soort devices, zeker op de consumentenmarkt, gewoon meestal vrij slecht gebouwd. Dat kun je per definitie niet vertrouwen met een internetverbinding, of het apparaat nu uit China komt of (qua merk iig) niet.
MaxTheKing @Wachten...6 september 2022 12:34
Heb zelf een drietal Hikvision dome camera's hangen, werken op een eigen gescheiden VLAN zonder internettoegang. Beelden worden opgeslagen op een lokale Blue Iris instantie binnen dezelfde VLAN. Werkt al jaren vlekkeloos!
Globefrotter 6 september 2022 10:52
De NS gaat dit niet doen, omdat er 'geen negatief overheidsadvies' over het gebruik van de camera's is.
Wat is dat voor raar argument: alsof alle wijsheid uit Den Haag moet komen.
Het lijkt mij dat NS gewoon haar verantwoordelijkheid moet nemen en zich niet achter non-argumenten moet verschuilen.
SA007 Moderator Tweaking @Globefrotter6 september 2022 11:20
Dat moet toch echt uit Den Haag komen.

De aanbestedingsregels stellen dat je niet zomaar een partij mag uitsluiten, daar moet een reden voor zijn.
Die reden moet aangeleverd worden vanuit de overheid.

Dus zolang de overheid niet zegt dat je op die reden een partij mag uitsluiten kan je er tijdens een aanbesteding geen 'nee' tegen zeggen.

In sommige sectoren (lees vitale infrastructuur zoals aansturing van het energienet) mogen partijen wel uitgesloten worden als het niet-europese onderdelen bevat maar ook daar is het erg lastig dat te realiseren.
sohus @Globefrotter6 september 2022 11:23
Nee. Als de overheid geen probleem ziet waarom de NS? En het is daarnaast gewoon een spelletje want als de overheid advies geeft gaat de NS compensatie vragen/halen.
pimmettjuh 6 september 2022 10:48
Uitzonderlijk naïef van de NS om camera's van Chinese bedrijven in hun treinen te hangen terwijl een meerderheid van de Tweede Kamer al voor een verbod is.
Snap niet waarom ze in deze context voor één van de andere (Westerse/Aziatische) merken zijn gegaan.
Nota bene ook gewoon af te nemen van Duitse merken die prat gaan op privacy.
Blokker_1999
@pimmettjuh6 september 2022 10:54
Omdat de NS dat niet kiest. Dat doet de fabrikant van de treinen. En een camera in een gesloten netwerk dat van buitenaf niet benaderbaar is, kan niet snel een probleem voor de privacy opleveren.
pimmettjuh @Blokker_19996 september 2022 11:14
Als de camera's dadelijk vervangen moeten worden met de nodige kosten van dien, zullen ze zich toch achter de oren krabben.
Kan me niet voorstellen dat een ander cameramerk niet mogelijk is, als ze aan de rest van het interieur zoveel kunnen customizen.
lilmonkey @Blokker_19996 september 2022 11:32
Omdat de NS dat niet kiest. Dat doet de fabrikant van de treinen
Onzin. De NS bepaalt hoe de treinen gebouwd en ingericht worden. En het artikel is er ook vrij duidelijk over lijkt me, de NS heeft er zelfs op gereageerd. |:(
Blokker_1999
6 september 2022 10:50
In geval van ProRail lijkt het nog mee te vallen met nog geen 200 camera's. Maar als je er, zoals bij NS, duizenden hebt dan gaat het over een veel grotere investering. Daarnaast moeten de camera's verbinding hebben met het internet om ook maar iets door te kunnen sturen en dat is meestal niet het geval. Dus het risico is klein te noemen. De camera's in treinen bijvoorbeeld zijn meestal enkel intern met het treinnetwerk verbonden om tot aan de recorder te geraken. Ik zie daar dus niet direct een probleem.
wiseger
@Blokker_19996 september 2022 11:45
Zoals al eerder gemeldt door anderen, het ligt er maar aan wat er in de camera zit. Wifi ondersteuning? 4g ondersteuning.?
honey 6 september 2022 10:53
Ach, zo zie je maar weer. Geld is en blijft altijd doorslaggevend. Daarom dat China ook helemaal niet ongerust hoeft te zijn.
Thomas A. @honey6 september 2022 11:42
Noem dan is een enkel product dat kwa beveiliging het beter doet dat de Chinese camera's? Ik ken er geen enkel namelijk. Sterker nog, Amerikaans netwerk prut (CISCO) is keer op keer uit de doeken gekomen met backdoors maar de Chinese camera's dat de NS gebruikt? Niet dat ik weet. Kan het ook nergens vinden.
honey @Thomas A.6 september 2022 13:01
Ik denk dat Chinese camera’s de top in de wereld zijn. Massa surveillance is hun corebusiness. Dus, ben het met je eens. De vraag is, moet je het wel willen gebruiken? Welk probleem lost het op? Zijn er geen andere alternatieven? Blijkbaar denkt ProRail dat er wel alternatieven zijn.
Zavantas @Thomas A.6 september 2022 13:45
nieuws: 'Criminelen maken kwetsbare Hikvision-camera's onderdeel van botnet'
https://securityaffairs.c...-cve-2021-36260-flaw.html
https://ipvm.com/reports/hik-exploit
https://thehackernews.com...nerability-could-let.html

