как узнать пароль камеры видеонаблюдения
Взлом камеры видеонаблюдения.
Немного теории, потом практика.
Практически все современные цифровые IP камеры видеонаблюдения построены на операционной системе linux, которая сильно урезана и имеет только самое необходимое для работы. Сама по себе операционная система linux бесплатная, очень надежная и устойчивая к внешним воздействиям и взломам, поэтому производитель и строит на ее базе видеорегистраторы, видеосервера, камеры видеонаблюдения, NAS и прочии умные гаджеты.
Под «взломом камеры видеонаблюдения» будем понимать получение доступа под администратором.
Рассмотрим слабые стороны подобных устройств.
— Человеческий фактор. Устройство имеет стандартные настройки: стандартный логин и пароль. После установки оборудования нужно ОБЯЗАТЕЛЬНО его сменить.
— Некомпетентность специалистов, которые занимались установкой и настройкой видеокамер. Нужно понимать как построена система, при использовании внешнего ip адреса требуется надежно защитить девайс, который смотрит во вне (интернет). Должное внимание уделить защите Wi-fi роутера, который используется практически везде где есть интернет.
— Использование стандартных или слабых (менее 8 символов паролей). Для взлома как правило используются брутфорс атаки по словарю (метод перебора), который содержит все стандартные пароли: admin, 888888, 123456, 12345 и.т.д
Чтобы защитить владельцев производитель вводит дополнительные меры безопасности, например для Hikvision на всех новых устройствах требуется активация, которая заставляет владельца задать пароль, в соответствии с требованием к безопасности: ЗАГЛАВНЫЕ и строчные буквы, цифры и ограничивает минимальную длину.
Способов взлома много, рассмотрим один из самых простых, с помощью поисковой системы Шодан. Поисковик постоянно сканирует интернет и собирает базу по устройствам, которые откликнулись на его запросы: это регистраторы, камеры видеонаблюдения, роутеры, фаерволлы, то есть все сетевые девайсы, которые смотрят во всемирную сеть.
Попробуем получить доступ, к тем устройствам, которые имеют дефолтные (стандартные) пароли.
Переходим к практике.
Взлом! Заходим на сайт: https://www.shodan.io
Без регистрации мы будем ограничены количеством запросов. Поэтому лучше пройти несложную процедуру регистрации на сайте.
Далее в строку поиска нам нужно ввести, то что мы хотим найти.
Полный перечень команд можно найти на сайте поисковика Шодан.
В качестве примера по первому запросу: default password port:80 в базе поиска обнаружено 3278 результатов. По второй и третьей выдаче как видно из рис.1 мы видим, что login: admin, а пароль для доступа через веб интерфейс: 1234.
Переходим по ссылке. Попадаем на страницу авторизации. Заходим используя полученные данные и вуаля, мы попадаем на чужую точку доступа Edimax. У нас админские права и мы можем сделать абсолютно все: поменять язык, заменить пароль, перенастроить оборудование или убрав галочку «Скрыть» подглядеть чужой пароль.
Таким же способом можно взломать и получить доступ к чужим камерам видеонаблюдения, Сетевым накопителям (NAS), принтерам, вэб камерам и любому другому сетевому оборудованию.
Автор: Дмитрий Самохвалов, технический редактор компании Rucam-Video.
Как узнать пароль по умолчанию к Wi-Fi камерам на примере IMOU
Классические проводные видеокамеры, использовавшиеся для наблюдения, уступили место IP-технологиям, в том числе облачным камерам. Они работают без коммутаторов, видеорегистраторов, жестких дисков, но, тем не менее, их нужно подключить к IP-видеорегистратору. Это поможет интегрировать камеру в единую систему и использовать ее возможности максимально. На примере IMOU разберемся, можно ли узнать стандартный пароль камеры и как это сделать без сложностей.
Зачем узнавать пароль вай-фай камеры
Код безопасности необходим вай-фай камере, чтобы защищаться от несанкционированного подключения посторонних, имеющих таким образом возможность перехватить информацию. При этом многие производители защищают IP-камеры кодом по умолчанию, позволяя его в дальнейшем поменять. В такой ситуации данные для доступа указываются на коробке товара или самой камере.
Пароль необходим, чтобы:
Таким образом, код безопасности необходим людям, непосредственно работающим с видеокамерами. Также пароль по умолчанию может быть изменен для повышения безопасности пользователя, поскольку сложносоставной поможет избежать доступа посторонних.
