1

Tråd: Intrång till videokameror

Idag var det artikel i DN och inslag på Rapport om mängder av otillåtna besök i en uppsatt IP-kamera. Inte så konstigt  eftersom man inte ändrat fabriksinställda lösenordet. I artikeln rekommenderades att man enbart ska komma åt kamerorna via VPN-tunnel. I TV inslaget körde man dumlinjen och sade bara fy och usch för kameror.

en intressant detalj var att man hade loggat all trafik till kameran via routern inklusive IP-adresserna intrången kom från. Hur åstadkommer man sådan loggning?

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.

2

Sv: Intrång till videokameror

I artikeln står det tydligt:
"Vi köpte en webbkamera och kopplade upp den i reportern Kristoffer Örstadius bostad. Ur integritetsperspektiv programmerade vi en enhet som utgav sig för att vara kameran som visade webbkameravyn i direktsändning. Men istället visade den en treminutersfilm som gick om och om igen."

Upplägget var ju att man hade lagt in en filmsekvens istället för att kameran registrerade i realtid. I så fall måste det ha varit genom att man via en hemsida gav sken av att vara en kamera i realtid.
Med Extremetracking inlagt i hemsidan registreras IP-adresserna på besökarna.

https://extremetracking.com/

3

Sv: Intrång till videokameror

Fel av mig. Trafiken var inte till kameran utan till en websida som utgav sig för att vara kameran. I så fall var ju kameran helt onödig för testet.

Kan man logga besökares IP-adresser när det gäller uppkoppling mot annat än en hemsida? Man borde kunna fånga upp trafiken i routern. Att få in tracking  i kamerans mjukvara verkar svårt. Dessutom kanske man inte vill ha en dator igång. 

Problemet gäller inte bara kameror utan även t ex internetanslutna larm som behöver åtkomst utifrån. Vid flera tillfällen har ett larm loggat skumma uppkopplingar som upphört samma minut som de inletts. Särskilt märkliga är raddan kl 0730 en morgon. Uppkopplingen har skett över com4 som är LAN-interfacet. 2015 verkar försöken ha skett över analog linje. Om man bara ringer upp larmet från en telefon fås inget uppkopplingsförsök registrerat. Ringde upp nu från en fax och får kolla senare om det registrerats som uppkopplingsförsök. 

http://i.imgur.com/bRxXqoR.jpg


http://i.imgur.com/YFyWzP3.jpg


Bäst är nog att avstå från port forwarding och köra VPN istället. För AVMs routrar finns t ex följande instruktion för VPN förbindelse mellan router och Iphone/ipad

https://en.avm.de/service/vpn/overview/

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.

4

Sv: Intrång till videokameror

Här är några övervakningsprogram i post #4

http://www.lte-anbieter.info/lte-forum/ … ng-gesucht

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.

5

Sv: Intrång till videokameror

Fick svar på LTE forum i tråden ovan. det räcker med en Raspberry Pi  kopplad till en AVM router,  t ex 6840. Routerns fw behövde inte modifieras.

https://www.crnet.de/crnet-work/raspber … -fritzbox/

Det funkar också med routrar med t ex Openwrt. I texten står det att han inte vill "freeza" fritzboxen. Det anspelar på modifierad fw som tagits fram för bl a adsl -routrarna och som kallas Freetzbox. Någon anvisning för övervakningsprogramvara för Freetzbox har jag inte sett.

LTE testare på 4G 2600, 1800, 900, 800 med Fritzbox AVM 6890, AVM6840, AVM6842, AVM 6820 och AVM 7590/7490/7390 samt diverse mifis från ZTE och Netgear. Några huaweimodem på hyllan.

6

Sv: Intrång till videokameror

Detta att folk söker efter dåligt skyddade IP-kameror är rätt vanligt. Sök på en vanlig fras på kamerans inloggningssida i Google och man hittar gott om oskyddade kameror eller kameror som har default password.

Är man lat finns särskilda sökmotorer för ändamålet. Exempel: http://2-putlocker.com/w.php
Resultat från en sådan sökning: http://www.camhacker.com/live-sony-webc … mn-sweden/

Jag har IP telefonväxel. Sådan är populär att hacka för "fria samtal".
Det är "normalt" med åtskillig intrångsförsök till denna, flera gånger per dag.
Telefon-växelns ip-adress att söka efter finns åtkomlig via olika databaser men har aktiv IP-blockering.
Angriparen kör vanligen med ett skript som testar vanliga user/pass kanske upp till 10 ggr per sekund.
Mitt motdrag är att när fel password angivits 3 ggr hamnar intrångs-IP på routerns svart-listan i 5 år.

