Ezért érdemes megváltoztatni a térfigyelő kamerád alapértelmezett jelszavát

2014 november 07. - BoriG

Egy fura kinézetű honlap a világon bárki számára lehetővé teszi, hogy 73.000-nél is több olyan IP kamera felvételeit nézegesse, aminek gyári jelszavát még nem változtatta meg a tulajdonos. A honlapon a készítők azt állítják, hogy egy fontos biztonsági problémára szeretnék felhívni a figyelmet – akármi is legyen az indok, az egész a magánszféra súlyos megsértésének tűnik.

kamera.jpg

Az Insecam a világon több, mint 73.000 kamerához fért hozzá, ebből több, mint 11.000 kamera az Egyesült Államok területén található, de az oldal Magyarországról is listáz 402 térfigyelőt. Bár a honlap állítása szerint a készítők célja, hogy rávilágítsanak egy fontos biztonsági kérdésre, nyilvánvaló módon profitálnak az oldalon megjelenő reklámokból is.

„Néha a rendszergazda (és esetleg Ön is) elfelejti megváltoztatni a térfigyelő rendszerek, online kamerák vagy digitális videó felvevők alapértelmezett jelszavait, ilyen jelszó például az „admin:admin” vagy az „admin:12345”. Ezek a kamerák így minden internetező számára hozzáférhetővé válnak. Ezen a honlapon több ezer ilyen, a világ minden országának kávézóiban, üzleteiben, plázáiban, ipari területein és hálószobáiban működő kamera felvételét tekintheti meg. A böngészéshez válassza ki a kamera típusát, vagy az országot.

„Ez az oldal a biztonsági beállítások fontosságának hangsúlyozása céljából született. Ha szeretné eltávolítani térfigyelőjét erről a honlapról, kérjük, változtassa meg a kamera jelszavát.”

Egyetlen kattintás, és az oldal azonnali hozzáférést biztosít az általunk kiválasztott helyiség kameráihoz – a helyiségek azonban nem csak parkolóházak és üzlethelyiségek lehetnek, de akár magánlakások nappalijai és hálószobái is. Ez pedig azt jelenti, hogy a világon gyakorlatilag bárki kémkedhet utánunk, mindössze azért, mert elfelejtettük megváltoztatni a jelszavunkat, vagy esetleg nem tudtunk róla, hogy ezt kellene tennünk.

Az oldal adminisztrátora a hírek szerint kapcsolatba lépett a Motherboard-dal, és megismételte a honlapon tett nyilatkozatát.

„Csak és kizárólag a honlap a segítségével tudjuk megmutatni a probléma valódi kiterjedését. Hosszú éveken keresztül nem lehetett tudni róla semmit.”

Az admin szerint még senki se kérte, hogy vegyék le a kamerájukat az oldalról.

"Sokan még mindig nem tudják, hogy ez a probléma egyáltalán létezik."

A kamerák állítólag automatikusan kerülnek be a honlap adatbázisába, és minden héten több ezer találattal gazdagodik a gyűjtemény.

kamera kicsi.jpg

A weboldal az állítólagos segítő szándéka ellenére valószínűleg több kárt okoz, mint hasznot. Az oldal magánszemélyekről közöl képeket az engedélyük és tudtuk nélkül, ez pedig – a világ számos országa mellett – Magyarországon is illegális.

Egy szakértő szerint az igazi problémát az jelenti, hogy az emberek, akiknek a képe az oldalon megjeleni, az igazi áldozatok, és valószínűleg senki sem értesíti őket arról, hogy mi folyik.

Annak ellenére, hogy nem tisztázott, miért is teszik közszemlére ezeket a felvételeket a honlap készítői, az oldal zavartalanul működik, a háttérben álló személyek kilétéről semmit sem lehet tudni, a domain-t a GoDaddy-nél regisztrálták egy moszkvai IP címmel.

Amit tanácsolni tudunk: változtassátok meg az IP kamerátok jelszavát, és szóljatok másoknak is.

21 komment

Címkék: biztonság

A bejegyzés trackback címe:

http://bitsandpix.blog.hu/api/trackback/id/tr966877153

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Emmanuel Goldstein 2014.11.11. 16:02:19

MOSZKVA NEM CSAK FIGYEL,DE LÁT IS!

usb2.0 2014.11.11. 17:26:58

Érdekes, hogy szerinted csak az az illegális amit a honlap tesz.
És mit mondanál azokról, akik nézegetik,
aztán közzé teszik amit ott látnak.
Mint te ...

oszkar00 2014.11.11. 19:11:28

@usb2.0: Jajj, de hát őt csak a segítő szándék vezérli. Ja, hogy az oldal üzemeltetőit is? Tudod, más szemében...

