0,0
рейтинг
5 августа 2013 в 17:24

Разработка → IP-камеры Foscam по умолчанию транслируют в сеть, каждый 3-й владелец об этом не подозревает



Часто в современном мире стремление к простоте приводит к печальным последствиям. Вот, например, в сфере высоких технологий — простота и удобство практически всегда ставит под угрозу приватность и конфиденциальность пользователя. Это могут быть и WiFi-роутеры, идущие по умолчанию без пароля на беспроводную сеть, и почтовые службы, разрешающие пользователю не заморачиваться со сложностью устанавливаемого пароля. От таких проявлений простоты и удобства часто страдают не только приватные данные частного лица, но и крупные компании, идущие на поводу у своих топ, миддл, а иногда и лоу-менеджеров, которым 123 — удобно, а стандартная политика паролеобразования Microsoft — слишком сложно. Сегодня я хочу рассказать о том, как простота и удобство превращают жизнь тысяч (а то и десятков тысяч) человек в реалити-шоу.

Мотивация

Прошлой осенью в моей семье случилось прибавление и среди прочих обязательных приобретений встал вопрос о наблюдении за спящим чадом, пока я на работе, а супруга — в другой комнате. Как истинный IT-шник до мозга костей на предложение супруги купить радионяню все-в-одном я лишь презрительно фыркнул и отправился в интернет искать более универсальное устройство. Результатом стала покупка поворотной WiFi-камеры с обратной связью от китайского производителя Foscam, модель FI9821w.

Штука оказалась очень полезной, удобной и простой в обращении за минусом посредственного качества картинки. А теперь о неприятном для обывателя, который любит вещи, работающие «из коробки».

Люди ставят двери для того, чтобы держать их закрытыми
(с) мой дядя.
Производитель спроектировал ПО этих камер таким образом, чтобы владелец любого уровня грамотности смог быстро установить и включить их в работу. У такого подхода конечно же есть и обратная сторона — большинство обывателей на моменте появления картинки всю деятельность по настройке останавливают. А зря.

По умолчанию с безопасностью IP-камер Foscam все очень и очень плохо:

-Настроены 2 учетные записи: Admin, Operator. Без паролей.
-Камера при подключении к сети сразу же автоматически регистрируется на уникальном dynDNS, написанном на дне камеры. Ссылка на управление/просмотр выглядит следующим образом: ab1234.myfoscam.org:88, где ab — произвольные символы латинского алфавита, 1234 — номер в диапазоне 0000-9999.

Одним глазком

Ради любопытства я провел эксперимент: не долго думая скормил бруттеру hydra созданный в excel список из 10000 возможных хостов на myfoscam.org, отталкиваясь от dyndns-адреса моей камеры. Итогом стал список из нескольких сотен ответивших по 88 порту камер.
Дальнейшие исследования показали — 1/3 ответивших камер впускает под логином admin, 2/3 от оставшихся — под логином operator.
Быстрый поиск в интернете показал, что вариантов буквенных префиксов в доменах камер множество, что говорит об огромном распространении камер этого, как я думал, ноу-нейм производителя. Взяв навскидку еще пару диапазонов я лишь подтвердил предыдущие выводы — почти половина камер, регистрирующихся через dyndns позволяют себя просматривать с учетными данными по умолчанию. И даже в тех случаях, когда владелец сообразит поменять пароль учетной записи admin — остается учетная запись operator, про которую все забывают. С учетом того, что камера управляемая, а так же передает звук — полезная в обиходе вещь может стать большой проблемой приватности для тех, кто из настроек ограничился включением камеры в сеть.

Не поймите меня неправильно

Эта заметка написана не для услады фантазий любителей подглядывать, а для информации тем, кто собирается приобрести или уже владеет камерами этого производителя. Это не антиреклама — продукция вполне на уровне денег, которые за нее просят, но как и все в нашем мире она требует аккуратного обращения и правильного подхода.
Актуально для камер Foscam 8XXX и 9XXX серий.
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (64)

