Surveillance Station Heise.de: Webcams könnten Hackern private Einblicke gewähren

[Eicher]

Auf heise.de gab es heute den Beitrag über unsichere IP-Cameras.

Im Artikel wird auch auf die Seite mit den namentlich genannten Kameras verlinkt.

Hier der Artikel auf heise.de https://heise.de/-3648458

und der direkte Link zu der Seite mit den Namen der Kameras:

https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

Gruß Eicher

 

[losch]

Es sind über 1250 Modelle betroffen. Anders als im Heise-Artikel genannt, sind nicht nur "in erster Linie hierzulande eher unbekannte Hersteller" zu finden, sondern auch solche von Herstellern wie AVACOM, Foscam, Hootoo und (die ohnehin berüchtigten) Maginon.

 

[TeXniXo]

und neu sind diese Informationen auch eigentlich nicht, da es vor 2-3 Jahren ein "Skandal" gab, dass man Heim-Kameras ausspähen kann und die Videos online gestellt wurden.
Ich würde - falls ich mal Kameras anschaffe - sie nur für draussen einsetzen.

 

[JudgeDredd]

Also wer Überwachungskameras ueber WiFi ins Netz integriert oder diese ueber NAT zugänglich macht, der trägt aber auch min. 95% Mitschuld.

 

[cheffie]

Warum sind die Modelle denn frei im Internet verfügbar?
Man muss doch im Router MANUELL erst die Ports freigeben damit man überhaupt von extern darauf zugreifen kann.
Und selbst wenn sollte man natürlich die Modelle regelmäßig Patchen.

 

[Frogman]

Die Kameras bauen selbst Verbindung zu Herstellerservern auf - dafür sind keine Portfreigaben notwendig. Einige Hersteller wie bspw. Foscam bieten - ähnlich wie Synology mit QuickConnect - auch Connect-Dienste an, außerdem auch Cloud-Dienste. Darüber lassen sich dann problemlos von außen sensitive Daten abgreifen.

Hier hilft es nur, die Kameras im Router wie bspw. der Fritzbox mit der Kindersicherung jeglichen Internet-Kontakt zu untersagen. Sind die Kameras dann zB. in der Surveillance Station eingebunden, kann man darüber auch von unterwegs darauf zugreifen, ohne sich um die Hersteller-Hintertürchen Gedanken machen zu müssen.

 

[est1958]

Gibt immer wieder mal zu denken.
Meine Cams sind bis auf die D-Link 932L nicht dabei, aber die Tsching-Tschang Software Cloudsee von Jovision baut auch direkt ohne notwendige Portfreigaben mit einer Cam-ID-Nummer von überall her Verbindung auf.
War grad in der Fritzbox tätig und hab für alle Cams die Kindersicherung aktiviert - raus geht nix mehr und aus dem Internet gehts jetzt nur noch über DS CAM / Surveillance Station rein.

 

[Andy14]

Warum sind die Modelle denn frei im Internet verfügbar?
Man muss doch im Router MANUELL erst die Ports freigeben damit man überhaupt von extern darauf zugreifen kann.

Habe jetzt nur den Heise Artikel im Bookmark, aber da findet sich auch einige andere Seiten im Netz.
Mit Webfrontend lässt sich das wenigstens noch, mit einigem Aufwand, umgehen, die "Hersteller" Smartphone Apps funktionieren nur mit Konto auf dem Hersteller Server.
https://www.heise.de/ct/ausgabe/201...meras-und-wie-man-es-unterbindet-3088868.html

Und selbst wenn sollte man natürlich die Modelle regelmäßig Patchen.

Hilft natürlich nicht wie in diesem Fall wenn da explizit ein "Backdoor Account" in der Hersteller Software existiert!

 

[losch]

@Frogman: Ist dann der Quickconnect-Dienst ähnlich kritisch zu sehen wie die der Cam-Hersteller?

