23/02/2017

Kamery internetowe kontra ludzie

Porady Prywatność Zagrożenia

Najnowsze informacje dotyczące zhakowania kamer IP oraz nielegalnej sprzedaży prywatnych filmów w internecie ponownie poruszyły społeczność internetową. I choć temat ten nie jest już żadną nowością, jednak w tym przypadku jest coś nietypowego: kamery te znajdowały się w klinice chirurgii plastycznej w Moskwie. Można więc wyobrazić sobie, jakie to były zdjęcia. Początkowo incydent opisał rosyjski oddział BBC. Artykuł skomentowali pracownicy Kaspersky Lab, wskazując niedbałe praktyki bezpieczeństwa stosowane przez właścicieli kamer. Teraz zagłębimy się w tym temacie nieco bardziej.

Jakie zagrożenia stwarza monitoring?

Najbardziej oczywistą i nieprzyjemną konsekwencją wycieków filmów z systemu monitoringu CCTV jest potencjalne właściwe rozpoznanie ludzi. Innymi słowy, przestępca może Cię zidentyfikować i użyć tej wiedzy przeciwko Tobie, w celu szantażu lub włamania. Nie wspomnę o samym fakcie przekroczenia granicy prywatności.

Oczywiście sam film nie wystarczy, aby zebrać o ofierze zbyt wielu informacji. Trzeba jednak pamiętać o tym, że wielu ludzi chętnie publikuje całą masę informacji o sobie w internecie. Najbardziej znana jest sprawa zidentyfikowania aktorek porno. Aktywni użytkownicy serwisów ze zdjęciami odnaleźli ich profile w sieciach społecznościowych, a informacje kontaktowe zdobyli dzięki serwisom rozpoznawania twarzy, takim jak FindFace. Na koniec zastraszali rozpoznane kobiety.

Liczba kamer telewizji przemysłowej nieustannie wrasta, a ich obraz jest coraz lepszej jakości. Na przykład przy prawie każdym wejściu do budynku mieszkalnego w Moskwie znajdują się kamery IR, które nagrywają filmy w całkiem niezłej jakości, nawet w ciemności. Czy zastanawiałeś się kiedyś, ile kamer monitoringu obserwuje Cię, gdy wracasz do domu z lokalnego sklepu spożywczego? Jakie widzisz potencjalne zagrożenia i sposoby ochrony przed nimi?

Niestety nie można w stu procentach ukryć się przed monitoringiem. Wszechobecnych systemów monitoringu nie można już oszukać, zakładając maski, okulary czy nakładając specjalny makijaż. Nowoczesne systemy nie wykorzystują samego rozpoznawania twarzy, lecz analizują także sposób chodzenia, zachowanie, a nawet usposobienie.

Jednak tak wyszukane systemy są używane tylko przez agencje rządowe i zaawansowanych sprzedawców. Pierwsza grupa dążyła do zapewnienia bezpieczeństwa publicznego (a przynajmniej tak mówiono), a z kolei sprzedawcy poszukiwali sposobów na szybkie i skuteczne sprzedawanie towarów klientom. Reszta świata używa starych dobrych kamer IP lub kamer internetowych. Niestety w obu przypadkach bezpieczeństwo nie jest priorytetem.

Jak wyciekł film? To proste: wiele kamer ma dostęp do internetu, aby właściciele mieli wgląd w obszar podlegający monitoringowi z dowolnego miejsca na świecie. Dostęp do tego obrazu można uzyskać poprzez interfejs internetowy. Inaczej mówiąc, każda kamera ma własną małą stronę internetową.

Wspomniany interfejs sieciowy może posiadać pełnoprawną konsolę do zarządzania, która może zmieniać kąt widzenia kamery, przybliżać i oddalać obraz, a nawet włączać dźwięk. W pozostałych przypadkach strona jest tylko nieprzerwanym strumieniem lub nieustannie aktualizowanymi zdjęciami, tak jak transmisja telewizyjna. Problem w tym, że te „strony” i „transmisje” można z łatwością znaleźć dzięki specjalnym systemom wyszukiwania, np. Shodan czy Censys.

Zacznij od poprawnych ustawień własnej kamery IP

Dlaczego dostępnych jest tak wiele strumieni kamer, że powstały nawet silniki ich wyszukiwania? Chodzi o to, że zazwyczaj zarówno użytkownicy, jak i producenci kamer cenią bardziej łatwość użytkowania niż bezpieczeństwo urządzenia. Dlatego kamery monitoringu można łatwo zhakować metodą siłową.

Jednak istnieją sposoby, dzięki którym takie ryzyko można zminimalizować. Po pierwsze, należy regularnie aktualizować oprogramowanie firmowe i używać silnych haseł — oraz regularnie je zmieniać. Instrukcje, jak to zrobić, są zazwyczaj dostępne w podręczniku użytkownika lub na stronie pomocy technicznej danego producenta.