  • +3
    Даже просто погуглив myfoscam.org находятся незапароленные камеры, о чем думают пользователи непонятно.
  • +10
    http://ar2058.myfoscam.org
    image
    • +2
      Хоть бы картинку перезалили.
      • 0
        А вы сами попробуйте по адресу зайти, прежде чем возмущаться. Там и сейчас уши кота.
        • 0
          На момент написания комментария половина картинки загрузилась за ~10 минут.
          • 0
            А вы на адрес картинки посмотрите.
            • +1
              По ней тоже наблюдался хабраэффект =)
              • +1
                Да вот же. А если у владельца ещё и трафик платный, либо лимитированный…
  • +3
    Гуглить по inurl:myfoscam.org:88
    • +6
      Ощущение что все камеры накрыл хабраэффект.
  • +15
    Это наверное втройне весело использовать, если у хозяина/хозяйки камеры есть ещё и незапароленные сетевые принтеры.
    Можно не только печатать странные документы, но и смотреть на реакцию.
    • +19
      Вот из-за таких как вы у всяких там контактеров крыша и едет, НЛО из принтера лезут. :D

      • 0
        Интересно, хоть кто-то верит в такую дурь?
        • +7
          Ну раз по тевелизору показали, то правда, наверное. По тевелизору врать не станут. :D
        • 0
          Вчера по телеку показали как мужик сфотографировал какой-то камень (может метеорит) и при большом увеличении на поверхности обнаружил латинские, арабские, греческие и ещё какие-то буквы и цифры. Просил помощи в расшифровке. Талантов море.
          • 0
            Чудинов? :)
            • 0
              Я мельком видел, не вдаваясь в подробности. Но вроде какой-то молодой дядька был, а не такая борода.
    • +6
      Так можно пойти и дальше: общаться посредством принтера и камеры (создать иллюзию что в квартире поселиться цифровой полтергейст)
      • +5
        Полтергейтс
  • +1
    огромном распространении камер этого, как я думал, ноу-нейм производителя

    Производитель-то нонейм. Это одна прошивка, когда-то кем-то скоммунизженная, гуляет из продукта в продукт.
    • 0
      А доменное имя, на котором все эти десятки тысяч сидят? Оно ведь именно ему принадлежит. А прошивка — да, встречается и на других устройствах.
      • 0
        Доменное имя может тоже указывать на единый для всех сервис, на который указывает myfoscam.org, blahblahcam.com и куча других.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      примеры в студию )
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Так не пускает же под беспарольным админом или оператором. Или я что то делаю не так?

