Inmiddels zijn er steeds meer mensen die vanwege beveiliging en privacy hun webcam afplakken, maar als het gaat om de installatie van een digitale pleister blijken gebruikers het massaal te laten afweten. Vorige week tijdens de Hack in the Box conferentie in Amsterdam lieten twee onderzoekers zien dat duizenden IP-camera's onnodig openstaan.
Sergey Shekyan en Artem Harutyunyan van beveiligingsbedrijf Qualys gaven een presentatie over een populaire IP-camera waar verschillende kwetsbaarheden in werden ontdekt. Het gaat om de Foscam Indoor Wireless IP Camera. Een goedkope camera van Chinese makelij, waarvan de hardware en software ook in de IP-camera's van allerlei andere merken worden gebruikt.
Aanbieding
Het onderzoek naar de IP-camera's begon met een kerstaanbieding. Voor minder dan 70 dollar werden de apparaten aangeboden, die naast het weergeven van beelden ook e-mails kunnen versturen en gegevens naar FTP-servers kunnen uploaden. De camera bevat namelijk een ingebedde webserver die voor het internet toegankelijk is. "Toen begonnen we met de camera te spelen en vonden wel veel problemen."
De twee onderzoekers ontdekten dat het zeer eenvoudig is om via het internet toegang tot de camera's te krijgen. Het is mogelijk om zonder wachtwoord in te loggen, of het gebruikte wachtwoord te achterhalen. Daarbij is het ook mogelijk voor kwaadwillenden om software op de camera te installeren, zonder dat dit ten koste van de functionaliteit van de camera gaat.
De eigenaar van deze apparaten zouden in dit geval niets door hebben. Tijdens hun demonstratie lieten Shekyan en Harutyunyan zien hoe ze een proxy-server op de camera installeerden. "De proxy fungeert als proxy-server voor de aanvaller, maar fungeert als camera voor de eigenaar."
Geheugendump
Via de zoekmachine Shodan en een functionaliteit van de camera's zelf wisten de onderzoekers tussen de 100.000 en 140.000 kwetsbare camera's te vinden. De camera's registreren automatisch een hostname waardoor gebruikers die eenvoudig kunnen benaderen. Hierdoor konden de onderzoekers allerlei kwetsbare camera's achterhalen.
Standaard staat er geen wachtwoord op de camera's ingesteld. En zelfs als dit wel is gedaan blijkt dit onvoldoende om pottenkijkers buiten te houden. Een lek in de software maakt het mogelijk om op afstand het geheugen van de camera te 'dumpen', waarin ook de inloggegevens staan.
Het opgeven van een bepaalde link is in dit geval voldoende. Daarnaast gaat het niet alleen om het wachtwoord van de camera, maar ook FTP- en e-mail inloggegevens die de gebruiker heeft ingevuld.
Populair
De camera's werden op allerlei locaties aangetroffen, van kinderkamers tot garages. Eén van de camera's was zelfs door een bedrijf opgehangen om het personeel in de gaten te houden. De eigenaar van het bedrijf was echter niet de enige die kon meekijken.
"En de camera is zeer populair. Je kunt veel Chinese klonen vinden. Foscam is ook een Chinees bedrijf, maar er zijn dus klonen van het Chinese bedrijf door andere Chinese bedrijven." Er werden minimaal vijf leveranciers gevonden die de camera's aanbieden. Ook in Nederland troffen de onderzoekers de camera aan.
Het onderzoek was volgens de twee onderzoekers niet lastig en zou eenvoudig door anderen te herhalen zijn. "Ik zou zeggen dat het verrassend eenvoudig was", zegt Shekyan. "Voor iets dat als een beveiligingsapparaat wordt aangeboden is het belachelijk eenvoudig."
Update
De fabrikant van de webcams werd ingelicht en stuurde de onderzoekers een e-mail dat ze binnenkort benaderd zouden worden, maar het bleef vervolgens stil. Volgens de onderzoekers reageren de fabrikanten van dit soort apparatuur vaak slecht op meldingen over veiligheidsproblemen.
Toch is er twee weken geleden nieuwe firmware verschenen waarin het niet meer mogelijk is om de inhoud van de camera te dumpen en zo wachtwoorden te achterhalen. Er werd echter geen enkele camera op internet gevonden die over deze nieuwe firmware beschikt en daardoor beschermd is.
Het is namelijk niet mogelijk om de software automatisch te updaten en veel eigenaren hebben geen idee dat er nieuwe firmware beschikbaar is of dat er kwetsbaarheden in de camera aanwezig zijn.
Net als met software is het ook belangrijk dat gebruikers niet vergeten hun apparatuur te updaten, zeker als die aan het internet hangt. "Het is niet zo moeilijk, je hoeft alleen een bestand downloaden en dat vervolgens te uploaden via de interface. Twee keer klikken is voldoende", besluit Shekyan.
Deze posting is gelocked. Reageren is niet meer mogelijk.