Nieuws
Hackers proberen camera’s te kraken
Maandag organiseerde de universiteit een zogenoemde penetratietest (pentest) in het Lipsius om te kijken hoe moeilijk de ‘classroom scanners’ te hacken zijn.
Anoushka Kloosterman en Mark Reid
donderdag 31 maart 2022
Een van de camera's, ingeplugd in de computer van de hackers. Foto Marc de Haan

Voor het eerst sinds de universiteit de omstreden camera’s onder een storm van protest uitschakelde, stonden er maandag weer een paar aan. Drie hackers probeerden de hele dag voor een zogeheten ‘pentest’ in het systeem in te breken, om te zien of eerder gevonden kwetsbaarheden zijn opgelost.

De universiteit lijkt eerdere kritiek over gebrek aan transparantie over het camerasysteem zoveel mogelijk te willen voorkomen. Er staat een bordje bij de ingang en een informatiebalie in de hal. Daar staan twee tafels met koffie en thee, en UFB-stafmedewerker Marcel Klomp, die studenten en medewerkers uitleg geeft over de camera’s. Op een groot scherm staan bezoekersaantallen die testcamera’s in het Lipsius hebben geteld.

In het glazen kantoor achter hem proberen de drie ethische hackers, twee informaticastudenten en een externe professional, in te breken in het camerasysteem.

'Wij dachten dat we het goed hadden aangepakt, maar we hadden duidelijker moeten communiceren'

Klomp ziet voordelen van een geautomatiseerd telsysteem, maar snapt ook waar de kritiek vandaan komt. ‘Onze les is dat we het hebben onderschat. Wij dachten zelf dat we het goed hadden aangepakt, maar we hadden veel duidelijker moeten communiceren wat onze intenties zijn en dat er waarborgen waren om te zorgen dat de veiligheid en privacy op orde zijn. Nu kregen mensen een beklemmend gevoel. Ze dachten: “Wacht even, dat apparaat kan nog veel meer.” Maar wij hadden nooit de intentie om er iets anders mee te doen dan bezoekersaantallen tellen.’

Update

Deze pentest is niet de eerste test sinds de universiteit de camera’s uitschakelde. Een eerdere hackproef bevestigde al veiligheidsproblemen die Mare eerder aan het licht bracht, zo bevestigde de universiteit vorige maand.

Fabrikant Xovis heeft vervolgens een software-update doorgevoerd, en die heeft effect gehad. De gaten in de beveiliging lijken gedicht, vertellen de testers. Waar voorheen verschillende gegevens van de camera, zoals de temperatuur, lichtsterkte en privacy-instellingen te zien waren voor niet-ingelogde gebruikers, is het systeem nu beter afgeschermd. Het inlogscherm heeft ook een fris nieuw kleurtje.

Een van de camera’s ligt op het bureau. Anders konden de hackers het systeem niet meer in. ‘We konden na de update het inlogscherm niet meer van buitenaf benaderen’, vertelt informaticastudent Julian, een van de drie hackers. ‘We hebben nu een van de camera’s van de muur gehaald en direct ingeplugd op onze computer om te kijken of we op die manier iets kunnen ontdekken.’

Als dat ook niets oplevert, vragen ze het wachtwoord om te kijken of ze van binnenuit nog kwetsbaarheden kunnen ontdekken. Eventuele bevindingen kunnen ze nog niet delen. Die komen allemaal in een rapport, dat over een paar weken aan de universiteit wordt overhandigd.

Er volgt ook nog een rapport van de privacy-officer, die zelf een onderzoek startte naar de kwestie. De universiteit heeft toegezegd dat de camera’s uit blijven staan tot het onderzoek helemaal is afgerond.

#cameragate

Lees ook

Achtergrond
College van bestuur over camerabesluit: ‘We willen onze ruimtes slimmer gebruiken’
Vice-collegevoorzitter Martijn Ridderbos legt uit waarom de slimme camera’s volgens hem weer aangezet kunnen worden. ‘Dit systeem komt ook niet ons als bestuur ten goede, maar met name de studenten en medewerkers.’
Nieuws
Het einde van #Cameragate: bestuur legt zich neer bij kritiek en zet camera’s uit
Nieuws
Universiteitsraad stemt tegen camera’s: ‘Dit is invasief, niet-proportioneel en moet weg’
Columns & opinie
Waarom het lozen van de classroom scanners de enige rationele keuze is
Nieuws
Open brief aan universiteitsraad: ‘Laat de camera’s uit’