פרסומת
הדיווחים נשברו מוקדם יותר החודש בערך אתר אינטרנט שזרם צילומים בשידור חי מיותר מ 70,000 מצלמות אבטחה מחוברות לאינטרנט. בימים האחרונים הדיווחים בתקשורת הפכו היסטריים מהדיווחים של דיילי מייל - ואני משתמש במילה זו באופן רופף - הרוסים מרגלים משפחות בבריטניה באמצעות מצלמות הרשת שלהם. אתר ספציפי זה הוסר כעת אך איום האבטחה לא נעלם.
בדקתי את זה, דיברתי עם מומחה אבטחה ועבדתי כמה איך התרחש האק.
האם המצלמות נפרצו?
כל המצלמות באתר שידרו את העדכון שלהן באופן מקוון מכיוון שהן נועדו לעשות זאת. שלושת היצרנים העיקריים המיוצגים באתר היו Foscam, Linksys ו- Panasonic. כולם מייצרים מצלמות כמו המודל הזה של Linksys ששולחים וידאו למחשב דרך הרשת המקומית שלך, או באופן ביקורתי, דרך האינטרנט, כך שתוכל לגשת לעדכון מכל מקום.
קווין שלדרק, יועץ אבטחת מידע וחבר שלי, הסביר כי "זה לא נראה כאילו המצלמות נפרצו במובן המסורתי. נראה שהם פשוט השתמשו בתעודות ברירת מחדל, או ללא אישורים, כדי לגשת לעדכוני מצלמות שנמצאו דרך גוגל. "
פריצה של גוגל
על פי השאלות הנפוצות של האתר שהוסרו כעת, המצלמות נמצאו עם מה ש- Kev מכנה "פריצת גוגל". רבים מדפי האינטרנט של המצלמות שבוצעו כוללים דברים כמו "עדכון חי" ודגם המצלמה בתג הכותרת. על ידי שימוש ב
מפעילי חיפוש מתקדמים כיצד לעשות שימוש טוב במפעילי החיפוש של גוגלעם מפעילים אתה יכול להציג תוצאות הקשורות רק לאתרים מסוימים, לחפש בטווח של מספרים, או אפילו להחריג מילה מוחלטת מהתוצאות שלך. כאשר אתה שולט בשימוש ב- Google ... קרא עוד כמו כותרת: אפשר למצוא את כל הדפים האלה שהוספו לאינדקס על ידי Google.
דפי האינטרנט שהמצלמות הללו הקימו הם, באופן תיאורטי, פרטיים. הם לא נמחקים במפורש מגוגל אך באופן כללי הם לא נועדו להימצא. גוגל מוצאת אתרים באמצעות קישורים הבאים איך מנועי חיפוש עובדים?עבור אנשים רבים, גוגל היא האינטרנט. זו כנראה ההמצאה החשובה ביותר מאז האינטרנט עצמו. ובעוד שמנועי חיפוש השתנו מאוד מאז, העקרונות הבסיסיים הם עדיין זהים. קרא עוד . אם Google לא מצליחה למצוא קישורים לאתר היא לא יכולה להוסיף אינדקס. כל דפי האינטרנט של המצלמה המושפעים הגיעו לגוגל. פירוש הדבר שמסיבה כלשהי יש קישור איפשהו באינטרנט שמצביע לדף האינטרנט של המצלמה.
חקרתי את דף האינטרנט של אחת המצלמות המושפעות, שנמצאה בחנות צילום והגישה אליה דרך קישור אחורי באתר החנות - איך זה נגמר בגוגל. הסיפור של כל שאר המצלמות יהיה דומה.
כיצד ניגשו למצלמות
גם אם דף האינטרנט של המצלמה מופיע בגוגל, זה לא אמור להיות נושא. העדכון מוגן בדרך כלל באמצעות סיסמה. זה הופך לבעיה רק אם משתמש המצלמה לא שינה את הסיסמה מברירת המחדל של היצרן, או גרוע מכך, השאיר אותה לגמרי לא מאובטחת. זה מה שקרה עם כל המצלמות שהושמעו.
