Video: 2011 PSN Hack Documentary: How Sony Failed Their Customers (Septembra 2024)
Je to štandardná scéna vo väčšine lúpežných filmov. Tím zločinu sa musí dostať cez oblasť, ktorá je pokrytá bezpečnostnými kamerami, a tak preniknú do bezpečnostného systému, aby urobili z kamery prázdnu chodbu. Prezentácia konferencie Black Hat ukázala, aké neuveriteľne jednoduché je hackovanie na modernej bezpečnostnej kamere pripojenej na internet. Po pravde povedané, ak máte bezpečnostné kamery vo vašej kancelárii alebo v podnikaní, tento hack je najmenším z vašich starostí. Hacker by mohol získať úplný prístup k sieti prostredníctvom vašich kamier. Hej, nemali ti poskytnúť lepšiu bezpečnosť?
Vidím ťa
Presenter Craig Heffner je výskumný pracovník v oblasti zraniteľností s taktickými sieťovými riešeniami, ale mal iné pracovné miesta. „Novinové príbehy veľa hovorili o tom, že som pracoval pre trojpísmennú agentúru, “ povedal Heffner. „Niektorí tvrdili, že táto prezentácia je založená na práci, ktorú som urobil pre NSA. To viedlo k zaujímavým výzvam od môjho bývalého zamestnávateľa.“ Heffner objasnil, že všetok výskum, ktorý sa venoval tejto prezentácii, sa uskutočnil pre jeho súčasného zamestnávateľa, nie pre NSA.
Heffner vyhodnotil kamery od spoločností D-Link, Linksys, Cisco, IQInvision a 3SVision. Bez toho, aby šiel do hlbokých detailov nízkej úrovne, v každom prípade našiel spôsob, ako diaľkovo spúšťať ľubovoľné príkazy. „Nazval som to vykorisťovaním Ron Burgundska, “ vtipkoval Heffner. „Spravuje to všetko, čo mu dáš, a pošle ti odpoveď.“ V niekoľkých prípadoch našiel prihlasovacie údaje správcu pevne zakódované vo firmvéri. „Problém s tajnými pevne kódovanými heslami a tajnými zadnými dverami, “ povedal Heffner, „je ten, že nezostanú v tajnosti.“
Nakoniec Heffner získal prístup na koreňovej úrovni ku každej kamere. Poukázal na to, že medzi vlastnými modelmi spoločnosti, ako aj medzi spoločnosťami, existuje obrovské opätovné použitie kódu, takže tieto zraniteľné miesta pokrývajú veľa kamier. A pretože sa firmvér tak zriedka aktualizuje, zraniteľné miesta spred niekoľkých rokov sa stále môžu zneužívať.
Horšie to je
Heffner zdôraznil, že väčšina bezpečnostných kamier je pripojená k kancelárskej sieti. „Som vo vašej sieti, vidím vás a som root, “ povedal. "To nie je zlé miesto! Mám kontrolu nad počítačom založeným na Linuxe vo vašej sieti."
„Ale poďme o krok späť, “ pokračoval Heffner. „Čo môžem urobiť pre samotnú kameru? Môžem zmeniť tok videa, klasický hollywoodsky hack.“ Skončil demonštráciou v reálnom svete a postavil kameru na ochranu fľaše piva na stole rečníka. S kamerou na svojom mieste spustil exploit, ktorý vylepšil pohľad správcu, aby ukázal fľašu, bezpečne a zdravo, zatiaľ čo fľašu „ukradol“. Účastníci to milovali.
Neistá kamera?
„Väčšina z týchto chýb je epicky banálna, “ uzavrel Heffner. „Väčšina fotoaparátov vám oznámi číslo modelu, aj keď nie ste autentifikovaní. Môžem model Google prehľadať, stiahnuť firmvér a začať ho analyzovať bez toho, aby ste si zakúpili zariadenie.“ V skutočnosti spoločnosť Heffner vyvinula všetky tieto útoky striktne pomocou analýzy firmvéru, a to ešte pred testovaním na skutočne fotoaparáte.
Na otázku, či našiel nejaké bezpečnostné kamery, ktoré nedokázal hacknúť, Heffner povedal nie. „Je ich toľko, ale potreboval by som aspoň dvojhodinový rozhovor.“
Webové stránky spoločnosti Shodan uľahčujú vyhľadávanie kamier, ktoré sú viditeľné online. Ak máte vo vašej kancelárii alebo továrni bezpečnostné kamery, vaše videozáznamy môžu byť už otvorené. Aj keď nie sú, je veľmi pravdepodobné, že hacker by mohol prevziať kontrolu nad videom. Najmä ak používate fotoaparáty ktoréhokoľvek z uvedených výrobcov, budete chcieť pozorne skontrolovať prezentáciu spoločnosti Heffner, pretože obsahuje všetky podrobnosti, ktoré umožnia komukoľvek zaseknúť postihnuté kamery. V hre je viac, než si robiť starosti s tým, že Danny Ocean zatemní vaše fotoaparáty pre lúpež.
