Mají chránit domov, místo toho otevírají dveře hackerům. Analýza levných bezpečnostních kamer, kterou v rámci výzkumu na ČVUT provedl expert ze společnosti Atos, odhalila závažné chyby v jejich kybernetickém zabezpečení.
Podle zjištění může být až 50 % zařízení používaných ve středně velkých českých firmách zranitelných. V mnoha případech může kdokoliv na světě v přímém přenosu sledovat, co se děje v ložnici uživatele, dětském pokoji nebo zasedačce vedení firmy.
„Moderní připojená domácnost přináší vyšší komfort, ale také vyšší riziko hackerského útoku. To je přímo úměrné ušetřeným částkám. Například cenově dostupnější IP/IoT kamery jsou v naprosté většině případů časovaná bomba,“ říká Janis Berberi, expert na kyberbezpečnost ze společnosti Atos.
Ten se v rámci své vědecké práce na ČVUT věnoval hloubkovým penetračním testům dvou populárních IP kamer. Jeho zjištění se však vztahují obecně na celou kategorii levných kamer. Chyby a díry se opakují napříč celým segmentem těchto zařízení.
Kdo se dívá na váš domov?
Atos zdůrazňuje, že IP kamery patří mezi nejrozšířenější zařízení pro chytré domácnosti nebo firmy. Umožňují sledovat dům na dálku, zaznamenávat pohyb nebo odesílat upozornění do mobilu.
Právě tyto schopnosti z nich dělají atraktivní cíl pro útočníky. Problém je, že výrobci kamer to hackerům neztěžují, právě naopak. Podle Janise Berberiho to potvrzuje penetrační testování ve firmách
Expert na chytrá zařízení situaci ilustruje na dvou populárních IP kamerách Niceboy ION Outdoor Security Camera a Tesla Smart Camera Outdoor Pro. Detailní penetrační testy podle metodiky OWASP IoT Security Testing Guide ukázaly, že obě zařízení obsahují kritické zranitelnosti, které mohou umožnit úplné ovládnutí kamery hackery.
Heslo: Admin
Jaké byly ty nejzásadnější problémy?
- Živý nešifrovaný video stream bez zaheslování mohl sledovat kdokoliv ve stejné síti.
- Hesla a přihlašování nastavil výrobce na obecně známé varianty typu Admin/Admin.
- Kamery umožňovaly nainstalovat firmware bez digitálního podpisu výrobce. To znamená, že útočník mohl kameře podvrhnout svůj upravený firmware a získat nad ní kontrolu.
- Stejně tak chybělo zabezpečení servisních portů.
Nemusíte vyhrát, někdy je bezpečnější hrát na remízu
Atos informuje, že ve chvíli, kdy kamera nabídne kombinaci nízké ceny a jednoduché instalace svépomocí, zákazníci jsou ochotni tolerovat systémové nedostatky v oblasti bezpečnosti. Někteří přistoupí na to, že je může někdo sledovat. Další o tom ani nepřemýšlí.
Z analýzy IP kamer ale vyplývá, že v této situaci určitá obrana přesto existuje. „V podstatě byste se neměli ptát, jestli vám někdo kameru napadne, ale spíš, kdy se tak stane. Je dobré útočníkům jejich práci ztížit tam, kde jim to výrobce kamery usnadnil,“ říká Berberi a nabízí několik tipů, jak na to.
- Heslujte. Místo z výroby nastaveného hesla admin nebo 12345 dejte složitější. Kombinujte čísla, písmena a speciální znaky. Zaheslujte všechny součásti a funkce, které jdou. Tedy nejen přístup do nastavení kamery, ale třeba i k video streamu. Dobré je, že v současné době můžete využít programy jako Password Manager ve Windows nebo Hesla/Passwords pro Apple, které silná hesla vygenerují a budou si je pamatovat místo vás.
- Udělejte kamerám síť pro hosty. Většina routerů umí vytvořit speciální „síť pro hosty“. Ta funguje odděleně od sítě, na které běží zbytek vaší domácnosti. Když na ni připojíte kamery, tak se z „hostovské“ sítě útočník nedostane k důležitým datům ve vaší hlavní síti. Vyhýbejte se také vzdálenému připojování ke kamerám, nebo alespoň používejte VPN tunel.
- Řešte záběr. V případě kompromitace kamery je dobré, aby útočník viděl z vašeho soukromí co nejméně. Když instalujete kamery, přemýšlejte, co budou zabírat. Položte si otázku: Vadilo by mi, kdyby tohle viděl někdo cizí?
- Prověřujte a aktualizujte. Před nákupem se dívejte nejen na cenové srovnávače. Do vyhledávače zadejte název výrobku a slovíčko „vulnerability“ nebo „exploit“. Tím zjistíte, jak je na tom vámi vybraná kamera z pohledu kyberbezpečnosti. Zeptat se můžete také vaší AI.
- Instalujte s odborníky. IP kamera je v podstatě počítač připojený do internetu. Její správné nastavení vyžaduje znalosti. Pokud nejste skutečně zběhlí v IT, přenechejte instalaci někomu, kdo tomu rozumí. Oslovit můžete třeba někoho v rodině nebo mezi známými. U firemních instalací zvažte bezpečnostní audit, který vám prozradí, v jakém stavu jsou kamery, routery, tiskárny a jiná připojená zařízení. Ze stovky středně velkých firem v Česku může být až u poloviny zařízení zjištěna zranitelnost. Při nákupu od počtu zhruba deseti IP kamer se už firmám vyplatí nechat si vybraný model předem penetračně otestovat.
Zdroj: Atos
