Bliv dine hjemmesikkerhedskameraer streamet online uden din viden?

  • Harry James
  • 0
  • 3484
  • 815
Reklame

Rapporter brød tidligere i denne måned om et websted, der var live-streaming-optagelser fra mere end 70.000 internetforbundne sikkerhedskameraer. I de sidste par dage er medieberetningerne blevet hysteriske med Daily Mail-rapporteringen - og jeg bruger det ord løst - at russerne spionerer på britiske familier via deres webcams. Dette særlige websted er nu blevet fjernet, men sikkerhedstruslen er ikke væk.

Jeg har undersøgt det, talt med en sikkerhedsekspert og udarbejdet noget af, hvordan det formodede hack forekom.

Blev kameraerne hacket?

Alle kameraer på webstedet udsendte deres feed online, fordi de var designet til at gøre det. De tre største producenter repræsenteret på webstedet var Foscam, Linksys og Panasonic. De producerer alle kameraer som denne model fra Linksys, der sender video til din computer via dit lokale netværk eller kritisk over internettet, så du kan få adgang til feedet hvor som helst.

Kevin Sheldrake, en informationssikkerhedskonsulent og min ven, forklarede det, “Det ser ikke ud til, at kameraerne faktisk blev hacket i traditionel forstand. Det ser ud til, at de lige har brugt standardoplysninger eller ingen legitimationsoplysninger til at få adgang til kamerafeeds, der blev fundet via Google.”

Google Hacking

I henhold til websteds nu-fjernede FAQ blev kameraerne fundet med det, Kev kalder “Google hacking”. Mange af de udførte kameraers websider inkluderer ting som “levende foder” og kameramodellen i titelmærket. Ved at bruge avancerede søgeoperatører Sådan gør du god brug af Googles søgeoperatører Sådan gør du god brug af Googles søgeoperatører Med operatører kan du vise resultater, der kun vedrører bestemte websteder, søge gennem en række numre eller endda helt ekskluder et ord fra dine resultater. Når du mestrer brugen af ​​Googles ... som f.eks intitle: er det muligt at finde alle disse sider, der er indekseret af Google.

Websiderne, som disse kameraer er oprettet, er i teorien private. De er ikke eksplicit fjernet fra Google, men generelt er de ikke beregnet til at blive fundet. Google finder sider ved at følge linkene. Hvordan fungerer søgemaskiner? Hvordan fungerer søgemaskiner? For mange mennesker er Google internettet. Det er uden tvivl den vigtigste opfindelse siden Internettet i sig selv. Og selvom søgemaskinerne har ændret sig meget siden, er de underliggende principper stadig de samme. . Hvis Google ikke kan finde links til et websted, kan det ikke indeksere det. Alle det berørte kameras websider endte på Google. Det betyder, at der af en eller anden grund er et link et eller andet sted på Internettet, der peger mod kameraets webside.

Jeg undersøgte hjemmesiden til et af de berørte kameraer, der lå i en fotografibutik og fik adgang til via en backlink på butikens websted - hvordan det endte på Google. Historien for alle de andre kameraer vil være den samme.

Sådan fås adgang til kameraerne

Selv hvis kameraets webside er vist på Google, burde det ikke være et problem. Feedet er normalt adgangskodebeskyttet. Det bliver kun et problem, hvis kamerabrugeren ikke har ændret adgangskoden fra producentens indstillede standard, eller endnu værre, efterlod det helt usikret. Dette er, hvad der skete med alle de udførte kameraer.

Standard adgangskoder for de fleste kameraer er offentligt tilgængelige på producentens websted. Du kan finde en bestemt model af kameraet ved hjælp af Google-hacking og derefter slå det op som standardadgangskode. Hvis det ikke er ændret, eller der ikke er indstillet en adgangskode, er du inde.

Hvorfor dette stadig er et problem

Hjemmesiden, der havde alle få panik, automatiserede processen med at finde kamerasider og derefter prøve standardadgangskoden. Hvis det fungerede, skrabede det foderet og føjede det til webstedet. Hvis det ikke gjorde det, blev websiden ignoreret.

73000 feeds blev fundet ved hjælp af denne proces.

Selvom webstedet er blevet fjernet, forbliver problemet stadig. Webstedet var bare en aggregator. Alle de berørte kameras websider er stadig online, i det væsentlige ubeskyttet. Enhver med lidt kendskab til Google kan udføre nøjagtig den samme proces manuelt. At webstedet er væk, gør det kun marginalt sværere.

Endnu værre forklarede Kev det, “Historisk set er denne slags internetkameraer blevet plaget af flere klassiske sikkerhedssårbarheder, såsom dårlig brugergodkendelse og kodeindsprøjtning via webgrænsefladen. De undlader normalt ikke at bruge moderne linux / unix-sikkerhedsmodeller, hvilket betyder, at en sårbarhed med en kodeindsprøjtning får hele kameraet til at blive kontrolleret af angriberen. Når en hacker kontrollerer dit kamera, kan de bruge det som et spring off point til at angribe alt andet på dit netværk.” Det er en alvorlig sårbarhed.

Sikring af dit kamera

Der er ingen let måde at fortælle, om dit kamera er berørt. Den bedste ting at gøre er at antage, at det er det, og tage skridt til at sikre det. Der er to ting, du skal gøre: Prøv at forhindre, at det vises i Google-søgeresultater, og beskyt det med en sikker adgangskode.

Det er muligt at fjerne en webside fra Google, men du skal have adgang til HTML-koden. Dette ser ikke ud til at være muligt med størstedelen af ​​kameraerne. Sørg for i stedet for, at Google aldrig finder dit kameras webside.

Brug følgende liste over “Five Don'ts” for at holde dit internetaktiverede sikkerhedskamera sikkert:

  1. Del aldrig linket til kameras webside på det åbne web.
  2. Du må ikke linke til eller integrere det på dit websted.
  3. Placer det ikke på din Facebook-side.
  4. Del det ikke på Twitter.
  5. Især skal du ikke linke til det på Google+. Så længe kameraets webside aldrig indekseres af Google, vises det ikke i søgeresultater, uanset hvilke avancerede tricks der bruges.

Skift desuden adgangskoden fra standardindstillingen til noget langt og sikkert. Hos MakeUseOf har vi fortalt dig om et par måder, du kan oprette sikre, mindeværdige adgangskoder 7 måder at udgøre adgangskoder, der er både sikre og mindeværdige 7 måder at oprette adgangskoder, der er begge sikre og mindeværdige At have en anden adgangskode til hver service er et must i dagens online verden, men der er en frygtelig svaghed ved tilfældigt genererede adgangskoder: det er umuligt at huske dem alle. Men hvordan kan du muligvis huske…. Brug en af ​​dem, og lav adgangskoden så længe som muligt. Selvom Google indekserer websiden, kræver det at få adgang til kameraet en betydelig indsats, selvom Google ikke indekserer.

Tænk til sidst, om du har brug for at kunne få adgang til dit kamera hvor som helst. Hvis du ikke gør det, skal du deaktivere websiden i kameraets indstillinger.

Er du blevet påvirket af dette eller lignende, “hack”? Del din historie i kommentarerne.




Endnu ingen kommentarer

Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.