Камера висит в коридоре третий год. Показывает входную дверь. Приложение на телефоне — можно смотреть из любой точки мира.
Удобно. Безопасно. Так кажется.
Если не меняли заводской пароль — камера, возможно, уже открыта. Прямо сейчас.
Shodan — поисковик по устройствам в интернете. Находит всё, что торчит в сеть без защиты. 124 000 камер по всему миру — без пароля, в открытом доступе. Из них 6 374 в России. Пятое место в мире.
И это только те, что нашёл поисковик. Реальная цифра больше.
Почему камеры оказываются открытыми
Три причины. Каждая — распространённая.
Первая: заводской пароль. Большинство дешёвых IP-камер выходят с завода с одинаковым логином и паролем — admin/admin, или admin/12345, или вовсе без пароля. Это написано в инструкции. И в интернете. И в базах данных хакерских инструментов.
Роскачество проверяло популярные модели: часть из них имела пароли прямо в открытом виде — в исходном коде прошивки. Разработчики оставили их для отладки и не убрали перед выпуском.
Вторая: облачный доступ. Камера подключается к серверам производителя — чтобы вы могли смотреть картинку из приложения. Если сервер взломан или имеет уязвимость — доступ к вашей камере получает любой, кто об этом знает.
Один из крупных производителей камер, о котором писал The Verge, обещал шифрование видеопотока. На деле поток шёл без шифрования — его можно было смотреть через обычный видеоплеер, зная адрес.
Третья: старая прошивка. Производители находят уязвимости и выпускают обновления. Но большинство пользователей прошивки не обновляют. Камера работает — и ладно. А уязвимость остаётся открытой.
Что может сделать тот, кто получил доступ
Смотреть. В реальном времени — что происходит в квартире, когда вы дома и когда нет. Где стоит техника. Когда вы уходите. Есть ли дети.
Управлять. Камеры с поворотным механизмом можно направить в нужную сторону. Исследователи описывали случаи, когда за одну камеру одновременно «тянули» несколько посторонних — меняли ракурс, наблюдали за реакцией друг друга.
Но это ещё не всё.
Взломанная камера — это устройство внутри вашей домашней сети. С неё можно атаковать роутер, компьютер, другие устройства. Камера становится плацдармом — точкой входа, через которую добираются до всего остального.
Именно так работал ботнет Mirai. Перебирал стандартные пароли на камерах и видеорегистраторах. Заражал. Гнал трафик в массированные атаки на крупные сервисы. Хозяева камер не знали ничего.
Как проверить прямо сейчас
Откройте настройки камеры — через приложение или браузер. Найдите раздел безопасности или учётных записей.
Если там написано admin/admin или 12345 — это заводской пароль. Его надо сменить немедленно.
Если вы не помните, меняли ли пароль — скорее всего, не меняли. Большинство людей при настройке камеры пропускают этот шаг.
Проверьте ещё: бывают скрытые аккаунты разработчика. Производитель оставил их для отладки — и не убрал перед продажей. Войти можно, пользователь изменить не может.
Что делать
Первое. Смените пароль сразу после покупки. Уникальный, не менее восьми символов, с буквами и цифрами. Запишите — потом не вспомните.
Второе. Обновите прошивку. Зайдите в настройки — найдите пункт «обновление прошивки» или «firmware update». Установите последнюю версию. Повторяйте раз в несколько месяцев.
Третье. Подключите камеру к отдельной сети. Большинство современных роутеров умеют создавать гостевую сеть. Подключите камеру туда. Настройте запрет доступа из гостевой сети в основную. Тогда даже если камеру взломают — до ваших компьютеров не доберутся.
Четвёртое. Не смотрите камеру удалённо — отключите облачный доступ в настройках. Нет соединения наружу — нет точки входа.
Пятое. Не вешайте камеру там, где не хотели бы оказаться в эфире. Спальня, ванная, место где дети играют — если нужен контроль, ставьте наружу или в коридор, но не в личное пространство.
Проверили пароль на своей камере? Что нашли? Напишите в комментариях — и предупредите тех, кто только планирует покупку.