IP-kameror visar varför det är så svårt att säkra Internet of Things

Hot & hack, Säkerhet & integritet, Uppkopplat, Uppkopplat liv

Under 2000-talet har webbkameror gått från att vara något av en gimmick-pryl utan egentligt användningsområde till att, i brist på bättre sätt att uttrycka det: vara överallt.

Att kunna ta bilder och filma är en förutsättning för videokonferenser, är en av grundpelarna på sociala medier och i takt med att tekniken blivit billigare och bildkvaliteten bättre har IP-kameror blivit allt vanligare som övervakningskameror. Men samtidigt har den stora mängden kameror gjort att vi kan känna oss särskilt utsatta – tanken att en hackare kan ta sig in och ta del av vad dessa ”digitala ögon” ser och samtidigt ta del av våra liv när vi är som mest privata betyder att det också är oerhört viktigt att kunna säkra dem.

Nyttan av kameror, särskilt när det gäller fysisk säkerhet, har gjort dem till några av de vanligaste produkterna i det som ofta kallas Internet of Things, eller som Mikko Hyppönen, forskningschef på F-Secure, säger: ”the Internet of Insecure Things”.

Och osäkerheten inom IoT handlar inte om några teoretiska risker, inte om några konceptuella tankar för vad som kan hända i framtiden – när allt är uppkopplat. Det är verklighet. Senaste exemplet finns i F-Secures nya rapport ”Vulnerabilities in Foscam IP Cameras”, som beskriver flera allvarliga säkerhetsluckor som finns i tiotusentals internetuppkopplade kameror världen över.

”Foscam-tillverkade IP-kameror har flera sårbarheter som kan leda till att angripare får total kontroll över enheten.”, står det i rapporten. ”En angripare kan – över internet – använda ett antal olika metoder för att göra allt från att exponera det som kameran ser till att helt enkelt stänga av den, beroende på vad angriparens syfte är.

Totalt handlar det om 18 sårbarheter (samtliga finns i modellen OptiCam i5 och flera av dem finns i Foscam C2). Sårbarheterna gör det möjligt för en angripare att ta över kontrollen av kamerorna, som ofta används för att upptäcka ovälkomna besökare.

Till exempel kan de se vad kameran ser, kontrollera kameran och ladda ner och ladda upp filer från den inbyggda FTP-servern. Och med hjälp av lite skadlig kod kan de utnyttja kameran som en väg in på resten av det nätverk som kameran är uppkopplad på.

Foscam har blivit underrättade om säkerhetsluckorna, och F-Secure har valt att gå ut offentligt med de här uppgifterna efter att det gått flera månader utan att tillverkaren svarat – eller släppt någon patch som åtgärdar felen. Foscam har en historik av buggar som gör det möjligt för utomstående att spionera med hjälp av IP-kameror och babymonitorer.

Janne Kauhanen, säkerhetsexpert på F-Secure säger att alla som skaffar någon form av smart pryl ser till att ändra det förinställda lösenordet. Utan undantag. Men i det här fallet skulle inte ens det räcka, eftersom dessa Foscam-tillverkade kameror har hårdkodade inloggningsuppgifter som inte kan ändras av användaren. En angripare som har tillgång till dem (till exempel hittar dem på internet, vilket inte är helt ovanligt i det här sammanhanget), kan använda dem för att ta sig förbi det unika lösenord som användaren valt.

Och det här bara en av de hittade sårbarheterna. Harry Sintonen, säkerhetsforskaren som upptäckte dem, beskriver dem som ”så allvarliga de kan bli”. Bara det faktum att det handlar om så många säkerhetsluckor innebär att en angripare i princip kan välja de metoder som passar bäst.

Om du har en av dessa kameror i ditt hem, börja med att se till att den inte är uppkopplad mot internet. En brandvägg minskar risken för att bli drabbad och en smart router som F-Secure SENSE – som använder artificiell intelligens för att analysera trafiken till och från samtliga smarta prylar, kan också upptäcka om någon missbrukar dina kameror eller babymonitorer.

Det faktum att vi släpper in den här typen av enheter i våra hem innebär en utmärkt möjlighet att lyfta fram de risker som kommer av att lägga ut allt på internet utan att fokusera på säkerheten. Och det är något som vi behöver göra nu.

Även efter att den här typen av uppkopplade enheter utnyttjades som en del historiens största överbelastningsattack så har tillverkarna inte visat något som helst intresse av att göra något åt problemet.

”Problemet är större än de här kamerorna, större än den här tillverkaren”, säger Janne Kauhanen. ”Smarta enheter är, i regel, sårbara. Jag tror att det beror på att tillverkarna tänker att de inte kommer att sälja några prylar på säkerhet. Och det är ju inte heller något som kunderna kräver.”

Kanske kan tanken på tiotusentals sårbara kameror ändra på det.

Mer läsning om sårbarheterna i Foscam-tillverkade kameror finns i den fullständiga rapporten. Där finns också en film.

Betygsätt den här artikeln

0 röster

0 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: