Blir hjemmesikkerhetskameraene dine streamet online uten at du vet det?

Annonse

Rapporter sprakk tidligere denne måneden om et nettsted som var live streaming opptak fra mer enn 70 000 Internett-tilkoblede sikkerhetskameraer. De siste dagene har medieoppslagene blitt hysteriske med Daily Mail-rapporteringen – og jeg bruker det ordet løst – at Russere spionerer på britiske familier via webkameraene deres. Denne nettsiden er nå fjernet, men sikkerhetstrusselen er ikke borte.

Jeg har sett på det, snakket med en sikkerhetsekspert og funnet ut noe av hvordan det antatte hacket skjedde.

Ble kameraene hacket?

Alle kameraene på nettstedet kringkastet feeden deres på nettet fordi de var designet for å gjøre det. De tre hovedprodusentene representert på siden var Foscam, Linksys og Panasonic. De produserer alle kameraer som denne modellen fra Linksys som sender video til datamaskinen din over ditt lokale nettverk, eller kritisk, over Internett, slik at du kan få tilgang til feeden fra hvor som helst.

Kevin Sheldrake, en informasjonssikkerhetskonsulent og venn av meg, forklarte at "Det ser ikke ut som om kameraene faktisk ble hacket i tradisjonell forstand. Det ser ut til at de nettopp brukte standardlegitimasjon, eller ingen legitimasjon, for å få tilgang til kamerafeeder som ble funnet gjennom Google.»

Google Hacking

I følge nettstedets nå fjernede FAQ ble kameraene funnet med det Kev kaller "Google-hacking". Mange av nettsidene til de berørte kameraene inkluderer ting som "live feed" og kameramodellen i titteltaggen. Ved bruk av avanserte søkeoperatører Hvordan gjøre god bruk av Googles søkeoperatørerMed operatører kan du vise resultater som bare gjelder bestemte nettsteder, søke gjennom en rekke tall, eller til og med utelukke et ord fra resultatene dine. Når du mestrer bruken av Googles... Les mer som for eksempel intitle: det er mulig å finne alle disse sidene som er indeksert av Google.

Nettsidene disse kameraene setter opp er i teorien private. De er ikke eksplisitt fjernet fra Google, men generelt sett er de ikke ment å bli funnet. Google finner nettsteder ved å følge koblinger Hvordan fungerer søkemotorer?For mange mennesker er Google internett. Det er uten tvil den viktigste oppfinnelsen siden selve Internett. Og selv om søkemotorene har endret seg mye siden, er de underliggende prinsippene fortsatt de samme. Les mer . Hvis Google ikke finner linker til et nettsted, kan det ikke indeksere det. Alle nettsidene til det berørte kameraet havnet på Google. Dette betyr at det av en eller annen grunn er en lenke et sted på Internett som peker til kameraets nettside.

Jeg undersøkte nettsiden til et av de berørte kameraene, som var plassert i en fotobutikk og åpnet via en tilbakekobling på butikkens nettside – hvordan den havnet på Google. Historien for alle de andre kameraene vil være lik.

Hvordan kameraene ble åpnet

Selv om kameraets nettside er oppført på Google, bør det ikke være noe problem. Fôret er normalt passordbeskyttet. Det blir bare et problem hvis kamerabrukeren ikke har endret passordet fra produsentens innstilte standard, eller enda verre, latt det være helt usikret. Dette er hva som skjedde med alle de berørte kameraene.

Standardpassordene for de fleste kameraer er offentlig tilgjengelig på produsentens nettsted. Du kan finne en spesifikk kameramodell ved å bruke Google-hacking og deretter slå opp standardpassordet. Hvis det ikke er endret, eller et passord ikke er angitt, er du med.

Hvorfor dette fortsatt er et problem

Nettstedet som fikk alle til å få panikk, automatiserte prosessen med å finne kameranettsider og deretter prøve standardpassordet. Hvis det fungerte, skrapte den feeden og la den til nettstedet. Hvis den ikke gjorde det, ble nettsiden ignorert.

73000 innmatinger ble funnet ved hjelp av denne prosessen.

Selv om siden har blitt fjernet, gjenstår problemet. Nettstedet var bare en aggregator. Alle de berørte kameraenes nettsider er fortsatt online, i hovedsak ubeskyttet. Alle med litt kunnskap om Google kan gjøre nøyaktig samme prosess manuelt. Det faktum at siden er borte gjør det bare marginalt vanskeligere.

Enda verre, Kev forklarte at "Historisk sett har denne typen Internett-kameraer vært plaget av flere klassiske sikkerhetssårbarheter, som dårlig brukerautentisering og kodeinjeksjon gjennom nettet grensesnitt. De unnlater vanligvis også å bruke moderne linux/unix-sikkerhetsmodeller, noe som betyr at en kodeinjeksjonssårbarhet fører til at hele kameraet blir kontrollert av angriperen. Når en angriper kontrollerer kameraet ditt, kan de bruke det som et startpunkt for å angripe alt annet på nettverket ditt.» Det er en alvorlig sårbarhet.

Sikring av kameraet

Det er ingen enkel måte å finne ut om kameraet ditt er berørt. Det beste du kan gjøre er å anta at det er det og ta skritt for å sikre det. Det er to ting du må gjøre: prøv å forhindre at det vises i Googles søkeresultater og beskytt det med et sikkert passord.

Det er mulig å fjerne en nettside fra Google men du må kunne ha tilgang til HTML-koden. Dette ser ikke ut til å være mulig med de fleste kameraene. Sørg i stedet for at Google aldri finner kameraets nettside.

Bruk følgende liste over "Fem ikke gjør" for å holde det Internett-aktiverte sikkerhetskameraet ditt sikkert:

1. Del aldri koblingen til kameraets nettside på det åpne nettet.
2. Ikke lenk til eller bygg det inn på nettstedet ditt.
3. Ikke legg det ut på Facebook-siden din.
4. Ikke del det på Twitter.
5. Spesielt, ikke koble til det på Google+. Så lenge kameraets nettside aldri blir indeksert av Google, vil den ikke vises i søkeresultatene uansett hvilke avanserte triks som brukes.

I tillegg endrer du passordet fra standard til noe langt og sikkert. Hos MakeUseOf har vi fortalt deg om et par måter du kan lage sikre, minneverdige passord på 13 måter å lage passord som er sikre og minneverdigeVil du vite hvordan du lager et sikkert passord? Disse kreative passordideene vil hjelpe deg med å lage sterke, minneverdige passord. Les mer . Bruk en av dem og gjør passordet så langt som mulig. På denne måten, selv om Google indekserer nettsiden, krever tilgang til kameraet betydelig innsats.

Tenk til slutt om du trenger å ha tilgang til kameraet ditt hvor som helst. Hvis du ikke gjør det, slår du av nettsiden i kameraets innstillinger.

Har du blitt påvirket av dette, eller lignende, "hack"? Del gjerne historien din i kommentarfeltet.