Video: Hacking Minutes | Kali Linux Hacking Security Cameras, Cracking Password Tutorial (Nobyembre 2024)
Ito ay isang pamantayang eksena sa karamihan ng mga heist na pelikula. Ang pangkat ng krimen ay kailangang dumaan sa isang lugar na sakop ng mga camera ng seguridad, kaya nag-hack sila sa sistema ng seguridad upang ipakita ang camera na walang laman na pasilyo. Ang isang pagtatanghal ng kumperensya ng Black Hat ay nagpakita kung paano hindi kapani-paniwalang simple ang hack ay maaaring maging sa isang modernong camera na nakakonekta sa Internet. Sa katotohanan, kung mayroon kang mga security camera sa iyong opisina o negosyo, ang hack na ito ay hindi bababa sa iyong mga alalahanin. Ang isang hacker ay maaaring makakuha ng buong pag-access sa network sa pamamagitan ng iyong mga camera. Uy, hindi ba dapat silang bigyan ka ng mas mahusay na seguridad?
Nakikita kita
Ang Presenter Craig Heffner ay isang Vulnerability Researcher na may Tactical Network Solutions, ngunit mayroon siyang ibang mga trabaho. "Ang mga kwento ng balita ay napag-usapan ng maraming bagay tungkol sa katotohanan na dati akong nagtatrabaho para sa isang tatlong-titik na ahensya, " sabi ni Heffner. "Sinasabi ng ilan na ang pagtatanghal na ito ay batay sa gawaing ginawa ko para sa NSA. Nagresulta ito sa ilang mga kagiliw-giliw na tawag mula sa aking dating amo." Nilinaw ni Heffner na ang lahat ng pananaliksik na pagpunta sa presentasyong ito ay isinagawa para sa kanyang kasalukuyang employer, hindi ang NSA.
Sinuri ng Heffner ang mga camera mula sa D-Link, Linksys, Cisco, IQInvision, at 3SVision. Nang walang pagpunta sa mga detalye ng mababang antas ng gory, sa bawat kaso ay natagpuan niya ang isang paraan upang magpatakbo ng mga di-makatarungang mga utos nang malayuan. "Tinagurian ko ito na pinagsamantalahan ni Ron Burgundy, " pinahinto ni Heffner. "Nagpapatakbo lamang ito ng anumang ibibigay mo, at padadalhan ka ng tugon." Sa ilang mga kaso ay natagpuan niya ang mga kredensyal sa pag-login ng kredito na hard-coded sa firmware. "Ang problema sa mga lihim na naka-code na mga password at lihim na nasa likuran, " sabi ni Heffner, "ay hindi sila mananatiling lihim."
Sa huli, nakakuha ng Heffner ang pag-access sa antas ng ugat sa bawat camera. Sinabi niya na mayroong isang malaking muling paggamit ng code sa pagitan ng sariling mga modelo ng kumpanya at sa pagitan ng mga kumpanya, kaya ang mga kahinaan na ito ay sumasakop sa maraming mga camera. At dahil bihira ang firmware na bihirang ma-update, ang mga kahinaan mula sa ilang taon na ang nakararaan ay napapailalim pa rin sa pagsasamantala.
Ito ay nakakakuha ng Masasama
Sinabi ni Heffner na ang karamihan sa mga camera ng seguridad ay konektado sa network ng tanggapan. "Nasa iyong network ako, nakikita kita, at ako ay ugat, " aniya. "Hindi isang masamang posisyon! Mayroon akong kontrol sa antas ng ugat ng isang makina na nakabase sa Linux sa loob ng iyong network."
"Ngunit bumalik tayo ng isang hakbang, " patuloy ni Heffner. "Ano ang magagawa ko sa camera mismo? Maaari kong baguhin ang stream ng video, ang klasikong Hollywood hack." Natapos niya ang isang real-world demonstration, pag-set up ng isang camera upang maprotektahan ang isang bote ng beer sa talahanayan ng tagapagsalita. Sa paglalagay ng camera, inilunsad niya ang isang pagsasamantala na nag-tweet ng pananaw ng administrator upang ipakita ang bote, ligtas at tunog habang "ninakaw" niya ang bote. Mahal ito ng mga dadalo.
Kamot sa kawalan ng kapanatagan?
"Karamihan sa mga bug na ito ay walang halaga, " pagtatapos ni Heffner. "Sasabihin sa iyo ng karamihan sa mga camera ang numero ng modelo kahit na hindi ka napatunayan. Maaari ko ang Google ang modelo, i-download ang firmware, at simulan ang pag-aralan nang hindi kailanman bumili ng isang aparato." Sa katunayan, binuo ni Heffner ang lahat ng mga pag-atake na mahigpit sa pamamagitan ng pagsusuri ng firmware, bago pa sumubok sa isang aktwal na kamera.
Tinanong kung nakita niya ang anumang mga camera sa seguridad na hindi niya mai-hack, sinabi ni Heffner na hindi. "Marami pa, ngunit kakailanganin ko ng isang dalawang oras na pag-uusap, kahit papaano."
Ang website ng Shodan ay ginagawang madali upang maghanap para sa mga camera na nakikita online. Kung mayroon kang mga security camera sa iyong tanggapan o pabrika, maaaring bukas na ang iyong mga video feed. Kahit na hindi sila, malamang na ang isang hacker ay maaaring makontrol ang video feed. Lalo na kung gumagamit ka ng mga camera mula sa alinman sa mga nagbebenta na nabanggit, nais mong maingat na suriin ang pagtatanghal ng Heffner, dahil naglalaman ito ng buong mga detalye na magpapahintulot sa sinumang mag-hack sa mga apektadong camera. Mayroong higit na nakataya dito kaysa sa pag-aalala tungkol sa Danny Ocean na naka-blanko ang iyong mga camera para sa isang pag-ihi.