 

[Holgo]

Das Problem sind aber eigentlich nicht die Kameras. Je smarter das Home wird, mit immer mehr Netzwerkkomponenten, die man nur anschließt und in der Grundkonfiguration funktioniert schon alles, desto mehr verliert man doch den Überblick, was überhaupt im eigenen Netzwerk passiert bzw. wird das Ganze ja auch immer mehr von Leuten benutzt, die ohnehin gar nicht wirklich wissen, wie ihr eigenes Netzwerk funktioniert. Da sind die IP-Cams nur ein winziger Teil des Ganzen. Die Aufklärung sollte eher in die Richtung gehen, die Leute dafür zu sensibilisieren, was da in ihrem Netzwerk passiert, statt eine Liste mit vermeintlich unsicheren Kameras zu veröffentlichen.

 

[cheffie]

Ich habe jetzt mal ein wenig mitgetraced an meinen Foscam Kameras und konnte nur zwei Verbindungen feststellen.
Eine zu einem Zeitserver was natürlich normal ist sowie den Dyndns Dienst von Foscam.
Mir ist auch noch ein wenig schleierhaft wie man bei einer ausgehenden Verbindung (ohne freigegebene Ports im Router) an die Kameras selbst kommen soll.
Über telnet wie im github Artikel kommt man ja auch nicht an die Kamera heran. Dann muss man schon alle Ports freigegeben haben bis zur Kamera direkt.
Und was für Daten sollen über die Cloud Dienste/Quickconnect denn abhanden kommen und vor allem wie?
Bei einem weitergeleiteten HTTP Port muss ich dann wohl zustimmen dass es dort zu Problemen kommt und man dann die Passwörter auslesen kann.

 

[losch]

Naja Holgo, ein wenig mehr als eine Liste war das doch schon. Und wie sollen die Leute denn sensibilisiert werden, wenn nicht durch solche Informationen?

 

[Frogman]

@Frogman: Ist dann der Quickconnect-Dienst ähnlich kritisch zu sehen wie die der Cam-Hersteller?

Sagen wir so: Du bist ohnehin gezwungen, Synology zu vertrauen, denn Du installierst ein OS, was sie Dir liefern. Das meiste davon kannst Du einsehen, doch es gibt auch Code, der nicht offen ist. Dennoch nutze ich QuickConnect prinzipiell nicht - denn ein Dienst, der Zugriffe von außen erlaubt, die ich nicht legitimiere, halte ich für kritisch... und überflüssig, da es mit VPN oder portbasierten Freigaben bestimmter Dienste funktionierende Dienste gibt. QuickConnect ist nach meiner Ansicht nur durch zwei Aspekte entstanden: zum einen liefert man damit eine externe Zugriffslösung für die vielen "Ich will mich damit nicht beschäftigen, aber von extern zugreifen"-User... und gerade das sehe ich kritisch (habe ich auch schon oft geschrieben, denn ich halte es nicht für vernünftig, dass User einen Server betreiben, wenn sie nicht bereit sind, entweder sich selbst mit der Materie zu beschäftigen, damit sie das Gerät vernünftig konfigurieren können, oder dafür einen Fachmann zu beauftragen). Zum anderen dient oft genug QuickConnect als Zugriffskanal aus Firmennetzwerken in heimische LAN, da diese im Regelfall durch Firewalls andere Zugriffe unterbinden - und auch dieses Szenario halte ich für wenig überzeugend, denn in 99% der Fälle dürfte der Zugriff ohne Wissen und Genehmigung des Arbeitgebers stattfinden.

Das Problem sind aber eigentlich nicht die Kameras. Je smarter das Home wird, mit immer mehr Netzwerkkomponenten, die man nur anschließt und in der Grundkonfiguration funktioniert schon alles, desto mehr verliert man doch den Überblick, was überhaupt im eigenen Netzwerk passiert ...Die Aufklärung sollte eher in die Richtung gehen, die Leute dafür zu sensibilisieren, was da in ihrem Netzwerk passiert, statt eine Liste mit vermeintlich unsicheren Kameras zu veröffentlichen.

