חוקרי אבטחת מידע ישראלים: שידורי "בייבי מוניטורס" חשופים ברשת
עפ"י הממצאים שפורסמו באתר Safety Detectives, כשלים, טעויות בהגדרת המוצרים מצד המשתמש, שימוש לא נכון או שיווק מטעה מצד היצרנים מוביל לחשיפה ברשת של שידורי המצלמות, ומאפשר להתחבר אליהם בקלות ללא צורך בשם משתמש או סיסמה
מישהו רואה את הילדים שלכם: כשלי משתמש ואבטחת מידע במצלמות רשת שמשמשות לניטור תינוקות (Baby Monitor) או פעילות בגני ילדים ומעונות, חושפים ברשת את פיד הווידיאו החי מעשרות אלפי מצלמות, ומאפשרים לכל גורם בעל ידע מזערי להתחבר לשידורים אלו ולעקוב מרחוק ובחשאי אחרי הילדים והפעוטות שמצולמים. כך חושפים חוקרי אבטחת מידע ישראלים של Safety Detectives , אתר מידע בינלאומי בתחום אבטחת המידע. בין השאר זיהו החוקרים גם פידים פתוחים של מצלמות מחדרי תינוקות בישראל.
- "הצורך בסייבר גדל, גם חברת מוניות היא חברת תוכנה"
- "אבטחת ענן היא המהפכה הגדולה ביותר של עשרים השנים האחרונות"
- "CYE יכולה להיות הספוטיפיי של עולם אבטחת הסייבר"
היכולות הטכנולוגיות, לצד חששות לשלומם של תינוקות בלילה או של פעוטות במסגרות במהלך היום, הובילו בשנים האחרונות הורים ומפעילי מסגרות רבים להתקין מצלמות רשת בעלות יכולות להעביר שידורים חיים למחשבים ולמכשירי מובייל. ואולם, כשלים טעויות בהגדרת המוצרים מצד המשתמש, שימוש לא נכון או שיווק מטעה מצד היצרנים מוביל לחשיפה ברשת של שידורי המצלמות, ומאפשר התחבר אליהם בקלות ללא צורך בשם משתמש או סיסמה.
לפי דו"ח של חוקרי הסייבר של Safety Detectives , באמצע דצמבר הם הצליחו לזהות מספר רב של מצלמות כאלו. "החקירה הונעה מסקרנות", הם כתבו. "שאלנו את עצמנו: 'איזה סוג של מכשירים לא מוגדר כשורה בתכיפות גדולה? מחקר ראשוני באמצעות מנוע החיפוש שודאן (מנוע חיפוש ייעודי שסורק את הרשת ומזהה מחשבים ומכשירים שונים שמחוברים לרשת לפי כתובות IP, ע"כ) העלה שבייבי מוניטורס סובלים משימוש שגוי ומשיווק מטעה. בשעה שיש מכשירים אחרים שסובלים מבעיות אלו, בחרנו למקד את המחקר בבייבי מוניטורס, כי הסיכון שהם מהווים גדול יותר. לא רק בגלל התוכן הרגיש מטבעו, אלא מכיוון שפושעים מחפשים אקטיבית אחרי תוכן כזה".
במהלך החקירה נחשפו 110 אלף מצלמות ששידוריהן היו זמינים ברשת. מחציתן היו מצלמות CCTC שצלמו רחובות או עסקים. 10% צילמו פנים בתים כמו חדרי סלון או מסדרונות. מרבית המצלמות הנותרות היו בייבי מוניטורס שצילמו פעוטות בביתם, מצלמות בגני ילדים ומעונות, ומצלמות בבתי אבות.
המדינות שבהן זיהו החוקרים שידורים חשופים כוללות את קנדה, ברזיל, צרפת, גרמניה, ארה"ב, בריטניה, טורקיה וישראל. בין השאר זיהו החוקרים לייב פיד של תינוק ישן בעריסתו, פעוטות משחקים במעון והורה שמשכיב את בנו הקטן לישון.