Zoeken naar Ava Security levert op dit moment nog geen exploits of hacks resultaten op. Doen het volgens mij dus beter dan de eerder genoemde Chinese merken.
Dauthi 6 september 2022 10:55
Echt een meesterzet om 2 staatsbedrijven uitelkaar te halen, en langs elkaar te laten werken ipv met elkaar.

En dan ook nog eens inkopen tegen de heersende tendens in van dat men geen chinese camera's meer wilde.
Het is al net zo'n klucht als toen de NS belasting ging betalen in Ierland om belasting te ontwijken in Nederland (ja een staatsbedrijf dat belasting in eigen land probeert te ontwijken).
Pixelmagic @Dauthi6 september 2022 11:36
Je gaat even voorbij aan het gegeven dat we meerdere reizigers vervoerders op het spoor hebben en ruim 20 goederen vervoerders. Samenwerken om de beschikbare capaciteit te verdelen gebeurd volop, daarnaast heeft elk bedrijf zijn eigen proces.
Dauthi @Pixelmagic6 september 2022 14:48
Meerdere reizigersvervoerders die overbodig waren, aangezien de NS als staatsbedrijf alleenrecht had, maar om "kosten te drukken", is er "marktwerking" door te "privatiseren".

Waardoor uiteindelijk meer bureaucratie, meer kapitaalsvernietiging en meer fouten in de hand werkt.
ProRail was tenslotte ook onderdeel van de NS.
Pixelmagic @Dauthi6 september 2022 16:06
Je haalt wat dingen door elkaar, het oude NS was een staatsbedrijf die alles deed, infra, treinpaden weggeven, treinen rijden, repareren en wat al niet meer.

De opsplitsing heeft alles opgeknipt, DB-Cargo, ProRail, Nedtrain, Structon en nog een hand vol. NS heeft als enige de naam behouden maar was zeker niet het "hoofdbedrijf" ofzo.

En wat jij overbodig noemt was een EU eis destijds, dat de NL regering graag vooraan staat met handhaven en de rest van de EU nog steeds niet geheel heeft opgesplitst zegt ook iets over hen. Ik ben het deels met je eens overigens.
Dauthi @Pixelmagic6 september 2022 17:04
De NS is nog steeds een staatsbedrijf. 100% van de aandelen zijn in handen van de staat, de uiteindelijke verantwoordelijkheid ligt bij de minister.
De NS is een staatsbedrijf met winstoogmerk.

De EU kan zoveel dingen eisen, de Nederlandse staat dient er zelf over na te denken wat goed en niet goed is voor Nederland. Ipv te doen alsof internationale verdragen heilig zijn.
Uiteindelijk zijn bij de splitsing de niet winstgevend onderdelen afgestoten en de rest is van de staat gebleven.

