Hálószoba, gyerekágy, iroda – több mint ezer magyar kamera képe érhető el védtelenül a neten
2021. január 2. – 20:41
frissítve
Világszerte több tízezer, de Magyarországon is több mint ezer olyan netre kötött kamera található, amelyeknek a képét egy kis keresgéléssel bárki szabadon láthatja. A kitettség oka általában a felhasználói figyelmetlenség, de az eszközök sebezhetősége is vezethet ahhoz, hogy idegenek nézhetik élőben, ahogy egy anyuka épp leteszi az ágyba az alvó gyerekét, vagy épp maga fekszik le, abban a hiszemben, hogy az otthonában ezt senki más nem látja.
A védtelen magyarországi kamerákat az Alverad nevű hazai kiberbiztonsági cég térképezte fel. Nemcsak a szó klasszikus értelmében vett webkamerákról van szó, hanem az internetre kötött biztonsági kamerákról, babamonitorokról és a Dolgok Internete minden más kamerás kütyüjéről.
Az ilyen, amúgy praktikus és hasznos eszközök nemcsak a tulajdonosaiknak nyitnak új felhasználási lehetőséget, hanem a kiberbűnözőknek is. A nem megfelelően védett, hálózatra kötött eszközök óriási kockázatot jelenthetnek, mert egy kis szakértelemmel – vagy mint látni fogjuk, akár anélkül is – bárki elérheti őket, ami kamerák esetén konkrétan azt jelenti, hogy illetéktelenek kukucskálhatnak be a lakásba vagy egyenesen a gyerekek ágyába. De a passzív nézelődés-hallgatózás mellett akár az irányítást is átvehetik, például a kamera mozgatásával, a felvétel leállításával vagy elindításával, a hangszórók használatával.
Hogy kerülnek idegenek a hálószobába?
Az önmagában még nem feltétlenül probléma, ha egy kamera elérhető a netről, hiszen akár ipari, akár otthoni környezetben előfordulhat, hogy a távoli ellenőrizhetőség miatt direkt teszik kívülről is hozzáférhetővé. Problémás onnantól lesz a dolog, ha az adott eszköz valamilyen sérülékenység miatt nem biztonságos, illetve ha maga a felhasználó nem kellően elővigyázatos. Például nem korlátozza, milyen IP-címekről érhető el a kamera, illetve az alapértelmezett, adott esetben könnyen kitalálható gyári jelszót hagyja meg az egyetlen védelmi vonalaként, vagy akár egyáltalán nem állít be jelszavas védelmet.
De az is előfordulhat, hogy a tulajdonosnak eszük ágában sincs a netre kikötni a biztonsági kameráját vagy a gyereke biztonságát felügyelő babamonitort, csak épp nem értenek az eszköz beállításához, így olyasmit is megengednek neki, amit nem tennének, ha tudnák, mivel jár. Az Alverad tanulmányát jegyző Kocsis Tamás azt írja, tapasztalatuk szerint az otthoni kamerák esetében ez az illetéktelen hozzáférések leggyakoribb oka.
Alapvetően kétféle protokollon keresztül érhetők el távolról a kamerák. Egy részük a streamingtechnológiát lehetővé tevő RTSP-n továbbítja a videófolyamot, míg mások a webes HTTP(S)-t használják. Ha nem látják el a kamerát kellő védelemmel, egyik esetben sincs szükség titkosügynöki kiképzésre: az RTSP-vel továbbított videófolyamok a streamek kezelésére képes népszerű médialejátszókkal, például a VLC-vel vagy a QuickTime-mal is nézhetők, a webes kapcsolatot használó kamerák felvételei pedig böngészőből is elérhetők.
Több mint ezer hazai eszköz védtelen
A tanulmány szerzője a Shodan nevű eszközkeresőt használta a szabadon elérhető kamerák feltérképezésére. A Shodant a kutatók gyakran használják védtelen eszközök azonosítására, de amit ott találnak, azt bárki más is elérheti.
