Alarmsystemen voor woningen worden steeds populairder en betaalbaarder dankzij hightech concurrenten van traditionele aanbieders, zoals ADT, waarvan sommige al meer dan een eeuw actief zijn.
Deze nieuwe generatie systemen kan eenvoudig tot geavanceerd zijn in hun vermogen om toegang tot uw huis te detecteren, en nog veel meer. De meeste integreren nu bewaking en bediening op afstand van domoticasystemen, en dit was duidelijk te zien op de recente Consumer Electronics Show in Las Vegas, waar een ongelooflijke reeks technologieën voor levensveiligheid en comfort werd gepresenteerd.
U kunt nu overal ter wereld op afstand de status van uw alarm (in- of uitgeschakeld), de in- en uitgang controleren en uw systeem in- en uitschakelen. De omgevingstemperatuur, waterlekkages, koolmonoxideniveaus, camera's, binnen- en buitenverlichting, thermostaten, garagedeuren, deursloten en medische alarmen kunnen allemaal worden aangestuurd via één gateway, via uw smartphone, tablet of computer.
De meeste alarmbedrijven kiezen ook voor draadloze systemen bij het installeren van de verschillende sensoren in huis, vanwege de kosten en de moeilijkheidsgraad van het aanleggen van kabels. Vrijwel alle bedrijven die alarmdiensten aanbieden, vertrouwen op een breed scala aan draadloze sensoren, omdat deze goedkoop, eenvoudig te plaatsen en te installeren en betrouwbaar zijn. Helaas zijn ze, met uitzondering van commerciële beveiligingsapparatuur, over het algemeen niet zo veilig als traditionele bekabelde sensoren.
Afhankelijk van het ontwerp van het systeem en het type draadloze technologie kunnen draadloze sensoren zeer eenvoudig worden omzeild door slimme indringers. Daar begint dit verhaal.
In 2008 schreef ik een gedetailleerde analyse van het LaserShield-systeem op Engadget. LaserShield was een landelijk geadverteerd alarmpakket voor woningen en bedrijven dat werd en wordt aangeprezen als veilig, eenvoudig te installeren en kosteneffectief. Op hun website vertellen ze hun klanten dat het "beveiliging in een handomdraai" en "beveiliging in een doos" is. Het probleem is dat er geen snelle manieren zijn om hardware te beveiligen. Toen ik in 2008 de analyse van dit systeem uitvoerde, maakte ik een korte video in een rijtjeshuis die liet zien hoe gemakkelijk het systeem te omzeilen was met een goedkope portofoon, en een meer gedetailleerde video die liet zien hoe het systeem beveiligd zou moeten zijn. U kunt ons rapport lezen op in.security.org.
Rond dezelfde tijd betrad een ander bedrijf de markt: SimpliSafe. Volgens een van de senior technici die ik onlangs interviewde, startte het bedrijf rond 2008 en heeft het inmiddels een landelijk klantenbestand van zo'n 200.000 abonnees voor hun alarmservice.
Zeven jaar later bestaat SimpliSafe nog steeds en biedt een doe-het-zelf alarmsysteem dat eenvoudig te installeren en te programmeren is, en waarvoor geen telefoonlijn nodig is om met een alarmcentrale te communiceren. Het maakt gebruik van mobiele telefonie, wat een veel efficiënter communicatiepad oplevert. Hoewel het mobiele signaal kan worden verstoord, is er geen risico dat inbrekers de telefoonlijn doorsnijden.
SimpliSafe trok mijn aandacht omdat ze veel landelijke reclame maken en in sommige opzichten een zeer concurrerend product hebben vergeleken met ADT en andere grote alarmleveranciers, met veel lagere investeringskosten voor apparatuur en lagere maandelijkse kosten voor monitoring. Lees mijn analyse van dit systeem op in.security.org.
Hoewel SimpliSafe veel geavanceerder lijkt dan het LaserShield-systeem (dat nog steeds wordt verkocht), is het net zo kwetsbaar voor methoden om het te omzeilen. Als je de vele nationale media-aankondigingen van SimpliSafe leest en gelooft, zou je denken dat dit systeem hét antwoord is op de grotere alarmcentrales. Ja, het biedt een hoop extra's die erg handig zijn en ongeveer de helft kosten van traditionele alarmcentrales. Helaas ging geen van de prominente en gerespecteerde media-aankondigingen of artikelen over beveiliging, of over de mogelijke kwetsbaarheden van deze volledig draadloze systemen.
Ik kreeg een systeem van SimpliSafe om te testen en stelde veel technische vragen aan de senior engineer van het bedrijf. Vervolgens installeerden we een bewegingssensor, een magnetische deuropener, een paniekknop en een communicatiegateway in een appartement in Florida dat eigendom is van een gepensioneerde FBI-agent die wapens, zeldzame kunst en tal van andere waardevolle bezittingen in huis had. We maakten drie video's: één die de normale werking en installatie van het systeem laat zien, één die laat zien hoe je alle activeringen eenvoudig kunt omzeilen, en één die laat zien hoe de magnetische activeringen die ze leveren, te omzeilen zijn met een magneet van 25 cent en plakband van Home Depot.