Har webb-kamera uppsatt i sommarstugan. Har dock hackat standard inloggnings-sidan så att oavsett password, trycker man på knappen inloggning så leder den alltid till ett stillfoto av en WC. Kunde lagt upp en repeterande film-snutt som man gjort i tidnings-scoopet, men vill inte belasta förbindelsen med onödigt streamat jox.
Verklig inloggning till kameran görs på annat sätt, som inte ens kräver lösenord. Säkerheten består mer i att det är en webb-adress som bara är åtkomlig om man besökt en speciell, annan adress tidigare.

Använder liknande princip på min FTP-server.
Inloggning med user:admin och pass:vadsomhelst leder det till en verklig inloggning till min FTP-server, men till en isolerad del av disken, med en samling nedladdningsbara lustiga filer, bl.a med namn typ secret.jpg och exe-filer som inte ger virus-signatur, men visar fingerad fullskärms blå-skärm om den startas i windows-miljö, med lite oroväckande fel-meddelanden och låst tangentbord.
Efter en minut så blir skärmen svart med en enkel vit text-rad "No boot info found, erase complete."
Slutligen skapar programmet en bat-fil som programmet öppnar och kör bat-filen som då evt. raderar exe-filen och blockera så att filen aldrig mer körs på denna datorn via en register-notering.
Filen beordrar slutligen den lokala Iexplorer att öppna en särskild hem-side-adress, där anropande IP sparas och loggas.
Det är i snitt någon i veckan som får sin IP loggad efter att ha kört detta programmet.

Många routrar kan via övevakning från annan dator debuggas på omfattande mängd information inklusive all inkommande och utgående IP-trafik. Även enklare routrar som inte ens annonserar att funktionen finns har den ändå ofta.
Samma sak gäller IP-kameror, som kan loggas på motsvarande sätt.
Ofta med 3:parts firmware till routrar, finns funktionen tillagd.
En Logitech kamera-firmware visade sej vara fabriks-hackad, så den skickade alla ip-adresser och annat till en rysk server.

När företag skaffar sej ny hårdvaru telefon-växel så är konfigurationen av tele-växeln numera oftast via ett webb-gränsnitt.
Det händer regelbundet att företagen klagar på att deras växel blivit hackad och nästan alltid beror det på att man kör med default user/pass till växelns inloggningssida.
Det dräller av små-kids som kör aktiv scanning efter sådant dygnet runt. Hittar de något så jäklas de bara för att visa att "Goran har varit här".

Det är förvånande ofta som folk kör med default user/pass på sådana saker. Det gjorde man även i tidning-scoopet.
Om man undviker pass 0000 eller 1234 så är skyddet betydligt bättre. De som försöker hacka sej in gör det ofta med hjälp av färdig listor med vanliga lösenord. Dessa listor är nästan alltid baserade på engelska som språk. Lösenordet "ett2tre4" är därför ogenomträngligt för dessa som scannar på detta sättet.
Att söka igenom alla tänkbara kombinationer av bokstäver/siffror för en ej allt för snabb router kommer det ta åratal att söka igenom ett lösenord typ ovan svrnska pass. Det finns inga kids som orkar göra det för en privat router.
Vissa IP-kameror har haft säkerhetsbrister typ master-address som gjort att man helt kunnat gå förbi det ordinarie user/pass- skyddet.
Köper man noname IP-kamera på Ebay så är det svårt att veta vilka säkerhetsbrister och bakdörrar som evt. finns i firmwaren. Om kameran kommer bevaka ytterdörren till huset så kan man kanske bjuda på risken för att någon annan kommer att titta på din ytterdörr i någon minut.

Är man företag med behov av att verkligen skydda t.ex. egna mailservrar, och kan räkna med att någon verkligen vill anstränga sej att ta sej in på just detta företaget, så gäller helt annan nivå på vettigt skydd.
Vilket allt för ofta saknas då omfattande skydd är svårt och bökigt att hålla aktivt.
När sedan de mer komplicerade rutinerna brister för företaget, kan resultatet bli att man ligger mer vidöppna än med pass 1234.