Streamingképes, RTSP-alapú kamerából világszerte 4,4 milliót talált, amely elérhető a neten, ezek közül 126 874 volt olyan, amelyhez a videófolyam felhasználónév és jelszó nélkül, bárki által elérhető volt. Webes felületen keresztül hozzáférhető kamerából pedig legalább 56 720 olyat azonosított, amelynek szabadon látható a képe. Magyarországon a vizsgálódás idején 31 328 RTSP-alapú videófolyam volt elérhető, de nagy részük szerencsére védettnek bizonyult.
Legalább 1125 hazai streamingképes kamera képe azonban különösebb akadály nélkül, bárki által hozzáférhető volt.
Bár ez az összes elérhető magyarországi RTSP-eszköznek csak a 3,6 százaléka, még ez is magasabb a nemzetközi szinten tapasztalt 2,8 százaléknál. A védtelen kamerák között megtalálhatók voltak különféle objektumvédelmi célokra alkalmazott biztonsági kamerák, kültéri megfigyelő eszközök, bevásárlóközpontok és boltok beltéri kamerái, babafigyelő eszközök, otthoni beltéri és kültéri kamerák is.
Az érintett eszközök túlnyomó többsége Budapesten található, illetve Debrecen és Kecskemét fért még fel a dobogóra, ahogy ez az alábbi grafikonon is látható. (A tanulmány írása alatt is változott a védtelen eszközök pontos száma. A grafikon készültekor csak 1095 ilyen volt elérhető, ezért az azon látható számok az akkori állapotot tükrözik, de ez nagyságrendi változást nem jelent.)
A weben keresztül hozzáférhető kameráknál valamivel jobb a helyzet, de ezekből is van 364 olyan, amely teljesen védtelen.
Vannak köztük szándékosan hozzáférhetők, például dugófigyelő vagy valamilyen látképet közvetítő kamerák, de a nagy részük otthoni, munkahelyi vagy más biztonsági eszköz. 22 olyan eszköz is volt köztük, amelyen az IP Webcam nevű androidos app futott, ezzel a telefon alakítható mozgásérzékelős kamerává, de jobb esetben ehhez sem fér hozzá boldog-boldogtalan
Ugyan, mi baj lehet?
Jobb esetben csak a magánszféra sérül, idegenek nyerhetnek bepillantást az érintettek otthonába és életébe (nem mintha ez ne lenne elég nagy probléma önmagában is), de olyan extrémebb forgatókönyv se példa nélküli, hogy mondjuk intim együttlétet rögzítő kamerák képei bukkannak fel az ilyesmik megosztását lehetővé tevő pornóoldalakon.
Az illetéktelenek kezébe kerülő felvételek zaklatásra is alapot adhatnak, sőt akár zsarolási potenciált is jelenthetnek, elég csak a zsarolóvírusok körében népszerű, „videóra vettük, ahogy maszturbálsz, fizess, különben közzétesszük” jellegű – a zsarolóvírusok esetében egyébként kamu – fenyegetésre gondolni.
A legaggasztóbb azonban talán a gyerekek kitettsége. A tanulmány felidéz többek között egy tavaly decemberi esetet, amikor egy idegen egy biztonsági kamera hangszóróján keresztül beszélt egy amerikai család gyerekéhez, azt állítva, hogy ő a Mikulás, és szeretné, ha barátok lennének. Egy másik esetben a szintén amerikai szülők meg is találták a gyerekük képét egy lopott kamerafelvételeket megosztó oldalon.
De olyan jóval prózaibb veszély is felmerül, hogy ha valaki betekintést nyer az otthonunkba vagy egy biztonsági kamerával őrzött épületbe, akkor azt is pontosan tudni fogja, hogy mikor nincs ott senki, azaz mikor szabad préda – pláne ha még a kamera vezérléséhez is hozzáfér, és egyszerűen leállítja a felvételt, amíg a betöréssel foglalatoskodik.
Kamerakép-feketepiac
Nem meglepő módon a kamera-hozzáféréseknek is van saját feketepiacuk, ahol akár magukat a már megszerzett felvételeket, akár a hozzáféréshez szükséges adatokat adják-veszik.
Az ilyesmi iránt érdeklődőknek azonban sem a némi technológiai jártasságot kívánó Shodanra, sem a darknetes fórumokra nem kell ráfanyalodniuk, mert a nyílt interneten is találhatók olyan oldalak, amelyek a védtelen kamerák összegyűjtéséből és könnyen hozzáférhetővé tételéből csinálnak üzletet.
