Tijdens de conferentie Hack-in-the-Box in Amsterdam demonstreert Sergey Shekyan hoe hij de controle over bewakingcamera’s kan overnemen. Vooral goedkope camera’s, die tegenwoordig overal te koop zijn, vormen een risico, aldus de hacker. De beveiliging van de ingebouwde webserver in dergelijke camera’s is volgens hem makkelijk te omzeilen.
Goedkope IP-camera’s worden enorm populair, ook voor professionele toepassingen.Er zijn duizenden modellen op de markt, maar inwendig zijn heel veel cameratypes aan elkaar gelijk. Als dus één model gehackt kan worden, lukt dat bij vele andere ook, aldus Sergey Shekyan, die vandaag demonstreert hoe makkelijk dat kan zijn. “Het is bijzonder om te zien dat het hier beveiligingsproducten betreft, die zelf niet of nauwelijks beveiligd zijn. Vooral de web based interface is een schoolvoorbeeld van onveiligheid. Niet alleen kan een hacker zich makkelijk toegang verschaffen tot de camerabeelden, maar kan hij via de camera ook achterhalen met welk wachtwoord het netwerk beveiligd is. Verder is op die wijze achter FTP-wachtwoorden en e-mail-wachtwoorden te komen. Daarnaast werken de camera’s veelal met firmware die makkelijk door kwaadwillenden is aan te passen.
Shekyan gaat vanmiddag in zijn presentatie in op hoe de camera’s werken, hoe zij overgenomen kunnen worden, welke gevoelige (netwerk)gegevens op de camera’s staan, hoe de camera’s zijn te misbruiken als XSS-achterdeurtje, hoe zij onderdeel gemaakt kunnen worden van een botnet, waarmee computers en webservers zijn aan te vallen, hoe automatisch kwetsbare camera’s gevonden kunnen worden en wat er gedaan kan worden om camera’s veiliger te ontwerpen. Voor wie het niet gelooft: De hacker presenteert ook een toolkit waarmee minder technisch aangelegde mensen camera’s van anderen kunnen manipuleren!