Probleem is dan ook dat vrijwel alles dat de EU de afgelopen 30 jaar aan heeft geraakt verworden is tot chaos en crisis.
Zo ook het Nederlandse spoor en de manier waarop alles moet worden aanbesteed.
Globefrotter 6 september 2022 10:57
Het is inmiddels wel duidelijk dat we ons veel te afhankelijk gemaakt hebben van China, waardoor de economie daar als een speer gaat en het land alleen maar gevaarlijker wordt, zoals we uit alle ontwikkelingen kunnen zien.
Bijvoorbeeld dat China beslag probeert te leggen op alle belangrijke grondstoffen in de wereld zodat zij het monopolie hierop dreigen te krijgen. (Zelf in Ethiopië meegemaakt: China ontgint alle grondstoffen daar, laat dat door eigen personeel doen zodat de economie van Ethiopië er niets aan heeft en de tegenprestatie is de aanleg van wegen die na 3 jaar al onbegaanbaar zijn geworden en de aanleg van een tramlijn in Addis Abeba)
SuperDre @Globefrotter6 september 2022 14:31
En jij denkt dat dat anders is door amerikaanse en zelfs nederlandse bedrijven in afrika? grapjas, moet je maar eens kijken naar Shell hoe die om gaan daar in Afrika.
En wat wil je dan als alternatief? Amerikaanse troep die vol met backdoors zit voor de NSA?
Globefrotter @SuperDre6 september 2022 14:40
Volgens mij ontgaat jou de inhoud van mijn verhaal....
10thgaming @SuperDre6 september 2022 14:49
Whataboutism?
MyHero @10thgaming7 september 2022 18:25
Nee hoor, gewoon een vegelijking met...
habbekrats 6 september 2022 11:36
Nu heb ik zelf ook van die nieuwe Hikvision colorvu camera's welke in het donker perfect beeld geven.

Hangen deels via een eigen wifi kanaal en Vlan en eigen Iprange dus niet aan het internet.
Met een pc getest voor de zekerheid ook bij het zelf ingeven van DNS opde PC geen connectie.
Beelden gaan naar een Synology waar de 4 camera's aan hangen.

Hoe die camera dan aan het internet geraakt moet iemand dan maar eens uitleggen, ook dat de camera stiekem van een ander wifi AP zou inoggen hoe dan ? Alle overige AP's zijn beveiligd met een wachtwoord.
watercoolertje @habbekrats6 september 2022 11:54
Hoe die camera dan aan het internet geraakt moet iemand dan maar eens uitleggen, ook dat de camera stiekem van een ander wifi AP zou inoggen hoe dan ? Alle overige AP's zijn beveiligd met een wachtwoord.
Wie moet dat uitleggen aan je en waarom? Beweerd iemand hier het tegendeel (maar reageer je niet op die persoon)?
batteries4ever @habbekrats6 september 2022 12:51
Nou vooruit: ik bijt maar eens!
Zonder enig verstand van zaken verzin ik maar even een scenario: jouw Hikvision camera's hebben ook "3,8 GHz" (een frequentie die daar normaal gesproken niet voor gebruikt wordt) toegang. Klopt, staat niet in de specs of gebruiksaanwijzing maar is er wel. De 3,8 GHz ontvanger is alleen standaard aan van 03:00-04:00, als je op die tijd met een 3,8 GHz Hikvision ontvanger voorbij gaat en wachtwoord "Xi" ingeeft kan je inloggen op de camera, en via die camera op jouw tot dan toe gesloten netwerk...
Omdat mensen zover ik weet geen 3.8 GHz voor wireless netwerk gebruiken en al helemaal niet midden in de nacht, is deze toegang dus slecht te ontdekken. 2024: China valt Taiwan binnen, Chinese geheime dienst neemt netwerken over om dissidenten op te sporen, economische schade aan te richten, valse berichten te verspreiden enz.
Naar believen te vervangen door andere hardware/protocollen/Noord Koreanen/Amerikanen/Russen/Irantiers enz., maar van die landen verkopen alleen China en de USA veel hardware. Het gaat er bij veiligheidsrisico's om in te schatten of iets technisch (en paraktisch) mogelijk is, niet of het al gebeurd is...
habbekrats @batteries4ever6 september 2022 13:23
Dan zijn deze schijnbaar illegaal in Nederland, Wifi op 3,8 Ghz staat niet op de netkaart van NL
Uiteraard zal ik mijn adres even doorgeven waar ik woon als ze langs willen komen.