Узнаем стандартный пароль
Некоторые производители прямо говорят клиенту о необходимости установки другого пароля, применяя базовые комбинации. К примеру, в камерах Pixord сочетание логина и пароля выглядит как admin/admin, Hikvision — admin/12345, в устройствах Sony — admin/admin. Используя эти пары, можно получить доступ к любому видеорегистратору, если в нем не изменен пароль.
Но есть техника и похитрее, к примеру, Wi-Fi камеры IMOU, которые имеют сложный пароль, доступный после считывания. На устройстве присутствует QR-код, который можно считать специальным приложением-сканером на смартфоне. Такие программы бесплатны и показывают зашифрованную в изображении информацию на экране телефона.
Среди доступных данных будет и сокращение SC — код безопасности, который может применяться для доступа к камере, а также ее дальнейшей настройки. Также там есть и другие данные, в том числе серия и номер устройства, которые могут пригодиться в разных ситуациях.
Использовать встроенный сканер QR-кодов не рекомендуется, поскольку он сразу переведет пользователя по ссылке в браузере. Вместо нужных данных владелец видеокамеры увидит только товарную позицию, так и не разобравшись с кодами доступа к оборудованию.
QR-картинка может располагаться в точке крепления камеры или на ее корпусе, но пароль необходимо обязательно поменять на собственный. В противном случае, если QR-код останется видимым, злоумышленники смогут его считать и далее отключить или стереть данные.
Если ранее камера уже была добавлена в приложение IMOU путем сканирования QR-кода, пароль можно узнать в программе. Для этого открывается страница камеры, запускаются ее настройки и просматриваются данные. Среди них будет и пароль, который используется в устройстве в настоящее время, а значит его можно вводить для дальнейших действий. Узнать стандартный пароль, применяемый для IP-видеокамер, может кто угодно. Каждый производитель предусматривает свои правила: в каких-то устройствах установить новый пароль потребуется при первом запуске, в других работают стандартные комбинации. IMOU беспроводная камера позволяет узнать код безопасности из QR-кода на корпусе, но его нужно сменить, чтобы повысить уровень защищенности.
Взлом IP камеры видеонаблюдения
IP камера в большинстве случаев является частью видео наблюдения за определённой территорией относящейся к собственности. Кроме того, организации часто используют iP камеры на своей территории. Возможность взломать камеру видео наблюдения, а именно iP, подробно описана ниже.
Взлом iP камеры с помощью программ
Чтобы найти и подключится к онлайн камере необходим софт. Архив с необходимыми программами можете скачать с облака, здесь. В архиве содержаться 3 программы:
Сбор iP адресов камер
Для доступа к камере видеонаблюдения требуется iP адрес камеры, логин и пароль. Вот основные данные для того, чтобы iP камера отобразилась на мониторе.
Добыть нужные нам: адрес iP камеры, логин и пароль начинаем с поиска диапазонов. Переходим на сайт: https://4it.me/getlistip и вводим название города, в котором хотим найти все ай пи адреса камер видеонаблюдения. Жмём «Поиск», ниже кликаем по своему городу. Внизу будут диапазоны iP адресов которые нужно скопировать.
Обработка iP адресов
Запускаем программу KPortScan и проводим такие манипуляции:
Пойдёт процесс обработки. Проделанную работу можно наблюдать на полосе прогресса. По мере выполнения зелёная полоса будет расти вправо. Время, за которое выполняется очистка ай пи адресов примерно составляет минут 30 – 40.
Как только операция закончится, полоса прогресса станет пустой. Теперь закрываем программу KPortScan, так как она нам больше не понадобится.
Взлом iP адресов камер
Заходим в папку с программой KPortScan, открываем с помощью блокнота текстовый файл: «results», копируем все айпишники и закрываем блокнот. Пришло время к запуску второй программки для взлома iP адресов камер – RouterScan.
В интерфейсе программы RouterScan очищаем забитые адреса iP, для этого просто кликаем по кнопке: «Х» в пункте: «Enter IP ranges to scan». Следующим шагом нужно добавить наши обработанные iP адреса в программу. Кликаем по кнопке: «Е» всё в том же пункте Enter IP ranges to scan.
В открывшееся небольшое окно вставляем обработанные адреса, скопированные с текстового файла «result». Нажимаем на кнопку: «Start scan», тем самым запуская сканирование.
Завершится процесс, когда зелёная полоса внизу дойдёт до крайне правого положения.
IP камера – подключение и просмотр
Последняя программа из архива iVMS-4200(v2.8.2.2_ML) служит для просмотра веб камер. Далее следует установить её на компьютер и запустить.
