Скажем, вы работаете и засыпаете за рабочим столом. И каждый может быть тому свидетелем. Это возможно, когда ваш начальник установил контрольную, охранную, предохранительную или другую веб-камеру. Посетите сайт Opentopia, чтобы увидеть сотни потоковых веб-камер со всего мира. А Google находит почти все, знаете ли. В специальной главе (прокрутите вниз) вы найдете десятки поисковых команд для использования с Google, и вы найдете тысячи иногда очень удивительных веб-камер в любом месте. Часто владелец хочет, чтобы вы увидели вид на красивую природу или всемирно известную туристическую достопримечательность, но иногда люди, которых вы видите, вообще не знают, что их может увидеть любой человек в мире!
Многие камеры показывают трафик, районы внутри или вокруг фабрик и офисов или используются для контроля безопасности. Часто можно увидеть людей. Это может быть поставлено под сомнение, или владельцы камер знают, что их можно увидеть во всем мире. Вы можете выбрать веб-камеры, размещенные в разных странах. Нажмите на изображение, и вы увидите прямую трансляцию, которая предоставляет информацию с места. Можно сделать географический выбор стран по всему миру и США. Часто OpenTopia не знает, какая камера показана, и посетителей просят предоставить такую информацию. Вы также можете оценить просмотры. Можно выбрать случайные, наиболее часто просматриваемые, самые рейтинговые и новейшие камеры из выбранной области. Если вы нажмете на картинку, вы увидите, какая информация доступна о местоположении.
inurl /view/index.shtml использует набор умных поисковых запросов Google и создал бесплатный всеобъемлющий каталог общедоступных веб-камер со всего мира. Смотрите и наслаждайтесь необычными достопримечательностями, людьми, работающими в офисах, отдыхающими, загорающими на пляже, аквариумами, стройками и некоторыми популярными городами: Парижем, Барселоной, Цюрихом, Лондоном.
Как найти живую веб-камеру
Вау, это так здорово, что вы можете смотреть веб-камеру в прямом эфире в любом месте, просто используя Google! Не обвиняйте Google в появлении тысячи хакеров по всему миру.
1) перейдите на http://www.google.com
2) введите inurl /view/index.shtml . угадайте, что вы получите от доступной веб-камеры в сети.
3) хорошо, это важно. Для просмотра выбранной веб-камеры вам необходимо заменить inurl на определенный IP-адрес. Например, такой как 207.111.167.30/view/index.shtml
5) для большей конкретики попробуйте intitle:”:Live View /-Axis” | inurl:view/view.shtml или, может быть,intitle:”netcam live image” . Веселитесь!
Примеры гугления:
intitle:liveapplet В основном камеры видеонаблюдения, автостоянки, колледжи, клубы, бары и т. д.
inurl:lvappl Огромный список веб-камер по всему миру, в основном камеры видеонаблюдения, автостоянки, колледжи и т. д.
inurl:/view.shtml В основном камеры видеонаблюдения, автостоянки, колледжи и т. д.
inurl:/view/index.shtml В основном камеры видеонаблюдения, аэропорты, автостоянки, задние сады, дорожные камеры и т. д.
Другие поиски:
В Заголовке:
В URL:
Два поиска в одном запросе:
Взлом камер: векторы атак, инструменты поиска уязвимостей и защита от слежки
Время на прочтение
6 мин
Количество просмотров 45K
Камеры видеонаблюдения стали частью Интернета вещей и, как другие устройства с беспрепятственным доступом к сети, попали в фокус интереса хакеров. Миллионы IP-камер разных производителей открыты для злоумышленников.
Производители камер могут экономить на работе программистов и железе – покупатели получают дешевые устройства с ограниченными вычислительными ресурсами и огромными дырами в механизмах безопасности.
Прошивки массово-потребительских noname устройств не выдерживают никакой критики. Часто они никем не обновляются и не становятся защищеннее после смены дефолтного пароля. Более того, сам производитель может заложить бэкдор.
Далее рассмотрим основные направления атак на системы видеонаблюдения.
