Reklama

Raporty zepsuły się na początku tego miesiąca o strona internetowa, która była strumieniową transmisją na żywo z ponad 70 000 kamer bezpieczeństwa podłączonych do Internetu. W ciągu ostatnich kilku dni doniesienia medialne wpadły w histerię w związku z doniesieniami Daily Mail – i używam tego słowa luźno – że Rosjanie szpiegują brytyjskie rodziny za pomocą kamer internetowych. Ta konkretna witryna została już usunięta, ale zagrożenie bezpieczeństwa nie zniknęło.

Przyjrzałem się temu, rozmawiałem z ekspertem ds. bezpieczeństwa i wyjaśniłem, jak doszło do rzekomego włamania.

Czy kamery zostały zhakowane?

Wszystkie kamery na stronie transmitowały swój kanał online, ponieważ zostały do ​​tego zaprojektowane. Trzech głównych producentów reprezentowanych na stronie to Foscam, Linksys i Panasonic. Wszyscy produkują kamery jak ten model firmy Linksys które wysyłają wideo do komputera przez sieć lokalną lub, co najważniejsze, przez Internet, dzięki czemu możesz uzyskać dostęp do kanału z dowolnego miejsca.

instagram viewer

Kevin Sheldrake, mój konsultant ds. bezpieczeństwa informacji i przyjaciel, wyjaśnił, że: „Nie wygląda na to, że kamery zostały faktycznie zhakowane w tradycyjnym sensie. Wygląda na to, że po prostu użyli domyślnych danych uwierzytelniających lub nie użyli danych uwierzytelniających, aby uzyskać dostęp do obrazów z kamer, które zostały znalezione przez Google”.

Hakowanie Google

Według usuniętych obecnie FAQ witryny, kamery zostały znalezione za pomocą tego, co Kev nazywa „hakowaniem Google”. Wiele stron internetowych aparatów, których dotyczy ten efekt, zawiera takie elementy, jak „transmisja na żywo” i model aparatu w tagu tytułowym. Używając zaawansowane operatory wyszukiwania Jak dobrze wykorzystać operatorów wyszukiwania GoogleDzięki operatorom możesz wyświetlać wyniki, które odnoszą się tylko do określonych witryn, przeszukiwać zakres liczb, a nawet całkowicie wykluczać słowo z wyników. Kiedy opanujesz korzystanie z... Czytaj więcej Jak na przykład tytuł: można znaleźć wszystkie te strony, które zostały zaindeksowane przez Google.

Google

Strony internetowe tworzone przez te kamery są teoretycznie prywatne. Nie są wyraźnie usuwane z Google, ale generalnie nie należy ich znaleźć. Google znajduje witryny, korzystając z linków Jak działają wyszukiwarki?Dla wielu osób Google TO internet. To prawdopodobnie najważniejszy wynalazek od czasu samego Internetu. I chociaż wyszukiwarki bardzo się od tego czasu zmieniły, podstawowe zasady są nadal takie same. Czytaj więcej . Jeśli Google nie może znaleźć linków do witryny, nie może jej zindeksować. Wszystkie strony z aparatami, których dotyczy problem, trafiły do ​​Google. Oznacza to, że z jakiegoś powodu gdzieś w Internecie znajduje się link kierujący na stronę kamery.

Zbadałem stronę internetową jednego z aparatów, których dotyczy problem, która znajdowała się w sklepie fotograficznym i była dostępna przez link zwrotny na stronie sklepu – jak trafiła do Google. Historia wszystkich pozostałych aparatów będzie podobna.

Jak uzyskano dostęp do kamer

Nawet jeśli strona internetowa aparatu jest wymieniona w Google, nie powinno to stanowić problemu. Kanał jest zwykle chroniony hasłem. Problem staje się tylko wtedy, gdy użytkownik aparatu nie zmienił hasła domyślnego ustawionego przez producenta, lub co gorsza, pozostawił je całkowicie niezabezpieczone. Tak stało się ze wszystkimi aparatami, których dotyczył ten efekt.