После запуска перейти на вкладку «Панель управления» – «Управление устройством» – «Добавить». Теперь, чтобы iP камера работала, корректно заполняем:
Где брать адрес, логин и пароль смотрите на фотографии ниже. После, как вставили, кликаем по кнопочке: «Добавить». Переходим на вкладку «Панель управления» – «Основной ракурс».
Если всё сделали правильно, то взломанная iP камера отобразится в интерфейсе программы iVMS-4200. В случае, когда на экране ничего нет, попробуйте следующий адрес ip камеры из программы Router Scan.
Это один из способов взлома ip камеры, если у Вас есть свой метод то пожалуйста поделитесь им в комментариях ниже!
Взлом камер видеонаблюдения на практике
Поклонники фильма «Одиннадцать друзей Оушена» наверняка узнали кадр, который мы выбрали для иллюстрации этой статьи. Момент, когда крутые парни умело подменили аналоговый сигнал камер видеонаблюдения казино, засел в умы многих. Некоторые даже пытаются проворачивать подобное в реальной жизни.
Технологии изменились, сейчас аналогу предпочитают IP-камеры, способы взлома которых подробно будут рассмотрены далее.
Если ты не параноик, это ещё не значит, что за тобой не следят
Большинство людей, которые занимаются взломом, делают это ради развлечения или чтобы получить кусочек известности в интернете. Они используют известные всем «дыры» в системах обеспечения камер и выкладывают, на их взгляд, веселые видео на популярных интернет-ресурсах. YouTube просто кишит подобными видеороликами.
Мы же рассмотрим более серьезные последствия уязвимости, а именно когда взломщик никак не выдает себя и свое проникновение в систему. Такая атака обычно тщательно планируется заранее, за неделю, а то и за месяц до самого взлома.
Как и в нашем примере про «Одиннадцать друзей Оушена», речь пойдет о подмене потока в системах видеонаблюдения, только не аналогового, а цифрового сигнала, а именно RTSP-потока.
Так как вся информация в данной статье носит информационный характер и в первую очередь направлена на ликвидирование ошибок безопасности при построении системы видеонаблюдения, мы не рекомендуем использовать уязвимость, которая рассматривается далее. Именно поэтому взлом самой сети видеонаблюдения будет рассматриваться только поверхностно и описанные способы предполагают открытый доступ к сети предприятия или частного лица. Помните, что несанкционированный доступ к данным может преследоваться по закону.
Опыт нашей компании показывает, что тема очень актуальна, так как на этапе пусконаладки системы видеонаблюдения многие люди подключают камеры в свою систему по RTSP-ссылкам. Либо чтобы сэкономить время, либо по незнанию, либо от уверенности, что так и надо, многие даже не задумываются о том, чтобы сменить пароли или посмотреть, какие настройки безопасности поддерживает их камера.
К слову, RTSP (Real Time Streaming Protocol) — это протокол, который позволяет управлять потоковым видео в режиме реального времени. Нам надо знать о нем только то, что с помощью RTSP-ссылки мы будем забирать видеопоток с камеры.
Мы добрались, наконец, до практики, а именно к плану, по которому мы будем действовать:
1. Получение RTSP-ссылки для камеры, поток с которой мы хотим подменить.
2. Подготовка видеофайла для последующей трансляции.
3. Трансляция записанного файла.
4. Защита от вторичной подмены потока.
Получение RTSP URI потока
Для подмены сигнала с камеры сначала нужно найти видеопоток, который нам нужен. Для этого потребуется ссылка на него по протоколу RTSP. Камера обычно передает несколько изображений (с высоким и низким разрешением). Первый используется для записи, а второй – для трансляции на экранах видеонаблюдения. Минимальное разрешение (чаще всего 320 на 240 пикселей) позволяет снизить нагрузку на оборудование. Для каждого потока RTSP ссылка зачастую отличается одной цифрой в ключе.
У разных камер могут быть разные RTSP-ссылки, но общий вид примерно следующий:
rtsp://[логин: пароль@]ip-адрес:RTSP-порт[/ключ].
1. Найти ссылку на сайте производителя камеры.
2. Поискать в интернете сайты, где приведены ссылки для разных моделей камер, пример таких сайтов тут и тут.
3. Скачать на сайте производителя руководство по эксплуатации и найти нужную информацию там.
Для случаев, когда ни один из простых способов не помог, существует немного более сложный. Здесь как минимум будет нужен доступ в сеть, где находится камера. Так как большинство современных камер поддерживает ONVIF, мы можем узнать RTSP-ссылку именно с помощью данного протокола.
