Video player inladen...

"We weten al 10 jaar dat toegangsbadges niet veilig zijn": hoe konden ze worden gehackt? En wat zijn de oplossingen? 

Toegangsbadges van bedrijven zijn makkelijk te kopiëren, zo bleek uit een test van Het Laatste Nieuws. Een journalist raakte onder meer binnen in politiekantoren, hotels en mediabedrijven. Voor specialisten is het niet echt nieuw. Zij waarschuwen al jaren voor de goedkope toegangskaarten die niet genoeg zijn beveiligd. Drie vragen en antwoorden. 

1. Hoe kon de hacker de kaarten kopiëren?

"Veel toegangsbadges werken met wat we noemen "legacy software". Dat is een verouderde software die nog niet is aangepast aan de huidige realiteit", zegt ethische hacker Cedric De Vroey. "Legacy software" is een term die informatici hanteren voor software die nog gebruikt wordt in huidige systemen. Maar meestal gaat het om software die niet meer beveiligd is. De Vroey controleert voor bedrijven de veiligheid van toegangsbadges. "We weten al tien jaar dat die toegangsbadges niet veilig zijn."

Bart Preneel,  professor cybersecurity aan de KU Leuven, herinnert zich hoe de toegangsbadges in de jaren 90 plots opkwamen. "Het probleem van die kaarten was dat ze een gesloten software hadden. We konden dus niet controleren of ze voldoende beveiligd waren. Maar onderzoekers van de Radboud Universiteit slaagden er 10 jaar geleden in om die te hacken. Toen gebruikte de KU Leuven en zelfs de NAVO een onveilig systeem. Maar dat is nu ondertussen veranderd."  

We weten al tien jaar dat die toegangsbadges niet veilig zijn

Waarom worden die dan nu nog gebruikt? Volgens De Vroey worden veel toegangsbadges goedkoop aangekocht door de leverancier. Als een bedrijf nieuwe toegangskaarten wil bestellen, zoekt het een leverancier. Die bestelt dan de kaarten bij een producent. "Het gebeurt weleens dat de kaarten online worden aangekocht, bijvoorbeeld op de Chinese website Wish. Daar kan je voor 40 euro honderd kaarten en een kaartlezer kopen." 

2. Hoe groot is het probleem?

Er zijn nog heel veel onveilige kaarten in omloop, zegt Niels Syx. Hij is de oprichter en CEO van Syx Graphics, een bedrijf dat toegangskaarten produceert en verdeelt.  "In ons land schat ik dat er tussen de 500.000 en 10 miljoen kaarten circuleren."

Volgens De Vroey is er nog een andere reden waarom de kaarten nog in omloop zijn. "Veel bedrijven hebben verouderde kaartlezers. Het kost handenvol geld om het toegangssysteem te vervangen. In plaats van heel het systeem te vervangen, bestellen bedrijven nieuwe kaarten. Maar daarmee los je het probleem niet op."

Het gebeurt weleens dat de kaarten online worden aangekocht. Bijvoorbeeld op de Chinese website Wish. Daar kan je voor 40 euro honderd kaarten en een kaartlezer kopen

Daar is Preneel het mee eens. "Het is voor bedrijven inderdaad heel duur om alle kaartlezers te vervangen. Sommige leveranciers verkopen veilige kaarten, maar als bedrijf moet je ook de kaartlezers vervangen. Daarom stellen bedrijven die investering uit."

Een andere ethische hacker, die anoniem wil blijven, vertelt ons het verhaal van een toegangskaart die op korte tijd op twee totaal verschillende plaatsen in een groot Antwerps bedrijf opdook. De tweede kaart was vermoedelijk een gekopieerde badge. Dit toont volgens hem aan dat er nog veel onveilige kaarten in omloop zijn. 

3. Zijn er oplossingen?

De Vroey wil dat wij de smartphone als toegangsmiddel gebruiken. "We gebruiken nu al de smartphone om te bankieren. We kunnen perfect met de draadloze technologie NFC, die in elke smartphone zit, toegang krijgen." Volgens De Vroey heeft de smartphone tal van voordelen. Zo kan je een verloren smartphone meteen traceren en de toegang ontzeggen. Dat is minder evident met een kaart." 

U kan in een smartphone ook extra veiligheid toevoegen. Bijvoorbeeld: de gebruiker moet eerst met zijn vingerafdruk in het toestel inloggen vooraleer hij toegang krijgt.

Ten eerste kan je een verloren smartphone meteen traceren en de toegang ontzeggen. Dat is minder evident met een kaart

Preneel vindt het belangrijk dat de toegangsbadges voldoende beveiligd worden. "Dat kunnen we perfect doen met de juiste software. Er zijn bovendien goede systemen die niet duur zijn. We hebben een tijdje geleden in ons departement alle deuren voorzien van nieuwe kaartlezers. Die zijn tegenwoordig relatief goedkoop geworden. Jaarlijks vervangen we in ons departement zo'n 80 kaarten. Vroeger was dat een gedoe met sleutels, maar nu is dat veel makkelijker met de toegangsbadges."

Bekijk hieronder het verslag van "Het Journaal":

Video player inladen...