Aktualizacje i silne hasła to podstawowe minimum, jeśli chodzi o bezpieczeństwo, lecz nie jest to niestety panaceum: producenci często zwlekają z udostępnieniem aktualizacji oprogramowania firmowego lub łat dla luk nawet o kilka miesięcy, pozostawiając (nie tak bardzo) tajne tylne drzwi do interfejsów kamer. A przy okazji: znane marki niekoniecznie gwarantują dobre praktyki bezpieczeństwa, ale przynajmniej reagują na rządowe zalecenia w celu zwiększenia bezpieczeństwa użytkowników.

Po drugie, nieużywane funkcje zawsze można wyłączyć. Ma to zastosowanie szczególnie do wielu usług chmurowych, w które coraz więcej kamer jest wyposażone domyślnie. Serwisy takie mogą na przykład oferować zdalny dostęp do filmu poprzez aplikację na smartfona, a nawet do pamięci filmów z monitoringu CCTV. Jest to dosyć wygodne, lecz nie do końca polityka postępowania jest przejrzysta dla użytkownika końcowego, zatem ich prawdziwy poziom bezpieczeństwa nie jest taki oczywisty.

Pozostałe środki ochrony wymagają pewnego poziomu doświadczenia. Można na przykład włączyć dostęp HTTPS do kamery. Oczywiście w tym przypadku najprawdopodobniej użyjesz własnego certyfikatu, co będzie powodować wyświetlanie wielu alertów przez przeglądarkę, ale to już jest coś.

Inną rzeczą, jaką można zrobić, jest takie dostosowanie domowego rutera, aby całkowicie izolował wewnętrzną sieć, udostępniając wyłącznie wybrane funkcje urządzenia. Kolejną opcją jest zastosowanie urządzenia pośredniczącego w postaci pamięci NAS. Nawet najprostsza kamera IP posiada oprogramowanie do nadzoru wideo. Oczywiście w tym przypadku należy włączyć bezpieczny dostęp, jak opisałem powyżej.

Kamerę internetową ma teraz prawie każde urządzenie

Do tej pory opisywałem kamery IP. Jeśli chodzi o kamery internetowe, już wiesz, co robić. Jeśli jest to oddzielna kamera, podłączaj ją do portu USB tylko wtedy, gdy jej potrzebujesz. Jeśli jest to kamera zintegrowana z laptopem, zawsze możesz nakleić na nią taśmę. Brzydko wygląda? Znajdź specjalne plastikowe nakładki.

Jeśli chodzi o smartfony, rozwiązanie jest jeszcze prostsze: nieprzezroczyste etui zakrywające tylną kamerę, a na przód obiektywu — taśma. I nie zapomnij zainstalować na wszystkich urządzeniach antywirusa.

A co z aparatami innych ludzi?

Jeśli chodzi o kamery monitoringu publicznego, nie możesz zrobić zbyt wiele. Dowiedz się, gdzie one się znajdują, i unikaj ich, jeśli możesz, chociaż może to wyglądać dziwnie i wymagać od Ciebie większej czujności. Jeśli chodzi o monitoring półpubliczny (że się tak wyrażę), masz do wyboru kilka dróg. Mam tu na myśli kamery zastosowane w korytarzach wejściowych i klatkach schodowych w budynkach mieszkalnych.

Regulacje prawne różnią się w zależności od kraju. W Rosji wejście jest traktowane jak mienie komunalne, więc instalacja monitoringu musi zostać zatwierdzona przez mieszkańców i zarząd placówki. Jeśli kamera nie umożliwia właścicielowi zajrzenie do własności prywatnej, instalacja jest zwykle dopuszczana.

Zanim jednak zaczniesz walczyć o usunięcie kamery z wejścia, rozważ, czy taka kamera nie może się przydać: na przykład gdy trzeba zidentyfikować przestępców, w przypadku aktów wandalizmu lub włamania. A może ona nawet skutecznie kogoś odstraszyć — nawet jeśli jest fałszywa. Pamiętaj, że ukryta kamera lub potajemny nadzór zdecydowanie odpada. Nawet się nad tym nie zastanawiaj!

Jeśli film, na którym ktoś zostanie uwidoczniony, wycieknie do internetu bez jego wiedzy, może wejść na drogę prawną i żądać jego usunięcia. Należy wziąć też pod uwagę kilka innych niuansów. Po pierwsze, pomyśl o efekcie Streisand. Po drugie, możesz mieć do czynienia z wieloma różnymi zawiłościami prawnymi: na przykład film z miejsca publicznego, na którym widać ludzi za Tobą, nie może być przedmiotem pozwu.