Для этого нужно отправлять множественные запросы без авторизации или с авторизацией, стоящей на предполагаемой камере по умолчанию, например «admin:admin» или «admin:12345». К слову, на практике встречались камеры, у которых был выставлен и фильтр допустимых IP-адресов, и нестандартные логин и пароль, но из-за ошибок в прошивке при обращении по протоколу ONVIF ни авторизация, ни фильтр не проверялись.
Как получить желаемую ссылку на оба потока с камеры по протоколу ONVIF?
Запись RTSP-потока в файл
Когда мы получили нужные rtsp-ссылки, нужно записать видео, транслируемое ими, длительностью в несколько часов. Не стоит забывать о том, что в современных системах используется двухпоточность, поэтому нужно записывать одновременно оба потока.
Записать видеопоток по RTSP-протоколу можно с помощью различного программного обеспечения. Рассмотрим наиболее популярные из них: ffmpeg, gstreamer и vlc.
Запись в файл началась.
Трансляция RTSP-потока из файла
Пришло время начать транслировать записанный файл в формате RTSP. Для этого воспользуемся все теми же программами, рассмотренными в разделе выше.
1. Для трансляции видеопотока с камеры с помощью ffmpeg необходимо использовать ffserver. Его описание можно найти здесь. Для того чтобы задать параметры трансляции, необходимо заполнить файл ffserver.conf.
2. Теперь воспользуемся vlc-медиаплеером. Несмотря на то что это самый простой способ, к сожалению, vlc может транслировать поток только по протоколу UDP.
3. Наконец, с помощью gst-server.
Записанный файл транслируем в формате RTSP, после чего решаем задачу по выводу камеры из строя. Ниже несколько вариантов, которые различаются в зависимости от объекта, который мы хотим атаковать. На самом деле способов намного больше, рассмотрим только самые основные. Первое, что нам необходимо, — это попасть в нужную нам сеть.
Если объект большой территориально, то зачастую есть возможность подойти к некоторым камерам физически и даже попробовать найти коммутационное оборудование, к которому подключена камера.
Если объект небольшой, то можно попробовать войти в сеть через wi-fi и просканировать ее с помощью nmap, например.
Также, если к камере есть физический доступ, можно с помощью одноплатника произвести взлом в несколько этапов:
1) включить запись wireshark;
2) кратковременно отключить провод от камеры и подключить его в одноплатник;
3) вернуть кабель на место;
4) изучить полученные логи.
Или если есть доступ в сеть, можно воспользоваться классическим методом подмены:
– с помощью arpspoof встать между камерой и сервером;
– с помощью ip_forward переадресовывать запросы с сервера видеонаблюдения на IP-камеру, и наоборот;
– с помощью iptables переадресовывать все запросы по RTSP-порту на сервер видеонаблюдения не с камеры, а с нашей машины.
Защита камер видеонаблюдения от взлома
Чтобы защититься от подмены потока по процедуре, описанной выше, можно использовать несколько способов:
1. Интегрирование камер
Наибольшую защиту дает интеграция камеры в программный продукт. Проверить, интегрирована ли ваша камера с системой видеонаблюдения «Линия», можно тут.
Если вашей камеры или производителя не оказалось в списке, можно обратиться в техническую поддержку с просьбой интегрировать используемую вами модель IP-камеры.
2. Обновление прошивки
Необходимо постоянно поддерживать прошивку камер в актуальном состоянии, так как с помощью обновлений разработчики исправляют различные уязвимости и тем самым повышают стабильность работы камер.
3. Смена стандартных логинов и паролей
Первое, что сделает злоумышленник, — это попробует использовать стандартный логин и пароль камеры. Они указаны в инструкциях по эксплуатации, так что найти их не составит труда. Поэтому всегда используйте уникальные логин и пароль.
4. Включение обязательной авторизации
Данная функция присутствует во многих современных камерах, но, к сожалению, не все пользователи о ней знают. Если отключить эту опцию, то камера не будет запрашивать авторизацию при подключении к ней, что сделает ее уязвимой для взлома. Стоит отметить, что встречаются камеры с двойной авторизацией для http-доступа и для доступа по протоколу ONVIF. Также в некоторых камерах существует отдельная настройка для запроса авторизации при подключении по прямой RTSP-ссылке.
5. Фильтр IP-адреса
Если камера поддерживает функцию так называемого белого списка, то лучше ей не пренебрегать. С ее помощью определяется IP-адрес, с которого можно подключаться к камере. Это должен быть адрес сервера, к которому подключается камера и, если необходимо, второй IP-адрес рабочего места, с которого производится настройка. Но это не самый надежный метод, так как злоумышленник при подмене устройства может использовать тот же IP-адрес. Поэтому лучше всего использовать данную опцию вместе с остальными рекомендациями.
