גוגל כיף: להציץ ולשלוט במצלמות אבטחה לא מאובטחות

מעט רשלנות ואולי עצלנות של מנהלי רשת הותירה ברשת מספר עצום של מצלמות אבטחה נגישות לציבור. בואו להציץ

גל מור, חורים ברשת | 20.04.2011

מצלמת מעקב | צילום: Public Domain

בשנים האחרונות אפשר לראות מצלמות אבטחה בכל מקום: ברחובות, בחנויות, בכיכרות, במוסדות ציבור ובמקומות נוספים. בכל מקום שתביטו מחוץ לבית סביר להניח שמותקנת מצלמה. אבסורדי ככל שזה יישמע, רבות ממצלמות האבטחה האלה אינן מאובטחות.

מצלמות האבטחה האנלוגיות של פעם חוברו באופן פזי למערכת הקלטה מרכזית והתחזוקה שלהן עלתה הון. מצלמות אלה הוחלפו במצלמות מבוססות IP המשדרות בסטרימינג בזמן אמת למפעילים או ניתנות לצפייה מרחוק בשלב מאוחר יותר.

לכל מצלמה דיגיטלית אלחוטית מוקצית כתובת IP ובניגוד למצלמות רשת ציבוריות היא נועדה לצורכי אבטחה ולא לשידור ברשת. עם זאת, מנהלי הרשתות של מצלמות אלה לא הגבילו את הצפייה בהן אם עקב רשלנות או חוסר מודעות. כתוצאה מכך, הן נגישות לצפייה "בדלת אחורית" דרך גוגל (תהליך שנקרא Googledorks) באמצעות שימוש במילות מפתח מסוימות הכוללות את שמות מותגי המצלמות המשמשות ברירת מחדל במערכות של מצלמות האבטחה. למשל, חיפוש מילות המפתח הבאות:

inurl:"ViewerFrame?Mode=" -inurl -intitle

לא רק שאפשר לגשת למצלמות אלה דרך דפדפן, ניתן גם לשלוט בזוויות הצפייה ולעבור בין מצלמות שונות במקים מסוימים. קשה לקרוא לזה האקינג משום שהמצלמות זמינות לצפייה או ליין, על אף שזו לא הכוונה של בעלי המצלמות. העובדה שבעלי המצלמות לא בהכרח מודעים לכך שהם משדרים און ליין הופכת את הצפייה למעניינת. אם זה לא ריאליטי טהור אז לא ברור מה כן. אתם יודעים איך זה, הרשלנות של אחד היא תכני הצפייה של אחר.

מצלמות אבטחה לא מאובטחות | צילום: צילום מסך - חורים ברשת

לא כל המצלמות משדרות תכנים אסורים או חושפניים. למעשה, רובם נראים תמימים למדי: איש ניגש לחנות סגורה ביפן. מה הוא עומד לעשות?; ג'ירף בכלובו; פנדה אדומה משוטטת בחוסר מנוחה במיאזקי; שני יפנים עם חלוקים לבנים במעבדה; חדר טיפולים של רופא. מדהים כמה מצלמות אבטחה ניתנות לצפייה ברשת.

מאות עד אלפי תוצאות בחיפוש צירופים ספציפיים כמו:

intext:"MOBOTIX M10″ intext:"Open Menu"

intitle:"Live View / - AXIS 206M"

אפשר למצוא רשימה ארוכה של מילות מפתח לחיפוש מצלמות אבטחה באתרים רבים ברשת.

http://users.telenet.be/thyxx/Thyx/Tutorials/hackingcamswithGoogle.html

http://hardware.slashdot.org/comments.pl?sid=1955784&cid=34919654

הטריק הזה די עתיק, למען האמת. פורומים רבים עוסקים בחילופי קישורים של מצלמות IP לא מאובטחות ברחבי העולם. החיפוש אחריהן מספק אתגר ועניין כאשר הסקרנות לגלות מצלמות חדשות היא הדלק שממריץ להמשיך. כמובן שזה הרבה פחות משעשע לגלות ברשת מצלמה המשדרת מהגן של ילדכם. מצלמות כאלה אינן רק סיכון אבטחה אלא גם פרטיות במקרים מסוימים. בשנה שעברה עלו חברים בקהילת 4Chan על פיד של מצלמת אבטחה ביתית ובו פעילות מינית נמרצת בין זוג רדנקים. החברים איתרו את הכתובת והטלפון של הזוג די בקלות ואף תיעדו את השיחות עמם.

העובדה שכל כך קל לאבטח מצלמות כאלה באמצעות שם וסיסמה והפרסומים הרבים בנושא ברשת לא מונעת את המשך המחדל הוותיק הזה. לא תמיד מדובר במחדל, שכן חלק ממצלמות האבטחה האלה משודרות ברשת ביודעין ואף מתפרסמות באתרי האינטרנט של החברות שהתקינו אותן. מה שחשוב להפנים זאת הסבירות לכך שאם תשוטטו ברחוב או תיכנסו לחנות, ייתכן שלא רק שתצולמו אלא גם שתמונתכם תשודר ברשת לכל העולם. נכון שזה מגביר לכם את תחושת הביטחון?

פורסם במקור בבלוג חורים ברשת