Бесплатный сыр
«5MP пинхол объектив камера модуль для видеонаблюдения камера pinhole модуль от фабрики»
С точки зрения потребителя рынок сложен нелогично. При «копеечной» стоимости самих модулей IP-камер, на выходе получаем стоимость простейших устройств близкую к 100 долларам.
Основная стоимость формируется на уровне выше железа. Главное – вычислительные ресурсы, прошивка и возможность поддерживать все «фишки» прошивки сколь угодно долго. Камера должна проработать годы на одинаково высоком уровне защиты.
Соль в том, что производитель embedded-оборудования, который стремится на всём экономить, с высокой вероятностью оставляет такие уязвимости в прошивке и железе, что даже доступ по «голому» протоколу ONVIF со сложным паролем не защищает от злоумышленника.
Отсутствие автоматического обновления – приговор всей системе безопасности. Обычный пользователь не следит за новостями в IT-сфере и не пойдет вручную скачивать новую прошивку для своей камеры, купленной на Aliexpress по распродаже.
Один из самых впечатляющих примеров эксплуатации особенностей дешевых камер связан с эксплойтом Heartbleed OpenSSL – это неприятное сочетание уязвимости Heartbleed со спецификой встраиваемых устройств, которые могут не обновляться вообще никогда.
В результате камеры используются для шпионажа и, что случается гораздо чаще, становятся частью ботнетов. Так взлом камер Xiongmai привёл к мощнейшей DDOS-атаке не сайты Netflix, Google, Spotify и Twitter.
Пароли
Женщина на видео приобрела камеру в магазине уцененных товаров. Она хотела использовать устройство, чтобы следить за своим щенком. Через некоторое время камера начала разговаривать с хозяйкой и самостоятельно вращаться. А случилось то, что часто случается с дешевыми китайскими камерами, у которых прямой открытый доступ к видеопотоку предоставлен даже на сайте производителя.
На первый взгляд, пароли к камерам могут показаться слишком очевидной мерой безопасности для обсуждения, однако десятки тысяч камер и видеорегистраторов регулярно компрометируют из-за использования заданных по умолчанию паролей.
Хакерская группировка Lizard Squad взломала тысячи камер видеонаблюдения, воспользовавшись простой заводской учетной записью, одинаковой для всех камер. Устройства взламывали банальным брутфорсом (хотя, возможно, подглядели логин и пароль у самого производителя).
В идеале производители должны назначать уникальный, длинный и не очевидный пароль для каждой камеры. Такой дотошный процесс требует времени для настройки и сложен в администрировании. Поэтому многие интеграторы используют один пароль для всех камер.
Текучка кадров или смена ролей пользователей помогает создавать неожиданные дыры в безопасности предприятий. Если в системе отсутствует продуманный механизм разграничения прав доступа для различных сотрудников, групп камер и объектов, мы получаем потенциальную уязвимость вроде «чеховского ружья» – обязательно выстрелит.
Переадресация портов
Количество камер, зараженных через 81 TCP-порт (данные Shodan)
Термин «переадресация портов» иногда заменяют на аналогичные: «проброс портов», «перенаправление портов» или «трансляция портов». Открывают порт на роутере, чтобы, к примеру, подключиться из Интернета к домашней камере.
Большинство традиционных систем наблюдения, включая DVR, NVR и VMS, сегодня подключены к Интернету для удаленного доступа или функционируют в локалке, которая, в свою очередь, подключена к глобальной сети.
Проброс портов позволяет получить настраиваемый доступ к камере в вашей локальной сети, но также открывает окно возможностей для взлома. Если применить запрос определенного типа, поисковик Shodan покажет около 50 000 уязвимых устройств, свободно «болтающихся» в сети.
Открытая для Интернета система требует, как минимум, IDS / IPS для дополнительной защиты. В идеале, поместите систему видеонаблюдения в физически отдельную сеть или используйте VLAN.
Шифрование
Аргентинский исследователь по безопасности Эсекьель Фернандес опубликовал уязвимость, которая позволяет легко извлекать нешифрованное видео из локальных дисков различных DVR.