6. Защита сети
Необходимо правильно настраивать коммутирующее оборудование. Сейчас большинство коммутаторов поддерживают защиту от arp spoofing — обязательно используйте это.
7. Разделение сети
На данный пункт стоит обратить особое внимание, так как это играет большую роль в безопасности вашей системы. Разделение сети предприятия и сети видеонаблюдения обезопасит вас от злоумышленников или даже от собственных сотрудников, которые имеют доступ в общую сеть и хотят вас взломать.
8. Включение OSD-меню
Необходимо включать OSD-меню с текущим временем и датой на камере, чтобы всегда можно было проверить актуальность изображения. Это хороший способ защиты именно от замены видеоряда, так как OSD накладывается на все видео, идущее с определенной камеры. Даже когда злоумышленник запишет RTSP-поток, подмена будет заметна благодаря данным, которые все равно останутся на видеокадрах.
К сожалению, многие злоумышленники научились быстро отыскивать и пользоваться в своих интересах уязвимостями в системах IP-видеонаблюдения. Чтобы обезопасить сеть, обязательно нужно ознакомиться со способами защиты, описанными в данной статье. Уделите достаточное количество времени пусконаладке системы и в особенности корректной настройке всех ее компонентов. Так вы сможете обеспечить сети максимальную безопасность от взломов.
В заключение предлагаем вам поделиться в комментариях, как бы вы подошли к защите своей сети видеонаблюдения от взлома? Какие методы атак вы считаете наиболее опасными?
Смотри во все глаза. Как взламывают IP- и веб-камеры и как от этого защититься
Содержание статьи
WARNING
Статья носит исследовательский характер. Она адресована специалистам по безопасности и тем, кто собирается ими стать. При ее написании использовались общедоступные базы данных. Ни редакция, ни автор не несут ответственности за неэтичное использование любых упомянутых здесь сведений.
С широко закрытыми глазами
Видеонаблюдение используется преимущественно для охраны, а потому не жди веселых картинок с первой же хакнутой камеры. Может, тебе и посчастливится быстро найти HD-трансляцию из элитного борделя, но чаще будут попадаться скучные виды на безлюдные склады и парковки с разрешением VGA. Если в кадре и есть люди, то в основном это ждуны в холле и жруны в кафе. Куда интереснее наблюдать за самими операторами и работой всяких роботов.
Реальное и формальное наблюдение
Xakep #218. Смотри во все глаза
IP-камеры и веб-камеры часто путают, хотя это принципиально разные устройства. Сетевая камера, или IP-камера, — самодостаточное средство наблюдения. Она управляется через веб-интерфейс и самостоятельно передает видеопоток по сети. По сути, это микрокомпьютер со своей ОС на базе Linux. Сетевой интерфейс Ethernet (RJ-45) или Wi-Fi позволяет выполнять прямое подключение к IP-камере. Раньше для этого использовались фирменные клиентские приложения, но большинство современных камер управляются через браузер с любого устройства — хоть с компа, хоть со смартфона. Как правило, IP-камеры включены постоянно и доступны удаленно. Именно этим и пользуются хакеры.
Робот в архиве библиотеки
Веб-камера — пассивное устройство, которым управляют локально с компьютера (по USB) или ноутбука (если она встроенная) через драйвер операционной системы. Этот драйвер может быть двух разных типов: универсальный (предустановленный в ОС и подходящий для многих камер разных производителей) и написанный на заказ для конкретной модели. Задача хакера здесь уже другая: не подключиться к веб-камере, а перехватить ее видеопоток, который она транслирует через драйвер. У веб-камеры нет отдельного IP-адреса и встроенного веб-сервера. Поэтому взлом веб-камеры всегда следствие взлома компьютера, к которому она подключена. Давай пока отложим теорию и немного попрактикуемся.
Взлом камер наблюдения
Взлом IP-камер вовсе не говорит о том, что кто-то хозяйничает на компьютере, с которого владелец смотрит их видеопоток. Просто теперь он смотрит его не один. Это отдельные и довольно легкие цели, однако подводных камней на пути к ним хватает.
WARNING
Подглядывание через камеры может повлечь административное и уголовное наказание. Обычно назначают штраф, но не всем удается легко отделаться. Мэттью Андерсон отсидел полтора года за взлом веб-камер с помощью трояна. Повторившему его подвиг присудили уже четыре года.