Da stimme ich umfänglich zu. Gerade die in jüngerer Vergangenheit publizierten Schwächen in der schönen bunten IoT-Welt (der interessierte Leser kann sich bspw. einmal hier, hier oder auch hier einlesen) erzeugen wohl nicht nur bei mir ein mächtiges Magendrücken... - und Aufklärung beim potentiellen Käufer scheint, leider wie fast immer, der einzige Weg, über kritischen Konsum die Hersteller zum Handeln zu zwingen.

 

[Puppetmaster]

I
Mir ist auch noch ein wenig schleierhaft wie man bei einer ausgehenden Verbindung (ohne freigegebene Ports im Router) an die Kameras selbst kommen soll.

Na, genauso, wie es auch bei z.B. QuickConnect geht: die Kamera unterhält sich mit dem Server des Herstellers. Wenn der nun die Kamera dazu auffordert, ihm bestimmte Daten zu senden, dann kann die Kamera das tun, ohne dass du dazu ein Loch von aussen in deine Firewall bohren musst.

 

[TeXniXo]

Würde da nicht ein neues Problem entstehen, dass die Kamera dadurch nicht "funktionsfähig" wäre (sofern man keine anderen Servern eintragen kann) und sie auf diesen Server angewiesen ist - so wie es bei einigen (deppensicheren und sehr intuitiv bedienbaren) Modelle dies erforderlich ist.

Einige Modelle können dagegen eigenständig an eigenen Servern oder dgl. eingebunden werden, da hat man definitiv mehr Spielraum um die Kommunikation nach außen unterzubinden.

 

[JudgeDredd]

die Kamera dadurch nicht "funktionsfähig" wäre (sofern man keine anderen Servern eintragen kann) und sie auf diesen Server angewiesen ist

Das ist ja echt ne Lachnummer. Es gibt tatsächlich Kameras, die ohne Connect zum Herstellerserver den Betrieb verweigern ?
Wer kauft denn so einen Rotz ?

da hat man definitiv mehr Spielraum um die Kommunikation nach außen unterzubinden

Firewall zu und gut ist. Da brauche ich keine Einstellungsmöglichkeiten in der Kamera.

 

[Frogman]

Mir ist auch noch ein wenig schleierhaft wie man bei einer ausgehenden Verbindung (ohne freigegebene Ports im Router) an die Kameras selbst kommen soll. ...

Lies einmal, was bspw. Hole Punching bewirken kann.

...Und was für Daten sollen über die Cloud Dienste/Quickconnect denn abhanden kommen und vor allem wie?

Nun ja, ich überlasse einmal Deiner Phantasie, welche Daten ein Device, welches Bilder und Ton erfassen kann, in eine Cloud schicken kann... bspw. Webcams in Kinderzimmern, bei denen Zugriffe von außen nicht ausgeschlossen sind, sollten da zum Nachdenken anregen. Und gerade das Beispiel eines Samsung-Fernsehers in den jüngst veröffentlichten Vault7-Unterlagen von WikiLeaks als Möglichkeit für eine 24/7-Wanze im Wohnzimmer sollte klarmachen, auf welchem Terrain wir uns hier bewegen.

 

[Frogman]

Das ist ja echt ne Lachnummer. Es gibt tatsächlich Kameras, die ohne Connect zum Herstellerserver den Betrieb verweigern ?Wer kauft denn so einen Rotz ?

Na, die FireTV-Geräte arbeiten auch nur richtig, wenn sie Heimatkontakt haben, inkl. Zwangsupdates - was aber kaum jemanden abhält. Und viele kaufen Produkte ohnehin, ohne intensiver nach den Features bzw. insbesondere Einschränkungen zu schauen...

 

[JudgeDredd]

Und viele kaufen Produkte ohnehin, ohne intensiver nach den Features bzw. insbesondere Einschränkungen zu schauen...

Jo, und da kommt wieder mein Post #4 zum tragen:

Selber Schuld !

 

[losch]

Vielen Dank für deine Erläuterungen Frogman!

Zwar habe ich die Nutzung des QuickConnect-Zugriffs bereits aus Performanzgründen reduziert, will den Dienst jedoch nunmehr möglichst ganz abschalten, obwohl Synology ein gutes Maß Vertrauen meinerseits genießt.