Фернандес обнаружил, что можно получить доступ к панели управления определенных видеорегистраторов с помощью короткого эксплойта:
$> curl "http: // {DVR_HOST_IP}: {PORT} /device.rsp?opt=user&cmd=list" -H "Cookie: uid = admin"
Мы встречали удивительно много камер, DVR, NVR, VMS, которые не шифровали канал даже по SSL. Использование таких устройств грозит проблемами похуже, чем полный отказ от https. В Ivideon используем TLS-шифрование не только для видео в облаке, но и для потоков с камер.
Помимо небезопасных соединений, те же риски конфиденциальности грозят при хранении нешифрованного видео на диске или в облаке. Для действительно безопасной системы видео должно быть зашифровано как при хранении на диске, так и при передаче в облако или локальное хранилище.
Процедура взлома
Перебор для самых маленьких
Программное обеспечение для управления видеопотоком часто взаимодействует с различными потенциально уязвимыми компонентами операционной системы. Например, многие VMS используют Microsoft Access. Таким образом к нешифрованному видео можно подобраться через «дыры» в ОС.
Поскольку камеры уязвимы со всех сторон, выбор целей для атаки необычайно широк, большая часть противоправных действий не требует специальных знаний или особых навыков.
Почти любой, кто хочет нелегально посмотреть трансляцию с камеры, может легко сделать это. Поэтому неудивительно, что подключением к незащищенным камерам часто занимаются неквалифицированные хакеры просто ради развлечения.
Для брутфорса можно использовать программы BIG HIT SPAYASICAM и SquardCam, вместе с инструментами тестирования на проникновение masscan и RouterScan. Иногда даже не нужно пользоваться сканерами безопасности – сайты Insecam и IP-Scan облегчают задачу, помогая находить камеры в Интернете.
Значительно упрощает взлом доступ к RTSP-ссылке камеры. А желаемые ссылки можно получить тут или тут. Для удалённого просмотра и управления видеорегистраторами и камерами широко используются официальные приложения от производителей оборудования – SmartPSS и IVMS-4200.
Неочевидные последствия
Информация об открытых камерах или камерах с известными паролями широко распространена на имиджбордах и в соцсетях. Ролики со взломанных камер на YouTube набирают сотни тысяч просмотров.
У скомпрометированных камер существует несколько неочевидных способов использования. Среди них – криптовалютный майнинг. Сотрудники подразделения IBM X-Force обнаружили вариант трояна ELF Linux/Mirai, который оснащён модулем для майнинга биткоинов. Зловред ищет и заражает уязвимые устройства на Linux, включая DVR и камеры видеонаблюдения.
Более серьезные последствия могут возникнуть из-за использования уязвимых устройств в качестве промежуточных точек для атак на сторонние инфраструктуры, которые могут быть запущены для сокрытия следов судебной экспертизы, фальсификации данных или выполнения постоянного отказа в обслуживании (denial of service).
И последнее, о чем нужно знать при использовании камер – сам производитель может оставить для себя бэкдор с неизвестной целью. Так, специалисты по безопасности из компании Risk Based Security обнаружили уязвимость в камерах видеонаблюдения китайского производителя Zhuhai RaySharp Technology.
Прошивка изделий, производимых в RaySharp, представляет собой Linux-систему с CGI-скриптами, формирующими веб-интерфейс. Оказалось, что пароль 519070 открывает доступ к просмотру изображений и системным настройкам всех камер. Впрочем, подобные прошивки с небезопасным подключения к бэкэнду, встречаются часто.
Защита камер от взлома
Внутри одного из дата-центров Google
Облачные сервисы видеонаблюдения не подвержены уязвимостям систем предыдущего поколения. Для облачного решения без переадресации портов настройка межсетевого экрана обычно не требуется. Для подключения к облаку Ivideon подходит любое интернет-соединение и не требуется статический IP-адрес.
Для всех устройств c сервисом Ivideon пароль генерируется случайным образом при подключении камер в личном кабинете. Для некоторых моделей камер, например, Nobelic, можно создать собственный пароль в личном кабинете пользователя Ivideon.
Мы не храним пароли пользователей, так что получить к ним доступ нельзя. Мы не храним централизованно видеоархивы. Они распределены между многими машинами в разных дата-центрах.
