Populaire ip-camera door lek op afstand af te luisteren
Een beveiligingslek in een populaire ip-camera maakt het mogelijk voor kwaadwillenden om gebruikers op afstand af te luisteren. Het gaat om de Amcrest IP2M-841B, één van de best verkopende dome-camera's op Amazon. In werkelijkheid gaat het om een camera van fabrikant Dahua die onder een andere naam wordt aangeboden.
Tijdens het onderzoeken van de firmware van de camera ontdekte beveiligingsonderzoeker Jacob Baines van securitybedrijf Tenable dat het mogelijk is om gebruikers op afstand af te luisteren. De audio is namelijk zonder authenticatie toegankelijk via http. In het geval de camera via internet toegankelijk is, is het eenvoudig om met de audiostream mee te luisteren. Alleen door het opgeven van het ip-adres van de camera in VLC media player kan de audiostream worden opgevangen.
VLC herkent de container van de audiostream niet, maar Baines schreef een script zodat de audio vervolgens via ffplay te beluisteren is. De onderzoeker vond meer dan 117.000 ip-camera's die via internet toegankelijk zijn. Amcrest werd op 8 mei van dit jaar over de kwetsbaarheid geïnformeerd en kwam afgelopen maandag met een beveiligingsupdate. Gebruikers krijgen dan ook het advies om de update te installeren en hun camera's niet aan het internet te hangen.
Tegen de instructies van de fabrikant ook niet:
https://support.amcrest.com/hc/en-us/articles/360001104192-Amcrest-View-Pro-App-WiFi-Configuration-Setup
....step2:
En natuurlijk dit:
https://support.amcrest.com/hc/en-us/articles/360013234611-IP-Domain-DDNS-Setup-Recommended-
Dat zegt hij niet. Je kan ook de camera op het internet aansluiten, achter een firewall bijvoorbeeld. Of zorgen voor andere vorm van access control, zodat niet iedereen de camera, vanaf internet, kan bereiken.
Iedere internets misbruiker zou verplicht een basiscursus beveiliging moeten krijgen met examen en een "internetbewijs": zonder "internetbewijs" geen internet toegang. Tenslotte hebben we ook een rijbewijs...
Nah, zie dat niet gebeuren (en da's misschien maar goed ook), dus samen met dat debiele advies van de fabrikant (en geen default random password) blijven we hier wel last van houden.
Iedere internets misbruiker zou verplicht een basiscursus beveiliging moeten krijgen met examen en een "internetbewijs": zonder "internetbewijs" geen internet toegang. Tenslotte hebben we ook een rijbewijs...
Nah, zie dat niet gebeuren (en da's misschien maar goed ook), dus samen met dat debiele advies van de fabrikant (en geen default random password) blijven we hier wel last van houden.
Het verschil met verkeersdeelname is dat je daar geen motorvoertuigtechniek voor gestudeerd moet hebben om veilig deel te kunnen nemen aan het verkeer. Ik ben van mening dat we een zeer complexe techniek toegankelijk willen maken voor de “gewone man”. Dat bied uitdagingen die waarschijnlijk nooit opgelost gaan worden, omdat de basiskennis al een opleiding op zich is. Tja en dan haakt 90% al af. Laten we het nog maar niet hebben over de oudere onder ons. Die hebben nu al moeite om de techniek bij te houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