"ייתכן שיש מאות אלפי מצלמות חשופות נוספות שלא גילינו, מהעובדה הפשוטה שאין לנו זמן לעבור על כל הפידים האפשריים", כתבו החוקרים. "רבות ממצלמות אלו משדרות מידע מזהה, שכולל תמונות ילדים ותמונות מפנים הבית או המעון. האקרים יכולים גם, בסיוע תוכנות נוספות, לגלות את שם ואת כתובת המשתמש".
החוקרים זיהו כמה שגיאות מרכזיות
הבעיה לא נעוצה בכשל אבטחה נקודתי במצלמות של יצרן זה או אחר, אלא בשגיאת קונפיגרציה מצד המשתמש או החברה במצלמות שעושות שימוש בפרוטוקול בשם RTSP (Real-Time Streaming Protocol), שמסדיר את הפעילות של מצלמות שמעבירות פיד וידיאו בזמן אמת. פרוטוקול זה נפוץ במגוון שימושים, כמו מצלמות CCTV פומביות שאליהן ניתן במכוון להתחבר ללא צורך בסיסמה, אך יישום שגוי שלו עלול להוביל לחשיפת תוכן שאמור להישאר פרטי.
החוקרים זיהו כמה שגיאות מרכזיות. הראשונה, שימוש במכשירים שנועדו לרשתות מקומיות להזרמת וידיאו ברשת. "בייבי מוניטורס רבים עוצבו לשימוש ברשת מקומית, ומאפשרים לכל מכשיר מקומי להתחבר בצורה חופשית לפיד בתפיסה שהרשת המקומית עצמה מאובטחת מספיק", נכתב. "למרבה הצער, אם ארגון (כמו מעון יום) מזרים את התוכן הזה ברשת והחיבור לא מוגן בסיסמה, אין אבטחה שמונעת התחברות למצלמות".
השנייה היא הגדרות שגויות של מכשירים לשימוש מחוץ לרשת מקומית: "יש מצלמות שתוכננו לשימוש ברשת מקומית, בשעה שהן מאפשרות גם התחברות ישירה ממחשב. עם מצלמות כאלו, משתמשים רבים כושלים ליישם אבטחה מתאימה (כמו סיסמה), וכתוצאה הבייבי מוניטור מאפשר גישה לא-מאושרת".
במקרה אחר האחריות היא של המשווק של המצלמה, שמוכר מצלמות רשת רגילות כבייבי מוניטורס. "חברות שונות ממתגות מצלמות רשת כבייבי מוניטורס. מדובר בנוהג נפוץ באתרי סחר מקוון, שם מספר חנויות מפרסמות מצלמות כמוצרים שמתאימים לשימוש כבייבי מוניטורס. במרבית המקרים, היצרן המקורי לא התכוון, ולא שיווק, את המצלמות שלו לשימוש שכזה. הבעיה היא שמצלמות רשת אלו מיועדות לשימוש ברשת מקומית, ולא באינטרנט".
שגיאה אחרונה שזיהוי החוקרים היא כשל בצד היצרן: "יש יצרנים שמגדירים בשוגג את המצלמות שלהן כך שהן הופכות ללא-מאובטחות. לרוב זה קורה מכיוון שהם רוצים לספק התקנה 'נטולת כאבים' ופשוטה למשתמשים. יצרנים צריכים להזהיר את המשתמשים שלהם שהם חייבים לאבטח את המכשיר לפני חיבורו לרשת. מותגים רבים כושלים לעשות זאת".
לדברי החוקרים, על מנת למנוע חשיפה מסוג זה צריכים בעלי מצלמות אלו, שמסוגלים להתחבר אליהן מרחוק, להגדיר להן שם משתמש וסיסמה ייחודיים מורכבים. בעבור מי שטרם קנה מצלמה כזו, מומלץ לבצע תחקיר לפני הרכישה, ולוודא שהמצלמה שנרכשת היא בייבי מוניטור ייעודי.