Axis investeert in het beter beveiligen van IP-camera’s

Tijdens het partnerevenement van Axis, waarbij Techzine afgelopen week te gast was, werd snel duidelijk dat het bedrijf een enorme focus heeft op cybersecurity. De producten moeten veiliger worden en de features die hierin een rol spelen moeten worden geactiveerd.

 We hebben tijdens het evenement verschillende sessies en presentaties bijgewoond en mensen van Axis geïnterviewd. Vooral de sessie en het interview met Edwin Beerentemfel (Manager Business Development) over cybersecurity was erg verhelderend. Beerentemfel maakte snel duidelijk dat er veel focus is op cybersecurity.

 Naar aanleiding van de presentatie die Beerentemfel gaf, ontstonden er bij ons wat vragen en zijn we het gesprek aangegaan. Hierin werd ons snel duidelijk dat Axis zelf heeft ingezien dat de beveiliging nog beter kan en er zijn dan ook nieuwe beveiligingsfeatures in ontwikkeling. Tegelijk werd tijdens de partnerdag duidelijk onderstreept dat de installatiepartners hier ook een rol in spelen, ook zij moeten cybersecurity serieuzer oppakken en eindgebruikers beter informeren.

Geen enkel IoT-apparaat (bijvoorbeeld IP-camera) is 100 procent veilig

Voordat we dieper in gaan op hoe Axis de beveiliging verder gaat opschroeven, moeten we eerst duidelijk stellen dat geen enkel IoT-apparaat 100 procent veilig is. Niet van Axis, maar ook niet van andere bedrijven. Alles wat verbonden is aan het internet, kan in theorie worden misbruikt of gehackt. Hier is Axis tijdens het evenement ook duidelijk over richting zijn partners. “We kunnen geen 100 procent veiligheidsgarantie afgeven.” Wel kan het hackers en kwaadwillenden zo moeilijk mogelijk gemaakt worden, daar investeert Axis dan ook in.

Reden hiervoor is hoogstwaarschijnlijk mede ingegeven, dat het bedrijf in juni van dit jaar en vorig jaar december al zijn camera’s heeft moeten patchen vanwege beveiligingslekken. Dat hoort er vandaag de dag helaas bij, maar heeft ook een grote invloed op de capaciteit van je ontwikkelafdeling. Er werden zo’n 205 verschillende firmwares voor Axis ip-camera’s ontwikkeld per patchronde, om één beveiligingslek te dichten. Dat is een hele operatie en vergt veel van een organisatie.

Verbeteren van processen

Axis heeft meteen van een nood een deugd gemaakt, bij het maken van de vele patches is goed gekeken hoe dit in de toekomst beter, sneller en efficiënter kan. Hier zijn nu ook procedures voor opgesteld en die lijken te werken. We begrepen van Axis dat het ontwikkelen van de patches in juni al vele malen sneller ging dan in december.

Bij Axis hebben ze de firmware min of meer gesplitst in twee delen, de basisfirmware, waarin het besturingssysteem en de aansturing van de hardware zit verwerkt, met daarbovenop de softwarelaag, die vrijwel identiek is op elke camera, mede afhankelijk van de features. Dit is een simpel voorbeeld hoe het al eenvoudiger kan worden gemaakt om een patch te ontwikkelen.

Wel is er nog ruimte voor verbetering. Zo heeft Axis een pluginsysteem met de naam Axis Camera Application Platform (ACAP). Hiermee is het mogelijk voor derde partijen om software te ontwikkelen die integreert met de Axis-camera’s. In theorie kunnen hiermee ook kwaadwillende plugins worden ontwikkeld en dit kan Axis op dit moment nog niet controleren. Natuurlijk moet de eindgebruiker of installatiepartner er nog wel zelf voor kiezen om zo’n plugin te installeren, maar Axis gaat dit wel beter beveiligen. Het bedrijf heeft nu ACAP 3.0 in ontwikkeling dat binnenkort beschikbaar moet komen, daarbij wordt het mogelijk om te bepalen welke rechten een plugin heeft en tot welke onderdelen van de camera de plugin toegang heeft. Volgens Axis moeten we het min of meer vergelijken met een soort container, maar niet met een sandbox, wat idealiter wellicht beter zou kunnen zijn. Wel doet Axis nog onderzoek of het in een later stadium sandboxing kan toevoegen.