Wordt dan ook leuk met de 5G als deze losgaat in de 3,5-3,8 Ghz band
Stoney3K
@habbekrats6 september 2022 15:56
Dan zijn deze schijnbaar illegaal in Nederland, Wifi op 3,8 Ghz staat niet op de netkaart van NL
Uiteraard zal ik mijn adres even doorgeven waar ik woon als ze langs willen komen.
Jij denkt dat een geheime dienst het veel uitmaakt als ze eventjes een illegale radio-uitzending doen om hun 'sleeper agent' camera's te activeren? ;)

Niet dat ik verwacht dat we volgend jaar een verdacht uitziende Chinees in een maatpak en een zonnebril op ineens door de treinen zien lopen om alle camera'tjes even wakker te maken.
prutser001 @habbekrats6 september 2022 14:25
Gebruik dan zelf geen Hikvision maar reolink en na wat berichten een hele tijd terug eens met Wireshark aan de bak gegaan om te kijken wat er nou echt gebeurd. Helemaal niets, sla lokaal de opnames op en Wireshark gaf geen enkele aanduiding dat er verkeer het internet op ging of dat er servers aangeroepen werden.

Deze zijn allemaal bedraad trouwens, gevoed via PoE, geen wifi.

Wil ik ze extern benaderen doe ik dat via OpenVPN.
Godson-2 @habbekrats6 september 2022 19:44
Misschien stopt de camera gewoon met werken als hij een tijd lang niet met het internet kan praten.

Nou jij weer.
habbekrats @Godson-26 september 2022 20:59
Draait al een maand of 16.
SuperDre 6 september 2022 14:28
Ik wordt zo moe van dit soort kapitaalvernietiging vanwege dat het chinese camera's zouden zijn, waarbij nog voor een groot deel (zeker huawei) onbewezen is dat de chineese overheid toegang daartoe heeft. Naast dat het natuurlijk simpel is om te zorgen dat het afgeschermd is door fatsoenlijke netwerkbeheer, wat sowieso zou moeten.
En dan? Amerikaanse hardware gebruiken waarvan al bewezen is dat daar wel backdoors in zitten voor oa NSA etc waarmee de VS zijn eigen bondgenoten mee bespioneerd? Op dit moment heb ik meer vertrouwen in veilige (netwerk) hardware van Huawei dan van de amerikaanse bedrijven, bij Huawei is het juist de VS die iedereen er probeert vanaf te krijgen, maar IMHO is dat puur omdat zij die hardware gewoon niet fatsoenlijk kunnen hacken en nergens anders om.
Alxndr @SuperDre6 september 2022 14:50
De Chinese overheid heeft toegang tot alle Chinese bedrijven, ze hebben een wet die voorschrijft dat ze altijd volledig met de veiligheidsdiensten mee moeten werken. Om die reden moet je gewoon 0 electonica of software uit China willen, dus van camera's en routers tot Tiktok en Tencent, alles in de ban.

Beter beginnen we ons nu los te weken van China voordat we eenzelfde situatie krijgen als nu met het Russische gas.

En als de dan niet meer afhankelijk zijn kunnen we ook eindelijk voor Taiwan en Tibet opstaan, om over de situatie met de Oeigoeren nog maar te zwijgen. Schandalig hoe we voor lage prijzen al onze principes steeds weer aan de kant zetten.
Godson-2 @SuperDre6 september 2022 19:41
Waarom maken de Chinezen die camera's niet zo dat ze niet alles naar China sturen dan? Dat had ze veel gezeik gescheeld. Ze hebben nu de schijn tegen en ik ben een voorstander van om hoe sowieso alles uit China te verbieden.

Als hackers steeds hard gecodeerde wachtwoorden in de firmware vinden dan ga je toch twijfelen aan hun integriteit. En let maar op: in de toekomst worden de wachtwoorden in een versleutelde chip opgeslagen zodat het niet zo makkelijk ontdekt kan worden.
SuperDre @Godson-26 september 2022 22:24
Huh? Maar de doorsnee camera stuurt ook niets naar china. Ik zou het belachelijk vinden als we alles China zouden verbieden, dan niet hypocriet zijn en ook alles uit de VS verbieden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq