415
0,1
2015-07-04
IP камеры. Сливаем сами себя.
Веб-камеры Foscam по-умолчанию транслируют в сеть, каждый 3-й владелец об этом не подозревает
Часто в современном мире стремление к простоте приводит к печальным последствиям. Вот, например, в сфере высоких технологий — простота и удобство практически всегда ставит под угрозу приватность и конфиденциальность пользователя. Это могут быть и WiFi-роутеры, идущие по-умолчанию без пароля на беспроводную сеть, и почтовые службы, разрешающие пользователю не заморачиваться со сложностью устанавливаемого пароля. От таких проявлений простоты и удобства часто страдают не только приватные данные частного лица, но и крупные компании, идущие на поводу у своих топ, миддл, а иногда и лоу-менеджеров, которым 123 — удобно, а стандартная политика паролеобразования Microsoft — слишком сложно. Сегодня я хочу рассказать о том, как простота и удобство превращают жизнь тысяч (а то и десятков тысяч) человек в реалити-шоу.
Прошлой осенью в моей семье случилось прибавление и среди прочих обязательных приобретений встал вопрос о наблюдении за спящим чадом, пока я на работе, а супруга — в другой комнате. Как истинный IT-шник до мозга костей на предложение супруги купить радионяню все-в-одном я лишь презрительно фыркнул и отправился в интернет искать более универсальное устройство. Результатом стала покупка поворотной WiFi-камеры с обратной связью от китайского производителя Foscam, модель FI9821w.
Штука оказалась очень полезной, удобной и простой в обращении за минусом посредственного качества картинки. А теперь о неприятном для обывателя, который любит вещи, работающие «из коробки».
Люди ставят двери для того, чтобы держать их закрытыми
© мой дядя.
Производитель спроектировал ПО этих камер таким образом, чтобы владелец любого уровня грамотности смог быстро установить и включить их в работу. У такого подхода конечно же есть и обратная сторона — большинство обывателей на моменте появления картинки всю деятельность по настройке останавливают. А зря.
По-умолчанию с безопасностью WEB-камер Foscam все очень и очень плохо:
-Настроены 2 учетные записи: Admin, Operator. Без паролей.
-Камера при подключении к сети сразу же автоматически регистрируется на уникальном dynDNS, написанном на дне камеры. Ссылка на управление/просмотр выглядит следующим образом: ab1234.myfoscam.org:88, где ab — произвольные символы латинского алфавита, 1234 — номер в диапазоне 0000-9999.
Одним глазком
Ради любопытства я провел эксперимент: не долго думая скормил бруттеру hydra созданный в excel список из 10000 возможных хостов на myfoscam.org, отталкиваясь от dyndns-адреса моей камеры. Итогом стал список из нескольких сотен ответивших по 88 порту камер.
Дальнейшие исследования показали — 1/3 ответивших камер впускает под логином admin, 2/3 от оставшихся — под логином operator.
Быстрый поиск в интернете показал, что вариантов буквенных префиксов в доменах камер множество, что говорит об огромном распространении камер этого, как я думал, ноу-нейм производителя. Взяв навскидку еще пару диапазонов я лишь подтвердил предыдущие выводы — почти половина камер, регистрирующихся через dyndns позволяют себя просматривать с учетными данными по-умолчанию. И даже в тех случаях, когда владелец сообразит поменять пароль учетной записи admin — остается учетная запись operator, про которую все забывают. С учетом того, что камера управляемая, а так же передает звук — полезная в обиходе вещь может стать большой проблемой приватности для тех, кто из настроек ограничился включением камеры в сеть.
Не поймите меня неправильно
Эта заметка написана не для услады фантазий любителей подглядывать, а для информации тем, кто собирается приобрести или уже владеет камерами этого производителя. Это не антиреклама — продукция вполне на уровне денег, которые за нее просят, но как и все в нашем мире она требует аккуратного обращения и правильного подхода.
