Nezabezpečené IP kamery a internet vecí ukazujú váš nahý zadok celému svetu. A väčšina ľudí o tom netuší, alebo im je to úplne jedno. Nedeľník TOUCHIT vážne i nevážne. Nezviazané IT témy na tisíc spôsobov.

Máte IP kameru? Nezabudnite si ju zabezpečiť heslom a vonkoncom nepoužívajte to, ktoré je prednastavené z výroby. Čudne pôsobiaca adresa kamery, ktorú nikomu neprezradíte, vás nechráni. Kamery sa dajú systematicky vyhľadávať a ak ide o zariadenie, ktoré sleduje vnútro vášho bytu, alebo záhradu na ktorej sa opaľujete nahý, ide o zvedavé oko do vášho súkromia, ktoré ponúkate všetkým.

Tento problém je dlhodobý a existuje prakticky od počiatku masového rozširovania IP kamier. Tie vysielajú obsah pomerne jednoduchým spôsobom prostredníctvom internetu a majiteľovi stačí poznať ich adresu a po zadaní hesla sa mu video z kamery sprístupní. Môže tak mať dozor nad svojim majetkom odkiaľkoľvek z celého sveta.

Nedelnik18-1_nowat

Väčšina ľudí si ale neuvedomí, že adresu nemusia zadávať len oni. Na kameru sa skutočne môže pripojiť ktokoľvek a pokiaľ nie je zabezpečená heslom, nič mu v tom nebráni. Mnohí ľudia  v kamere naivne nechajú heslo nastavené od výroby, pričom si neuvedomia, že tieto heslá sú prakticky známe každému, kto s takou kamerou prišiel do styku, alebo, že sú rýchlo dohľadateľné cez internet.

Kamery tohto typu pri tom vonkoncom nie sú používané len na dohľad nad verejnými ulicami. Ľudia si ich umiestňujú do vlastných garáží, obývačiek a dokonca bývajú namierené aj na postele malých detí, pričom slúžia ako „pokročilá“ verzia bežného zvukového monitora.

Insecam.org je zrejme najväčším rázcestníkom pre priame zobrazenie nezabezpečených kamier. Nejde len o kamery namierené na ulice či parky, ale aj na kamery, ktoré sa nachádzajú vo vnútri obchodov či barov a v mnohých prípadoch narazíte aj na také, ktoré sledujú verandy rodinných domov alebo ich útrob.

Týchto prípadov je omnoho menej ako v minulosti. Pred zhruba 1,5 rokom spôsobila táto stránka hromadné upovedomenie, keď o nej reportovali mnohé média, tlačiace na jej rýchle zrušenie. Majiteľ stránky sa ohradil, že nerobí nič zlé a len upozorňuje na problém, ktorý nielenže nikto nerieši, ale je navyše z hľadiska výrobcov a médií dlhodobo ignorovaný.

Nedelnik18-2_nowat

Je pravdou, že neprestajné upozorňovanie na tento problém je asi jediná cesta, ako ľudí donútiť k väčšej zodpovednosti, pretože doterajšie postupy skrátka nefungujú. Okrem používateľov však nie sú bez viny ani výrobcovia. Ak by napríklad Gmail umožnil vytvárať e-mail bez hesla, alebo by prioritne novej schránke prideľoval heslo „administrátor“, nikto by sa nečudoval, že mnohí ľudia by si žiadne heslo nenastavili, alebo by nechali nastavené to pôvodné. Neuvedomili by si totiž to nebezpečenstvo, že do schránky má prístup ktokoľvek. Je to problém osvety, avšak nemožno automaticky očakávať, že ľudia sa vždy dozvedia všetko akosi automaticky. Správnym riešením je vyžadovať vlastné heslo pri vytváraní, čo jednoznačne malo byť od začiatku štandardom aj pri pripájaní IP kamier.

V prípade zaraďovania kamier na Insecam išlo v úvode skôr o automatický proces (aspoň tak to tvrdil administrátor), pri ktorom sa kamery systematicky vyhľadávali a následne sprístupňovali. Výsledkom bol hrozivý zástup viac ako 70 000 zariadení, ktorých počet sa neustále zväčšoval rýchlym tempom.

Po výbuchu mnohých veľkých amerických médií na jeseň 2014 administrátor stránky odstránil najhrozivejšie kamery, sledujúce detské postieľky či byty. Počet kamier značne zredol a v súčasnosti na nej nájdete „už len“ zhruba 30 000 kamier. Niekoľko desiatok je pri tom aj zo Slovenska, pričom susedná Česká republika je na stránke zastúpená niekoľkými stovkami. Najviac kamier (6000) je z USA.