Во-первых, удаленный доступ к выбранной камере может поддерживаться только через какой-то конкретный браузер. Одним подавай свежий Chrome или Firefox, а другие работают только со старым IE. Во-вторых, видеопоток транслируется в интернет в разных форматах. Где-то для его просмотра нужно будет установить плагин VLC, другие камеры потребуют Flash Player, а третьи не покажут ничего без старой версии Java или собственного плагина.
Китайская вежливость
Иногда встречаются нетривиальные решения. Например, Raspberry Pi превращают в сервер видеонаблюдения с nginx и транслируют видео по RTMP.
По замыслу, IP-камеру защищают от вторжения два секрета: ее IP-адрес и пароль учетной записи. На практике IP-адреса вряд ли можно назвать секретом. Они легко обнаруживаются по стандартным адресам, к тому же камеры одинаково откликаются на запросы поисковых роботов. Например, на следующем скриншоте видно, что владелец камеры отключил анонимный доступ к ней и добавил ввод CAPTCHA для предотвращения автоматизированных атак. Однако по прямой ссылке /index.htm можно изменить их без авторизации.
Получаем доступ вопреки настройкам
Уязвимые камеры наблюдения можно отыскать через Google или другой поисковик с помощью продвинутых запросов. Например:
Находим камеры через Google
Ищем камеры в Shodan
Прекрасно ищет камеры и Censys. Язык запросов у него чуть сложнее, но разобраться с ним тоже большого труда не составит. Например, запрос 80.http.get.body:»DVR Web Client» покажет камеры, подключенные к IP-видеорегистратору, а metadata.manufacturer:»axis» найдет камеры производства Axis. О том, как работать с Censys, мы тоже уже писали — в статье «Что умеет Censys?».
Ищем камеры в Censys
Ищем камеры в ZoomEye
Можно искать и по старинке, банально сканируя диапазоны IP-адресов в поисках характерного отклика от камеры. Получить список айпишников определенного города можно на этом веб-сервисе. Там же есть сканер портов на случай, если у тебя до сих пор нет собственного.
В первую очередь нас интересуют порты 8000, 8080 и 8888, поскольку они часто заданы по умолчанию. Узнать дефолтный номер порта для конкретной камеры можно в ее руководстве. Номер практически никогда не меняют. Естественно, на любом порте можно обнаружить и другие сервисы, поэтому результаты поиска придется дополнительно фильтровать.
Узнать модель обнаруженной камеры просто: обычно она указана на титульной странице веб-интерфейса и в ее настройках.
Узнаем модель камеры и настраиваем ее
Когда я говорил в начале статьи об управлении камерами через «фирменное клиентское приложение», то имел в виду программы вроде iVMS 4xxx, которая поставляется с камерами Hikvision. На сайте разработчика можно почитать русскоязычный мануал к программе и самим камерам. Если ты найдешь такую камеру, то с большой вероятностью на ней будет стоять заводской пароль, и программа предоставит к ней полный доступ.
С паролями к камерам наблюдения дела вообще обстоят крайне весело. На некоторых камерах пароля просто нет и авторизация отсутствует напрочь. На других стоит заданный по умолчанию пароль, который легко найти в мануале к камере. На сайте ipvm.com опубликован список самых часто встречающихся логинов и паролей, установленных на разные модели камер.
admin/admin, откройся!
Часто бывает, что производитель оставил в прошивке камеры служебный вход для сервис-центров. Он остается открытым даже после того, как владелец камеры сменил дефолтный пароль. В мануале его уже не прочтешь, а вот найти на тематических форумах можно.
Огромная проблема состоит в том, что во многих камерах используется один и тот же веб-сервер GoAhead. В нем есть несколько известных уязвимостей, которые производители камер не спешат патчить.
Первое упоминание GoAhead в «Хакере» датируется 2002 годом, а в прошлом году в нем нашли уязвимость, приводящую к RCE.
GoAhead, в частности, подвержен переполнению стека, которое можно вызывать простым запросом HTTP GET. Ситуация усложняется еще и тем, что китайские производители модифицируют GoAhead в своих прошивках, добавляя новые дыры.
На сегодняшний день больше миллиона IP-камер и IP-видеорегистраторов разных производителей позволяют удаленно получить доступ к их настройкам безо всякой авторизации. Скрипт на Python, автоматизирующий атаку на уязвимые устройства, уже выложен на GitHub. Проблема была обнаружена в начале 2017 года при реверсинге прошивок DVR производства Dahua Technology. Чуть позже выяснилось, что она затрагивает более тысячи моделей разных производителей. Они просто тиражировали ошибки друг друга. Автор обещал дать время на исправление и пока не раскрывать всех деталей, но он готов поделиться ими приватно по email со всеми специалистами по безопасности. Если у тебя есть сертификат CEH (Certified Ethical Hacker) или аналогичный — можешь попробовать.
