(नहीं) आईपी कैमरा सुरक्षा

By | |

हाल ही में, एक सस्ता चीनी आईपी कैमरा मेरे हाथों में गिर गया । जैसा कि मुझे पता है कि उपकरण कैसे काम करता है की तरह, यह मेरे फ्यूज कार्यशाला में समाप्त हो गया । नीचे परिणाम।

क्या बंदरगाहों चीख़

डिवाइस के एक त्वरित एनएमईपी स्कैन ने कई खुले बंदरगाहों को इंगित किया:

एनएमईपी कैमरा स्कैन
  • पोर्ट 80: यहां कैमरा प्रबंधन के लिए एक वेब इंटरफेस है। यह एक लॉगिन और पासवर्ड के साथ सुरक्षित है। यह दिलचस्प है कि मैनुअल में इसका उल्लेख नहीं है (यह केवल आवेदन को समर्पित कैमरा समर्थन की बात करता है)। उसके पास कुछ सुरक्षा कीड़े हैं, लेकिन मैंने उसके साथ बहुत अधिक समय नहीं बिताया।
  • पोर्ट 554: सर्विस आरटीएसपी हिपकैम आईपी कैमरा आरटीएसपीडी 1.0। रियल टाइम स्ट्रीमिंग प्रोटोकॉल का उपयोग कैमरे से इस मामले में वीडियो में डेटा को वास्तविक समय में स्थानांतरित करने के लिए किया जाता है। सुरक्षा की दृष्टि से सबसे बड़ा दर्द है, लेकिन इसके बारे में आगे ।
  • पोर्ट 1935: रियल टाइम मैसेजिंग प्रोटोकॉल – फ्लैश प्लेयर और सर्वर के बीच ऑडियो, वीडियो और डेटा स्ट्रीमिंग के लिए एडोब सिस्टम्स द्वारा बनाया गया एक प्रोटोकॉल।
  • पोर्ट 8080: ओनवाआईएफ (ओपन नेटवर्क वीडियो इंटरफेस फोरम) – साबुन संचार। वीडियो निगरानी के हिस्से के रूप में नेटवर्क पर उपकरणों का संचार करने के लिए मानक।

बड़ा भाई देख रहा है-दुनिया के साथ अपने घर के जीवन का हिस्सा

मेरी राय में, सस्ते चीनी आईपी कैमरों की मुख्य समस्या खराब तकनीकी दस्तावेज और खतरनाक डिफ़ॉल्ट सेटिंग्स है। अर्थात्, हम इस तथ्य के बारे में जानकारी नहीं पाएंगे कि डिफ़ॉल्ट रूप से बंदरगाह 554 आरटीएसपी सक्षम है और इस प्रकार वीडियो स्ट्रीमिंग करता है। इसके अतिरिक्त, डिफ़ॉल्ट रूप से, विकल्प का चयन किया जाता है कि ऐसी स्ट्रीम तक पहुंच के लिए प्रमाणीकरण की आवश्यकता नहीं है:

आईपी कैमरा RTSP

गैर तकनीकी व्यक्तियों, और यहां तक कि निगरानी की स्थापना के पेशेवर विषय से निपटने तकनीकी लोगों को इसके बारे में पता नहीं है । इस तरह के कैमरे को पब्लिक आईपी एड्रेस से इंटरनेट से कनेक्ट करने से इस तरह के कैमरे से इमेज और साउंड दोनों दुनिया में शामिल हो जाते हैं ।

इसके अलावा, इन कैमरों में डिफ़ॉल्ट रूप से नेटवर्क से एक दूसरे तक पहुंचने के लिए एक और सेवा चल रही होगी। यह P2P के माध्यम से किया जाता है। यहां, हालांकि, वीडियो तक पहुंचने के लिए पहले से ही एक अद्वितीय कैमरा यूआईडी के प्रमाणीकरण और कब्जे की आवश्यकता है। लेकिन क्या होगा अगर अनजाने उपयोगकर्ता डिफ़ॉल्ट एक्सेस डेटा को नहीं बदलता है?

आईपी कैमरा मुलायम

समस्या वैश्विक है और जोखिम असली है

शोडान ने दुनिया भर में ९९,४६९ कैमरों को इंडच्ड किया है, जिनमें से पोलैंड में ४८९ पोर्ट ५५४ पर RTSP के माध्यम से अपनी स्ट्रीमिंग ऑनलाइन उपलब्ध कराते हैं ।

शोडान आईपी कैमरा

दुकानों, सेवा प्रतिष्ठानों और निजी घरों से आए दोनों कैमरों में स्थित हैं । कंप्यूटर स्क्रीन के पीछे स्थित कैमरों की कोई कमी नहीं है (आप उपयोगकर्ता का पासवर्ड देख सकते हैं) या भुगतान टर्मिनल (पिन कोड का रिसाव) के ऊपर। क्या मुझे डराता है सबसे बड़े लोगों या बच्चों के कमरे के घरों में स्थित है ।

मैं पूरी दुनिया को नहीं बचाऊंगा, लेकिन मैं दो अनजाने यूजर्स तक पहुंचने में कामयाब रहा । मैंने उन्हें गलत कैमरा कॉन्फ़िगरेशन के बारे में सूचित किया। उनमें से एक एक "ग्रीन" बैंक के एक उच्च रैंकिंग कर्मचारी था । एक कैमरा रहने वाले कमरे में रखा, दोनों ध्वनि और वीडियो स्ट्रीमिंग:

आईपी कैमरों की हैकिंग

दुर्भाग्य में भाग्यशाली है कि कैमरे के अलावा, अनजान उपयोगकर्ता अपने नाम के साथ अपनी वेबसाइट साझा:

निदेशक की वेबसाइट

लिंक्डइन का उपयोग करने वाला एक संदेश पर्याप्त था:

लिंक्डइन वार्तालाप

दूसरा मामला दंत चिकित्सक के कार्यालय से कई कैमरों स्ट्रीमिंग था:

कैबिनेट आईपी कैमरा
कैबिनेट आईपी कैमरा

"रिसाव" के स्रोत की पहचान करने में स्वागत काउंटर पर स्थित शिपमेंट और कई तथ्यों को जोड़ने में मदद की । फोन कॉल ने मरीज की निजता की स्थिति तय कर दी ।

स्ट्रीम आईपी कैमरा

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

Podziel się swoją opinią na temat artykułu