Een groot probleem is dat de sensoren eenrichtingsverkeer zijn, wat betekent dat ze een alarmsignaal naar de gateway sturen wanneer ze worden geactiveerd. Alle alarmsensoren zenden uit op één frequentie, die eenvoudig via internet kan worden bepaald. Een radiozender kan vervolgens voor deze specifieke frequentie worden geprogrammeerd, net als bij het LaserShield-systeem. Ik deed dit met een gemakkelijk verkrijgbare portofoon. Het probleem met dit ontwerp is dat de ontvanger van de gateway kan worden geblokkeerd, net als bij een denial-of-service (DoS)-aanval op netwerkservers. De ontvanger, die de signalen van de alarmactiveringen moet verwerken, is geblindeerd en ontvangt nooit een melding van een alarmsituatie.
We liepen een paar minuten door het appartement in Florida en lieten geen enkel alarm afgaan, zelfs niet het paniekalarm dat in de sleutel is ingebouwd. Als ik een inbreker was geweest, had ik wapens, waardevolle kunst en talloze andere waardevolle spullen kunnen stelen, en dat allemaal door een systeem te omzeilen dat door de meest gerespecteerde kranten en televisiemedia van het land wordt onderschreven.
Dit doet denken aan wat ik de "TV Doctors" noemde, die ook reclame maakten voor een zogenaamd veilige en kindveilige medicijnverpakking die landelijk werd verkocht door drogisterijen en andere grote retailers. Deze was echter helemaal niet veilig of kindveilig. Dat bedrijf ging snel failliet en de TV Doctors, die met hun reclame impliciet garant stonden voor de veiligheid van dit product, verwijderden hun YouTube-video's zonder het onderliggende probleem aan te pakken.
Het publiek zou dit soort getuigenissen met scepsis moeten lezen, omdat ze simpelweg een andere en slimme manier van reclame zijn, meestal door verslaggevers en PR-bureaus die geen flauw benul hebben van wat veiligheid inhoudt. Helaas geloven consumenten deze aanbevelingen en vertrouwen ze erop dat de media weten waar ze het over hebben. Vaak begrijpen verslaggevers alleen simpele zaken zoals kosten, installatiegemak en maandelijkse contracten. Maar wanneer u een alarmsysteem koopt om uw gezin, uw huis en uw bezittingen te beschermen, moet u zich bewust zijn van fundamentele beveiligingskwetsbaarheden, omdat de term "beveiligingssysteem" inherent het concept "veiligheid" bevat.
Het SimpliSafe-systeem is een betaalbaar alternatief voor de duurdere alarmsystemen die door grote nationale bedrijven worden ontworpen, geïnstalleerd en bewaakt. De vraag voor de consument is dus wat veiligheid precies inhoudt en hoeveel bescherming nodig is, afhankelijk van de waargenomen bedreigingen. Dat vereist volledige openheid van de kant van alarmleveranciers, en zoals ik aan vertegenwoordigers van SimpliSafe heb voorgesteld, zouden ze disclaimers en waarschuwingen op hun verpakkingen en gebruikershandleidingen moeten plaatsen, zodat de potentiële koper volledig geïnformeerd is en een weloverwogen aankoopbeslissing kan nemen op basis van zijn of haar individuele behoeften.
Zou u zich zorgen maken dat uw alarmsysteem gemakkelijk gehackt kan worden door een relatief onervaren inbreker met een apparaat dat minder dan driehonderd dollar kost? Sterker nog: zou u dieven willen laten weten dat u een systeem hebt dat gemakkelijk te omzeilen is? Bedenk dat elke keer dat u een van die stickers op uw deuren of ramen plakt, of een bordje in uw voortuin plakt waarop staat wat voor soort alarmsysteem u hebt geïnstalleerd, dit ook aangeeft dat het mogelijk te omzeilen is.
Er is geen weggeefactie in de alarmbranche; je krijgt waar je voor betaalt. Voordat je een van deze systemen aanschaft, moet je dus precies weten wat je aan bescherming krijgt, en belangrijker nog, wat er mogelijk ontbreekt op het gebied van technologie en beveiligingstechniek.
Let op: We hebben deze maand een recente versie van LaserShield verkregen om onze bevindingen uit 2008 te bevestigen. Deze was net zo gemakkelijk te omzeilen, zoals te zien is in de video uit 2008.
Ik draag twee petten in mijn wereld: ik ben zowel rechercheur als expert in fysieke beveiliging en communicatie. De afgelopen veertig jaar heb ik onderzoek gedaan, b…
Geplaatst op: 28 juni 2019