Eavesdropping par la caméra de sécurité Foscam - Schneier sur la sécurité

Eavesdropping par la caméra de sécurité Foscam

Brian Krebs a une histoire vraiment bizarre sur le haut-écoute clandestine par la caméra de sécurité Foscam fabrication chinoise:

Imaginez l'achat d'un Internet compatible caméra de surveillance, dispositif de stockage en réseau, ou Gizmo domotique, pour constater que secrètement et constamment téléphones à la maison à un vaste réseau peer-to-peer (P2P) géré par le fabricant chinois du matériel. Maintenant, imaginez que le matériel de geek que vous avez acheté ne fait pas vous laisser bloquer cette communication P2P sans une certaine expertise en matière de réseaux graves ou la chirurgie du matériel que peu d'utilisateurs tenteraient.

Comment cet appareil « pare-feu perfore »? PnP activé?

Normalement: Lui donner une adresse IP statique, mettre en place une règle de blocage pour cette adresse IP (LAN et permettre réseau VPN). Terminé.

Je peux vérifier ce comportement. J'ai acheté deux caméras Foscam après avoir été cambriolé juste après Noël, et les ai installés à la fois. Ils ont eu une bonne réputation. La caméra intérieure a été l'un des nouveaux modèles qui se configure en scannant un code QR sur sa base avec une application de téléphone. L'extérieur plus conventionnel. Je suivais attentivement toutes les instructions, la réinitialisation de mots de passe par défaut et en sélectionnant les options de confidentialité maximales. En quelques jours nous avons fait sauter notre limite de données à large bande et je retracé en arrière à l'ajout de la caméra à l'intérieur d'environ 20 Go par jour. Il n'y avait pas d'option pour désactiver cette option. Je usine réinitialiser l'appareil photo et ne pas utiliser l'application auto-config cette fois, mais le téléchargement continue. J'ai eu une discussion avec un ingénieur réseau très avertis ami qui a fait des tests à distance, vérifié que mon routeur pare-feu fonctionnait dans une configuration sécurisée, et nous en avons déduit que la caméra était « appelle à » à un serveur via mon pare-feu.

Il a suggéré, et cela a fonctionné, en utilisant la configuration du réseau de la caméra pour définir une adresse IP statique plutôt que DHCP, et lui donner un numéro IP non attribué dans le sous-réseau local pour son adresse de la passerelle.

Je laisse maintenant également l'appareil débranché quand il n'est pas utilisé.

Nous avons discuté de ce sujet tout à fait récemment; Voici quelques exemples de deux fils ...

Aucune mention si cela est dans le CLUF. Ce serait beaucoup plus intéressant si elle l'a fait, et il n'a pas été mentionné.

Paul Davis: 20 Gb / jour? Avez-vous pensé sur l'exécution paquet logiciel renifleur et de voir ce qu'il envoyait 20 Gb celui utilisé / jour? Cela semble qu'il est en streaming en direct tout ce que la caméra voit!

Je leur répète, ce n'est pas l ' « Internet des choses. »

Il est « l'Internet des cibles. »

Et si c'est un dispositif de Snoopy (dont presque tous sont), il est juste une cible beaucoup plus grand.

Un escroc qui regarde la vidéo de votre Foscam, bien sûr, sait si vous avez des choses à voler et quand vous n'êtes pas chez vous. Remplissez les blancs de dieu damné à savoir si cela est une bonne idée.

Compte tenu du volume du trafic des gens voient, je vais hasarder une hypothèse que ces fabricants utilisent essentiellement ce réseau P2P comme moyen de distribuer leurs mises à jour du firmware en utilisant propre capacité de réseau de leurs clients. Il n'y a pas d'autre besoin d'une perforation réseau domestique (STUN / TURN) seulement pour les mises à jour automatiques.

l'un des barbouzes est très friands des engins de réseau Meraki et a été en mesure d'utiliser son à ringfence un dispositif d'espionnage Nest et un autre équipement incriminé

Je suis trop paresseux et dysfonctionnel pour faire un circuit d'isolation d'alimentation, mais la configuration générale est assez évident

Les cinq marques de caméras IP de la Chine à la maison d'appel par défaut, ou essayez. Vous devez attribuer une adresse IP statique comme indiqué. Vous pouvez aussi consulter attentivement réglage et désactiver tout ressembler à P2P, « Free » connectivité cloud, etc. DNS gratuit Je vais aussi dans le routeur et utiliser la fonction « Bloquer des services » pour fermer tous les ports aux caméras.

J'utilise ensuite un logiciel de la caméra IP pour fournir des services de serveur. Même alors un de mes appareils photo, pas un FOSCAM, tente de se connecter à la Chine 24/7, mais est bloqué au niveau du routeur.

Il est sûr de supposer toutes les caméras IP appellent la maison, et la diffusion probablement dans le monde entier sur les paramètres par défaut.

Paraît qu'il ya une réelle opportunité de profit ici pour quelqu'un de faire un simple, sans fioritures web cam IP avec firmware source entièrement ouverte. flux vieux HTTP simple JPEG capture ou autre, non grevé-brevet, etc. OK, ajouter une authentification bien sûr, mais font clairement ce n'est pas téléphoner à la maison quelque part ailleurs, ou en utilisant des protocoles propriétaires.

Beaucoup de SPI / I2C modules de caméra muet là-bas, je suis sûr. paire-les avec l'un de ces modules ESP8266 wifi ou tout ce qu'ils sont appelés et le bâton « em dans une boîte. Imprimez sur Kickstarter pour 80 $ ou et toute personne qui se préoccupe de ce genre de choses achèterait quelques-uns.