          Update. Пардон, учетки надо писать с маленькой буквы.
          • 0
            то что дальше, например ab1582, уже не пускает.
  • +4
    "- а если кто-нибудь увидит??
    — ну вот ты увидел?
    — я — да.
    — и что?… вот!" /с/
    • 0
      Забыл, это откуда?
      • +2
        «День радио»
      • 0
        День радио
  • +1
    Кхм, т.е. всё проблема от того что никто не читает инструкции и не меняет или использует простой пароль. Такое можно к любой железке применить.
    • +2
      Не каждая железка при подключении к сети, без предупреждения, сразу же начинает трансляцию в интернет. А инструкции читать надо, да.
    • +1
      Ну и ещё проблема в отсутствии «защиты от дурака».
      • 0
        Я думаю тут проблема в потребителях, которым надо побыстрее и попроще, отсюда WiFi точки без особых настроек приватности, камеры транслирующие в сеть и прочие прелести юзверей.
        • +4
          У оружия есть предохранители, у бензопилы — защитный кожух. Забота о клиенте — это то, что отличает серьезного производителя. Нет ничего плохого, если производитель заставит установить пароль достаточной сложности до того, как выпускать камеру в эфир.
          • 0
            В случаях с оружием и бензопилой большинство всё таки понимают опасность — она очевидна и интуитивно понятна. С камерами сложнее.
  • +1
    Там где не пускает под operator иногда пускает под admin O_o
  • +7
    Хочу предостеречь любопытных — камеры ведут лог IP-адресов. Вряд ли владелец, не удосужившийся установить пароль доступа часто заходит проверить следы доступа к устройству. С другой стороны — не известно на кого вы нарветесь — могут и в полицию обратиться, с последующим разбирательством.
    • +1
      А что такой владелец предъявит? И в какой стране полиция вообще станет заниматься подобным инцидентом?
      • 0
        Это называется «вторжение в частную жизнь». Как минимум, если дело дойдет до полиции и по айпи вычислят любопытного, то ему просто закроют въезд в страну навсегда. Мелочь, а неприятно. Думаю максимальная вероятность такого сценария есть в США, уж если подростков на 5 лет за mp3 сажают, то может и до такого дойти. Хотя скорее вероятен коллективный иск к производителю камер.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +4
            Это как если вы дома не задергиваете шторы, то все равно разглядывать вас в бинокль нельзя. И если этот факт вскроется, то у любителя подглядывать будут проблемы. Или вы оставили дверь незапертой и к вам домой зашел человек и взял не привинченную к полу табуретку — это тоже преступление. Есть понятие «публичные места» — вот там да, если не закрыто — значит открыто.
            • –9
              Не пори херню
    • 0
      еее, фоскамы хранят логи до первого рестарта, да и логируют только авторизированных юзеров.
      • 0
        Для логина под оператором это проблема — он не может перегрузить камеру. В идеале — выходя с камеры делать фактори ресет. Во-первых это точно сотрет все следы, во вторых привлечет владельца к более внимательной настройке.
  • +2
    Ох уж эти китайцы. До сих пор не поправили. В реальности все еще куда более интересно.
    Именно поэтому в Ivideon не используются DynDNS и прочие костыли, которых не должно быть в полноценном облачном сервисе видеонаблюдения.
    • 0
      А фишка полезная, зря вы так. Другое дело, что должна настраиваться и включаться исключительно руками, как положено вообще любой функции, которая что-то сообщает в интернет.
      • –2
        Фишка безусловно полезная. Только в рамках нашего сервиса она была реализована без DynDNS.
        Человек заводит себе аккаунт в ivideon. Далее он добавляет к этому аккаунту камеры. Они становятся доступны только после авторизации пользователя либо в личном кабинете на сайте, либо в приложениях для iPad/iPhone/Android и т.д. К камере нельзя подключиться. У неё нет внешних слушающих портов. Она сама устанавливает соединение с облаком.
    • +5
      Я один из ресерчеров, упомянутых в статье. Там действительно все намного хуже. ДНС их просто брутфорсится (Добро пожаловать скачать сканер на go, который мы написали). Так же довольно тривиально кросс-скомпилировать что угодно и запустить на камере, не убирая сам процесс камеры. (мы залили прокси сервер). Там еще на старых прошивках доступна вся память с паролями ко всему по URL camera//../../proc/kcore. А тут моя статья про то, как пользоваться програмкой, которая найдет вам камеру, создаст новый имидж, зальет его и так далее.
      • +2
        Очень здорово, что такие люди — наши соотечественники. Как раз общались не так давно с Foscam на предмет интеграции их камер с нашим облаком. Приводили аргументы относительно безопасности их текущего решения в том числе и из вашей статьи. Большое спасибо за исследование. А есть что-то подобное и с другими камерами?
        • +3
          Спасибо, CoreSecurity нашли похожие уязвимости на камерах DLink.
        • +3
          Boт их отчет.
  • +4
    youtube замер в ожидании нового хита…
  • +15
    Эта заметка написана не для услады фантазий любителей подглядывать

    черт
  • 0
    какой-то красный глаз у вас в замочной скважине… ;)
  • +2
    существует даже специальный сайт, который ищет открытые в интернет камеры, и представляет картинку с них в удобном для просмотра виде по 9 камер на страницу — livesecuritycams.com Посмотрев на свойства изображения, можно найти IP адрес камеры. Ну а дальше — вопрос гуманности и этики. Мне, например, удавалось найти камеру с работающими динамиком и микрофоном, есть много поворотных камер.
    • +1


      Россия, как всегда, выделяется. Мило и на хабратематику
  • +7
    Тем у кого нет Экселя, получить список подходящих хостов можно командой в bash

    printf "%s\n" `echo {a..z}{a..z}{0000..9999}.myfoscam.org` > list.txt

    изменяя буквы и цифры можно получить нужное количество хостов и желаемый диапазон.
  • +2
    Так как тема стала популярной даже за пределами хабра — хочу предупредить любителей щёлкать по ссылкам: сейчас идеальные условия, чтобы на этой волне ловить любопытных фишингом! Будьте бдительны, камеры используют activeX, кто угодно может воспользоваться тем, что тысячи людей высматривают ссылки на открытые камеры и подложной ссылкой направить их энергию в нужное ему русло.
    • 0
      У меня Mozilla Firefox без поддержки ActiveX.
  • 0
    Добавлю, что в последних прошивках аккаунта operator нет, а пустой пароль админа при первом входе требуется сменить.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.