Na świecie pojawiło się niedawno wiele informacji na temat zhakowanych kamer internetowych, elektronicznych niani, a nawet rosyjskiej strony monitorującej brytyjskich obywateli. Oceniając po wypowiedziach wszystkich dotkniętych stron, sytuacja jest naprawdę poważna. Dlaczego?
Zacznę od tego, że użytkownicy, urzędnicy i producenci kamer internetowych obwiniają się wzajemnie, zamiast znaleźć rozwiązanie problemu. Jednym z głównych wniosków z tej historii jest to, że jeśli jesteś posiadaczem urządzenia podłączonego do internetu, koniecznie musisz to przeczytać. A nuż Twoje życie prywatne można obejrzeć online, a Ty nawet tego nie wiesz.
Zatem: co się stało?
Powiedzmy, że kupiłeś kamerę. Nie taką zwykłą z portem USB, którym podłącza się ją do komputera, ale luksusową bezprzewodową, która przesyła obraz i umożliwia Ci obserwowanie Twojego dziecka, auta w garażu czy okolic domu z innego pokoju, miasta czy kraju. Podłączasz, postępujesz zgodnie z instrukcją wskazaną w ulotce „Szybkie uruchamianie” i już! To świetna technologia i prawdziwy przykład nowoczesnego świata cyfrowego.
Ale nie do końca. Problem leży w „i już”. Jak się okazuje, wielu użytkowników (zadowolonych wyłącznie z faktu, że urządzenie działa) nie martwi się zmianą domyślnego hasła lub może nawet nie zdaje sobie sprawy, że coś takiego jest możliwe czy zalecane.
Jeśli nie zmienisz hasła, każdy, kto zna dokładny adres kamery i hasło domyślne (wiesz, to w rodzaju „1234”), może mieć dostęp do Twoich prywatnych danych. Ale w jaki sposób ktoś może poznać dokładny adres kamery? Może wyszukać go w Google’u i wejść na odpowiednią stronę, łącząc się z tysiącami kamer online.
Następnie ktoś inny może dla zabawy z łatwością założyć stronę wyszukującą niechronione kamery internetowe z możliwością sortowania ich po kraju czy regionie (na podstawie adresu IP) i udostępnić ją wszystkim ciekawskim. Na forum posiadającym ograniczony dostęp jest nawet wątek, w którym ludzie mogą dyskutować na temat zrzutów ekranu z kamer internetowych przedstawiających najbardziej „niezwykłą” zawartość. To jest to!
Wielu użytkowników nie przejmuje się zmianą domyślnego hasła kamery internetowej
Kto jest winny?
Wszyscy i nikt. Po pierwsze, cyberprzestępcy. Tak naprawdę ludzie, którzy tylko założyli stronę, nie zhakowali niczego przy użyciu wyszukanej technologii. Nie wykorzystali luk w oprogramowaniu kamery ani nie spreparowali strony phishingowej, aby ukraść Twoje prywatne hasło. Najzwyczajniej w świecie wykorzystali brak poprawnej konfiguracji.
Cyberprzestępcy ci włamali się do urządzenia, które nie było chronione. Można to porównać do zabrania portfela, który ktoś zostawił w kawiarni. Właściciel portfela nie powinien zostawiać go w publicznym miejscu. Ale chociaż kradzieży nie można porównywać z włamaniem się do czyjegoś domu, jest to tak samo zła rzecz.
Po drugie, użytkownicy. Nie zmienili hasła domyślnego, chociaż było to pewnie zalecane gdzieś w instrukcji. Jednak, czy ludzie czytają instrukcje do przedmiotów, które po porostu działają? Twórcy kamer internetowych tak je zaprojektowali, aby były tak łatwe w użytkowaniu, jak to tylko możliwe. Czasami mogą oni pominąć kwestie bezpieczeństwa, aby jeszcze bardziej uprościć sytuację. Jeśli podczas konfiguracji kamery pojawiłby się wymóg zmiany domyślnego hasła przed rozpoczęciem korzystania (bardzo prosta rzecz do zrobienia), sprawy nie byłoby w ogóle.
