Mají chránit domov, místo toho otevírají dveře hackerům. Analýza levných bezpečnostních kamer, kterou v rámci výzkumu na ČVUT provedl expert ze společnosti Atos, odhalila závažné chyby v jejich kybernetickém zabezpečení. Podle zjištění může být až 50 % zařízení používaných ve středně velkých českých firmách zranitelných. V mnoha případech může kdokoliv na světě v přímém přenosu sledovat, co se děje ve vaší ložnici, dětském pokoji vašeho dítěte nebo zasedačce vedení firmy. Není otázkou, jestli vás někdo napadne, ale kdy. Riziko zneužití jde ovšem snížit dodržením několika zásad.
„Moderní připojená domácnost přináší vyšší komfort, ale také vyšší riziko hackerského útoku. To je přímo úměrné ušetřeným částkám. Například cenově dostupnější IP/IoT kamery jsou v naprosté většině případů časovaná bomba,“ říká Janis Berberi, expert na kyberbezpečnost ze společnosti Atos, který se v rámci své vědecké práce na ČVUT věnoval hloubkovým penetračním testům dvou populárních IP kamer. Jeho zjištění se však vztahují obecně na celou kategorii levných kamer. Chyby a díry se opakují napříč celým segmentem těchto zařízení.
IP kamery patří mezi nejrozšířenější zařízení pro chytré domácnosti nebo firmy. Umožňují sledovat dům na dálku, zaznamenávat pohyb nebo odesílat upozornění do mobilu. Právě tyto schopnosti z nich dělají atraktivní cíl pro útočníky. Problém je, že výrobci kamer to hackerům neztěžují, právě naopak. Podle Janise Berberiho to potvrzuje penetrační testování ve firmách.
Na váš domov se přes IP kameru nemusíte dívat jen vy
Expert na chytrá zařízení situaci ilustruje na dvou populárních IP kamerách Niceboy ION Outdoor Security Camera a Tesla Smart Camera Outdoor Pro. Detailní penetrační testy podle metodiky OWASP IoT Security Testing Guide ukázaly, že obě zařízení obsahují kritické zranitelnosti, které mohou umožnit úplné ovládnutí kamery hackery. Jaké byly ty nejzásadnější problémy? Živý nešifrovaný video stream bez zaheslování mohl sledovat kdokoliv ve stejné síti. Hesla a přihlašování nastavil výrobce na obecně známé varianty typu Admin/Admin. Kamery umožňovaly nainstalovat firmware bez digitálního podpisu výrobce. To znamená, že útočník mohl kameře podvrhnout svůj upravený firmware a získat nad ní kontrolu. Stejně tak chybělo zabezpečení servisních portů.
Nemusíte vyhrát, někdy je bezpečnější hrát na remízu
Ve chvíli, kdy kamera nabídne kombinaci nízké ceny a jednoduché instalace svépomocí, zákazníci jsou ochotni tolerovat systémové nedostatky v oblasti bezpečnosti. Někteří přistoupí na to, že je může někdo sledovat. Další o tom ani nepřemýšlí. Z analýzy IP kamer ale vyplývá, že v této situaci určitá obrana přesto existuje. „V podstatě byste se neměli ptát, jestli vám někdo kameru napadne, ale spíš, kdy se tak stane. Je dobré útočníkům jejich práci ztížit tam, kde jim to výrobce kamery usnadnil,“ říká Berberi a nabízí několik tipů, jak na to.
1. Heslujte
Místo z výroby nastaveného hesla admin nebo 12345 dejte složitější. Kombinujte čísla, písmena a speciální znaky. Zaheslujte všechny součásti a funkce, které jdou. Tedy nejen přístup do nastavení kamery, ale třeba i k video streamu. Dobré je, že v současné době můžete využít programy jako Password Manager ve Windows nebo Hesla/Passwords pro Apple, které silná hesla vygenerují a budou si je pamatovat místo vás.
2. Udělejte kamerám síť pro hosty
Většina routerů umí vytvořit speciální „síť pro hosty“. Ta funguje odděleně od sítě, na které běží zbytek vaší domácnosti. Když na ni připojíte kamery, tak se z „hostovské“ sítě útočník nedostane k důležitým datům ve vaší hlavní síti. Vyhýbejte se také vzdálenému připojování ke kamerám, nebo alespoň používejte VPN tunel.
3. Řešte záběr
V případě kompromitace kamery je dobré, aby útočník viděl z vašeho soukromí co nejméně. Když instalujete kamery, přemýšlejte, co budou zabírat. Položte si otázku: Vadilo by mi, kdyby tohle viděl někdo cizí?
4. Prověřujte a aktualizujte
Před nákupem se dívejte nejen na cenové srovnávače. Do vyhledávače zadejte název výrobku a slovíčko „vulnerability“ nebo „exploit“. Tím zjistíte, jak je na tom vámi vybraná kamera z pohledu kyberbezpečnosti. Zeptat se můžete také vaší AI.
5. Instalujte s odborníky
IP kamera je v podstatě počítač připojený do internetu. Její správné nastavení vyžaduje znalosti. Pokud nejste skutečně zběhlí v IT, přenechejte instalaci někomu, kdo tomu rozumí. Oslovit můžete třeba někoho v rodině nebo mezi známými. U firemních instalací zvažte bezpečnostní audit, který vám prozradí, v jakém stavu jsou kamery, routery, tiskárny a jiná připojená zařízení. Ze stovky středně velkých firem v Česku může být až u poloviny zařízení zjištěna zranitelnost. Při nákupu od počtu zhruba deseti IP kamer se už firmám vyplatí nechat si vybraný model předem penetračně otestovat.
„Stačí několik minut, běžně dostupné nástroje a počítačové znalosti. Útočník pak může sledovat v přímém přenosu, jak si hrají vaše děti nebo co děláte v ložnici. Snadno se také přes kameru dostane do vaší sítě a následně k dalším chytrým zařízením nebo k počítači,“ varuje Berberi. „Z pohledu bezpečnosti je závažné i automatické odesílání dat do ciziny. Zákazník přitom není dostatečně informován v dokumentaci ani při instalaci, že kamera nahrává data do cloudu v Číně, natož kdo má k nim přístup.“
Zdroj: Redakčně upravená tisková zpráva společnosti Atos
