Weet je nog, heel vroeger toen je opperbaas op school was als je een horloge had waarmee je TV’s op een andere zender kon zetten? Dikke pret in de klas tijdens het kijken van schoolTV als het geluid steeds op onverklaarbare wijze uitviel, of als je in de Megapool (bestaat dat nog?) een hele rij TV’s op Kindernet kon zetten.
Voor wie graag terug wilt naar die tijd raad ik aan dit artikel goed te lezen, want als jij een computer met internet hebt kan je dit soort grappen en grollen super makkelijk bij een aantal televisiekijkers uithalen – op eigen verantwoordelijkheid.
Videos by VICE
Zo kwam ik er gisteravond opeens achter dat deze televisiekijker even lekker een stukje ‘Steampunk Alternasluts’ zat te kijken op de zender Penthouse.
Nu is dat natuurlijk niet zo schokkend dat iemand zit te fappen op woensdagavond, maar ik vond het wel schokkend dat ik zonder veel technische kennis gewoon bij mensen naar binnen kon kijken. (Via hun kastje natuurlijk, dit heeft niks meer te maken met Alternasluts)
Een stukje heden, verleden, toekomst over mij, ik ben een frisse jongeman van 24 die af-en-toe schrijft over webzaken (zoals dit eerdere Motherboard-artikel), maar ik ben verder totaal geen hacker of computernerd. Afgelopen Halloween heb ik zelf lampjes in een uitgeholde pompoen gemaakt en daar was ik trots op, dat niveau.
Maar omdat men er sinds kort achter is gekomen dat je via de site Insecam.com live naar duizenden onbeveiligde huis-, tuin- en keukencamera’s kan kijken ging ik gister een beetje googlen naar de werking daarvan.
Het is namelijk zo dat ieder apparaat in je huis dat is aangesloten op internet vanaf iedere andere computer te vinden is. Niet zo gek ook, want als je bijvoorbeeld een iKettle-Wifi waterkoker hebt dan wil je die natuurlijk ook vanaf kantoor kunnen bedienen. Om ervoor te zorgen dat je boze buren niet met je thee gaan trollen zit daar als het goed is een wachtwoord op zodat alleen jij je apparatuur kan bedienen.
Maar omdat veel apparatuur gewoon een standaard wachtwoord heeft (admin/admin) en veel mensen dit niet veranderen, zijn er tegenwoordig een heleboel apparaten op deze wereld vrij toegankelijk voor iedereen. Tot drie jaar geleden was het nog best lastig om dan die ene wifi-waterkoker van je buurman te vinden, maar daar is nu de website Shodan voor.
Via www.ShodanHQ.com kan je de wereld afspeuren naar apparatuur die verbonden is met het internet en is het mogelijk om je via een ip-adres verbinden met apparatuur waar geen wachtwoord op zit.
Je tikt in Shodan bijvoorbeeld gewoon UPC, iPad of Lynksis in en je krijgt allemaal IP-adressen van apparaten die met het internet verbonden zijn.
Hackers kennen dit trucje al langer, en kunnen via deze weg al jaren naar de camera in je garage kijken, dus verander dat wachtwoord vanmiddag nog.
Terug naar televisiekijkers – ik was best geïntrigeerd geraakt door waar je eigenlijk allemaal toegang tot hebt, en na geprobeerd te hebben of de NPO niet nog een aflevering Sinterklaas Journaal op een onbeveiligde FTP-server had slingeren kwam ik dus bij set-topboxen uit.
Ik klikte op een IP-adres waar Ziggo onder stond en zat opeens in een scherm van een televisiekijker waarin ik volledige controle had over welke zender er op stond en hoe hard het geluid staat. Ook kreeg ik nog wat extra informatie over zijn set en het MAC-adres.
Daarnaast kon ik via de set-topbox ook berichten op het scherm van de TV kijker plaatsen. Ik was braaf en tikte een waarschuwing dat diegene onbeveiligd was, maar ik had ook ongevraagd commentaar kunnen geven op het programma waar hij naar keek. Ik zou best schrikken als er opeens een tekst op m’n TV komt met “Je kan wel snel naar NPO2 zappen maar ik zag dat je net porno zat te kijken. Zondaar.”