Domyślne hasła dla większości kamer są publicznie dostępne na stronie producenta. Możesz znaleźć konkretny model aparatu za pomocą hakowania Google, a następnie sprawdzić jego domyślne hasło. Jeśli nie zostało zmienione lub hasło nie zostało ustawione, jesteś w.

Dlaczego nadal jest to problem

Witryna, w której wszyscy wpadli w panikę, zautomatyzowała proces wyszukiwania stron z kamerami, a następnie próbowania domyślnego hasła. Jeśli to zadziałało, zeskrobał kanał i dodał go do strony internetowej. Jeśli nie, strona została zignorowana.

Przy użyciu tego procesu znaleziono 73000 pasz.

Mimo że strona została usunięta, problem pozostaje. Witryna była tylko agregatorem. Wszystkie strony internetowe kamer, których dotyczy problem, są nadal online, zasadniczo nie są chronione. Każdy, kto ma trochę wiedzy o Google, może wykonać dokładnie ten sam proces ręcznie. Fakt, że strona zniknęła, tylko nieznacznie ją utrudnia.

bezpieczeństwo

Co gorsza, Kev wyjaśnił, że „historycznie tego rodzaju kamery internetowe były nękane przez wiele klasyczne luki w zabezpieczeniach, takie jak słabe uwierzytelnianie użytkownika i wstrzykiwanie kodu przez sieć berło. Zwykle nie korzystają również z nowoczesnych modeli zabezpieczeń linux/unix, co oznacza, że ​​jedna luka w zabezpieczeniach polegająca na wstrzyknięciu kodu powoduje, że atakujący kontroluje całą kamerę. Gdy atakujący przejmie kontrolę nad twoją kamerą, może wykorzystać ją jako punkt wyjścia do zaatakowania wszystkiego innego w twojej sieci.” To poważna luka.

Zabezpieczanie aparatu

Nie ma łatwego sposobu, aby stwierdzić, czy dotyczy to Twojego aparatu. Najlepiej założyć, że tak jest i podjąć kroki w celu jego zabezpieczenia. Są dwie rzeczy, które musisz zrobić: spróbuj zapobiec wyświetlaniu go w wynikach wyszukiwania Google i chroń go bezpiecznym hasłem.

Jego możliwość usunięcia strony internetowej z Google ale musisz mieć dostęp do kodu HTML. Wydaje się, że nie jest to możliwe w przypadku większości kamer. Zamiast tego upewnij się, że Google nigdy nie znajdzie strony internetowej Twojego aparatu.

Skorzystaj z poniższej listy „Pięć zakazów”, aby zabezpieczyć kamerę bezpieczeństwa z dostępem do Internetu:

  1. Nigdy nie udostępniaj łącza do strony internetowej aparatu w otwartej sieci.
  2. Nie umieszczaj linków ani nie umieszczaj ich w swojej witrynie.
  3. Nie publikuj tego na swojej stronie na Facebooku.
  4. Nie udostępniaj tego na Twitterze.
  5. W szczególności nie zamieszczaj linków do niego w Google+. Dopóki strona internetowa aparatu nigdy nie zostanie zindeksowana przez Google, nie pojawi się ona w wynikach wyszukiwania bez względu na zastosowane zaawansowane sztuczki.

Dodatkowo zmień hasło z domyślnego na coś długiego i bezpiecznego. W MakeUseOf opowiedzieliśmy Ci o kilka sposobów na tworzenie bezpiecznych, zapadających w pamięć haseł 13 sposobów na tworzenie bezpiecznych i zapadających w pamięć hasełChcesz wiedzieć, jak utworzyć bezpieczne hasło? Te kreatywne pomysły na hasła pomogą Ci stworzyć silne, zapadające w pamięć hasła. Czytaj więcej . Użyj jednego z nich i ustaw hasło tak długo, jak to możliwe. W ten sposób, nawet jeśli Google indeksuje stronę internetową, dostęp do aparatu wymaga znacznego wysiłku.

Na koniec zastanów się, czy potrzebujesz mieć dostęp do aparatu z dowolnego miejsca. Jeśli nie, wyłącz tę stronę w ustawieniach aparatu.

Czy zostałeś dotknięty tym lub podobnym „hackiem”? Podziel się swoją historią w komentarzach.