Veszélyes lehet az otthoni biztonsági kamerarendszer
Rés a pajzson
A családi házat, nyaralót biztonságban tudni jó dolog, manapság ehhez egészen olcsón is lehet eszközöket vásárolni. Ilyen a Wi-Fi-hálózatra csatlakozó kültéri biztonsági kamera, amelynek képeit élőben nézhetjük akár a munkahelyen, vagy éppen nyaralás közben bizonyosodhatunk meg róla, hogy minden rendben van otthon. Ám felmerül a kérdés: ki láthatja még rajtunk kívül ezeket a felvételeket, és ami még fontosabb, milyen veszélyekkel jár, ha illetéktelen kezekbe kerülnek?Biztonsági szempontból nem kis kockázatot rejt az egyre szaporodó IoT-eszközök megjelenése a háztartásban, vagyis azoké az internetre kapcsolódó háztartási kis- és nagygépeké, amelyek szenzoraikkal adatokat rögzítenek, majd továbbítják azokat egy távoli szerverre. Az okosotthon-rendszer vezérlőberendezésében gyakran kritikus pontokon tárnak fel sérülékenységet a vizsgálódó IT-biztonsági szakemberek: ezek pedig lehetőséget adnak a virtuális betörőknek, hogy belépjenek a feltört okosotthonba, ahol a kémkedéstől a szabotázsig bármit megtehetnek. Sajnos ugyanez a helyzet egy egyszerű, internetre csatlakoztatott kamerarendszer esetében is. Mivel az alacsony és közepes árfekvésű eszközök zöme Kínából érkezik, az a kérdés is felmerül, vajon hozzáférhetnek-e a kamerafelvételekhez az ázsiai nagyhatalom titkosszolgálatai. Noha az elmúlt években számos eszköz, többek között mobiltelefonok, routerek kapcsán merült fel a gyanú, hogy nem csak azt a célt szolgálják, amire a felhasználó szánja őket, annak a valószínűsége, hogy egy átlagos felhasználó kamerafelvételeit külföldi szervezetek fogják elemezni, elenyésző annak veszélye mellett, hogy hétköznapi bűnözők élnek vissza velük. Vegyünk egy kézenfekvő példát: egy olyan betörésre szakosodott banda, amelynek informatikus tagja is van, naprakész információkat szerezhet róla, mikor nyaral a család és áll üresen az otthonuk.
Miért nagy a kockázat?
Úgy tűnik, rengeteg a hackerek lehetősége.
– Egy hacker több száz potenciálisan sérülékeny IoT-eszközt találhat, amelyet feltörhet. A kameráknak, csakúgy, mint az összes többi internetre csatlakozó eszköznek, van IP-címük, amelyet könnyű megtalálni a Shodan használatával, amely a csatlakoztatott eszközök keresőmotorja. Ez különösen nagy veszélyt jelent, mivel a legtöbb vállalat alapértelmezett jelszavakat használ az eszközein – olvasható az informatikával és biztonságtechnikaával foglalkozó Alphasonic Kft. oldalán. A térfigyelő kamerákat használó vállalatok gyakran nem tesznek elegendő erőfeszítést kameráik és az általuk továbbított adatok védelmére annak ellenére, hogy a videóanyag sok embernek nagyon fontos lehet – figyelmeztet a cég hozzátéve, a legtöbb gyártó kameráján a firmware úgy van programozva, hogy a végfelhasználó tudta nélkül kapcsolatot tartson a gyártó szerverével. A legtöbb felhasználó – mind a magán-, mind a vállalati szférából – nincs tudatában ennek, ezért nem tesz semmilyen lépést annak érdekében, hogy megvédje magát ettől a potenciális biztonsági réstől. Az eredmény harmadik féltől származó anyag kiszivárgása vagy akár sikeres hackertámadás is lehet.
Tipikus hibák
2019-ben a Ring, az Amazon által készített otthoni biztonsági kamerarendszer néhány esetben kritikát kapott a felhasználói adatok kezelésével kapcsolatban. Egyes esetekben hackerek illetéktelenül piszkáltak hozzá mások otthoni kamerarendszeréhez, és nézhetővé tették a felvételeket. Ezek a támadások leginkább a gyenge jelszóvédelemre és a felhasználók figyelmetlenségére vezethetők vissza. 2020-ban az Ezviz, egy népszerű kamerarendszer-gyártó szintén szembesült adatvédelmi problémákkal. Az egyik figyelemre méltó esetben egy biztonsági kutató felfedezte, hogy külső támadók hozzáférhetnek az Ezviz kamerarendszer felhasználói adataihoz, beleértve a felvételeket és a live streameket. Mindez az adatbiztonsági intézkedések hiányával és a sérülékeny rendszerkonfigurációval volt kapcsolatban. Egyes Xiaomi Mijia otthoni kamerarendszerek esetében is felfedeztek egy igen gyenge pontot, amely lehetővé tette a támadóknak, hogy hozzáférkőzzenek a felvételekhez, és manipulálják a rendszert. Ez a sérülékenység szintén adatvédelmi hiányosságokból, ezenkívül a kamerarendszer szoftverének hibáiból eredt. Ez csak néhány példa a sok közül, ugyanakkor fontos megjegyezni, hogy a botrányok nagyrészt a gyenge jelszavakkal vagy a sérülékeny rendszerekkel voltak összefüggésben. Az ilyen esetek hangsúlyozzák az otthoni kamerarendszerek megfelelő konfigurálásának és a biztonsági intézkedések betartásának fontosságát.
Elkerülni a legrosszabbat
Olcsóbb kamerarendszerek használatakor a felvételeket gyakran helyben tárolják. Ez általában a kamera saját tárolóeszközén történik, például egy beépített merevlemezen vagy SD-kártyán. A helyi tárolás előnye, hogy a felvételek közvetlenül a kamerán maradnak, és nincs szükség internetkapcsolatra a megtekintéshez. Így távolról ugyan nem követhetjük a felvételeket, de fel sem törhetők.
A közepes árfekvésű és drágább kamerarendszerek általában felhőalapú tárolási lehetőséget is kínálnak. Ez azt jelenti, hogy a felvételek a kamera által támogatott felhőszolgáltatásokban jelennek meg.
Ilyenkor az adatbiztonság a felhőszolgáltató által nyújtott védelemre és adatvédelmi intézkedésekre támaszkodik. Ha egy szolgáltató biztonsági rést tartalmazó rendszert használ, vagy nem hozott megfelelő védelmi intézkedéseket, fennáll a veszélye, hogy illetéktelenek hozzáférhetnek a felvételekhez.
– A hackertámadások egyik trükkje, hogy nincsenek figyelmeztetések. A legtöbb esetben a hackerek minden előjel nélkül hatolnak be a rendszerbe, és csak akkor vesszük észre, hogy támadás történt, amikor szembesülünk a kiszivárgott felvételek miatti veszteséggel. Napok vagy akár hónapok is eltelhetnek a hackertámadás és a rendszer sérülésének észlelése között. Kettős rendszereknél a sávszélességcsúcsok figyelemmel kísérése jó módszer lehet a feltörések észlelésére, amelyek bizalmas adatok, például képek vagy videók kiszivárgását mutatják meg. Számos forgalomfigyelő eszköz áll a magán- és a vállalati felhasználók rendelkezésére, amelyekkel kezelhetik és kontroll alatt tarthatják vagy csak figyelemmel kísérhetik a hálózatot – foglalja össze az Alphasonic.