Pozícia kamier je určovaná na základe IP adresy, čo závisí na mnohých faktoroch a nepočítajte s tým, že bude vždy presná. Kým v niektorých prípadoch pôjde o presnú adresu domu či ulicu, v iných môže byť odchýlka aj niekoľko desiatok či dokonca stoviek kilometrov.

Nedelnik18-3_nowat

Autor sa dnes snaží výsledky filtrovať a kameru zaradí na stránku až po ručnom prezretí, kedy sa presvedčí, že nie je extrémne nevhodná. Ktokoľvek pri tom môže kameru nahlásiť a požiadať o jej odstránenie zo stránky.

Je nutné si uvedomiť, že tieto kamery nie sú sprístupnené nejakým sofistikovaným hackerským útokom. Sú vidieť preto, že sú voľne dostupné a stačí poznať len adresu, ktorá sa dá jednoducho vyhľadávať internetovým vyhľadávačom.

Je to nelegálne? Ak je prístup kamery chránený heslom, hoc aj slabým, respektíve tým známym základným, tak áno. Nikto totiž slabú ochranu nemá právo prelamovať. Ak by sme situáciu chceli k niečomu prirovnať, tak napríklad vstup do domu alebo bytu je možný rozbitím okna. To, že rozbiť sklo je ľahké neznamená, že to len tak môžete urobiť. Stále je to vnímané ako zločin.

Pri kamerách, ktoré Insecam sprístupňuje zadaním základného hesla jednotlivých kamier, sa to teda dá vnímať ako narušenie súkromia.

Pokiaľ ale kamera zabezpečená heslom nie je, tak len ťažko môžete niekomu zabraňovať, aby písal adresu do adresného riadku internetového prehliadača. Žiadna ochrana totiž nie je prístupná a kamery voľne vysielajú pre každého. Nadarmo sa budete rozčuľovať nad tým, že sa na kameru niekto pozerá. Je to ako chodiť po ulici nahý a byť rozčúlený z toho, že sa vám ľudia pozerajú na prirodzenie.

Nedelnik18-8_nowat

Najstrašidelnejšie kamery už našťastie z webu zmizli a administrátor ich ignoruje. Problém to ale nerieši

Ak na stránke uvidíte sprístupnenú svoju vlastnú kameru, môžete ju administrátorovi stránky nahlásiť so žiadosťou o odstránenie, ktorej rýchlo vyhovie. Toto je však hlúpe riešenie. Uvedomte si, že kamera zmizne len z webu Insecam a to je všetko. Stále ju môže vyhľadať ktokoľvek a prihlásiť sa na ňu tak ako vy.

Správnym riešením je zabezpečenie kamery vlastným heslom. Tým pádom bude prístupná len vám a nikto cudzí sa na ňu ľahko prihlásiť už nemôže. Zákonite sa pri tom znefunkční aj na webe Insecam.

Osobne si myslím, že v niektorým prípadoch, ako je práve tento, ide o asi najúčinnejšie upozornenie na problém. Ľudia sa k IP kamerám správajú nezodpovedne roky a toto je asi jediný spôsob, ktorý skutočne niekoho udrie po hlave a donúti k reakcii. Web každopádne udrel po hlavách výrobcov a väčšina nových modelov IP kamier vyžaduje po pripojení zadanie vlastného hesla. Na starých modeloch, ktoré už boli predané, sa to však pochopiteľne vyžaduje ťažko.

Súčasný stav, pri ktorom sa administrátor Insecam vyhýba tým najkontroverznejším a najviac súkromie odhaľujúcim príkladom je asi vhodný postup. Je nutné si ale uvedomiť, že prevádzkovateľ Insecam nie je opravár. Ak sa rozhodne nejakú kameru na stránke nezverejniť, nevyrieši sa to, že je dostupná. Možno  ak by ju naopak na stránke zverejnil, tak z dôvodu jej popularity by sa o tom majiteľ rýchlo dozvedel. Takto bude majiteľ neinformovane stav udržiavať naďalej, zatiaľ čo si kameru budú vychutnávať sliediči, ktorí si ju vyhľadali svojpomocne.

Nedelnik18-4_nowat

Insecam navyše nie je jediný web tohto druhu. Ďalším je napríklad Live Cam a vyhľadávať kamery sám môže naozaj ktokoľvek. Chcete si vyskúšať hľadať kamery sami? Tu sú jednoduché príklady, ktoré stačí zadať do vyhľadávača:

inurl:CgiStart?page=Single

intitle:“supervisioncam protocol“

inurl:/view.shtml

Ďalšie možné varianty vyhľadávacích výrazov môžete vidieť napríklad tu.

