Dwaj informatycy (Sergey Shekyan i Artem Harutyunyan) badali kamery Foscam, ale odkryte przez nich dziury można znaleźć w większości tego typu kamer sprzedawanych w USA oraz Europie. Informatycy opublikują wyniki swoich badań w tym tygodniu na konferencji bezpieczeństwa "Hack in the Box" (Amsterdam).

Producenci bezprzewodowych kamer IP dołączają do nich instrukcje obsługi, w których wyjaśniają jak użytkownicy mogą się z nimi komunikować przez Internet, konfigurując w odpowiedni sposób w routerze opcję "port-forwarding". Właśnie dlatego kamery takie są "widoczne" w Internecie i hakerzy mogą je atakować zdalnie, piszą informatycy.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna

Kamery można wyszukiwać w Internecie na kilka sposobów. Można np. skorzystać z usług silnika wyszukiwania Shodan, który odnajduje charakterystyczny nagłówek HHTP towarzyszący webowemu interfejsowi użytkownika obsługującemu kamerę. Kwerenda taka może nam wyświetlić ponad 100 tys. kamer, twierdzą informatycy.

Bezprzewodowe kamery IP są z reguły skonfigurowane fabrycznie w taki sposób, że korzystają z własnych dynamicznych usług DNS. I tak np. w przypadku testowanych kamer Foscam jest to nazwa mająca format: [dwie litery i cztery cyfry].myfoscam.org. Skanując wszystkie nazwy *.myfoscam.org, haker może zidentyfikować większość kamer podłączonych do Internetu.

Dwie na dziesięć kamer jest tak skonfigurowanych, że pozwalają użytkownikowi zalogować się do nich używając domyślnej nazwy "admin" i pustego hasła. W przypadku pozostałych kamer (w których skonfigurowano hasło) istnieją również metody pozwalające przejąć nad nimi kontrolę. Może to być np.metoda wykorzystująca dziurę istniejącą w webowym interfejsie użytkownika, która pozwala zdalnemu hakerowi odczytywać dane znajdujące się w pamięci urządzenia. Może on wtedy zidentyfikować takie informacje (zapisane w postaci prostego tekstu), jak nazwa użytkownika, hasło oraz inne poufne informacje dotyczące całego środowiska Wi-Fi oraz innych urządzeń podłączonych do sieci lokalnej.

Inna metoda polega na wykorzystaniu luki znajdującej się w interfejsie i przeprowadzeniu ataku CSRF (Cross-Site Request Forgery). Można wtedy oszukać administratora, otwierając najpierw specjalnie spreparowany link do kamery i następnie konfigurując na niej konto dodatkowego administratora.

Hasło można też odgadnąć, przeprowadzając na kamerę atak typu "brute-force". Jest to możliwe ponieważ kamera nie posiada mechanizmów chroniących ją przed takimi atakami, a hasło nie może być dłuższe niż 12 znaków.

Po przejęciu kontroli nad kamerą, włamywacz może zidentyfikować wersję oprogramowania firmware, pobrać je z Internetu, rozpakować, dodać do niego złośliwy kod i tak zmanipulowany firmware zapisać w pamięci kamery.

Można też zmodyfikować firmware, konfigurując serwer proxy na porcie 80, a nie na webowym interfejsie. Sprawnemu hakerowi pozwoli to - po wykonaniu kilku dodatkowych operacji - również przejąć kontrolę nad kamerą.

Kolejny scenariusz ataku może polegać na zmodyfikowaniu webowego interfejsu w taki sposób, iż pobierze on ze zdalnego komputera odpowiednio spreparowany kod JavaScript. Haker może wtedy włamać się do przeglądarki administratora kamery, wtedy gdy zacznie się on komunikować z webowym interfejsem.

Informatycy opracowali również narzędzie open source noszące nazwę "getmecamtool", które może przeprowadzać automatycznie większość opisanych powyżej ataków. Jedynym rodzajem ataków, które narzędzie nie realizuje automatycznie, są ataki typu "authentication bypass".

Wnioski końcowe: najlepiej byłoby, aby kamery IP nie były "widoczne" w Internecie. Jeśli jednak nie jest to możliwe, kamery powinny być instalowane za zaporami lub systemami IPS (Intrusion Prevention System). Dostęp do nich powinna mieć ograniczona liczba zaufanych adresów IP z jednoczesnym podaniem maks. liczby użytkowników, którzy mogą się jednocześnie łączyć z kamerą. Dobrze jest też odizolować kamerę od lokalnej sieci komputerowej, tak aby hakerzy nie mogli atakować urządzeń podłączonych do tej sieci.