Доступ к мобильному приложению защищен пин-кодом, а в будущем появится биометрическая защита.
Также облачный сервис автоматически отправляет исправления и обновления безопасности через Интернет на любое локальное устройство пользователя. От конечного пользователя не требуется никаких дополнительных действий для мониторинга безопасности.
В Ivideon многие функции (за исключением облачного архива и модулей видеоаналитки) и все обновления безопасности для всех клиентов предоставляются бесплатно.
Надеемся, что эти простые правила будут использоваться во всех облачных сервисах видеонаблюдения.
Видеонаблюдение онлайн, это не только возможности, но и достаточно весомы список угроз. Проверьте себя, знаете ли вы с чем вам возможно придется столкнутся?
Принцип «не навреди» ставший базой для работы врачей, в полой мере применим как к системам безопасности в целом так и систем видеонаблюдения в частности.
Устанавливая систему видеонаблюдения вы можете не только не усилить свою защищенность, а даже наоборот ухудшить ее, и создать возможность для злоумышленников нанести вам урон.
На этой неделе в
российских
и
британских
сми, именно британцы первыми забили тревогу, была опубликована информация о сайте
InSecam
на котором на момент публикации было опубликовано около 79 000 (сейчас их меньше) камер с паролями по умолчанию устанавливаемыми производителями камер. К слову говоря списки производителей камер и паролей по умолчанию можно без труда найти в интернете на пример
здесь
.
В основной своей на этом сайте опубликованы ip камеры установленные в коммерческих структурах (офисы, склады, производства) и камеры установленные у частных лиц.
Рассмотрим самые явные угрозы которые исходят от незащищенных ip камер
Коммерческая тайна
Одна из самых очевидных угроз это потеря конфиденциальности производственного процесса, поставщики, клиенты, марки оборудования все эти данные без всякого труда могут получены злоумышленниками.
Штрафы
В соответствии с российским законодательством изображение человека охраняется законом и не то что транслировать его в интернет нельзя, но даже круг лиц имеющий доступ к архивам системы видеонаблюдения должен быть строго ограничен.
В противном случае вы рискуете получить судебные иски от своих сотрудников в том числе и с требованием о возмещении морального вреда. И не сомневайтесь все эти иски до единого будут выиграны вашими сотрудниками.
Кражи
Риск одинаково значимый как для коммерческих структур так и частых лиц, используя не защищенные камеры злоумышленники без всякого риска быть обнаруженными получат всю информацию о ваших передвижения и материальных ценностях которые могут находится у вас.
Как найдут незащищенные камеры
Найти незащищенные камеры гораздо легче чем вы думаете. Вот так например это можно сделать с помощью поисковика Google
http://www.google.com/search?q=intitle:%22supervisioncam+protocol%22
http://www.google.com/search?q=inurl:CgiStart?page=Single
http://www.google.com/search?q=intitle:start+inurl:cgistart
http://www.google.com/search?q=inurl:video.cgi?resolution=
http://www.google.com/search?rls=en&q=inurl:axis-cgi/jpg
http://www.google.com/search?rls=en&q=inurl:axis-cgi/mjpg
http://www.google.com/search?rls=en&q=inurl:view/indexFrame.shtml
http://www.google.com/search?rls=en&q=inurl:view/index.shtml
http://www.google.com/search?rls=en&q=inurl:view/view.shtml
http://www.google.com/search?rls=en&q=liveapplet
http://www.google.com/search?rls=en&q=intitle:”live view”
http://www.google.com/search?rls=en&q=intitle:axis
http://www.google.com/search?rls=en&q=intitle:liveapplet
http://www.google.com/search?rls=en&q=inurl:LvAppl
http://www.google.com/search?rls=en&q=inurl:”webcam.html”
http://www.google.com/search?rls=en&q=intitle:”Live View / — AXIS”
http://www.google.com/search?rls=en&q=intitle:”Live View / — AXIS 206M”
http://www.google.com/search?rls=en&q=intitle:”Live View / — AXIS 206W”
http://www.google.com/search?rls=en&q=intitle:”Live View / — AXIS 210″
http://www.google.com/search?rls=en&q=inurl:indexFrame.shtml
http://www.google.com/search?rls=en&q=inurl:”MultiCameraFrame?Mode=Motion”
http://www.google.com/search?rls=en&q=intitle:”WJ-NT104 Main Page”
http://www.google.com/search?rls=en&q=intitle:”netcam live image”
http://www.google.com/search?rls=en&q=inurl:»main.cgi%3Fnext_file%3Dmain.htm
А так с помощью специально созданного для нахождения ip устройств поисковика
Shodanhq, кстати именно с помощью Shodanhq можно организовать поиск по определенной территории.
