viernes, enero 04, 2013

El mapa del voyeur de las cámaras de seguridad

Las cámaras de seguridad se montan como sistema que disuada a un delincuente o para - en el caso de que el criminal no sepa que está la cámara - descubrirle y detenerle. Esto debería ser así, aunque ya vimos en el mi particular "Hall of Shame de Ladrones en modo EPIC FAIL" que alguno se atreve a robar un iPad en un feria de cámaras de seguridad. 

Por otro lado, lo de colarse en cámaras de seguridad que tengan un fallo de seguridad, que tengan una contraseña por defecto del fabricante, o que directamente estén sin contraseñas es algo muy habitual en el mundo de la seguridad informática y el hacking. Tiempo ha yo me dediqué a buscar las cámaras de seguridad que se ocultan por el puerto 81 y a encontrar cosas bastante turbias que podían ser un riesgo de seguridad para la persona que montó la cámara - paradójicamente montada para dar más seguridad -.

Esta semana en La Radio hablé de este caso, y en concreto del de las cámaras TrendNet, conocido desde hace mucho tiempo que se puede acceder a ellas sin usuario ni password por un fallo de seguridad, y para las que se ha creado una cuenta Twitter (@TrendNetExposed) - cono nos contaban en SecurityByDefault - para seguir en tiempo real el descubrimiento de las nuevas cámaras.

Figura 1: Cuenta Twitter donde se anuncian nuevas cámaras TrendNet vulnerables descubiertas

Sin embargo, lo que más me llamó la atención es que alguien ha creado un interfaz mucho más usable con un mapa de Google Maps, creando una especie de Panel de Control del Voyeurismo en http://cams.hhba.info/ que permite meterse en la vida de personas, comercios o empresas a golpe de clic.

Figura 2: Cámaras vulnerables descubiertas geoposicionadas

Desde el interfaz solo hay que ir haciendo clic y descubrir las cosas que menos te esperas. Otras cámaras están puestas en sitios que realmente asustan.

Figura 3: Cámara de seguridad vulnerable en habitación de niño

Este tipo de Mashups, que simplifican de manera brutal la explotación de un fallo de seguridad por cualquiera debería hacer reflexionar a los fabricantes de estos modelos de "cámaras de seguridad" vulnerables, y ser ellos mismos los que intenten localizar a los dueños de las mismas para que los usuarios de su tecnología sean conscientes del riesgo en que están por culpa de un error garrafal en el proceso de fortificación de sus produtos antes de lanzarlos al mercado.

Saludos Malignos!

7 comentarios:

Unknown dijo...

Y con parchear y poner en la web la actualización ya está. Algo no funciona, y poner una cuenta ne twitter mostrando las ips vulnerables no es una buena solución, que vulnerable somos los usuarios normales.

Unknown dijo...

wow!!! esto si que esta jodido

Unknown dijo...

Esta cabron !

Anónimo dijo...

Sobre Rusia se accede a la camara de un Casino.

NostromoaADF dijo...

El que es un WTF es la tienda de reparación de ordenadores Salisbury. Un par de mardanos jugando al ordenador. Se les ve muy profesionales de la informática. Sobre todo con la cámara web abierta al mundo.

Teledhil dijo...

Parece que Cams trendnet ya no funciona xD

Anónimo dijo...

Hola a todos, la empresa solucionó el problema inmediatamente, ya hace un año, como puede leerse aquí: http://noticiasit.tincan.es/vulnerabilidad-de-codigo-en-camaras-ip/ el problema es que los usuarios no actualizan el software (gratuito) por lo que siguen siendo visibles. A lo mejor es porque no les importa¿??

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares