Před pár dny na to přišla i jedna z českých televizí a se zpožděním mnoha a mnoha měsíců vysílala reportáž o záplavě kamer připojených na internet, které jsou volně dostupné a které vysílají záběry lidí, aniž by o tom věděli. Oproti klasickým webovým kamerám zaměřeným na nějaké ty památky, které neumožňují rozeznat nic moc detailního, jde o kamery v obchodech, ukazující daleko detailnější záběry.
O jejich existenci neví zákazníci, ale o veřejné video produkci občas neví ani sami provozovatelé či vlastníci obchodů. Kameru totiž zapomněli zabezpečit – nedali jí žádné přístupové heslo, navíc ji umístili na veřejně dostupnou IP adresu a nijak neomezují přístup ze světa.
Vyhledávání podobných zařízení je snadné, stačí navštívit Shodan a hledat (příklad, případně omezení na Česko). Právě nacházení zneužitelných webových kamer je nově jednou z funkčností tohoto vyhledávače. Ars Technica v Internet of Things security is so bad, there’s a search engine for sleeping kids poměrně šokovaně konstatuje, že při zkoumání narazili i na webové kamery namířené na spící děti. Ukazuje tam i příklad (a pár dalších jiného druhu).
Vyhledávat nezabezpečené kamery bylo samozřejmě možné už před příchodem Shodanu, nejde tedy zdaleka o nic nového. Shodan to jen dotahuje do dokonalosti trochu i tím, že rovnou nabízí pohled na to, co kamera ukazuje, a nemusíte se tak příliš namáhat. Stačí jen klikat na „Další“. Většinu z kamer dokážete pomocí IP adresy snadno dohledat a řada z nich poskytuje dostatek informací k tomu, abyste přesně věděli, kde se nacházejí.
Klasická nezkušenost a nezájem na všech stranách
Výrobci webcamů chtějí prodávat a jakékoliv obtěžování zákazníka s nutností něco zabezpečit může prodeji uškodit. Ti trochu pokročilejší vybavují webové kamery přednastaveným heslem, což je pro případné útočníky či zájemce nakonec totéž, jako když tam žádné heslo není.
Zákazníci pak často ani netuší, že jejich kamera, právě připojená do sítě, je volně přístupná z celého světa. Nikdo jim to nevysvětlil. A pokud výrobce přeci jenom varuje někde v návodu, zákazník to stejně obvykle nečte.
Webová kamera patří do tzv. Internetu věcí, ať chcete nebo nechcete. Je ukázkou toho, jak laxní přístup mají a budou mít výrobci řady dalších zařízení, které se připojují na internet. O bezpečnostních chybách raději ani nemluvě.
Ars Technica ve výše odkázaném článku tak trochu předpokládá, že Internet věcí by měly začít regulovat orgány, například jako americká FTC (Obchodní komora). Byť spíše kladou otázku, jestli zásahy FTC mohou skutečně něco změnit. Skutečnost je prostě ta, že trh zaplavují výrobky připojitelné k internetu, které nedodržují ani ty nejzákladnější bezpečnostní záležitosti.
Mimo to Ars Technica zmiňuje, že by průmysl měl přijít se seberegulací, orgánem ověřujícím a známkujícím úroveň zabezpečení těchto zařízení – ať už na úrovni průmyslu (firem) jako takového nebo na úrovni vlády. Přirovnávají to k hodnocení bezpečnosti automobilů. Zmiňují i řešení přes nevládní organizace. Je to poměrně zajímavé a užitečné úvahy a čtení, pokud máte zájem.
Podstatnější je, zda něco takového dokáže zabránit zneužívání záplavy nezabezpečených zařízení. V Ars Technica se domnívají, že je nevyhnutelné, abychom prošli obdobím, kdy IoT bude růst rychleji, než možnosti vše dostatečně chránit. Souhlasím. Máme se na co těšit.