Týmto spôsobom nájdete aj kamery, ktoré na Insecam nie sú, pretože niektoré boli vyradené zo spomenutých dôvodov.

(Upozornenie: Google má zavedený mechanizmus, ktorý rozpoznáva vyhľadávacích robotov a ak budete používať viac takýchto hľadaní rýchlo po sebe, zobrazí sa CAPTCHA, ktorá overí, že nie ste automatický mechanizmus)

Nedelnik18-5_nowat

Nie vždy je však na vine len nezodpovednosť používateľa. V mnohých ohľadoch je na vine aj nedostatočná bezpečnosť na strane výrobcu a najmä v blízkej budúcnosti bude tento problém čoraz viac narastať v súvislosti s internetom vecí (IoT).

V posledných rokoch sa objavilo niekoľko štúdií, ako napríklad tie od Hewlett-Packard (1, 2), ktoré poukázali na žalostný stav zabezpečenia IoT.

Bežný je napríklad nebezpečný proces sťahovania vlastných aktualizácií, pri ktorom je možné po ceste komunikáciu odchytiť a modifikovať, čo môže viesť k prevzatiu kontroly nad zariadením. Mnoho prvkov IoT pri tom nepoužíva šifrovanie, čo do budúcnosti otvára dvere k tomu, aby boli veľmi lákavým cieľom. Spustiť vstavaný mikrofón či kameru by pre útočníka mohlo byť veľmi zaujímavé.

Jedným z možných príčin tohto stavu je to, že IoT je nový trend, do ktorého sa s nadšením púšťajú aj malé a nezávislé tímy, ktoré sa financujú napríklad len pomocou Kickstarteru. Často pri tom nemajú so zabezpečím softvéru žiadne skúsenosti a vzhľadom na malé finančné prostriedky na vývoj si ani nemôžu dovoliť, aby sa im o zabezpečenie postaral externý dodávateľ.

Nedelnik18-7_nowat.jpg

Fotografie z detských tabletov VTech

Za pozornosť stojí aj to, že väčšina IoT zariadení je silne previazaná s cloudovou službou poskytovateľa. Nejde teda o nejaké riešenie, ktoré si spravujete sami doma. Nešifrovanie komunikácie a dát je pre prevádzkovateľa často výhodou z hľadiska jednoduchej analýzy a dobrej kontroly nad tým, čo používatelia zo zariadeniami robia.

Zabezpečenie IoT by malo byť esenciálne dôležité a nemôžeme si dovoliť pristupovať k tomuto problému laxne. Žiaľ, situácia je presne opačná.

Ako príklad poslúži príhoda z novembra, v súvislosti s výrobcom elektronických hračiek VTech. Detský tablet tejto firmy totiž automaticky uploadoval všetky dáta na cloud v nezašifrovanej podobe a sprístupňoval ich pomocou služby Kid Connect.

Nedelnik18-6_nowat.jpg

VTech InnoTab 3. Uploaduj na cloud pre celý svet.

Nebezpečnosť tohto procesu zaujala neznámeho hackera, ktorému sa na cloud podarilo poľahky preniknúť a všetky dáta skopírovať. Šlo o takmer 190 GB dát, ktoré obsahovali milióny adries, mená detí aj rodičov, dátumy narodenín a viac ako 200 000 súkromných fotografií, na ktorých boli predovšetkým samotné deti. Okrem toho bola súčasťou dát aj komunikácia z integrovanej aplikácie na posielanie správ, pomocou ktorej si deti s rodičmi mohli písať.

Hacker je údajne rodič, ktorý svojmu dieťaťu takéto zariadenie kúpil. O prieniku a lajdáckosti poskytovateľa informoval redakciu Motherboard, pričom poskytol aj časť materiálu ako dôkaz. Podrobnosti o prieniku a jeho rozsahu si môžete prečítať napríklad tu.

Nedeľník TOUCHIT hľadajte na našom webe ako inak každú nedeľu. Ak ste predchádzajúce zmeškali, nájdete ich všetky pod rovnomenným kľúčovým slovom.

Nedelnik18-R_nowat

František Urban

František Urban
Zameriavam sa najmä na prehľadové a analytické články z oblasti najrôznejších technológií a ich vývoja. Nájdete ma takisto pri diagnostike HW a SW problémov.