Video: NDA gameing (September 2024)
När du köper en blank ny nätverkssäkerhetskamera förväntar du dig att du är den enda personen som kommer att se flödet. Men som SecurityWatch-läsarna vet är det inte alltid fallet. Nu har Federal Trade Commission meddelat en uppgörelse med kameratillverkaren TRENDnet efter att konsumenternas videofejningar avslutats online. Fedsen kallar det den första kostymen om Internet of Things, men vi kanske bara skulle sluta köpa dessa kameror.
Avgifterna
I ett pressmeddelande räknade FTC upp TRENDnets säkerhetsbrister som ledde till att över 700 privata videofeeds var offentligt tillgängliga. Enligt FTC upprättade TRENDnet-kameror inga lösenordskrav för sina enheter och överförde användarinloggningsinformation i ren text via Internet. Företaget lagrade också inloggningsuppgifter i vanlig text på Android-enheter.
Från att ha läst FTC-uttalandet är det tydligt att avgifterna hängde på det faktum att TRENDnet hävdade att deras produkter var säkra. Men det är tydligt att det var långt ifrån fallet, även efter att TRENDnet drev ut en programvarupatch.
Uttalandet kråker att detta var den första talan som väckts mot ett företag som marknadsför en produkt för det så kallade tingen Internet, där till och med vardagliga enheter är anslutna till Internet. "Internet of Things har stort löfte för innovativa konsumentprodukter och tjänster", säger FTC-ordförande Edith Ramirez i pressmeddelandet. "Men konsumenternas integritet och säkerhet måste förbli en prioritet när företagen utvecklar fler enheter som ansluter till Internet."
Hur illa var säkerhetssituationen? Uttalandet beskriver vad som var tillgängligt online för alla att se. "Flödena visade spädbarn som sov i sina spjälsängar, små barn som lekte och vuxna som gjorde sitt dagliga liv." Läskigt.
Vi har sett detta förut
Frågorna med TRENDnet avslöjades först 2010, säger FTC. Men på de tre åren sedan den första avslöjandet har andra företag inte lyckats låsa ner sina nätverkssäkerhetsprodukter heller.
I mitten av augusti förde vi dig historien om ett par som bara hade installerat videobabyskärmar för att upptäcka att en hacker använde dem för att skrika obskurelser mot deras unga dotter. Kamerorna i fråga hade en säkerhetsuppdatering som skjutits ut efter lanseringen som offren inte visste om, antagligen liknande det som hände med TRENDnet.
Innan dess visade en presentation på Black Hat hur nästan alla kameror skulle kunna tas över med minsta ansträngning. Under demonstrationen placerade Craig Heffner en flaska öl framför en kamera, matade kameran en statisk bild av scenen och plockade sedan ölet utan att fångas på video. Det var en vanlig heist-filmmanöver.
Ännu mer oroande var det faktum att när han en gång hade kontrollerat kameran påpekade Heffner att han nu hade fotfäste i sitt måls nätverk och kunde göra nästan vad han ville. På frågan hur utbredd frågan var, sa Heffner att han ännu inte hade hittat en kamera som han inte kunde kapa.
Redan tillräckligt
Det finns mycket att vinna genom att ansluta fler och fler enheter till Internet, men det öppnar nya angreppssätt som kan slå närmare hemmet än någonsin tidigare. DSLR-kameror, nätverkade kontortelefoner, även kameran på din bärbara dator kan användas av den beslutsamma angriparen för att nå ut och röra ditt hem.
Att vidta försiktighetsåtgärder är en bra start: uppdatera din programvara ofta och gå faktiskt ut och kontrollera om det finns uppdateringar för enheterna du köper. Skapa ett lösenord även när det är valfritt, och använd en lösenordshanterare som LastPass 2.0 eller Dashlane 2.0 för att skapa unika, komplexa lösenord.
Men för attacker som dessa, där de intima interiörerna i våra liv skulle kunna blottläggas, föreslår jag att vi går ett steg längre och fattar kritiska beslut om de produkter vi köper. Om du ska köpa en dator med en inbyggd webbkamera, håll den täckt när den inte används. Om du verkligen behöver ett säkerhetskamerasystem väljer du en gammal skolmodell som inte ansluter till Internet.
Med all lycka kommer FTC-fallet att tvinga leverantörer att vara lite mer försiktiga innan de rullar ut produkter. Eller kanske kommer de bara att smälla en stor ol asterisk efter ordet "säkert" på förpackningen.
