Video: Älykkäät turvakamerat - mitä kannattaa ottaa huomioon (Lokakuu 2024)
Se on tavallinen kohtaus useimmissa elokuvissa. Rikollisryhmän on päästävä läpi turvakameroiden peittämän alueen, joten he tunkeutuvat turvajärjestelmään saadakseen kameran näyttämään tyhjän käytävän. Black Hat -konferenssiesitelmä osoitti kuinka uskomattoman yksinkertainen tämä hakkerointi voi olla nykyaikaisessa Internet-yhteydellä varustetussa turvakamerassa. Itse asiassa, jos sinulla on turvakamerat toimistossasi tai yrityksessäsi, tämä hakkerointi on vähiten huolenaiheitasi. Hakkeri voi saada täyden pääsyn verkkoon kameroidesi kautta. Hei, eikö heidän pitänyt antaa sinulle parempaa turvallisuutta?
Näen sinut
Esittäjä Craig Heffner on taktisen verkkoratkaisun haavoittuvuustutkija, mutta hänellä on ollut muita työpaikkoja. "Uutiset kertoivat paljon siitä, että työskentelin aiemmin kolmen kirjeen toimistossa", sanoi Heffner. "Jotkut väittivät, että tämä esitys perustuu työhön, jonka tein NSA: lle. Se johti mielenkiintoisiin puheluihin entiseltä työnantajalta." Heffner selitti, että kaikki tätä esitystä koskevat tutkimukset tehtiin hänen nykyiselle työnantajalleen, ei NSA: lle.
Heffner arvioi D-Linkin, Linksysin, Ciscon, IQInvisionin ja 3SVisionin kameroita. Tutkimatta matalia yksityiskohtia, hän löysi joka tapauksessa tavan suorittaa mielivaltaisia komentoja etäyhteyden kautta. "Minä nimitin tämän Ron Burgundyn hyväksikäyttöön", heilautti Heffner. "Se vain ajaa mitä annat sille, ja se lähettää sinulle vastauksen." Useissa tapauksissa hän havaitsi järjestelmänvalvojan kirjautumistiedot koodattuina firmwaressa. "Salaisten koodattujen salasanojen ja salaisten takaovien ongelma", Heffner sanoi, "on, että ne eivät pysy salassa."
Lopulta Heffner sai juuritasolla pääsyn jokaiseen kameraan. Hän huomautti, että yrityksen omien mallien ja myös yritysten välillä on valtava koodin uudelleenkäyttö, joten nämä haavoittuvuudet kattavat paljon kameroita. Ja koska laiteohjelmistoa päivitetään niin harvoin, useiden vuosien takaisia haavoittuvuuksia voidaan edelleen hyödyntää.
Se on pahempaa
Heffner huomautti, että suurin osa turvakameroista on kytketty toimistoverkkoon. "Olen verkostossani, näen sinut ja olen juuri", hän sanoi. "Ei huono sijainti! Minulla on verkon sisällä Linux-pohjaisen koneen juuritason hallinta."
"Mutta ottakaamme askel taaksepäin", Heffner jatkoi. "Mitä voin tehdä itse kameralle? Voin muokata videovirtaa, klassista Hollywood-hakkerointia." Hän päätyi reaalimaailman demonstraatioon asettamalla kameran suojaamaan olutpulloa puhujan pöydällä. Kameran ollessa paikallaan hän käynnisti hyväksikäytön, joka houkutteli järjestelmänvalvojan näkemystä pullon näyttämiseksi, turvallisena ja terveenä, kun hän "varasti" pullon. Osallistujat rakastivat sitä.
Epävarmuuskamera?
"Suurin osa näistä virheistä on episesti triviaalia", Heffner päätteli. "Useimmat kamerat kertovat mallinumeron, vaikka et olisi todennettu. Voin Google-malli, ladata laiteohjelmiston ja alkaa analysoida sitä ostamatta laitetta koskaan." Itse asiassa Heffner kehitti kaikki nämä hyökkäykset tiukasti firmware-analyysillä, ennen kuin testattiin todella kameralla.
Heffner kysyi, onko hän löytänyt mitään turvakameroita, joita hän ei pystynyt hakkeroimaan. "Niitä on niin paljon, mutta olen ainakin tarvinnut kahden tunnin keskustelun."
Shodan-verkkosivustolla on helppo etsiä verkossa näkyviä kameroita. Jos toimistossasi tai tehtaallasi on turvakameroita, videosyötteesi saattaa olla jo auki. Vaikka he eivät olekin, on erittäin todennäköistä, että hakkeri voi ottaa videosyötteen hallintaan. Erityisesti jos käytät minkä tahansa mainitun myyjän kameroita, sinun kannattaa tarkistaa huolellisesti Heffnerin esitys, koska se sisältää täydelliset tiedot, joiden avulla kuka tahansa voi hakkeroida kyseiset kamerat. Tässä on vaakalaudalla enemmän kuin siitä, että Danny Ocean huolestuttaa kameroiden tyhjentämisestä.
