Comments 64
Даже просто погуглив myfoscam.org находятся незапароленные камеры, о чем думают пользователи непонятно.
http://ar2058.myfoscam.org
Гуглить по inurl:myfoscam.org:88
Это наверное втройне весело использовать, если у хозяина/хозяйки камеры есть ещё и незапароленные сетевые принтеры.
Можно не только печатать странные документы, но и смотреть на реакцию.
Можно не только печатать странные документы, но и смотреть на реакцию.
Вот из-за таких как вы у всяких там контактеров крыша и едет, НЛО из принтера лезут. :D
Интересно, хоть кто-то верит в такую дурь?
Ну раз по тевелизору показали, то правда, наверное. По тевелизору врать не станут. :D
Вчера по телеку показали как мужик сфотографировал какой-то камень (может метеорит) и при большом увеличении на поверхности обнаружил латинские, арабские, греческие и ещё какие-то буквы и цифры. Просил помощи в расшифровке. Талантов море.
Так можно пойти и дальше: общаться посредством принтера и камеры (создать иллюзию что в квартире поселиться цифровой полтергейст)
![[Potter Gates]](https://habrastorage.org/storage2/130/553/c46/130553c462b2cdb9d0bc9fbc918ac51e.jpg)
огромном распространении камер этого, как я думал, ноу-нейм производителя
Производитель-то нонейм. Это одна прошивка, когда-то кем-то скоммунизженная, гуляет из продукта в продукт.
Производитель-то нонейм. Это одна прошивка, когда-то кем-то скоммунизженная, гуляет из продукта в продукт.
Мда, за две минуты ручного перебора — четыре доступных камеры. Печально все, конечно. :-(
"- а если кто-нибудь увидит??
— ну вот ты увидел?
— я — да.
— и что?… вот!" /с/
— ну вот ты увидел?
— я — да.
— и что?… вот!" /с/
Кхм, т.е. всё проблема от того что никто не читает инструкции и не меняет или использует простой пароль. Такое можно к любой железке применить.
Не каждая железка при подключении к сети, без предупреждения, сразу же начинает трансляцию в интернет. А инструкции читать надо, да.
Ну и ещё проблема в отсутствии «защиты от дурака».
Я думаю тут проблема в потребителях, которым надо побыстрее и попроще, отсюда WiFi точки без особых настроек приватности, камеры транслирующие в сеть и прочие прелести юзверей.
Там где не пускает под operator иногда пускает под admin O_o
Хочу предостеречь любопытных — камеры ведут лог IP-адресов. Вряд ли владелец, не удосужившийся установить пароль доступа часто заходит проверить следы доступа к устройству. С другой стороны — не известно на кого вы нарветесь — могут и в полицию обратиться, с последующим разбирательством.
А что такой владелец предъявит? И в какой стране полиция вообще станет заниматься подобным инцидентом?
Это называется «вторжение в частную жизнь». Как минимум, если дело дойдет до полиции и по айпи вычислят любопытного, то ему просто закроют въезд в страну навсегда. Мелочь, а неприятно. Думаю максимальная вероятность такого сценария есть в США, уж если подростков на 5 лет за mp3 сажают, то может и до такого дойти. Хотя скорее вероятен коллективный иск к производителю камер.
UFO just landed and posted this here
Это как если вы дома не задергиваете шторы, то все равно разглядывать вас в бинокль нельзя. И если этот факт вскроется, то у любителя подглядывать будут проблемы. Или вы оставили дверь незапертой и к вам домой зашел человек и взял не привинченную к полу табуретку — это тоже преступление. Есть понятие «публичные места» — вот там да, если не закрыто — значит открыто.
еее, фоскамы хранят логи до первого рестарта, да и логируют только авторизированных юзеров.
Ох уж эти китайцы. До сих пор не поправили. В реальности все еще куда более интересно.
Именно поэтому в Ivideon не используются DynDNS и прочие костыли, которых не должно быть в полноценном облачном сервисе видеонаблюдения.
Именно поэтому в Ivideon не используются DynDNS и прочие костыли, которых не должно быть в полноценном облачном сервисе видеонаблюдения.
А фишка полезная, зря вы так. Другое дело, что должна настраиваться и включаться исключительно руками, как положено вообще любой функции, которая что-то сообщает в интернет.
Фишка безусловно полезная. Только в рамках нашего сервиса она была реализована без DynDNS.
Человек заводит себе аккаунт в ivideon. Далее он добавляет к этому аккаунту камеры. Они становятся доступны только после авторизации пользователя либо в личном кабинете на сайте, либо в приложениях для iPad/iPhone/Android и т.д. К камере нельзя подключиться. У неё нет внешних слушающих портов. Она сама устанавливает соединение с облаком.
Человек заводит себе аккаунт в ivideon. Далее он добавляет к этому аккаунту камеры. Они становятся доступны только после авторизации пользователя либо в личном кабинете на сайте, либо в приложениях для iPad/iPhone/Android и т.д. К камере нельзя подключиться. У неё нет внешних слушающих портов. Она сама устанавливает соединение с облаком.
Я один из ресерчеров, упомянутых в статье. Там действительно все намного хуже. ДНС их просто брутфорсится (Добро пожаловать скачать сканер на go, который мы написали). Так же довольно тривиально кросс-скомпилировать что угодно и запустить на камере, не убирая сам процесс камеры. (мы залили прокси сервер). Там еще на старых прошивках доступна вся память с паролями ко всему по URL camera//../../proc/kcore. А тут моя статья про то, как пользоваться програмкой, которая найдет вам камеру, создаст новый имидж, зальет его и так далее.
Очень здорово, что такие люди — наши соотечественники. Как раз общались не так давно с Foscam на предмет интеграции их камер с нашим облаком. Приводили аргументы относительно безопасности их текущего решения в том числе и из вашей статьи. Большое спасибо за исследование. А есть что-то подобное и с другими камерами?
Спасибо, CoreSecurity нашли похожие уязвимости на камерах DLink.
Boт их отчет.
youtube замер в ожидании нового хита…
Эта заметка написана не для услады фантазий любителей подглядывать
черт
какой-то красный глаз у вас в замочной скважине… ;)
существует даже специальный сайт, который ищет открытые в интернет камеры, и представляет картинку с них в удобном для просмотра виде по 9 камер на страницу — livesecuritycams.com Посмотрев на свойства изображения, можно найти IP адрес камеры. Ну а дальше — вопрос гуманности и этики. Мне, например, удавалось найти камеру с работающими динамиком и микрофоном, есть много поворотных камер.
Тем у кого нет Экселя, получить список подходящих хостов можно командой в bash
изменяя буквы и цифры можно получить нужное количество хостов и желаемый диапазон.
printf "%s\n" `echo {a..z}{a..z}{0000..9999}.myfoscam.org` > list.txtизменяя буквы и цифры можно получить нужное количество хостов и желаемый диапазон.
Так как тема стала популярной даже за пределами хабра — хочу предупредить любителей щёлкать по ссылкам: сейчас идеальные условия, чтобы на этой волне ловить любопытных фишингом! Будьте бдительны, камеры используют activeX, кто угодно может воспользоваться тем, что тысячи людей высматривают ссылки на открытые камеры и подложной ссылкой направить их энергию в нужное ему русло.
Добавлю, что в последних прошивках аккаунта operator нет, а пустой пароль админа при первом входе требуется сменить.
Sign up to leave a comment.
IP-камеры Foscam по умолчанию транслируют в сеть, каждый 3-й владелец об этом не подозревает