Devinez ce côté, l'appareil photo et votre pare-feu (tous deux fabriqués par la Chine) ont établir une communication, il se durcir soi-même, de sorte que vous ne remarquerez être filmé 24 heures et surveillé par CCP.

Daniel
« Je trouve qu'il est difficile de se sentir désolé pour toute personne qui utilise un réfrigérateur en réseau, four, et ainsi de suite. Vous n'avez pas besoin de toute cette merde, vous pensez que vous venez de faire. »

Restauration et chaînes restaurants ont besoin de réfrigérateurs en réseau, et l'industrie de transformation des aliments en général. Non seulement pour ce qui est encore en magasin (juste à temps de livraison), mais aussi ce qui est toujours pas perdu son efficacité, et comment se comportent de la température.

Et pour les consommateurs, nous allons de posséder des appareils à des services de location. De posséder des systèmes de chauffage et de lampes airco et pour obtenir le climat et la foudre livré à nos appartements.

Tous ces systèmes doivent être mis en réseau.

Je prends les mêmes précautions que les autres - tout sur le réseau a une adresse IP fixe, et j'ai une gamme pour les appareils qui ne devraient pas avoir les connexions sortantes, qui sont bloqués et connecté au pare-feu. La gamme attribuée DHCP d'adresses IP a un accès très limité au réseau / Internet, et j'ai un script qui me emails quand un nouveau périphérique apparaît sur le réseau - certains appareils peuvent avoir un certain nombre d'adresses MAC.

J'ai une vieille caméra Foscam, un nouveau TRENDnet un et un ancien EasyN, dont aucun ne semble vouloir établir des liens sortants, mais aucun d'entre eux ont des options P2P. Ils envoyez un email de notification à un serveur de messagerie interne qui transmet sur.

Les bonnes nouvelles sont le code est open source et si vous ne l'aimez pas comment quelque chose fonctionne, vous pouvez recomplie le code pour le changer. Les paquets sont très personnalisables et il est facile de configurer pour vos besoins. De plus, vous n'avez pas à vous soucier des portes arrière.

Les mauvaises nouvelles sont le Raspberry Pi est un dispositif de passe-temps, et ne comprend pas les caractéristiques communes aux caméras de sécurité telles que Power Over Ethernet, un bon boîtier résistant aux intempéries, ou un illuminateur IR. L'ajout de ces accessoires entraîne le coût rapidement.

Et ce qui est fait avec la vidéo, quand il arrive à sa destination?

Cela pourrait bien être le territoire « Article 34 ».

« Restauration et chaînes restaurants ont besoin d'un réfrigérateur en réseau, et l'industrie de transformation alimentaire en général. Non seulement pour ce qui est encore en magasin (juste à temps de livraison), mais aussi ce qui est toujours pas perdu son efficacité, et comment le la température se comportent « .

Ce ne remplace pas pour le contrôle des stocks, et si vous pratiquez déjà le contrôle des stocks pauvres, vous avez maintenant une faille de sécurité pour gérer ainsi que les factures et les reçus. Donc, non, ils ne ont pas besoin. Du tout. besoin> veulent ou « pourrait aimer »

Tous ces systèmes doivent être mis en réseau « .

Non. Non, ils ne le font pas.

Il y a une expression: « il est tout le plaisir et jeux jusqu'à ce que quelqu'un obtient leur
oeil sur fourré. » Ou dans ce cas, il est tout de réduire les coûts et l'efficacité, jusqu'à ce que
quelqu'un hacks vos réseaux, réquisitionne vos périphériques, les ruines de votre inventaire,
et les vis autour avec vos commandes d'achat.

J'ai 6 caméras Foscam et il y a environ un mois, j'ai commencé à remarquer des connexions étranges aux vieux ports que j'avais ouvert pour l'une des cames.

Dans mon cas, je l'ai utilisé le port 777 pour wan un des foscams. Quelque temps plus tard, je l'ai changé les cames à un autre ports et utilisé 777 pour d'autres services. Ce fut quand je commencé à voir les tentatives de ips chinois pour essayer de se connecter.

ne vous télécharger 20 Go de données que vous idiots. Il est appelé le streaming vidéo. Assurez-vous de voter pour Trump. Il aime les gens qui mettent leur bouche avant de laisser en marche tourner leur cerveau sur

Il est vrai que tout le monde aime nos images passe par Internet sans permisons. Mais en tout cas l'utilisateur peut activer ou désactiver d'envoyer ces images.

L'utilisateur peut autoriser ou désactiver la configuration P2P Foscam, donc si prefeer peut utiliser la configuration IP / DDNS pour accéder remotly

Ce week-end, j'ai acheté un Foscam C2. Sur l'appareil photo I désactivé P2P, DDNS etc.

Je suis complètement surpris de voir que l'application sur mon iPhone a pu accéder à la caméra à partir du WAN, car sur mon routeur sans redirection de port a été activé. J'ai commencé des recherches avec le requin de fil sur le routeur. L'appareil était connecté avec 9 différentes adresses IP, TCP et UDP.

L'appareil était connecté avec 9 différentes adresses IP, TCP et UDP.

Essayez wiresharking Skype un certain temps. Vous ne croyez pas ce que vous voyez.

Fabuleux. On dirait Foscam est un autre taureau - entreprise t éviter.

Ports Foscam FI9805P TCP

46.137.188.54 80 Amazon Data Services Ireland Ltd
50.19.254.134 443 Amazon
61.188.37.216 8000 China Telecom SiChuan Telecom Internet Data Center
74.125.31.99 80 Google

Foscam App
103.235.46.39 Hong Kong
120.132.176.173 China Telecom
14.17.97.45 China Telecom Guangdong
184.50.253.113 Akamai
173.194.219.109 Google

Articles Liés

Précédent ◈ Suivant