В коде других прошивок встречаются такие ляпы, как кривые условные переходы. Такая камера открывает доступ, если ввести неправильный пароль или просто нажать кнопку «Отмена» несколько раз. Во время нашего исследования мне попалось более десятка таких камер. Так что, если ты устал перебирать дефолтные пароли, попробуй кликнуть Cancel — есть шанс внезапно получить доступ.
Камеры среднего и высокого класса оснащают поворотными креплениями. Взломав такую, можно сменить ракурс и полноценно осмотреть все вокруг. Особенно занятно бывает играть в перетягивание камеры, когда, помимо тебя, ей одновременно пытается управлять кто-то еще. В общем случае атакующий получает полное управление камерой прямо из своего браузера, просто обратившись по нужному адресу.
Управление камерой
Логинимся как оператор и добавляем новые учетки
Если камера подключена к IP-видеорегистратору, то можно не только удаленно наблюдать в реальном времени, но и просмотреть прежние записи.
Смотрим запись из бэкапа
Как устроен детектор движения
Профессиональные камеры наблюдения оснащены дополнительным датчиком — детектором движения, который работает даже в полной темноте благодаря ИК-приемнику. Это интереснее постоянно включенной ИК-подсветки, так как не демаскирует камеру и позволяет ей вести скрытое наблюдение. Люди всегда светятся в ближнем ИК-диапазоне (по крайней мере — живые). Как только сенсор зафиксирует движение, контроллер включает запись. Если фотоэлемент сигнализирует о низкой освещенности, дополнительно включается подсветка. Причем точно в момент записи, когда уже поздно закрываться от объектива.
Дешевые камеры устроены проще. У них нет отдельного датчика движения, а вместо него используется сравнение кадров с самой веб-камеры. Если картинка отличается от предыдущей, значит, в кадре что-то изменилось и надо это записать. Если движение не зафиксировано, то серия кадров просто удаляется. Это экономит место, трафик и время на последующую перемотку видео. Большинство детекторов движения настраиваются. Можно задать порог срабатывания, чтобы не протоколировать любое шевеление перед камерой, и настроить дополнительные оповещения. Например, отправлять СМС и последнюю фотку с камеры сразу на смартфон.
Настраиваем детектор движения камеры
Программный детектор движения сильно уступает аппаратному и часто становится причиной казусов. В ходе своих изысканий я наткнулся на две камеры, которые непрерывно слали алерты и записывали гигабайты «компромата». Все тревоги оказались ложными. Первая камера была установлена снаружи какого-то склада. Она заросла паутиной, которая дрожала на ветру и сводила детектор движения с ума. Вторая камера была расположена в офисе напротив мигающего огоньками роутера. В обоих случаях порог срабатывания был слишком низким.
Взлом веб-камер
Веб-камеры, которые работают через универсальный драйвер, часто называют UVC-совместимыми (от USB Video Class — UVC). Взломать UVC-камеру проще, поскольку она использует стандартный и хорошо задокументированный протокол. Однако в любом случае для доступа к веб-камере атакующему придется сначала получить контроль над компьютером, к которому она подключена.
Технически доступ к веб-камерам на компьютерах с Windows любой версии и разрядности осуществляется через драйвер камеры, фильтры DirectDraw и кодеки VFW. Однако начинающему хакеру не требуется вникать во все эти детали, если он не собирается писать продвинутый бэкдор. Достаточно взять любую «крысу» (RAT — Remote Admin Tool) и слегка модифицировать ее. Средств удаленного администрирования сегодня просто уйма. Кроме отборных бэкдоров с VX Heaven, есть и вполне законные утилиты, вроде Ammyy Admin, LiteManager, LuminosityLink, Team Viewer или Radmin. Все, что опционально требуется изменить в них, — это настроить автоматический прием запросов на удаленное подключение и сворачивание главного окна. Дальше дело за методами социального инжиниринга.
Девушка, живущая в сети
Кодомодифицированная крыса загружается жертвой по фишинговой ссылке или проползает на ее компьютер сама через первую обнаруженную дыру. О том, как автоматизировать этот процесс, смотри в статье «Gophish — фреймворк для фишинга». Кстати, будь осторожен: большинство ссылок на «программы для взлома камер» сами фишинговые и могут привести тебя к скачиванию малвари.