Какие действия вы должны предпринять прямо сейчас, чтобы гарантировать, что злоумышленники не получат доступ к вашим видеокамерам
Изменение пароля, установленного по умолчанию
Это самое простое что вы можете сделать для обеспечения своей безопасности, обязательно установите надежный пароль.
При выборе пароля убедитесь, что его будет нелегко подобрать. В идеале следует использовать пароль, в котором содержатся цифры, буквы в верхнем и нижнем регистре и символы – в противном случае ваш пароль будет легко подобрать с помощью специальных программ для взлома паролей.
Это не так неудобно, как может показаться, потому что, если вы используете приложения для просмотра видео введя пароли единожды, приложение их запомнит.
Вы можете получить подробную информацию о выборе более сложных паролей на
https://howsecureismypassword.net/
, а заодно и проверить свои существующие пароли.
Проверка всех имеющихся настроек безопасности
Большинство видеокамер поставляется с инструкциями, эти инструкции могут отличаться в зависимости от производителя, но в них как правило есть информация, как обезопасить используемые вами ip и web камеры. Потратьте время, чтобы прочитать инструкцию и ознакомиться с имеющимися опциями по обеспечению безопасности.
Возможность удаленного доступа к видеокамерам является самым большим преимуществом ip и веб-камер, а при неправильной установке, возможно самой слабой стороной в с точки зрения безопасности. Помните, что если вы можете получить доступ к вашим видеокамерам по Интернет, то что мешает кому-то еще сделать то же самое?
Если вы не намереваетесь просматривать видеокамеру через Интернет, то лучше всего вообще отключить возможность удаленного просмотра, как правило это делается в два клика. При выборе этой опции возможность просмотра видео с помощью домашней проводной или Wi-Fi сети обычно не отключается, однако следует прочитать инструкции производителя, чтобы понять, каким образом настраивается именно ваша камера.
Защитите все свои остальные устройства с подключением к Интернету
Ну и на последок, раз уж зашла речь об устройствах к которым можно получить доступ через интернет, не забывайте видеокамеры – это не единственные устройства, к которым злоумышленники могут получить удаленный доступ.
Подумайте о том, сколько личной информации хранится на вашем ноутбуке, планшете или телефоне. Это может быть финансовая информация, в том числе выписки с банковских счетов, личная переписка, личные фотографии, или другая информация, которую вы хотели бы оставить приватной.
У вас должен быть не менее надежный пароль на ноутбуке, планшете или компьютере, чтобы предотвратить доступ к информации на вашем устройстве.
Доверьтесь профессионалам
Есть еще один верный способ избежать проблем с безопасностью, доверить установку систем видеонаблюдения профессионалам.
По заявлениям владельцев сайта
InSecam
которые они сделали для издания Motherboard они преследуют благородные цели, хотят что бы люди задумались о своей безопасности. И судя по по тому что количество камер на сайте сайте уменьшилось цели они, хоть частично, но добились.
Ну, и самое важное — ваше мнение
Ничто так сильно не мотивирует меня писать новые статьи как ваша оценка, если оценка хорошая я пилю статьи дальше, если отрицательная думаю, как улучшить эту статью. Но, без вашей оценки, у меня нет самого ценного для меня — обратной связи от вас. Не сочтите за труд, выберете от 1 до 5 звезд, я старался.
Оцените мою статью:
(2 оценок, среднее: 5 из 5)
Поиск открытых Web камер с помощью Google
16:00 / 5 сентября, 2006
2006-09-05T16:00:36+04:00
Камеры слежения, которые становятся обязательным атрибутом практически любого предприятия, могут таить в себе опасность и вместо усиления системы безопасности служить ее разрушителем.
