Po raz kolejny sprawdza się stara prawda, że wszystko, co jest dostępne przez internet, należy traktować jako informacje publiczną. Tym razem ofiarą najpierw niedbałych twórców, a wkrótce potem badaczy, padły między innymi kamery firmy D-Link.
Jak co roku konferencja BlackHat obfitowała w ciekawe i oryginalne wystąpienia. Jednym z nich bez wątpienia była prezentacja Craiga Heffnera z firmy Tactical Network Solutions. Craig zawodowo zajmuje się analizowaniem bezpieczeństwa urządzeń z wbudowanym oprogramowaniem, a na konferencji opowiadał o jednym z ulubionych celów włamywaczy, czyli kamerach internetowych. Mogło by się wydawać, że wszystkie popularne modele kamer zostały już na wylot prześwietlone przez podglądaczy – amatorów, jednak Craigowi udało się znaleźć ciekawe błędy w wielu modelach różnych producentów.
Najciekawsze odkrycie zanotował w oprogramowaniu kamery D-Link DCS-7410. Serwer www kamery działa pod kontrolą lighttpd. W regułach serwera włączono zabezpieczenie hasłem wszystkich katalogów oprócz cgi-bin. W katalogu tym znajduje się tylko jeden plik – rtpd.cgi. Służy on do uruchamiania i zatrzymywania usługi RTP np. poleceniem
http://192.168.1.100/cgi-bin/rtpd.cgi?action=stop
Skrypt zawiera jednak polecenie eval (używane do zamiany „&” na ” „), co sprawia, że wydać mu można dowolne polecenie, a odpowiedź bez żadnych dodatkowych kombinacji zostanie kulturalnie wyświetlona w przeglądarce. Do tego hasło administratora można w formie jawnej odczytać z urządzenia jednym poleceniem. Połączenie tych dwóch informacji daje nam link w postaci
http://192.168.1.100/cgi-bin/rtpd.cgi?echo&AdminPasswd_ss|tdb&get&HTTPAccount
który wyświetla plik konfiguracyjny wyglądający na przykład tak
AdminPasswd_ss="tajnehaslo" Usage: rtpd.cgi?action=[start|stop|restart|status|get|set]&...
Nie było to skomplikowane, prawda? Jeśli dodamy do tego fakt, że wyszukiwarka Shodan po podaniu ciągu „dcs-lig-httpd” odpowiada adresami kilkudziesięciu tysięcy urządzeń to możecie sobie wyobrazić, ile radości będą mieli podglądacze w najbliższych dniach. Na błąd ten podatne są co najmniej kamery D-Link DCS-1130, DCS-2102, DCS-2121, DCS-3410, DCS-5230, DCS-5606 oraz Trendnet TV-IP512WN, TV-IP512P, TV-IP522P oraz TV-IP612WN.
Craig nie poprzestał na tym jednym odkryciu. W swojej prezentacji omówił również poważne błędy w kamerach takich marek jak Linksys, Cisco, IQInvision, 3SVision i Alinking – szczegóły tych odkryć znajdziecie na jego slajdach. W niektórych modelach kamer potrafił nawet podmienić obraz na fałszywy – zupełnie jak na filmach. Do swoich badań używał klasycznych metod analizy wbudowanego oprogramowania. Najpierw pobierał ze stron producentów pliki z aktualizacjami oprogramowania, następnie rozpakowywał je i analizował za pomocą takich narzędzi jak Binwalk, Firmware-Mod-Kit oraz Ida Pro i Qemu. Jak pokazuje jego praca, w części przypadków błędy były tak trywialne, że znajomość asemblera nie była do potrzebna.
Komentarz
Pytanie tylko jak poznać login :0