Klanten kunnen zelf veel doen aan beveiliging

Axis laat verder weten dat de beveiliging van de IP-camera’s ook door de klanten en installatiepartners is te verbeteren. Zo kan er worden gekozen voor het uitrollen van SSL-certificaten om het verkeer tussen de camera’s en de Axis Camera Station (Video Management Software) te versleutelen. Ook het ophalen van de videostreams door externe systemen kan via SSL. Dit is overigens iets wat in nieuwe versies eenvoudiger zal worden gemaakt. Het moet nog simpeler worden om SSL-certificaten uit te rollen naar apparaten, eventueel ook self signed, maar ook naar initiatieven als Let’s Encrypt wordt gekeken. Hiermee is het mogelijk om gratis versleutelde SSL-certificaten te ontvangen.

Een andere simpele handeling is het aanpassen van het standaard wachtwoord en daarbij moeten gebruikers niet de combinatie root / pass aanhouden die Axis al jaren hanteert. Axis liet weten inmiddels gebruikers te verplichten het wachtwoord aan te passen bij installatie, maar sommige klanten kiezen ervoor om dan alsnog “pass” in te stellen als wachtwoord. Op de vraag waarom Axis het wachtwoord “pass” niet gewoon blokkeert kwam niet echt een duidelijk antwoord, behalve dat er nu een balk is toegevoegd hoe zwak/sterk een wachtwoord is. Via  Axis Camera Station kan overigens eenvoudig met één handeling de wachtwoorden van alle camera’s worden aangepast. Mocht je een Axis-gebruiker zijn en dit nog niet gedaan hebben, dan is dit wellicht het moment.

Axis heeft afscheid genomen van ActiveX en Internet Explorer

In een ander artikel stonden we al kort stil bij het feit dat Axis afscheid heeft genomen van Internet Explorer en ActiveX, niet alleen vanuit een gebruikservaring perspectief, maar ook qua veiligheid en beveiliging is dit een hele goede zet. ActiveX is dermate verouderd en slecht onderhouden dat het goed is, dat Axis hiermee is gestopt. Het maakt nu gebruik van een HTML5-interface.

Axis kan snel handelen bij een beveiligingsincident

Axis is marktleider in de markt voor IP-camera’s en die schaalgrootte brengt voordelen met zich mee. Voornamelijk dat het van niemand afhankelijk is voor patches en firmware-updates. Ze beheren zelf de volledige keten. Ze kopen geen OEM-producten in, maar ontwikkelen alles zelf. Hierdoor hebben ze ook zelf de regie over de firmware en de ontwikkeling ervan. Dat is weliswaar een stuk duurder, maar zorgt wel voor een veiliger product.

Axis ontwikkelt ook zijn eigen chips om het hele imaging proces uit te voeren. In veel Axis-producten wordt gebruikgemaakt van deze ARTPEC chips, maar soms worden (meestal voor goedkopere modellen) ook chips bij een derde partij ingekocht. Dat is eigenlijk één van de weinige uitzonderingen, maar Axis laat weten dat dit altijd dezelfde partij is en dat het evenveel controle heeft als bij de eigen chips. Het bedrijf gaat dus volledig zelf over de firmware en is niet afhankelijk van de chipleverancier, wat erg belangrijk is om op tijd te kunnen patchen.

Op tijd kunnen patchen is belangrijk, maar het ondersteunen door middel van patches gedurende de levensduur van een product, natuurlijk ook. De mensen van Axis vonden het moeilijk om een tijdframe te noemen voor hoelang nieuwe producten worden ondersteund qua patches, omdat dit per product verschillend is. Minimaal vijf jaar durfden ze wel te stellen en in veel gevallen zelfs 7 tot 8 jaar. Wat betekent dat als je vandaag de dag een camerasysteem aanschaft, je nog jarenlang de garantie hebt dat eventuele beveiligingsproblemen worden gedicht. Dat zorgt ook voor een stukje betrouwbaarheid dat niet alle merken in dit segment kunnen brengen.