סיסמאות ברירת המחדל עבור מרבית המצלמות זמינות באופן ציבורי באתר היצרנים. אתה יכול למצוא דגם מסוים של מצלמה באמצעות פריצת גוגל ואז לחפש את סיסמת ברירת המחדל שלה. אם היא לא שונתה, או שלא הוגדרה סיסמה, אתה נמצא ב.
מדוע זו עדיין בעיה
האתר שכולם נבהלו אוטומטית את התהליך של מציאת דפי אינטרנט של מצלמות ואז ניסה את סיסמת ברירת המחדל. אם זה עבד, הוא גרד את העדכון והוסיף אותו לאתר. אם זה לא היה, דפי האינטרנט התעלמו.
73000 עדכונים נמצאו בתהליך זה.
למרות שהאתר הוסר, הבעיה נותרת בעינה. האתר היה רק צובר. כל דפי האינטרנט של המצלמות המושפעים עדיין מקוונים, למעשה לא מוגנים. כל מי שקצת ידע על גוגל יכול לבצע את אותו התהליך באופן ידני. העובדה שהאתר נעלם רק מקשה עליו באופן שולי.
גרוע מכך, קב הסביר כי "באופן היסטורי, מצלמות אינטרנט מסוג זה הוטרדו על ידי מספר רב פגיעויות אבטחה קלאסיות, כמו אימות לקוי של משתמשים והזרמת קוד דרך האינטרנט ממשק. בדרך כלל הם לא מצליחים להשתמש במודלי אבטחה לינוקס / יוניקס מודרניים, כלומר פגיעות בהזרקת קוד אחת גורמת לשליטה על המצלמה כולה על ידי התוקף. ברגע שתוקף שולט במצלמה שלך, הם יכולים להשתמש בה כנקודת קפיצה כדי לתקוף את כל השאר ברשת שלך. " זו פגיעות חמורה.
אבטחת המצלמה שלך
אין דרך קלה לדעת אם המצלמה שלך מושפעת. הדבר הטוב ביותר לעשות הוא להניח שכן, ולנקוט צעדים לאבטחתו. יש שני דברים שעליך לעשות: נסה למנוע את הופעתה בתוצאות החיפוש של גוגל ולהגן עליה באמצעות סיסמה מאובטחת.
זה כן אפשרי להסיר דף אינטרנט מ- Google אבל אתה צריך להיות מסוגל לקבל גישה לקוד ה- HTML. נראה כי הדבר אינו אפשרי ברוב המצלמות. במקום זאת, וודא שגוגל לעולם לא תמצא את דף האינטרנט של המצלמה שלך.
השתמש ברשימה הבאה של "חמש אל תעשה" כדי לשמור על אבטחת מצלמת האבטחה שלך באינטרנט:
- אל תשתף אף פעם את הקישור לדף האינטרנט של המצלמה באינטרנט הפתוח.
- אל תקשר אליו או הטמע אותו באתר שלך.
- אל תפרסם אותו בדף הפייסבוק שלך.
- אל תשתף אותו בטוויטר.
- במיוחד, אל תקשר אליו ב- Google+. כל עוד דף האינטרנט של המצלמה לא באינדקס של גוגל לעולם, הוא לא יופיע בתוצאות החיפוש לא משנה באילו טריקים מתקדמים משתמשים.
בנוסף, שנה את הסיסמה מברירת המחדל למשהו ארוך ומאובטח. ב- MakeUseOf סיפרנו לך על זה כמה דרכים בהן תוכלו לבצע סיסמאות מאובטחות ובלתי נשכחות 13 דרכים לפצות סיסמאות מאובטחות ובלתי נשכחותרוצה לדעת כיצד להמציא סיסמא מאובטחת? רעיונות סיסמא יצירתיים אלה יעזרו לכם ליצור סיסמאות חזקות ובלתי נשכחות. קרא עוד . השתמש באחת מהן והפוך את הסיסמה לזמן רב ככל האפשר. בדרך זו, גם אם גוגל עושה אינדקס לדף האינטרנט, גישה למצלמה דורשת מאמץ משמעותי.
לבסוף, חשוב אם אתה צריך להיות מסוגל לגשת למצלמה שלך מכל מקום. אם לא, כבה את דף האינטרנט בהגדרות המצלמה שלך.
האם הושפעו מ"האקינג "זה או אחר" זה "? אנא שתפו את הסיפור שלכם בתגובות.