Comments 64
Даже просто погуглив myfoscam.org находятся незапароленные камеры, о чем думают пользователи непонятно.
+3
http://ar2058.myfoscam.org
+10
Гуглить по inurl:myfoscam.org:88
+3
Это наверное втройне весело использовать, если у хозяина/хозяйки камеры есть ещё и незапароленные сетевые принтеры.
Можно не только печатать странные документы, но и смотреть на реакцию.
Можно не только печатать странные документы, но и смотреть на реакцию.
+15
Вот из-за таких как вы у всяких там контактеров крыша и едет, НЛО из принтера лезут. :D
+19
Интересно, хоть кто-то верит в такую дурь?
0
Ну раз по тевелизору показали, то правда, наверное. По тевелизору врать не станут. :D
+7
Вчера по телеку показали как мужик сфотографировал какой-то камень (может метеорит) и при большом увеличении на поверхности обнаружил латинские, арабские, греческие и ещё какие-то буквы и цифры. Просил помощи в расшифровке. Талантов море.
0
Так можно пойти и дальше: общаться посредством принтера и камеры (создать иллюзию что в квартире поселиться цифровой полтергейст)
+6
огромном распространении камер этого, как я думал, ноу-нейм производителя
Производитель-то нонейм. Это одна прошивка, когда-то кем-то скоммунизженная, гуляет из продукта в продукт.
Производитель-то нонейм. Это одна прошивка, когда-то кем-то скоммунизженная, гуляет из продукта в продукт.
+1
Мда, за две минуты ручного перебора — четыре доступных камеры. Печально все, конечно. :-(
+1
"- а если кто-нибудь увидит??
— ну вот ты увидел?
— я — да.
— и что?… вот!" /с/
— ну вот ты увидел?
— я — да.
— и что?… вот!" /с/
+4
Кхм, т.е. всё проблема от того что никто не читает инструкции и не меняет или использует простой пароль. Такое можно к любой железке применить.
+1
Не каждая железка при подключении к сети, без предупреждения, сразу же начинает трансляцию в интернет. А инструкции читать надо, да.
+2
Ну и ещё проблема в отсутствии «защиты от дурака».
+1
Я думаю тут проблема в потребителях, которым надо побыстрее и попроще, отсюда WiFi точки без особых настроек приватности, камеры транслирующие в сеть и прочие прелести юзверей.
0
У оружия есть предохранители, у бензопилы — защитный кожух. Забота о клиенте — это то, что отличает серьезного производителя. Нет ничего плохого, если производитель заставит установить пароль достаточной сложности до того, как выпускать камеру в эфир.
+4
Там где не пускает под operator иногда пускает под admin O_o
+1
Хочу предостеречь любопытных — камеры ведут лог IP-адресов. Вряд ли владелец, не удосужившийся установить пароль доступа часто заходит проверить следы доступа к устройству. С другой стороны — не известно на кого вы нарветесь — могут и в полицию обратиться, с последующим разбирательством.
+7
А что такой владелец предъявит? И в какой стране полиция вообще станет заниматься подобным инцидентом?
+1
Это называется «вторжение в частную жизнь». Как минимум, если дело дойдет до полиции и по айпи вычислят любопытного, то ему просто закроют въезд в страну навсегда. Мелочь, а неприятно. Думаю максимальная вероятность такого сценария есть в США, уж если подростков на 5 лет за mp3 сажают, то может и до такого дойти. Хотя скорее вероятен коллективный иск к производителю камер.
0
UFO just landed and posted this here
Это как если вы дома не задергиваете шторы, то все равно разглядывать вас в бинокль нельзя. И если этот факт вскроется, то у любителя подглядывать будут проблемы. Или вы оставили дверь незапертой и к вам домой зашел человек и взял не привинченную к полу табуретку — это тоже преступление. Есть понятие «публичные места» — вот там да, если не закрыто — значит открыто.
