Неделя Безопасности 09: Драма Информационной Безопасности Вокруг Nurserycam

На прошлой неделе разгорелся вялотекущий скандал вокруг Footfallcam, британского производителя специализированных веб-камер.

Публикация Регистра ваш материал дает предысторию: все началось с Сообщения Голландский исследователь OverSoftNL, в котором еще в начале февраля описал серьезные проблемы с безопасностью устройств компании.

Как выяснил эксперт, Footfallcam, предназначенная для подсчета проходящих мимо людей, построена на плате Raspberry Pi. Анализ прошивки показал не только «забытые» разработчиком отладочные файлы (и один музыкальный трек), но и фиксированный пароль доступа к сети Wi-Fi стандартного пользователя ОС Raspbian с паролем по умолчанию, а также включенный доступ.

по протоколу SSH. Другими словами, будучи добавленным в корпоративную сеть, устройство представляло собой огромную дыру в безопасности.

Но это был не единственный продукт производителя со странным подходом к защите.

Драма началась во время частной беседы исследователя и производителя.

Представители Footfallcam запросили услуги пентестинга у OverSoftNL и ее компании, но после предварительной оценки стоимости исследователя публично обвинили в вымогательстве и пообещали сообщить об этом в полицию.

Здесь к истории присоединился еще один исследователь, Эндрю Тирни, который 14 февраля опубликовано обзор проблем в другом устройстве того же производителя.

На этот раз мы говорили о Nurserycams. Их устанавливают в детских садах, а родителям предлагается скачать приложение, с помощью которого они смогут получить доступ к видео в потоковом режиме.

Утилита накладывает ряд ограничений на доступ, чтобы ее могли получить только родители и только в определенное время.

Как оказалось, Nurserycam не только общается с приложением по незащищенному протоколу HTTP, но и авторизованным родителям выдается пароль администратора для доступа к веб-камере, который не меняется.

Хотя пароли не были напрямую раскрыты в приложении, их было легко извлечь из потока данных.

При этом производитель веб-камеры постарался проигнорировать текущие проблемы, назвав администраторский доступ «приманкой для хакеров».

Одновременно случилось некоторые изменения в API работы с камерами, которые, однако, ничего не исправили.

Заключительным аккордом истории стал утечка пользовательские данные, предположительно возникшие в результате взлома серверов компании.

Об этом стало известно 22 февраля: в открытый доступ попала информация о 12 000 клиентах Nurserycam, включая открытые пароли.

Судя по анализу уязвимостей, можно говорить о многолетнем игнорировании базовых средств защиты пользовательских данных.

Об этом же говорят и свидетельства клиентов Nurserycam: несколько лет назад кто-то обнаружил, что прямой доступ к любым видеопотокам можно получить, перейдя по цифрам в URL, а архив записей некоторое время лежал на FTP без пароль.

Помимо прочего, эта история — пример ужасного общения специалистов по безопасности с вендором.

Информация об уязвимостях была обнародована до того, как производитель смог на нее отреагировать.

Но он также сделал все возможное для такого результата, вместо конструктивного общения рассылая угрозы и публично нападая на исследователей из фейковых аккаунтов в Твиттере.

Все, что могло пойти не так, пошло не так.

Что еще произошло

Ряд дыр в безопасности теоретически позволяет использовать навыки для фишинговых атак на пользователей и прочего.

Представители Amazon (как и в других подобных случаях) отрицают возможность вредоносных атак на умные голосовые устройства.

Специалисты «Лаборатории Касперского» опубликовано свежие исследования о деятельности группы «Лазарь», частично связанный с недавней атакой на исследователей безопасности.

В другом отчете «Лаборатории Касперского» освещать эволюция сталкерского программного обеспечения для незаконной слежки за людьми.

В Индии обнаруженный масштабная утечка данных о протестированных на коронавирус.

В коммутаторах Cisco Nexus 3000 и Nexus 9000 найденный (и закрыта) критическая уязвимость, получившая оценку 9,8 баллов по шкале CvSS — она позволяла удаленно получить root-права.

Теги: #информационная безопасность #детская камера

• Хотите Стать Тестером Видеоигр?

  19 Oct, 24

• Обзор Программного Обеспечения Интернет-Фильтра — Представляет Ли Видео-Сайт Опасность Для Ваших Детей

  19 Oct, 24

• Debian: Apt-Pinning, Например, Php5-Fpm И Nginx 1.0.4 (Способ Debian)

  19 Oct, 24

• Перенос Календарей, Контактов И Задач Из Outlook В Zimbra

  19 Oct, 24

• Создайте Шаблон Проекта Xcode.

  19 Oct, 24

• Установка Видеодрайвера Для Видеокарт Семейства Sis M671/M672 Под Ubuntu 11.04

  19 Oct, 24

• Зачем Мне Тз? Я Уже Знаю!

  19 Oct, 24

• Облачные Сервисы По Рецепту Microsoft: Практика Российских Сервис-Провайдеров

  19 Oct, 24

• Вы Едите За Компьютером?

  19 Oct, 24

• Читайте Контент Из Twitter, Не Переходя По Ссылкам

  19 Oct, 24