Nyolcvan, ipari használatra szánt Sony IP kamerába épített hátsó ajtót talált egy biztonsági cég még októberben, a gyártó azóta frissítést adott ki. A Magyar Úszószövetség is ilyen márkájú kamerákat vásárolt idén, valószínű az úszó világbajnokságra.
Nyolcvan, ipari használatra szánt, high-end kategóriás Sony IP kamerában egy hátsó ajtót fedezett fel egy osztrák biztonsági cég. A SEC Consult szerint a biztonsági rés lehetővé tette, hogy Telnet szolgáltatással a kamerához csatlakozva a támadó lássa a kamera felvételeit. Ami viszont komolyabb: a kamerákat meg is lehet fertőzni, és így a fél internetet nemrég térdre kényszerítő botnet hálózat tagja lehet az eszköz.
Manuálisan kell frissíteni
A kutatók azt vélik, hogy maga a gyártó építette be ezt a biztonsági rést az eszközbe, azzal a szándékkal, hogy fejlesztés vagy tesztelés során könnyedén tudja kezelni őket. Megnyugtató tehát, hogy nem egy harmadik fél fertőzte meg őket.
A hibát már októberben jelezték a gyártónak, aki azóta frissítette az eszköz firmware-jét. A dolog hátulütője, hogy ezeket az ipari IP kamerák szoftverjét kézzel kell frissíteni. A jó hír a dologban, hogy többnyire vállalatok használják őket, akik tudatosabban közelítenek a biztonság kérdéséhez.
Az úszókat is ilyen kamera veszi
A Magyar Úszószövetség is Sony kamerákat vásárolt idén, vélhetően a 2017-es úszó világbajnokság lebonyolításának támogatására. Ezek is ipari kamerák, speciális használattal, víz alatti felvételeket készítenek. Hogy a biztonsági rés az úszószövetség kameráit is érinti-e, a rendelkezésünkre álló adatok alapján nem áll módunkban teljes bizonyossággal megállapítani. Az autógyártókhoz hasonlóan az IP kamerák készítői is több termékben felhasználják egy-egy fejlesztésüket, így kategóriánként nagy valószínűséggel azonos szoftveres architektúrával építik fel az IP kamerákat is.
Az IP kamerákhoz hasonló okos eszközök esetében is figyelni kell a biztonságra. A megfertőzött és zombivá változtatott eszközöket hálózatba szervezve szolgáltatás megtagadását (DDoS) eredményező támadáshoz használták fel idén ősszel is, amikor a fél internet – közöttük olyan népszerű szolgáltatások, mint a Twitter, Amazon, Spotify vagy Netflix – állt a támadás miatt is. A sportesemények szervezői egyéb sok teendőjük mellett az IT eszközök biztonságára is oda kell figyeljenek. Éles használat előtt frissíteni kell a szoftvereket, hiszen az esemény közvetítését hiúsíthatják meg a rossz szándékú hekkerek.