Video: Granny is Mr Bean! (Oktober 2024)
To je standardni prizor v večini heist filmov. Kriminalistična ekipa se mora prebiti skozi območje, ki ga pokrivajo varnostne kamere, zato vdrejo v varnostni sistem, da bi kamera pokazala prazen hodnik. Predstavitev konference Black Hat je pokazala, kako neverjetno preprost je ta kramp na sodobni internetni varnostni kameri. Po pravici povedano, če imate varnostne kamere v svoji pisarni ali podjetju, vam ta kramp najmanj skrbi. Heker bi lahko s svojimi kamerami dobil popoln dostop do omrežja. Hej, ne bi ti morali zagotoviti boljše varnosti?
Se vidimo
Presenter Craig Heffner je raziskovalec ranljivosti pri Tactical Network Solutions, vendar je imel druge zaposlitve. "Novice so veliko govorile o tem, da sem nekoč delal za tričrkovno agencijo, " je dejal Heffner. "Nekateri so trdili, da ta predstavitev temelji na delu, ki sem ga opravil za NSA. To je povzročilo zanimive klice mojega nekdanjega delodajalca." Heffner je pojasnil, da so bile vse raziskave te predstavitve izvedene za njegovega sedanjega delodajalca in ne za nedržavni urad.
Heffner je ocenjeval kamere iz D-Link, Linksys, Cisco, IQInvision in 3SVision. Ne da bi se spuščal v nizke podrobnosti, je v vsakem primeru našel način za samovoljenje ukazov na daljavo. "To sem poimenoval izkoriščanje Ron Burgundije, " je odkimaval Heffner. "Zažene samo vse, kar mu daste, in poslala vam bo odgovor." V več primerih je v strojni opremi našel poverilnice za skrbniške prijave. "Problem s skrivnimi trdo kodiranimi gesli in tajnimi zaporami, " je dejal Heffner, "je, da ne ostanejo skrivni."
Na koncu je Heffner na korenski ravni dobil dostop do vsake kamere. Izpostavil je, da obstaja velika ponovna uporaba kode med lastnimi modeli podjetja in tudi med podjetji, zato te ranljivosti pokrivajo veliko kamer. In ker se vdelana programska oprema tako redko posodablja, so ranljivosti izpred nekaj let še vedno podvržene izkoriščanju.
Še slabše postane
Heffner je izpostavil, da je večina varnostnih kamer povezanih s pisarniškim omrežjem. "V vaši mreži sem. Vidim te in korenim, " je dejal. "Ni slab položaj! V vašem omrežju imam nadzor na ravni računalnika, ki temelji na Linuxu."
"Toda storimo korak nazaj, " je nadaljeval Heffner. "Kaj lahko storim s kamero? Lahko spremenim video tok, klasični hollywoodski hek." Končal je z demonstracijo v resničnem svetu, na mizo zvočnika je postavil kamero za zaščito steklenice piva. Z nameščeno kamero je sprožil eksploziv, ki je dodobra preusmeril skrbnikov pogled, da bi pokazal steklenico, varno in zdravo, medtem ko je "ukradel" steklenico. Prisotni so ga imeli radi.
Kamera za negotovost?
"Večina teh hroščev je epsko trivialna, " je zaključil Heffner. "Večina kamer vam bo povedala številko modela, tudi če nimate pristnosti. Lahko dam Google model, prenesem vdelano programsko opremo in jo začnem analizirati, ne da bi kdaj kupil napravo." Pravzaprav je Heffner vse te napade razvil strogo z analizo vdelane programske opreme, preden je kdajkoli testiral dejansko kamero.
Na vprašanje, ali je našel varnostne kamere, ki jih ne bi mogel pokvariti, je Heffner odgovoril ne. "Še toliko jih je, vendar bi potreboval vsaj dveurni pogovor."
Spletno spletno mesto olajša iskanje kamer, ki so vidne na spletu. Če imate v pisarni ali tovarni varnostne kamere, so morda vaši video vire že na široko odprti. Tudi če niso, je zelo verjetno, da bi heker lahko prevzel nadzor nad virom video. Še posebej, če uporabljate kamere katerega koli od omenjenih prodajalcev, boste želeli natančno pregledati Heffnerjevo predstavitev, saj vsebuje popolne podrobnosti, ki bi komu omogočile, da bi prikradel prizadete kamere. Ogroženo je več kot skrb za to, da bo Danny Ocean fotoaparate razdelil na plet.