Az Alverad tanulmánya megjegyzi, hogy magyarországi weboldalt is találni, amely erre szakosodott, de azon a .hu domainvégződés ellenére maga a tartalom orosz nyelvű.
A tanulmány edukatív jelleggel bemutat néhány csokornyit a szabadon hozzáférhető kamerák képeiből, amelyeken – kitakart arcú – magánemberek otthonába nyerhetünk bepillantást – egynémely képen asztalnál ülő, kanapén heverő, felnőttek, illetve a kiságyukban alvó gyerekek is feltűnnek –, de ugyanígy fodrászszalon, pékség, áruházak, plázák és kisboltok, irodák biztonsági kamerájának a képeit is lehet nézegetni.
Sérülékenységből is akad bőven
Ahogy fentebb is írtuk, a legtöbb szabadon hozzáférhető eszköznél nem arról van szó, hogy a gyártó hibázott, vagy maga az eszköz ne tenne lehetővé komolyabb biztonsági beállításokat – egyszerűen a felhasználók nem élnek ezekkel.
Előfordulhatnak azonban olyan sérülékenységek is, amelyek a felhasználótól függetlenül is védtelenné tehetik az eszközöket. A HTTP(S)-alapú kamerák esetében például gyakori és súlyos hiba a tanulmány szerint, hogy bár a webes felület kér jelszót, maga a videókép ennek megkerülésével, egy közvetlen url-en is hozzáférhető, amelyet az erre használatos eszközkeresők gond nélkül meg is találnak. Az ilyen hibákat a gyártók jellemzően előbb-utóbb javítják, de itt is fennáll a szokásos probléma: a felhasználónak frissítenie is kellene az eszköze rendszerét, hogy a javítás nála is érvényesülhessen.
Néhány éve egy magyar biztonsági szakember a saját webkamerájában talált egy hátsó ajtót, amely – ha ráköti az internetre – a legnagyobb biztonságtudatosság és felhasználói fegyelem mellett is szabad bejárást tett (volna) lehetővé az otthonába. Több gyártó szoftvereiben is található ehhez hasonló hátsó ajtó, amelyen keresztül harmadik fél is be tud jelentkezni a kamerákba. A tanulmány által említett egyik konkrét példa a kínai Hankvision, illetve az a számtalan más néven futó gyártó, amely ugyanennek a cégnek a megoldását licenceli. (Ilyen magyar eszközből a kutatók 20 darabot találtak.)
A második legnagyobb kínai biztonságikamera-gyártó cég, a Dahua termékeire a Nemzeti Kibervédelmi Intézet is kiadott egy figyelmeztetést még 2017-ben, szintén azért, mert fény derült egy hátsó ajtóra, amely feltehetőleg a cég minden termékét érintette. Egyébként a Dahua is benne volt abban a 28 kínai cégben, amelyeket 2019 októberében a Trump-kormány tiltólistára tett, névleg az ujgurok megfigyelésében játszott szerepük miatt, illetve emellett feltehetően az amerikai-kínai kereskedelmi háború elmérgesedésének újabb állomásaként.
Sérülékenységek azonban természetesen nemcsak a kínai gyártók termékeiben bukkanhatnak fel, ismert nyugati cégek eszközeiben is rendszeresen derül fény kisebb-nagyobb hibákra.
Hogyan lehet védekezni?
A tanulmány megfogalmaz egy sor alapvető óvintézkedést is, amelyekkel minimalizálható a kockázata annak, hogy az irodánk vagy a gyerekünk képe a darknet fórumaiban tűnjön fel.
Vállalati és otthoni környezetben is érdemes alaposan megfontolni az eszközválasztást, ellenőrizni az elérhető biztonsági funkciókat. Érdemes elkerülni a feltűnően olcsó, ismeretlen gyártótól származó kamerákat, illetve utánanézni a kiválasztott termék gyártójának.
A beüzemeléskor és az üzemeltetéskor is egy sor technikai részletre ajánlott figyelni a helyes beállítástól a rendszeres frissítésig, hogy elkerülhetők legyenek a kellemetlen meglepetések.
A részletes tanácsokért innen lehet letölteni a tanulmányt.