У рядового пользователя большую часть времени веб-камера неактивна. Обычно о ее включении предупреждает светодиод, но даже с таким оповещением можно выполнять скрытое наблюдение. Как оказалось, индикацию активности веб-камеры можно отключить даже в том случае, если питание светодиода и CMOS-матрицы физически взаимосвязано. Это уже проделывали с веб-камерами iSight, встроенными в MacBook. Исследователи Брокер и Чекоуэй из университета Джона Хопкинса написали утилиту iSeeYou, которая запускается от простого пользователя и, эксплуатируя уязвимость контроллера Cypress, подменяет его прошивку. После запуска жертвой iSeeYou атакующий получает возможность включать камеру, не зажигая ее индикатор активности.
Уязвимости регулярно находят и в других микроконтроллерах. Специалист компании Prevx собрал целую коллекцию таких эксплоитов и показал примеры их использования. Практически все найденные уязвимости относились к 0day, но среди них были и давно известные, которые производители просто не собирались устранять.
Превращаем вебку в камеру наблюдения
Любую веб-камеру можно превратить в подобие IP-камеры, если установить на подключенном к ней устройстве сервер видеонаблюдения. На компьютерах многие используют для этих целей старый webcamXP, чуть более новый webcam 7 и подобные программы.
Для смартфонов есть аналогичный софт — например, Salient Eye. Эта программа умеет сохранять видео в облачный хостинг, освобождая локальную память смартфона. Однако дыр в таких программах и самих ОС хватает, поэтому взломать управляемые ими веб-камеры часто оказывается не сложнее, чем IP-камеры с дырявой прошивкой.
Webcam 7 показывает видео без авторизации
Смартфон как средство наблюдения
Обычно такие смартфоны показывают довольно унылые картины. Вряд ли тебе интересно смотреть на спящего пса или на припаркованную возле дома машину. Однако Android Webcam Server и аналогичные приложения можно использовать иначе. Помимо тыловой камеры, у смартфонов есть и фронтальная. Почему бы нам не включить ее? Тогда мы увидим другую сторону жизни владельца смартфона.
Переключаем камеры смартфона
Защита от подглядывания
Первое, что приходит на ум большинству людей после демонстрации легкого взлома камер, — это заклеивать их изолентой. Владельцы веб-камер со шторкой считают, что их проблема подглядывания не касается, и зря. Возможно еще и подслушивание, поскольку, кроме объектива, у камер есть микрофон.
Разработчики антивирусов и других комплексов программной защиты используют путаницу в терминологии для продвижения своих продуктов. Они пугают статистикой взлома камер (которая действительно впечатляет, если в нее включить IP-камеры), а сами предлагают решение для контроля доступа к веб-камерам, причем технически ограниченное.
Защиту IP-камер можно повысить простыми средствами: обновив прошивку, сменив пароль, порт и отключив учетные записи по умолчанию, а также включив фильтрацию IP-адресов. Однако этого мало. Многие прошивки имеют неустраненные ошибки, которые позволяют получить доступ безо всякой авторизации — например, по стандартному адресу веб-страницы с LiveView или панели настроек. Когда находишь очередную дырявую прошивку, так и хочется ее обновить удаленно!
Помоги обновить прошивку уязвимой камеры
Взлом веб-камеры — совсем другое дело. Это всегда верхушка айсберга. Обычно к тому времени, когда атакующий получил к ней доступ, он уже успел порезвиться на локальных дисках, украсть учетки всех аккаунтов или сделать компьютер частью ботнета.
Тот же Kaspersky Internet Security предотвращает несанкционированный доступ только к видеопотоку веб-камеры. Он не помешает хакеру изменить ее настройки или включить микрофон. Список защищаемых им моделей официально ограничивается веб-камерами Microsoft и Logitech. Поэтому функцию «защита веб-камеры» стоит воспринимать лишь как дополнение.
Подглядывающие сайты
Отдельная проблема — атаки, связанные с реализацией управления доступом к камере в браузерах. Многие сайты предлагают сервисы общения с использованием камеры, поэтому запросы доступа к ней и ее встроенному микрофону всплывают в браузере по десять раз на день. Особенность здесь в том, что на сайте может использоваться скрипт, который открывает pop-under (дополнительное окно в фоне). Этому дочернему окну передаются разрешения родительского. Когда ты закрываешь основную страницу, микрофон остается включенным на фоновой. Из-за этого возможен сценарий, при котором пользователь думает, что закончил разговор, а на деле собеседник (или кто-то еще) продолжает его слышать.