IP kamery se nachází v řadě domácností a firem. Jsou dostupné bez potřeby VPN. A málokdo je aktualizuje (pokud na ně aktualizace vůbec vychází).
Na hradeckém Barcampu jsem minulý rok přednášel na téma „Pojďme si spolu hacknout IP kameru“. Poslední měsíce (kdy zlí hackeři útočí na vše, co je z internetu dostupné) ukázaly, že přednáška je aktuální více než jindy. Záznam přednášky jsem tedy doplnil o slajdy a ukázky a ve 22 minutách se s vámi o informace rád podělím.
Na co se v přednášce o IP kamerách těšit?
- Hackneme jednu IP kameru.
- Najdeme zranitelné kamery všude po světě.
- Ukážeme si, kam všude lidé kameru dávají.
- Na závěr projdeme pár rad, jak se bránit.
Přeji vám pěknou podívanou u videa níže. Nebo na mém Youtube kanálu Martin Haller.
Líbilo se?
Možná po zhlédnutí někoho napadne, že se jedná o ojedinělou chybu a takové problémy se již neobjevují. Přeci jen chyba z videa byla opravena na začátku 2017. Já si však myslím, že výrobci IP kamer (a IoT věcí obecně) před sebou mají ještě dlouhou cestu k vývoji bezpečných aplikací.
Co jsem pátral na fórech, tak to vypadá, že existovala větší skupina uživatelů, kteří o chybě (backdooru) u Hikvision zařízení věděli už delší dobu a zneužívali jí. Zároveň se chlubili, že na Hikvision znají několik dalších RCE chyb, o kterých Hikvision sám neví.
Případně jako další čtení doporučím: „Directory of Video Surveillance Cybersecurity Vulnerabilities and Exploits„, „Xiaomi Cameras Connected to Google Nest Expose Video Feeds From Others„, „Wyze Massive Data Leak„.
Zároveň tyto IP kamery/NVR (síťová záznamová zařízení), mohou útočníkům posloužit jako vstupní bod do firemní sítě (udělají si z nich pivot point / proxy / vlastní VPN). Výhodou pro útočníky je i to, že se tato zařízení hůře sledují (ne vždy mají dobré logování/napojení na syslog server). Je proto nutné umísťovat je do samostatné VLAN, která nemá přístup firemní LAN.
BadUSB útoky na YouTube
Ne všechny videa sdílím i zde na blogu, tak odebírejte novinky přímo na YT. Zajímavé jsou například ukázky BadUSB útoků s Bash Bunnym, které jsme ukazovali s Willim Ischanoe na HackerFestu.
A mezi nejčtenější články stále patří hackování webkamery na notebooku. Pokud jste ještě neviděli, koukněte! 😊
Přeji úspěšný nový týden a bezpečné a spolehlivé IT.
Martin Haller