Muad\\\'Dib 2014.11.12. 09:07:43

Azért kérdéses, hogy mely esetekben törvényes és mely esetekben törvénytelen a dolog:
fotozz.hu/cikket_megmutat?cikk_ID=68

32FNewYork 2014.11.12. 12:43:46

Az egész fenti hozzáférés csak akkor lehetséges, ha ddns szerveren keresztül is adtunk hozzáférést. Egyébként csak a saját hálózaton vagy max. saját wifin belül.

Atlasz 2014.11.12. 13:02:40

@32FNewYork: Nem, nem csak akkor mukodik, ha van DNS vagy DDNS bejegyzes. Teljesen elegendo, ha van nyilvanos IP cim, vagy a router-en valaki atiranyitott egyetlen megfelelo portot a kamera fele. (Pl. hogy azt elerhesse mobilrol vagy egy masik telephelyrol.)

eßemfaßom meg áll · http://tahobloggerek.blog.hu 2014.11.12. 13:05:49

"Az oldal magánszemélyekről közöl képeket az engedélyük és tudtuk nélkül,"

A képeket a magányszemélyek közvetítik a világnak a saját kamerájukon keresztül, nem az oldal telepített titokban kamerát hozzájuk.

Atlasz 2014.11.12. 13:12:48

Igen, jogilag valoban aggalyos, hogy kepeket toltenek le ezekrol a kamerakrol es azokat nyilvanossagra hozzak. Meg ha igy valamelyest vedik is a tulajdonosokat, ezzel biztosan megsertik a torvenyeket sok orszagban. Viszont ha jol megszivatna oket a hatosag, akkor levehetnek a kepeket. Eleg volna csak a kozvetlen linkeket kozolniuk es mellekelni a gyari jelszavak listajat. Ezzel sokkal kevesebb orszag torvenyet sertenek meg a karok viszont nagysagrendileg nagyobbak volnanak. Raadasul egy rakas embernek biztositananak jo mokat legalabb egy hetre :-D
Az en velemenyem az, hogy ha valaki nem allit alapveto biztonsagot se egy internetre csatolt berendezesen, akkor az azon tarolt adatokat gyakorlatilag o tette nyilvanossa. (Fuggetlenul attol, hogy errol tudott-e.) Az ebbol fakado esetleges karokert (beleertve a szemelyisegi jogok megserteset) az uzembe helyezonek es/vagy a uzemben tartonak/tulajdonosnak kene felelnie.
A jelszo nelkul nyilvanossagra hozott adat vagy mindenfele vedelem nelkul hozzaferhetove tett halozat ugyanolyan, mint a plakat az oszlopon, vagy a nyilvanosan hozzaferhetove tett terulet (pl.egy bekeritetlen ret a haz mogott) - az megy oda aki akar. Ha valaki nem tud keritest epiteni attol meg nem buntetheto, aki a jeloletlen retre tevedt. A gyari jelszo pedig nem jelszo!

panaszmuki · http://meisz.blog.hu 2014.11.12. 13:28:36

@eßemfaßom meg áll:
Tévedés, nem közvetítik.
Akkor közvetítenék, ha egyáltalán nem kérne jelszót a kamera.

eßemfaßom meg áll · http://tahobloggerek.blog.hu 2014.11.12. 13:43:31

@panaszmuki: A jelszónak az a szerepe, hogy csak az férjen hozzá aki ismeri a jelszót.

Atlasz 2014.11.12. 14:21:31

@panaszmuki: A gyari jelszo nem jelszo, altalaban csak azert van, mert semilyen jelszoval nem mukodne a program. Az nem ved semmit, csak kevesebb munka egy gyari jelszot varrni bele mint megirni es tesztelni kulon a kodot a jelszomentes belepeshez. Ezen kivul meg figyelmeztet arra, hogy itt kene lennie a jelszavadnak.

panaszmuki · http://meisz.blog.hu 2014.11.12. 14:35:02

@eßemfaßom meg áll:
Kihagytál egy nagyon fontos szót. Azt, hogy aki JOGOSAN ismeri a jelszót.
A jog nem tesz különbséget aközött, hogy milyen úton-módon szerezted meg a jelszót, ha nem jogosan került a tudomásodra.

Ugyanolyan, mint a zár az ajtón.
Ha nincs kulcsom, és feltöröm a zárat, az betörés.
Ha az én kulcsom nyitja a szomszéd ajtaját, ha a tudta és beleegyezése nélkül az én kulcsomat használva bemegyek a lakásába, akkor az betörés.
Ha megtalálom a kulcsát, és a tudta és belegyezése nélkül bemegyek a lakásába, az is betörés.
HA szerzek egy halom kulcsot, és azok próbálgatom, majd végül bejutok a lakásába, az is betörés.
Ha odaadja a kulcsát, hogy amíg nyaral, öntözzem meg a virágokat, az nem betörés.
Ha én lemásolom a kulcsát, és a nyaralása után megyek be a lakásába, az megint betörés lesz.
Ha állandóan tárva-nyitva hagyja az ajtaját, akkor nem betörés, mert jogosan feltételezem, hogy azért van nyitva az ajtó állandóan, mert be szabad menni.
De ha szól, hogy nem szabad bemenni, akkor viszont akkor sem mehetek be.