Po trzecie, dostawcy. Zwykli oskarżać „hakerów” o niecne sprawki oraz swoich własnych klientów, że nie zmienili domyślnego hasła. My bierzemy w obronę konsumentów. Wierzymy, że wszystko, co może łączyć się z internetem, powinno mieć odpowiednie zaplecze bezpieczeństwa. Wierzymy także, że dostawcy powinni wyjaśniać swoim klientom aspekty związane z ochroną w tak prostych słowach, jak to możliwe, i wspierać ochronę prywatnego życia swoich klientów.
Kaspersky Lab wierzy, że dostawcy powinni wyjaśniać swoim klientom aspekty bezpieczeństwa w prostych słowach.
Witamy w niezwykłym świecie komputerów!
Ogólnie rzecz biorąc, sami jesteśmy przyczyną różnych incydentów, ponieważ wiele urządzeń traktujemy jak zwykłe gadżety, które wykonują tylko jedno lub dwa proste zadania (transmisja obrazu lub zapewnianie bezprzewodowego dostępu do Sieci).
W rzeczywistości jest to nieco bardziej skomplikowane. Wiele kamer, domowych ruterów, telewizorów typu smart, dekoderów i odtwarzaczy muzycznych to tak naprawdę prawdziwe komputery zdolne do robienia o wiele więcej niż myślisz. Właściwie większość z nich ma rozszerzone możliwości, bo w produkcji sprzętu i oprogramowania firmy używają standardów, które są najtańszą opcją. Twój domowy ruter zapewnia Ci Wi-Fi, ale jest to także potężne narzędzie, na tyle skomplikowane, że może kontrolować pojazd kosmiczny. To dlatego przestępcy tak chętnie robią z nich użytek.
Jeśli masz urządzenie, które łączy się z internetem, musisz być na bieżąco z informacjami o bezpieczeństwie.
Porada
Ponieważ nie wszyscy dostawcy sprzętu, oprogramowania i usług internetowych wystarczająco myślą o bezpieczeństwie, sami musimy o nie zadbać. Są dwie drogi. Możesz uczyć się o komputerach, oprogramowaniu, programowaniu, sieciach, analizować luki i protokoły komunikacyjne, a następnie zmodyfikować Twój własny system tak, aby był dobrze zabezpieczony przed wszystkimi rodzajami zagrożeń.
Ale możesz też zaufać profesjonalistom. W przypadku komputerów, smartfonów i tabletów to nie problem. Jednak urządzenia takie jak kamery internetowe, routery i inteligentne telewizory znacznie różnią się między sobą i ich budowa jest celowo zamknięta przez sprzedawców dla osób z zewnątrz, dlatego nie można tu wykorzystać tylko jednego rozwiązania bezpieczeństwa. Aby więc dbać o odpowiednią ochronę, czytajcie instrukcje i konsultujcie wątpliwości ze swoimi znajomymi zajmującymi się IT (ale hasło wprowadźcie samodzielnie).
Aby poczytać o podobnych włamaniach, rzuć okiem na badanie eksperta Kaspersky Lab, Davida Jacoby’ego, pod tytułem „Cyberatak na salon: czy nowoczesny sprzęt multimedialny jest bezpieczny?”
Jest też dobra wiadomość. Dwa dni po tym, jak informacja została opublikowana, wspomniana strona została zamknięta. Zła wiadomość jest taka, że przed zamknięciem działała przez co najmniej sześć miesięcy. Co gorsze: informacja o brakach w ustawieniach sprzętu, które umożliwiły zorganizowanie całej sprawy, ukazała się na pewnej rosyjskiej stronie o technologiach w sierpniu 2013 (nie wspomnę, że prawdziwi cyberprzestępcy mogli jej używać na długo przed tym).
Fakt, że strona nie działa, nie oznacza, że kamery są bezpieczne. Ktoś wciąż może je znaleźć i podłączyć się do nich przy użyciu prostych narzędzi typu wyszukiwarka Google. Jedynym ostatecznym rozwiązaniem jest zmiana hasła domyślnego kamery. Wykorzystane zostały urządzenia wyprodukowane przez co najmniej jednego dostawcę (Foscam).