Актуально для камер Foscam 8XXX и 9XXX серий
Источник: www.yaplakal.com/
Часто в современном мире стремление к простоте приводит к печальным последствиям. Вот, например, в сфере высоких технологий — простота и удобство практически всегда ставит под угрозу приватность и конфиденциальность пользователя. Это могут быть и WiFi-роутеры, идущие по-умолчанию без пароля на беспроводную сеть, и почтовые службы, разрешающие пользователю не заморачиваться со сложностью устанавливаемого пароля. От таких проявлений простоты и удобства часто страдают не только приватные данные частного лица, но и крупные компании, идущие на поводу у своих топ, миддл, а иногда и лоу-менеджеров, которым 123 — удобно, а стандартная политика паролеобразования Microsoft — слишком сложно. Сегодня я хочу рассказать о том, как простота и удобство превращают жизнь тысяч (а то и десятков тысяч) человек в реалити-шоу.
Прошлой осенью в моей семье случилось прибавление и среди прочих обязательных приобретений встал вопрос о наблюдении за спящим чадом, пока я на работе, а супруга — в другой комнате. Как истинный IT-шник до мозга костей на предложение супруги купить радионяню все-в-одном я лишь презрительно фыркнул и отправился в интернет искать более универсальное устройство. Результатом стала покупка поворотной WiFi-камеры с обратной связью от китайского производителя Foscam, модель FI9821w.
Штука оказалась очень полезной, удобной и простой в обращении за минусом посредственного качества картинки. А теперь о неприятном для обывателя, который любит вещи, работающие «из коробки».
Люди ставят двери для того, чтобы держать их закрытыми
© мой дядя.
Производитель спроектировал ПО этих камер таким образом, чтобы владелец любого уровня грамотности смог быстро установить и включить их в работу. У такого подхода конечно же есть и обратная сторона — большинство обывателей на моменте появления картинки всю деятельность по настройке останавливают. А зря.
По-умолчанию с безопасностью WEB-камер Foscam все очень и очень плохо:
-Настроены 2 учетные записи: Admin, Operator. Без паролей.
-Камера при подключении к сети сразу же автоматически регистрируется на уникальном dynDNS, написанном на дне камеры. Ссылка на управление/просмотр выглядит следующим образом: ab1234.myfoscam.org:88, где ab — произвольные символы латинского алфавита, 1234 — номер в диапазоне 0000-9999.
Одним глазком
Ради любопытства я провел эксперимент: не долго думая скормил бруттеру hydra созданный в excel список из 10000 возможных хостов на myfoscam.org, отталкиваясь от dyndns-адреса моей камеры. Итогом стал список из нескольких сотен ответивших по 88 порту камер.
Дальнейшие исследования показали — 1/3 ответивших камер впускает под логином admin, 2/3 от оставшихся — под логином operator.
Быстрый поиск в интернете показал, что вариантов буквенных префиксов в доменах камер множество, что говорит об огромном распространении камер этого, как я думал, ноу-нейм производителя. Взяв навскидку еще пару диапазонов я лишь подтвердил предыдущие выводы — почти половина камер, регистрирующихся через dyndns позволяют себя просматривать с учетными данными по-умолчанию. И даже в тех случаях, когда владелец сообразит поменять пароль учетной записи admin — остается учетная запись operator, про которую все забывают. С учетом того, что камера управляемая, а так же передает звук — полезная в обиходе вещь может стать большой проблемой приватности для тех, кто из настроек ограничился включением камеры в сеть.
Не поймите меня неправильно
Эта заметка написана не для услады фантазий любителей подглядывать, а для информации тем, кто собирается приобрести или уже владеет камерами этого производителя. Это не антиреклама — продукция вполне на уровне денег, которые за нее просят, но как и все в нашем мире она требует аккуратного обращения и правильного подхода.
Актуально для камер Foscam 8XXX и 9XXX серий
Источник: www.yaplakal.com/
