Amikor a megfigyelőből megfigyelt lesz: súlyos biztonsági hibák az okosotthonokban

Ha valaki webkamerával fürkészi üres otthonát, vigyázzon, mert lehet, hogy ugyanezt teszi egy komolyabb számítástechnikai tudással felvértezett betörő is. Az idei Ethical Hacking Konferencián bemutatásra kerülő törés segítségével ugyanis könnyedén átvehető az irányítás az eredetileg az otthon biztonságát szolgáló IP-kamerák felett.

Tamási Benjamin egy biztonságtechnikai termékeket forgalmazó vállalkozás külsős informatikusaként kapta meg azt a feladatot, hogy az egyik ügyfél elfelejtett jelszavát kinyerje egy analóg biztonsági kamera képét tároló eszközből. A fiatalember rájött, hogy a Linux operációs rendszert futtató egység egy nem dokumentált csatornán keresztül képes parancsokat fogadni és végrehajtani, már csak az ehhez szükséges jelszót kellett kitalálni. Mivel az ilyen eszközök vezérlőszoftvere általában frissíthető, ezért letöltötte a firmware-t, majd megvizsgálva rájött, hogy a titkosítatlan programkódból a gyártói jelszó könnyedén kinyerhető.

„Ez 2 éve történt, nemrégiben azonban a vizsgálatot az otthonokban egyre gyakrabban használt olcsóbb IP-kamerákkal folytattam, melyek képesek a videofolyamot közvetlenül az internetre továbbítani. Eddig 7 különböző márkájú eszközből 7-et sikerült feltörni, de ami még megdöbbentőbb, hogy – vélhetően a kínai gyártás eredményeként – mindegyiknél ugyanaz volt a gyárilag megadott adminisztrátori jelszó. Ezek a kamerák egyébként nemcsak otthonokban, de bankokban, áruházakban, szállodákban, raktárakban is megtalálhatók” – mondta Tamási Benjamin.

A magyar szakember által felfedezett biztonsági rés vélhetően több százezer kamerát érint világszerte. Csak azok a helyszínek vannak 100 százalékos biztonságban, ahol a megfigyelést szolgáló eszköz kizárólag belső hálózatra csatlakozik, az internetre kötött kamerák esetében ugyanis a bejutásra már számos, korábban felfedezett biztonsági rés lehetőséget ad.

Amikor az otthonunk az ellenségünk

„A konferencián részletes bemutatásra kerülő törés második lépéseként egy vírus is elkészül, melyet Benjamin a kamerára telepít. Ez a vírus képes lesz arra, hogy a kamera egy korábban felvett képét továbbítsa tulajdonosának, de akár arra is, hogy más, a hálózatra csatlakozó eszközöket megfertőzzön, és onnan adatokat szivárogtasson” – mondta Fóti Marcell, a biztonsági rés részletes bemutatásának helyt adó Ethical Hacking Konferencia szervezője.

A magyar etikus hacker által felfedezett biztonsági incidens további különlegessége, hogy az eddigi vizsgálódások alapján vírus nemcsak kamerákra, de wifi routerekre, illetve manapság egyre divatosabb otthoni okoseszközökre is telepíthető. A szakember ugyanakkor az Ethical Hacking Konferencián egy megoldási javaslatot is bemutat, mely hosszú távon az okos otthonok biztonságosabb megvalósítását szolgálja majd.

A május 8-ai Ethical Hacking Konferencia folyamatosan bővülő programja a http://www.netacademia.hu/Konferencia webcímen érhető el.