+4
еее, фоскамы хранят логи до первого рестарта, да и логируют только авторизированных юзеров.
0
Ох уж эти китайцы. До сих пор не поправили. В реальности все еще куда более интересно.
Именно поэтому в Ivideon не используются DynDNS и прочие костыли, которых не должно быть в полноценном облачном сервисе видеонаблюдения.
Именно поэтому в Ivideon не используются DynDNS и прочие костыли, которых не должно быть в полноценном облачном сервисе видеонаблюдения.
+2
А фишка полезная, зря вы так. Другое дело, что должна настраиваться и включаться исключительно руками, как положено вообще любой функции, которая что-то сообщает в интернет.
0
Фишка безусловно полезная. Только в рамках нашего сервиса она была реализована без DynDNS.
Человек заводит себе аккаунт в ivideon. Далее он добавляет к этому аккаунту камеры. Они становятся доступны только после авторизации пользователя либо в личном кабинете на сайте, либо в приложениях для iPad/iPhone/Android и т.д. К камере нельзя подключиться. У неё нет внешних слушающих портов. Она сама устанавливает соединение с облаком.
Человек заводит себе аккаунт в ivideon. Далее он добавляет к этому аккаунту камеры. Они становятся доступны только после авторизации пользователя либо в личном кабинете на сайте, либо в приложениях для iPad/iPhone/Android и т.д. К камере нельзя подключиться. У неё нет внешних слушающих портов. Она сама устанавливает соединение с облаком.
-2
Я один из ресерчеров, упомянутых в статье. Там действительно все намного хуже. ДНС их просто брутфорсится (Добро пожаловать скачать сканер на go, который мы написали). Так же довольно тривиально кросс-скомпилировать что угодно и запустить на камере, не убирая сам процесс камеры. (мы залили прокси сервер). Там еще на старых прошивках доступна вся память с паролями ко всему по URL camera//../../proc/kcore. А тут моя статья про то, как пользоваться програмкой, которая найдет вам камеру, создаст новый имидж, зальет его и так далее.
+5
Очень здорово, что такие люди — наши соотечественники. Как раз общались не так давно с Foscam на предмет интеграции их камер с нашим облаком. Приводили аргументы относительно безопасности их текущего решения в том числе и из вашей статьи. Большое спасибо за исследование. А есть что-то подобное и с другими камерами?
+2
youtube замер в ожидании нового хита…
+4
Эта заметка написана не для услады фантазий любителей подглядывать
черт
+15
какой-то красный глаз у вас в замочной скважине… ;)
0
существует даже специальный сайт, который ищет открытые в интернет камеры, и представляет картинку с них в удобном для просмотра виде по 9 камер на страницу — livesecuritycams.com Посмотрев на свойства изображения, можно найти IP адрес камеры. Ну а дальше — вопрос гуманности и этики. Мне, например, удавалось найти камеру с работающими динамиком и микрофоном, есть много поворотных камер.
+2
Тем у кого нет Экселя, получить список подходящих хостов можно командой в bash
изменяя буквы и цифры можно получить нужное количество хостов и желаемый диапазон.
printf "%s\n" `echo {a..z}{a..z}{0000..9999}.myfoscam.org` > list.txt
изменяя буквы и цифры можно получить нужное количество хостов и желаемый диапазон.
+7
Так как тема стала популярной даже за пределами хабра — хочу предупредить любителей щёлкать по ссылкам: сейчас идеальные условия, чтобы на этой волне ловить любопытных фишингом! Будьте бдительны, камеры используют activeX, кто угодно может воспользоваться тем, что тысячи людей высматривают ссылки на открытые камеры и подложной ссылкой направить их энергию в нужное ему русло.
+2
Добавлю, что в последних прошивках аккаунта operator нет, а пустой пароль админа при первом входе требуется сменить.
0
Sign up to leave a comment.
Articles
Change theme settings
IP-камеры Foscam по умолчанию транслируют в сеть, каждый 3-й владелец об этом не подозревает