Több mint ezer magyar kamera képe érhető el védtelenül a neten

A védtelen magyarországi kamerákat az Alverad nevű hazai kiberbiztonsági cég térképezte fel. Nemcsak a szó klasszikus értelmében vett webkamerákról van szó, hanem az internetre kötött biztonsági kamerákról, babamonitorokról és a Dolgok Internete minden más kamerás kütyüjéről. A színvonalas tanulmányt Kocsis Tamás a cég szakértője jegyzi, amiből szemelvényeket a Telex közölt, mi ez utóbbiból szemezgetünk.

Védtelenül hozzáférhető kamerák pénzért árult felvételei egy magyar domainvégződésű, de orosz nyelvű oldalon – Kép: Alverad Forrás: Alvared

Védtelenül hozzáférhető kamerák pénzért árult felvételei egy magyar domainvégződésű, de orosz nyelvű oldalon – Kép: Alverad
Forrás: Alvared

A hétköznapi életünket segítő praktikus és hasznos eszközök a kiberbűnözőknek is új felhasználási lehetőséget, nyitnak. A nem megfelelően védett, hálózatra kötött eszközök óriási kockázatot jelenthetnek, mert egy kis szakértelemmel illetéktelenek kukucskálhatnak be a lakásba vagy egyenesen a gyerekek ágyába. De a passzív nézelődés-hallgatózás mellett akár az irányítást is átvehetik, például a kamera mozgatásával, a felvétel leállításával vagy elindításával, a hangszórók használatával.

Hogy kerülnek idegenek a hálószobába?

Az önmagában még nem feltétlenül probléma, ha egy kamera elérhető a netről. A gond onnan indul, ha az adott eszköz valamilyen sérülékenység miatt nem biztonságos, illetve ha maga a felhasználó nem kellően elővigyázatos. Például nem korlátozza, milyen IP-címekről érhető el a kamera, illetve az alapértelmezett, adott esetben könnyen kitalálható gyári jelszót hagyja meg az egyetlen védelmi vonalaként, vagy akár egyáltalán nem állít be jelszavas védelmet.

De az is előfordulhat, hogy a tulajdonosnak egyáltalán nincs szándéka a netre kikötni a biztonsági kameráját, vagy a gyereke biztonságát felügyelő babamonitort, csak épp nem ért az eszköz beállításához, így olyasmit is megenged neki, amit nem tenne ha tudná, mivel jár. Ez tekinthető az otthoni kamerák esetében az illetéktelen hozzáférések leggyakoribb okának.

Alapvetően kétféle protokollon keresztül érhetők el távolról a kamerák. Egy részük a streamingtechnológiát lehetővé tevő RTSP-n továbbítja a videófolyamot, míg mások a webes HTTP(S)-t használják. Ha nem látják el a kamerát kellő védelemmel, egyik esetben sincs szükség titkosügynöki kiképzésre: az RTSP-vel továbbított videófolyamok a streamek kezelésére képes népszerű médialejátszókkal, például a VLC-vel vagy a QuickTime-mal is nézhetők, a webes kapcsolatot használó kamerák felvételei pedig böngészőből is elérhetők.

Több mint ezer hazai eszköz védtelen

A tanulmány szerzője a Shodan nevű eszközkeresőt használta a szabadon elérhető kamerák feltérképezésére. A Shodant a kutatók gyakran használják védtelen eszközök azonosítására, de amit ott találnak, azt bárki más is elérheti.

Streamingképes, RTSP-alapú kamerából világszerte 4,4 milliót talált, amely elérhető a neten, ezek közül 126 874 volt olyan, amelyhez a videófolyam felhasználónév és jelszó nélkül, bárki által elérhető volt. Webes felületen keresztül hozzáférhető kamerából pedig legalább 56 720 olyat azonosított, amelynek szabadon látható a képe. Magyarországon a vizsgálódás idején 31 328 RTSP-alapú videófolyam volt elérhető, de nagy részük szerencsére védettnek bizonyult.

Legalább 1125 hazai streamingképes kamera képe azonban különösebb akadály nélkül, bárki által hozzáférhető volt.

Bár ez az összes elérhető magyarországi RTSP-eszköznek csak a 3,6 százaléka, még ez is magasabb a nemzetközi szinten tapasztalt 2,8 százaléknál. A védtelen kamerák között megtalálhatók voltak különféle objektumvédelmi célokra alkalmazott biztonsági kamerák, kültéri megfigyelő eszközök, bevásárlóközpontok és boltok beltéri kamerái, babafigyelő eszközök, otthoni beltéri és kültéri kamerák is.

Az érintett eszközök túlnyomó többsége Budapesten található, illetve Debrecen és Kecskemét fért még fel a dobogóra, ahogy ez az alábbi grafikonon is látható. (A tanulmány írása alatt is változott a védtelen eszközök pontos száma. A grafikon készültekor csak 1095 ilyen volt elérhető, ezért az azon látható számok az akkori állapotot tükrözik, de ez nagyságrendi változást nem jelent.)

abra-alvared

A weben keresztül hozzáférhető kameráknál valamivel jobb a helyzet, de ezekből is van 364 olyan, amely teljesen védtelen.