Tehát: ha jelszóval van védve egy számítástechnikai rendszer, és nem került jogszerűen a birtokomba a jelszó, akkor jogszerűen nem léphetek be.

panaszmuki · http://meisz.blog.hu 2014.11.12. 14:36:30

@Atlasz: Jogi értelemben a gyári jelszó is jelszó.

eßemfaßom meg áll · http://tahobloggerek.blog.hu 2014.11.12. 15:48:00

@panaszmuki: A gyári jelszót mindenki jogosan ismeri. Ha minden készüléknek egyedi lenne a gyári jelszava, akkor lehetne jogosságról beszélni, de amikor ott van a gyártó honlapján a nyuilvános juzermauálban, hogy a login:pwd = admin:admin addig miről beszélünk?

Az ajtós analógiáid szarok, itt nem megy be senki, csak benéz a nyitva hagyott ablakon, ha már analógiát akarsz ráerőltetni akkor inkább ez:

Ha valaki a beköltözik az új lakásba aminek az utcára néző fala full ablak, és nem cseréli le a lakáshoz gyárilag adott csipkefüggönyt sötétítőre, az ráhívhatja-e a rendőrt a háza előtt bámészkodóra amikor este ott vetkőzik az ablaka előtt lámpafénynél?
Honnan kellene tudnia a járókelőnek, hogy Mancika nem exhibicionizmusból vetközik kvázi nyilvánosan, hanem azért mert annyira hülye, hogy eszébe se jut a sötétítőfüggöny?

panaszmuki · http://meisz.blog.hu 2014.11.12. 16:49:39

@eßemfaßom meg áll:

Egyrészt egyáltalán nem szar az ajtós példám, sőt elég közel áll a jelszó probálgatáshoz.
De még ha szar is lenne, az ablakos esetleírásod még ennél is szarabb lenne, de ugorjunk.

Te nem tudod az adott eszköz jelszavát jogszerűen, mert senki arra jogosult személy nem hozta a te tudomásodra.
Tudod az alap jelszót, de azt - ismétlem, jogszerűen - nem tudhgatod, hogy az adott eszköz jelszava mi.
Megpróbálod az alap jelszót, és beenged?
Hopp már meg is valósítottad a BTK 421-es paragrafusának 1/a pontját, miszerint:

"423. § (1) Aki

a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad,

[...]

vétség miatt két évig terjedő szabadságvesztéssel büntetendő."

eßemfaßom meg áll · http://tahobloggerek.blog.hu 2014.11.12. 17:09:51

@panaszmuki: itt te nem lépsz BE egy rendszerbe, hanem egy internetre közvetített képet nézel azzal a loginnal amit a gyártó mindenkinek a rendelkezésére bocsát

panaszmuki · http://meisz.blog.hu 2014.11.12. 17:51:06

@eßemfaßom meg áll:
Először is, de BELÉPSZ. Felhasználónév/jelszó párossal, amit jogszerűen nem tudsz. Egy olyan zárt számítástechnikai rendszerbe, amihez senki nem adott neked hozzáférést.
Teljesen mindegy, hogy a default jelszót próbálgatod, vagy a tulaj kikutyájának a nevét.
Másodszor ebben az esetben nem beszélhetünk "közvetítésről". Csak azért, mert az interneten zajlik a forgalom, nem szabad pl. más skype beszélgetését sem lehallgatni...

eßemfaßom meg áll · http://tahobloggerek.blog.hu 2014.11.12. 18:13:06

@panaszmuki: n+1 ip kamera semmilyen belépést nem igényel, szimplán ott egy ipcím és kész

tessék:
67.53.162.163/

panaszmuki · http://meisz.blog.hu 2014.11.20. 14:08:31

@eßemfaßom meg áll: Ez természetesen megint más helyzet, de én nem ezekről beszéltem.

Dr_utcai_arcos 2014.12.04. 16:03:24

@panaszmuki: "Ha állandóan tárva-nyitva hagyja az ajtaját, akkor nem betörés, mert jogosan feltételezem, hogy azért van nyitva az ajtó állandóan, mert be szabad menni." Hm. Szóval ha megállsz, hogy kinyisd a kaput és addig járatod az autódat, akkor én beülhetek és mehetek vele egy kört, mert joggal feltételezem, hogy azért van nyitva az ajtó és jár a motor. Azért jogásznak ne menj ;).

panaszmuki · http://meisz.blog.hu 2014.12.04. 16:15:39

@Dr_utcai_arcos: Rossz a példád, mert a KRESZ alapján nem hagyhatod felügyelet nélkül, járó motorral, nyitott ajtóval az autódat:

"41. § (7) A járművet őrizetlenül hagyni abban az esetben szabad, ha a vezető gondoskodott arról, hogy a jármű önmagától el ne indulhasson és illetéktelen személy azt el ne indíthassa."