Существует простой способ находить незащищенные веб-камеры, подключенные к Сети. С их помощью любой желающий может увидеть, что происходит в офисах и домах незадачливых пользователей, не думающих о собственной безопасности.
Камеры слежения, которые становятся обязательным атрибутом практически любого предприятия, могут таить в себе опасность и вместо усиления системы безопасности служить ее разрушителем. Все дело в том, что зачастую они подключаются к корпоративной сети компаний по IP-протоколу и имеют прямой выход в Интернет. Функционал камеры позволяет просматривать изображение с нее при помощи обычного браузера, так как само устройство уже имеет встроенный веб-сервер. Это удобное изобретение, позволяющее экономить на экранах слежения, может привести к серьезным последствиям, если вовремя не подумать об ограничении такой «свободы слова».
Консультант по вопросам информационной безопасности Роберт Шифрен (Robert Schifreen) создал сайт , на котором подробно описал процесс поиска и подключения к открытым камерам слежения. Явление даже получило свое название в Интернете — Video Ham (в английском языке слово ham помимо «ветчины» имеет еще значение «радиолюбитель»).
Сама процедура поиска проста и доступна каждому любопытному пользователю — нужно лишь найти страницы, в адресе которых содержится определенная строка, специфическая для Web интерфайса Web камеры, например «CgiStart? page=Single». На такой запрос Google сразу выдал нам несколько десятков ссылок, среди которых действительно нашлось немало снимков с камер слежения, расположенных в офисных помещениях.
При всей серьезности проблемы, обеспечить безопасность крайне просто. Во-первых, нужно ограничить доступ к веб-камере корпоративной локальной сетью, исключив IP-адреса внешнего Интернета, во-вторых, необходимо установить пароль на просмотр изображений с камеры. При соблюдении этих несложных правил никакие скучающие пользователи не смогут нанести в ваш дом или офис нежданный визит, пусть даже и виртуальный.
webplanet.ru
Будьте готовы к цифровой катастрофе — подписывайтесь на наш канал!
http://www.insecam.com — незащищенные вебкамеры. Кароч выбираем вебкамеру, переходим на ее IP (там ссылочка вверху есть подобного типа — http://46.42.19.53:81), логины и пароли на все камеры — admin/admin либо admin/12345
Если найдете чет интересное кидайте.
бля. а вдруг моя камера не защищена и каждый вечер кто-то смотрит на мое ебануто страшное лицо, которое искревляется от оргазма. Надеюсь, они не жалуются за тряску картинки во время просмотра
На тебя хоть кто то смотрит…
Хах нажал на черточку слева в верху, получил вот это
Using the URLconf defined in dvr.urls, Django tried these URL patterns, in this order:
^admin/
^cam/ ^$ [name=’home’]
^cam/ ^bytype/(?P[a-z]+)/$ [name=’cambytype’]
^cam/ ^bycountry/(?P[A-Z]{1,3})/$ [name=’cambycountry’]
^cam/ ^view/(?P[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}):(?P[0-9]{1,5})/$ [name=’detailview’]
^cam/ ^view/(?P[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3})/(?P[0-9]{1,5})/$ [name=’detailview’]
^$ [name=’home’]
The current URL, cam/bycountry/-, didn’t match any of these.
че там можно найти, 2,5 камеры..
USA камеры
обе направлены на кровать
http://www.insecam.com/cam/view/96.234.174.186/80/ здесь я не знаю кто
http://www.insecam.com/cam/view/24.91.96.160/88/ здесь была девушка и гладила рыжего кота, потом она ушла
C котом все ок
Хз, в коридоре увидел пса.
Там есть собака небольшая, и рыжий кот. А еще я уже и забыл об этой штуке.
http://www.insecam.com/cam/view/213.182.138.223/80/ Здесь камера на гнездо с аистами.
1627781, 1410369, 1611427, 1612361, 1264226, 1102511, 3455402, 1736956, 1156328, 1008312, 3147763, 630204, 3740994, 232458, 4263027