Vannak köztük szándékosan hozzáférhetők, például dugófigyelő vagy valamilyen látképet közvetítő kamerák, de a nagy részük otthoni, munkahelyi vagy más biztonsági eszköz. 22 olyan eszköz is volt köztük, amelyen az IP Webcam nevű androidos app futott, ezzel a telefon alakítható mozgásérzékelős kamerává, de jobb esetben ehhez sem fér hozzá boldog-boldogtalan.

Ugyan, mi baj lehet?

Jobb esetben csak a magánszféra sérül, idegenek nyerhetnek bepillantást az érintettek otthonába és életébe (nem mintha ez ne lenne elég nagy probléma önmagában is), de olyan eset is előfordulhat hogy mondjuk intim együttlétet rögzítő kamerák képei bukkannak fel az ilyesmik megosztását lehetővé tevő pornóoldalakon. Igy az illetéktelenek kezébe kerülő felvételek zaklatásra, esetleg zsarolásra is alapot adhatnak.

A legaggasztóbb azonban talán a gyerekek kitettsége. A tanulmány felidéz többek között egy egy esetet amikor egy idegen egy biztonsági kamera hangszóróján keresztül beszélt egy amerikai család gyerekéhez, azt állítva, hogy ő a Mikulás, és szeretné, ha barátok lennének. Másik esetben a szintén amerikai szülők meg is találták a gyerekük képét egy lopott kamerafelvételeket megosztó oldalon.

De olyan jóval prózaibb veszély is felmerül, hogy ha valaki betekintést nyer az otthonunkba vagy egy biztonsági kamerával őrzött épületbe, segítve tervezett betörését.

Kamerakép-feketepiac

Nem meglepő módon a kamera-hozzáféréseknek is van saját feketepiacuk, ahol akár magukat a már megszerzett felvételeket, akár a hozzáféréshez szükséges adatokat adják-veszik. Az ilyesmi iránt érdeklődőknek azonban sem a némi technológiai jártasságot kívánó Shodanra, sem a darknetes fórumokra nem kell ráfanyalodniuk, mert a nyílt interneten is találhatók olyan oldalak, amelyek a védtelen kamerák összegyűjtéséből és könnyen hozzáférhetővé tételéből csinálnak üzletet.

Az Alverad tanulmánya megjegyzi, hogy magyarországi weboldalt is találni, amely erre szakosodott, de azon a .hu domainvégződés ellenére maga a tartalom orosz nyelvű.

abra-alvared-2

A tanulmány edukatív jelleggel bemutat néhány csokornyit a szabadon hozzáférhető kamerák képeiből, amelyeken – kitakart arcú – magánemberek otthonába nyerhetünk bepillantást – egynémely képen asztalnál ülő, kanapén heverő, felnőttek, illetve a kiságyukban alvó gyerekek is feltűnnek –, de ugyanígy fodrászszalon, pékség, áruházak, plázák és kisboltok, irodák biztonsági kamerájának a képeit is lehet nézegetni.

Sérülékenységek

Előfordulhatnak olyan sérülékenységek is, amelyek a felhasználótól függetlenül is védtelenné tehetik az eszközöket.

Néhány éve egy magyar biztonsági szakember a saját webkamerájában talált hátsó ajtót. amely – ha ráköti az internetre – a legnagyobb biztonságtudatosság és felhasználói fegyelem mellett is szabad bejárást tett (volna) lehetővé az otthonába. Több gyártó szoftvereiben is található ehhez hasonló hátsó ajtó, amelyen keresztül harmadik fél is be tud jelentkezni a kamerákba. A tanulmány által említett egyik konkrét példa a kínai Hikvision, illetve az a számtalan más néven futó gyártó, amely ugyanennek a cégnek a megoldását licenceli. (Ilyen magyar eszközből a kutatók 20 darabot találtak.)

A második legnagyobb kínai biztonságikamera-gyártó cég, a Dahua termékeire a Nemzeti Kibervédelmi Intézet is kiadott egy figyelmeztetést még 2017-ben, szintén azért, mert fény derült egy hátsó ajtóra, amely feltehetőleg a cég minden termékét érintette.

Sérülékenységek azonban természetesen nemcsak a kínai gyártók termékeiben bukkanhatnak fel, ismert nyugati cégek eszközeiben is rendszeresen derül fény kisebb-nagyobb hibákra.

Védekezési lehetősségek

A tanulmány megfogalmaz egy sor alapvető óvintézkedést is, amelyekkel minimalizálható a kockázata annak, hogy az irodánk vagy a gyerekünk képe a darknet fórumaiban tűnjön fel.

Vállalati és otthoni környezetben is érdemes alaposan megfontolni az eszközválasztást, ellenőrizni az elérhető biztonsági funkciókat. Érdemes elkerülni a feltűnően olcsó, ismeretlen gyártótól származó kamerákat, illetve utánanézni a kiválasztott termék gyártójának.

A beüzemeléskor és az üzemeltetéskor is egy sor technikai részletre ajánlott figyelni a helyes beállítástól a rendszeres frissítésig, hogy elkerülhetők legyenek a kellemetlen meglepetések.

A tanulmány egészét, amelynek az elolvasását igencsak olvasóink figyelmébe ajánljuk innen tölthető le.

Forrás: telex.hu, alvared.hu

Hozzászólások