וִידֵאוֹ: XXI Congresso do PCP - 1.ª Sessão (אוֹקְטוֹבֶּר 2024)
זו סצינה סטנדרטית ברוב הסרטים ההיסטיים. צוות הפשע צריך לעבור אזור שמכוסה במצלמות אבטחה, כך שהם פורצים למערכת האבטחה כדי לגרום למצלמה להראות מסדרון ריק. מצגת של ועידת Black Hat הדגימה עד כמה פשוט האק זה יכול להיות במצלמת אבטחה מודרנית המחוברת לאינטרנט. למען האמת, אם יש לך מצלמות אבטחה במשרד או בעסק שלך, הגרזן הזה הוא הפחות מדאיג שלך. האקר יכול בהחלט לקבל גישה מלאה לרשת דרך המצלמות שלך. היי, הם לא היו אמורים להעניק לך ביטחון טוב יותר ?
אני רואה אותך
המגיש קרייג הפנר הוא חוקר פגיעות עם פתרונות רשת טקטיים, אך היו לו עבודות אחרות. "סיפורי החדשות דיברו הרבה על כך שהייתי עובד בסוכנות בת שלוש אותיות", אמר הפנר. "היו שטענו שהמצגת הזו מבוססת על עבודה שעשיתי עבור ה- NSA. זה הביא לכמה פניות מעניינות של מעסיקתי לשעבר." הפנר הבהיר כי כל המחקרים שנמצאים במצגת זו בוצעו עבור המעסיק הנוכחי שלו, ולא ה- NSA.
הפנר העריך מצלמות מ- D-Link, Linksys, Cisco, IQInvision ו- 3SVision. מבלי להיכנס לפרטים המהוללים הנמוכים, בכל מקרה הוא מצא דרך להפעיל פקודות שרירותיות מרחוק. "דיבבתי את זה המנצל של רון בורגונדי, " הודה הפנר. "זה פשוט מנהל את כל מה שאתה נותן לו, וזה ישלח לך תגובה." בכמה מקרים הוא מצא אישורי כניסה למנהל מקודדים בקושחה. "הבעיה עם סיסמאות סודיות המקודדות בקשיחות ודלתות אחוריות סודיות", אמרה הפנר, "היא שהם לא נשארים בסוד."
בסופו של דבר, הפנר השיג גישה ברמת השורש לכל מצלמה. הוא ציין שיש שימוש חוזר בקוד עצום בין דגמים של חברה עצמה וגם בין חברות, ולכן הפגיעויות הללו מכסות המון מצלמות. ומכיוון שקושחת לעיתים רחוקות מתעדכנת, פגיעויות מלפני מספר שנים עדיין ניתנות לניצול.
זה מחמיר
הפנר ציין כי מרבית מצלמות האבטחה מחוברות לרשת המשרדית. "אני נמצא ברשת שלך, אני יכול לראות אותך ואני שורש, " אמר. "מיקום לא רע! יש לי שליטה ברמת השורש על מחשב מבוסס לינוקס ברשת שלך."
"אבל בואו ניקח צעד אחורה", המשיך הפנר. "מה אוכל לעשות למצלמה עצמה? אני יכול לשנות את זרם הווידיאו, האק ההוליוודי הקלאסי." הוא סיים הפגנה בעולם האמיתי, והקים מצלמה שתגן על בקבוק בירה על שולחן הרמקול. כשהמצלמה במקום הייתה משיקה, הוא השיק ניצול שצירף את ראיית המנהל כדי להראות את הבקבוק, בריא ושלם בזמן שהוא "גנב" את הבקבוק. הנוכחים אהבו את זה.
מצלמת חוסר ביטחון?
"מרבית הבאגים האלה הם טריוויאליים מבחינה אפית", סיכם הפנר. "רוב המצלמות יגידו לך את מספר הדגם גם אם אינך מאומת. אני יכול לגוגל את הדגם, להוריד את הקושחה ולהתחיל לנתח אותו מבלי לקנות מכשיר." למעשה, הפנר פיתח את כל ההתקפות הללו אך ורק על ידי ניתוח קושחה, לפני שבדק אי פעם במצלמה.
לשאלה אם הוא מצא מצלמות אבטחה שהוא לא יכול לפרוץ, אמר הפנר לא. "יש כל כך הרבה יותר, אבל הייתי צריך לפחות שעתיים לדבר."
אתר שודן מקל על חיפוש מצלמות הנראות מקוונות. אם יש לך מצלמות אבטחה במשרד או במפעל שלך, עדכוני הווידיאו שלך כבר עשויים להיות פתוחים לרווחה. גם אם הם לא, סביר להניח שהאקר יכול להשתלט על עדכון הווידיאו. בפרט אם אתה משתמש במצלמות מכל אחד מהספקים שהוזכרו, תרצה לבדוק בקפידה את המצגת של Heffner, מכיוון שהיא מכילה פרטים מלאים שיאפשרו לכל אחד לפרוץ את המצלמות המושפעות. יש כאן יותר על כף המאזניים מאשר לדאוג שדני אושן ישים את המצלמות שלך בשביל היסט.
