Windows

Kamera IP wayarles yang luas digunakan untuk merampas Internet, para penyelidik mengatakan

IP Camera PEMBUNUH CCTV?

IP Camera PEMBUNUH CCTV?

Isi kandungan:

Anonim

Beribu-ribu kamera IP tanpa wayar yang disambungkan ke Internet mempunyai kelemahan keselamatan yang serius yang membolehkan penyerang merampas mereka dan mengubah firmware mereka Menurut para penyelidik dari firma keselamatan Qualys.

Kamera dijual di bawah jenama Foscam di Amerika Syarikat, tetapi peranti yang sama boleh didapati di Eropah dan di tempat lain dengan penjenamaan yang berbeza, kata penyelidik Qualys Sergey Shekyan dan Artem Harutyunyan, yang menganalisis keselamatan peranti dan dijadualkan membentangkan penemuan mereka di persidangan keselamatan Hack di Peti Box di Amsterdam pada hari Khamis.

Tutorial disediakan ed oleh vendor kamera mengandungi arahan tentang cara membuat peranti dapat diakses dari Internet dengan menyediakan aturan pemajuan port di penghala. Oleh sebab itu, banyak peranti sedemikian terdedah kepada Internet dan boleh diserang dari jauh, kata para penyelidik.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Mencari kamera mudah dan boleh dilakukan dalam beberapa cara. Satu kaedah melibatkan penggunaan enjin gelintar Shodan untuk mencari header HTTP khusus kepada antara muka pengguna berasaskan Web kamera. Pertanyaan seperti itu akan mengembalikan lebih daripada 100,000 peranti, kata para penyelidik.

Para vendor yang menjual kamera ini juga telah mengonfigurasikannya untuk menggunakan perkhidmatan dinamik DNS mereka sendiri. Sebagai contoh, kamera Foscam dapat diberikan nama hos jenis [dua huruf dan empat digit].myfoscam.org. Dengan mengimbas ruang nama * myfoscam.org seluruh penyerang boleh mengenal pasti kebanyakan kamera Foscam yang disambungkan ke Internet, kata para penyelidik.

Sekitar dua daripada setiap 10 kamera membolehkan pengguna untuk log masuk dengan nama pengguna "default" lalai dan tiada kata laluan, kata para penyelidik. Untuk yang lain yang mempunyai kata laluan yang dikonfigurasi pengguna, terdapat cara lain untuk memecah.

Kaedah serangan

Salah satu cara adalah untuk mengeksploitasi kelemahan yang baru ditemui dalam antara muka web kamera yang membolehkan penyerang jauh untuk mendapatkan snapshot dari memori peranti

Dump memori ini akan mengandungi nama pengguna dan kata laluan pentadbir dalam teks yang jelas bersama-sama dengan maklumat sensitif lain seperti bukti kelayakan Wi-Fi atau butiran mengenai peranti di rangkaian tempatan, kata penyelidik.

Walaupun vendor telah menambal kelemahan ini dalam firmware terkini, 99 peratus kamera Foscam di Internet masih menjalankan versi firmware lama dan terdedah, kata mereka. Terdapat juga satu cara untuk mengeksploitasi kerentanan ini walaupun dengan firmware terkini dipasang jika anda mempunyai kelayakan operator tahap untuk kamera.

Cara lain adalah untuk mengeksploitasi kelemahan permintaan silang tapak (CSRF) dalam antara muka dengan mengelakkan pentadbir kamera untuk membuka pautan yang dibuat khusus. Ini boleh digunakan untuk menambah akaun pentadbir sekunder ke kamera.

Kaedah ketiga adalah untuk melakukan serangan kekerasan untuk meneka kata laluan, kerana kamera tidak mempunyai perlindungan terhadap ini dan kata laluan adalah terhad kepada 12

Sekali penyerang memperoleh akses ke kamera, dia dapat menentukan versi firmwarenya, memuat turun salinan dari Internet, membongkarnya, menambah kod penyangak dan menuliskannya kembali ke peranti

Perisian tegar adalah berdasarkan uClinux, sistem pengendalian berasaskan Linux untuk peranti terbenam, jadi secara teknikal, kamera ini adalah mesin Linux yang disambungkan ke Internet. Ini bermakna mereka boleh menjalankan perisian sewenang-wenang seperti klien botnet, proksi atau pengimbas, kata para penyelidik.

Oleh kerana kamera juga disambungkan ke rangkaian tempatan, mereka boleh digunakan untuk mengenal pasti dan menyerang peranti tempatan yang jauh dari ' t jika tidak boleh diakses dari Internet, kata mereka.

Terdapat beberapa batasan untuk apa yang boleh dijalankan pada peranti ini kerana mereka hanya mempunyai 16MB RAM dan CPU yang perlahan dan kebanyakan sumber telah digunakan oleh proses lalai. Bagaimanapun, penyelidik menyifatkan beberapa serangan praktikal. Salah satunya melibatkan mencipta akaun pentadbir backdoor yang tersembunyi yang tidak disenaraikan di antara muka Web.

Serangan kedua melibatkan mengubah suai firmware untuk menjalankan pelayan proksi pada port 80 bukan antara muka Web. Proksi ini akan ditetapkan untuk bertindak secara berbeza bergantung pada siapa yang menyambungkannya.

Sebagai contoh, jika pentadbir mengakses kamera melalui port 80 proksi akan memaparkan antara muka Web biasa kerana pentadbir tidak akan mempunyai penyemak imbasnya dikonfigurasi untuk gunakan alamat IP kamera sebagai proksi. Namun, penyerang yang mengkonfigurasi pelayar mereka dengan cara ini akan mempunyai sambungan mereka melalui terowong proksi.

Senario serangan ketiga melibatkan keracunan antara muka Web untuk memuatkan sekeping kod JavaScript yang dihoskan.

Serangan automatik

Para penyelidik mengeluarkan alat sumber terbuka bernama "getmecamtool" yang boleh digunakan untuk mengautomasikan kebanyakan serangan ini, termasuk menyuntik fail boleh laku ke dalam firmware atau menampal antara muka Web.

Satu-satunya perkara yang alat tidak mengautomasikan adalah serangan pintasan pengesahan, kata para penyelidik. Alat ini memerlukan kelayakan log masuk yang sah untuk digunakan untuk kamera yang disasarkan, ukuran yang diambil para penyelidik untuk mengehadkan penyalahgunaannya.

Kamera juga terdedah kepada serangan denial-of-service kerana mereka hanya boleh mengendalikan sekitar 80 HTTP serentak sambungan. Contohnya serangan itu boleh digunakan, misalnya, untuk mematikan kamera ketika melakukan rompakan, kata para penyelidik.

Yang paling baik adalah untuk kamera-kamera ini tidak terkena Internet, kata para penyelidik. Tetapi, jika ini diperlukan, maka kamera harus digunakan di belakang firewall atau sistem pencegahan pencerobohan dengan peraturan yang ketat.

Akses kepada mereka hanya boleh dibenarkan dari beberapa alamat IP yang dipercayai dan bilangan maksimum sambungan serentak harus kata mereka. Mengasingkan kamera dari rangkaian tempatan juga merupakan idea yang baik, untuk mengelakkan mereka daripada disalahgunakan untuk menyerang peranti tempatan.

Jika anda berminat untuk menggunakan kamera IP definisi tinggi yang tidak diketahui terdedah untuk hack ini, kami mempunyai ulasan tiga model baru.