Як отримати доступ до камер відеоспостереження через інтернет?

9

Уразливості в цифрових відеореєстраторів систем охоронного спостереження можуть дозволити хакерам переглядати, копіювати або видаляти відеозапису.
Недоліки відеореєстраторів підключені до комп’ютерної мережі, також можуть бути використані для злому мережі, в якості відправної точки.
Недоліки, виявлені на DVR приблизно від 19 виробників, які використовують прошивку розроблену Китайської організацією Ray Sharp.
Недоліки виявлені минулого тижня після того, як хакер, відомий під ніком someLuser виявив, що певні команди, послані в DVR були прийняті без автентифікації.
Ці команди дозволили someLuser отримати доступ до Web-панель керування пристроями використовують протокол Universal Plug and Play.
До речі компанією Rapid7 на цьому тижні виявлені недоліки в протоколі Universal Plug and Play, які дозволяють здійснювати доступ до десятків мільйонів принтерів, мережевих маршрутизаторів, мережевих накопичувачів і інших пристроїв.
Гірше того, someLuser виявив, що прошивка від Ray Sharp не шифрує імена і паролі користувачів, що дозволяє легко отримати доступ до каналів відеоспостереження через інтернет.
Команда з Rapid7 побачивши в блозі повідомлення від someLuser про уразливість систем відеоспостереження справила їх пошук по деяким країнам.
Вони знайшли 58 000 вразливих відеореєстраторів, підключених до інтернету. Найбільше число вразливих це в США, Індії та Італії.
«Вдалося отримати віддалений несанкціонований доступ до камер відеоспостереження і архівів відеозапису» — Мур повідомив в корпоративному блозі 28 січня 2013.
SomeLuser опублікував своє повідомлення в минулому році з заголовком «як підключитися до камери відеоспостереження через Інтернет, просто маніпулюючи URL у веб-браузері.» Більшість з тих каналів досі відкриті.
Коротко про простий спосіб отримати доступ до веб-камері
Для пошуку підключених камер можна використовувати пошуковик www.shodanhq.com із запитом «netcam». Переходячи за результатами пошуку в більшості випадків встановлено логін і пароль за замовчуванням — «admin»-«admin».