ใครกำลังดูอยู่ ความปลอดภัยแฮ็คกล้องหลอกภาพเครือข่ายการโจมตี

เป็นฉากมาตรฐานในภาพยนตร์ปล้นส่วนใหญ่ ทีมอาชญากรรมต้องผ่านพื้นที่ที่มีกล้องรักษาความปลอดภัยจึงเจาะเข้าไปในระบบรักษาความปลอดภัยเพื่อให้กล้องแสดงห้องโถงที่ว่างเปล่า การนำเสนอการประชุม Black Hat แสดงให้เห็นว่าการแฮ็คนั้นง่ายเพียงใดในกล้องรักษาความปลอดภัยที่เชื่อมต่ออินเทอร์เน็ตที่ทันสมัย อันที่จริงถ้าคุณมีกล้องรักษาความปลอดภัยในสำนักงานหรือธุรกิจของคุณแฮ็คนี้เป็นสิ่งที่คุณกังวลน้อยที่สุด แฮกเกอร์สามารถเข้าถึงเครือข่ายผ่านกล้องของคุณได้เป็นอย่างดี เฮ้พวกเขาไม่ควรให้ความปลอดภัยที่ ดีขึ้นกับ คุณเหรอ?

ฉันเห็นคุณ

Presenter Craig Heffner เป็นนักวิจัยช่องโหว่ด้วย Tactical Network Solutions แต่เขามีงานอื่น “ เรื่องข่าวพูดคุยกันมากมายเกี่ยวกับความจริงที่ว่าฉันเคยทำงานให้กับ บริษัท ตัวแทนจดหมายสามฉบับ” เฮฟฟ์เนอร์กล่าว "บางคนอ้างว่างานนำเสนอนี้ขึ้นอยู่กับงานที่ฉันทำเพื่อ NSA ซึ่งส่งผลให้มีการโทรที่น่าสนใจจากอดีตนายจ้างของฉัน" เฮฟฟ์เนอร์ชี้แจงว่างานวิจัยทั้งหมดที่นำเสนอในครั้งนี้ดำเนินการกับนายจ้างปัจจุบันของเขา ไม่ใช่ NSA

Heffner ทำการประเมินกล้องจาก D-Link, Linksys, Cisco, IQInvision และ 3SVision โดยไม่ต้องเข้าไปดูรายละเอียดในระดับต่ำเต็มไปด้วยเลือดในทุกกรณีเขาพบวิธีที่จะเรียกใช้คำสั่งโดยพลการจากระยะไกล “ ฉันขนานนามว่า Ron Burgundy เอาเปรียบ” Heffner กล่าว "มันทำงานทุกอย่างที่คุณให้และมัน จะ ส่งคำตอบให้คุณ" ในหลายกรณีเขาพบข้อมูลประจำตัวสำหรับเข้าสู่ระบบของผู้ดูแลระบบกำหนดรหัสตายตัวในเฟิร์มแวร์ “ ปัญหาเกี่ยวกับรหัสผ่านที่ใช้รหัสลับอย่างลับ ๆ และลับๆลับๆ” เฮฟฟ์เนอร์กล่าวว่า

ในท้ายที่สุด Heffner สามารถเข้าถึงระดับรูทของกล้องทุกตัวได้ เขาชี้ให้เห็นว่ามีการใช้รหัสซ้ำอย่างมากระหว่างโมเดลของ บริษัท และระหว่าง บริษัท ดังนั้นช่องโหว่เหล่านี้จึงครอบคลุมกล้อง จำนวนมาก และเนื่องจากเฟิร์มแวร์ได้รับการอัปเดตน้อยมากช่องโหว่จากหลายปีที่ผ่านมาจึงยังคงถูกโจมตี

มันแย่ลง

Heffner ชี้ให้เห็นว่ากล้องรักษาความปลอดภัยส่วนใหญ่เชื่อมต่อกับเครือข่ายสำนักงาน “ ฉันอยู่ในเครือข่ายของคุณฉันสามารถเห็นคุณและฉันหยั่งราก” เขากล่าว "ไม่ใช่ตำแหน่งที่ไม่ดี! ฉันมีการควบคุมระดับรูทของเครื่องที่ใช้ Linux ภายในเครือข่ายของคุณ"

“ แต่ลองย้อนกลับไปก่อน” เฮฟฟ์เนอพูดต่อ "ฉันสามารถทำอะไรกับกล้องเองได้ฉันสามารถแก้ไขสตรีมวิดีโอแฮ็คฮอลลีวูดแบบคลาสสิคได้" เขาเสร็จสิ้นการสาธิตโลกแห่งความจริงตั้งค่ากล้องเพื่อป้องกันขวดเบียร์บนโต๊ะของผู้พูด เมื่อเปิดใช้งานกล้องเขาจึงใช้ประโยชน์จากการปรับมุมมองของผู้ดูแลระบบเพื่อแสดงขวดปลอดภัยและเสียงขณะที่เขา "ขโมย" ขวด ผู้เข้าร่วมประชุมรักมัน

กล้องที่ไม่มั่นคง?

Heffner กล่าวว่า "ข้อผิดพลาดส่วนใหญ่นั้นค่อนข้างน่ารำคาญ "กล้องส่วนใหญ่จะบอกหมายเลขรุ่นให้คุณแม้ว่าคุณจะไม่ได้รับการรับรองฉันสามารถ Google โมเดลดาวน์โหลดเฟิร์มแวร์และเริ่มวิเคราะห์ได้โดยไม่ต้องซื้ออุปกรณ์" ในความเป็นจริง Heffner พัฒนาการโจมตีเหล่านี้ทั้งหมดโดยการวิเคราะห์เฟิร์มแวร์อย่างเข้มงวดก่อนที่จะทำการทดสอบกับกล้องจริง

ถามว่าเขาพบกล้องรักษาความปลอดภัยใด ๆ ที่เขาไม่สามารถแฮ็คหรือไม่ Heffner ตอบว่าไม่ "มีอีกมากมาย แต่ฉันต้องการการสนทนาสองชั่วโมงเป็นอย่างน้อย"

เว็บไซต์ Shodan ช่วยให้ค้นหากล้องที่มองเห็นออนไลน์ได้ง่าย หากคุณมีกล้องรักษาความปลอดภัยในสำนักงานหรือโรงงานฟีดวิดีโอของคุณอาจเปิดกว้างอยู่แล้ว แม้ว่าจะไม่เป็นเช่นนั้นก็เป็นไปได้มากที่แฮ็กเกอร์สามารถควบคุมฟีดวิดีโอได้ โดยเฉพาะอย่างยิ่งถ้าคุณใช้กล้องจากผู้ขายที่กล่าวถึงคุณจะต้องตรวจทานงานนำเสนอของ Heffner อย่างละเอียดเนื่องจากมีรายละเอียดครบถ้วนที่จะช่วยให้ทุกคนสามารถแฮกกล้องที่ได้รับผลกระทบ มีความเสี่ยงมากกว่าที่จะกังวลเกี่ยวกับ Danny Ocean ที่ทำให้กล้องของคุณถูกปล้น