Сегодня мы поговорим о том как можно получить доступ к любой камере видеонаблюдения.
Автор стать никого не принуждает повторять увиденное.Материал предназнчен в целях ознакомления и был взят с github.Использовние прочитанного во вред повлечет за собой ответственность.
для поиска камер мы
давайте воспользуемся поисковиком shodan.io,
который умеет производить поиск по всем
устройствам которые сейчас подключены к
интернету
благодаря специальному
запросу о нам на карте покажет
список камер только посмотрите на
это огромное количество камер здесь вы
можете попробовать найти свои ip адрес и
проверить защищенность своей камеры
основная информация моей камеры: работает
как видите она на основе сервера google
feud
самый дырявый сервер впрочем как и все
остальные
эта камера
по умолчанию работает на восемьдесят
первом парту а значит злоумышленник
будет подключаться именно по этому по
порту
давайте возьмём мой ip адрес и
откроем его через браузер указав через :
дополнительно порт
тут появляется окно
авторизации
пока все вроде бы хорошо на
злоумышленника надо будет брутфорс наш
пароль зная что я умею выбирать пароль и
я спокоен потому что брутфорс такого
пароля займет несколько десятков лет и
мне кажется что я защищен но
нет друзья мы все очень плохи в камерах
Все логины пароли хранятся специальных
файлах конфигурации и в дорогих и
нормальных камерах этот файл мало того
что защищен от считывание он еще хорошо
зашифрован и злоумышленник получив этот
файл не сможет ничего себе сделать кроме
как начать
расшифровывать это очень долго это очень
сложно но,
производители камер
допустили просто серьезнейший фейл и
злоумышленник отправив специальный
запрос на нашу камеру
может получить этот конфиг файл и он
даже не будет зашифрован
сам запрос
который позволит злоумышленнику получить
доступ к нашей камере выглядит вот такой КОНФИГ ФАЙЛ
/system.ini?loginuse&loginpass
он просто дописывает к адресу камеры вот
такой параметр который заставляет камеру
выдать злоумышленнику файл конфигурация
и как можете увидеть я не
авторизовавшись сейчас попал файловую
систему камера и скачал файл
конфигурации а дальше злоумышленнику
даже не нужно базовых знаний в области
криптографии поскольку все логины пароли
тут
ЕСЛИ У ВАС ПОЯВИЛИСЬ КАКИЕ ВОПРОСЫ ИЛИ ЧТО-ТО СТАЛО НЕЯСНО-ЗАДАВАЙТЕ ИХ В КОММЕНТАРИЯХ И Я НА НИХ ОТВЕЧУ!
