Ruim een jaar geleden waarschuwde ik al uitvoerig dat de Belgische media niet immuun zijn voor aanvallen van cybermisdadigers. Toen was het gelukkig een aanval zonder gevolgen uitgevoerd door een stel tieners die enkel wilden tonen hoe handig ze wel waren. Bij de recent geslaagde DDoS-aanval op het Mediahuis lijkt het dadersprofiel al iets ernstiger, maar ook nu bleef de impact beperkt.
Twee zaken verontrusten me enorm aan de geslaagde DDoS-aanval eind vorige maand op de sites van Het Mediahuis, waardoor die urenlang onbeschikbaar bleven. Het eerste is dat de Belgische media blijkbaar niets hebben geleerd uit gelijkaardige incidenten uit binnen- en buitenland. Sinds vorig jaar weten we dus al dat ook onze Belgische media niet immuun zijn tegen zulke cyberaanvallen. Wie dacht dat de Belgische media zichzelf intussen beter hadden beveiligd, is alweer een illusie armer.
We gaan niet opnieuw ons uitgebreid pleidooi van vorig jaar herhalen over de verantwoordelijkheid van de media, die niet ophoudt bij het louter informeren maar die ook inhoudt dat ze zich beter beveiligen dan een gemiddelde organisatie. Naast hun maatschappelijke rol die ze tegenwoordig 24/7 moeten kunnen vertolken, moeten mediabedrijven toch beseffen dat een DDoS-aanval vaak ook andere criminele activiteiten kunnen verdoezelen, zoals het hacken en ontvreemden van interne gegevens. Dat kan onder meer ernstige gevolgen hebben voor de bescherming van anonieme getuigen en andere bronnen. En denk maar eens wat het voor de bevolking kan betekenen wanneer nieuwssites op cruciale momenten niet beschikbaar zijn. Degelijke beveiliging van online media is een verdomde plicht, dat zullen we blijven herhalen.
Internet of (eenvoudig hackbare) Things
Maar er is nog een ander verontrustend aspect aan dit recent incident. Voor zover ik weet is dit de eerste mediasite die met succes wordt neergehaald door een DDoS-aanval van besmette IoT (internet of things)-toestellen. Er werd met name gebruik gemaakt van heel wat beveiligingscamera’s die ironisch genoeg onvoldoende beveiligd waren.
Beveiligingscamera’s vormen een specifieke groep van ‘internet-verbonden dingen’ omdat ze wel over de nodige intelligentie beschikken om te worden ingeschakeld en over de nodige beveiligingsmaatregelen om een eenvoudige hack te voorkomen maar meestal wordt die beveiliging niet of nauwelijks benut, en blijft de klant het standaard ingestelde wachtwoord gewoon behouden. Dan is het natuurlijk niet zo moeilijk voor hackers om deze toestellen massaal in te schakelen zonder hiervoor veel moeite te hoeven doen.
Kan je dit de eindklant verwijten? Nauwelijks. Toegegeven: iedereen zou moeten beseffen dat de intelligentie in camera’s kan worden misbruikt voor kwalijke doelen, ook al gebruik je zelf de internetverbinding enkel om je camerabeelden af en toe van op afstand te bekijken. Maar volgens mij is het logischer dat de verantwoordelijkheid bij de leverancier wordt gelegd. Die kan immers vrij eenvoudig de eindgebruiker dwingen om het standaard wachtwoord te wijzigen voor de camera in gebruik kan worden genomen. Hiermee voorkom je al heel wat potentieel misbruik. En als de leveranciers deze extra stap niet willen voorzien, kan de overheid dan weer werk maken om zulke verplichte wachtwoordwijzigingen op te leggen aan alle leveranciers.
Elke aanval op online media stemt tot nadenken, en deze nog meer dan andere. Maar het is de vraag of dit nadenken leidt tot een veiliger beleid, of dat het gewoon wachten wordt op een nog groter incident voor iedereen wakker schiet. Als eigenaars van beveiligingscamera’s (en andere IoT leveranciers!) dankzij deze DDoS-aanval nu werk gaan maken van een betere beveiliging van hun apparatuur, heeft deze aanval toch al ergens toe geleid.