Wat mij opviel bij het zoeken op Shodan was dat er twee dingen iedere keer naar boven kwamen bij iedere provider die ik intypte: “OpenPLi” en “Dreambox”
De truc bleek te zitten in een stuk open source software genaamd OpenPLi, een programma waar fabrikanten van onofficiële set-topboxen graag gebruik van maakten.
Toen ik ‘Open PLi” intikte kreeg ik opeens een stortvloed aan onbeveiligde set-top boxen.
Waarschijnlijk zit je nu op het puntje van je stoel met de vraag of ik ook van jouw porno-momentje heb kunnen meegenieten, en het antwoord is: misschien.
De kasten die naar boven komen als je zoekt naar IP-adressen met gapende gaten zijn voornamelijk van het merk Dream Multimedia uit Duitsland. Niet de officiële set-topbox die Nederlandse televisieproviders normaalgesproken aanbieden dus, zoals ook blijkt uit een reactie van een woordvoerder van Ziggo:
“Deze situatie is al jaren bekend. De Dreambox is randapparatuur die wij niet leveren en niet ondersteunen, maar klanten zijn vrij om hun eigen apparatuur aan te schaffen en te gebruiken. Deze klanten maken dus een bewuste keuze om af te wijken van de standaard beveiligde situatie en kunnen in de instellingen bepaalde poorten open zetten, met alle risico’s van dien.
Dit is een situatie die ook bij klanten van andere providers voorkomt, Ziggo is groot, dus bij ons zijn het relatief veel klanten.
De reden dat mensen toch deze apparatuur aanschaffen zou kunnen zijn dat ze het apparaat open aan het internet hebben gehangen om overal toegang te kunnen krijgen tot hun eigen settopbox. Hiermee kan dit dus, maar een ander heeft dan nog geen recht om dat ook bij die settopbox te doen. Dit is illegaal (je mag ook geen huis binnenlopen hoewel de deur niet afgesloten is). Dit geldt dus ook voor jou als je je toegang hebt geëigend in een set top box van een derde.”
Ik kwam ook een Xtrend tegen.
Mocht je daar nog nooit van gehoord hebben dan kom je waarschijnlijk niet vaak op de zwarte markt, want deze machines zijn voornamelijk populair bij ‘cardsharers’ – mensen die chipkaarten klonen en zo gratis TV binnenhalen via o.a. satellietschotels.
Ziggo noemt dit klanten die “een bewuste keuze maken om af te wijken van de standaard beveiligde situatie”, omdat dit soms mensen zijn die kiezen voor een Dreambox omdat er een levendige handel in illegaal TV kijken is. Hierbij wordt er illegaal en voor een sterk lagere prijs toegang verschaft tot premiumkanalen.
Omdat dit ‘lek’ dus zit in boxen van tenminste twee verschillende fabrikanten (Dream Multimedia en Xtrend) met verschillende televisieproviders, lijkt het erop dat de kwetsbaarheid bij de gebruikers van de boxen zelf ligt.
Moraal van het verhaal tot nu toe: als je in het bezit bent van een settopbox van een van bovenstaande merken: verander ALTIJD het wachtwoord. Anders kan iemand als ik meekijken met je porno en je geluid ongemakkelijk hard aanzetten. Gelukkig ben ik homo, dus jouw Penthouse-momentjes laten mij redelijk koud, en ik ben maar een simpele tikgeit, maar mensen die echt kunnen hacken of kwaad in de zin hebben kunnen waarschijnlijk wel echt schade aanrichten. Vooral als je box is verbonden met de rest van je netwerk.
Net als met het lek van de beveiligingscamera’s waar we vorige week over berichtten, is dit probleem vooral het gevolg van het feit dat er steeds meer apparaten op internet aangesloten worden, zonder dat gebruikers zich bewust zijn van de juiste beveiligingsmaatregelen.
Naar mate er steeds meer apparaten aangesloten worden op internet neemt het aantal mensen met een standaardwachtwoord ook toe, en dus ook de kwetsbaarheid van individuen. Zoals eerder gezegd, is het belangrijker dan ooit om de wachtwoorden van al je apparaten die op internet aangesloten zitten na te gaan. Enne, voor degene wiens porno ik heb gezien; sorry, het was niet de bedoeling, en ik had je niet uit je flow mogen halen door naar de EO te zappen.
