Cámaras IP y contraseñas por defecto: haz lo que yo digo, pero no lo que yo hago


En el ámbito de la seguridad, los especialistas estudian el comportamiento de las amenazas informáticas y a menudo dan consejos que repiten una y otra vez. Esto no es por falta de originalidad, ni por vagancia, sino porque es realmente importante seguir esas buenas prácticas e insistirán hasta que todos los usuarios lo hagan.

El consejo de cambiar las contraseñas que vienen por defecto en los sistemas y dispositivos es uno de ellos: no es nuevo, se ha dicho en más de una ocasión, y es útil para protegerse de un gran abanico de amenazas. Hoy veremos un curioso caso para reforzar esta idea: sucede que un sitio muestra imágenes y grabaciones que obtiene de diversas cámaras IP, cuyos propietarios han tenido el descuido de no cambiar las claves por defecto de los equipos. Esto significa que mientras una persona está en la comodidad de su casa mirando televisión, o de compras en un shopping, otra persona, desde cualquier otro lado, podría observarla desde su computadora. ¡Y todo por una clave no modificada!

Acceder a cámaras no protegidas “no es difícil”, tal como desde el sitio Insecam explican: una simple búsqueda en Google con los contenidos de la página de identificación de cada fabricante de cámaras es suficiente. Si, además, se conoce con qué contraseña entrar (en este caso, al ser una contraseña por defecto se conoce), es posible acceder a la retransmisión de seguridad privada de una gran cantidad de cámaras.

El sitio muestra que en Estados Unidos aparecen más de 11 mil cámaras desprotegidas, mientras que en México hay 3.359, más de dos mil en Colombia, y más de mil en Argentina y Brasil. En tanto, en España 1.022 mantienen todavía su contraseña por defecto. Ahora bien, ¿por qué existe este sitio? ¿No es, a priori, un poco delicado que muestren abiertamente lo que ven las cámaras? Sin pensarlo demasiado, podemos decir que atenta contra la privacidad de las personas en pantalla.
Según precisan en el sitio, el objetivo es dar a conocer los problemas de seguridad que este tipo de instalaciones tienen si no se configuran correctamente. El problema existe y está ahí igualmente, con sitio web que lo muestre o no, así que quieren darle visibilidad para que la gente se preocupe y cambie la clave que les da el fabricante.

A continuación reproducimos el mensaje del sitio:
En ocasiones, los administradores (y posiblemente usted también) olvidan cambiar contraseñas por defecto como “admin:admin” o “admin:12345″ en sistemas de vigilancia, cámaras online o DVR. Esas cámaras online están disponibles para todos los usuarios de Internet. Aquí puede ver miles de esas cámaras situadas en cafés, locales, centros comerciales, objetos industriales y dormitorios de todos los países del mundo. Para navegar por cámaras simplementa elija el país o el tipo de cámara.
Este sitio ha sido diseñado para mostrar la importancia de las configuraciones de seguridad. Para quitar su cámara pública de este sitio y hacerla privada, lo único que tiene que hacer es cambiar su contraseña.
Pero, ¿es legal este método? Sobre todo si tenemos en cuenta que el procedimiento habitual al descubrirse un agujero de seguridad es reportarlo al fabricante, para que lo solucione. A fin de cuentas, como indica Genbeta, los propietarios no han dado permiso para acceder a su red y no se les está notificando de ninguna forma que hay un problema de seguridad con ella.

El mensaje de la importancia de cambiar las contraseñas por defecto -y las consecuencias de no hacerlo- llega, pero podemos decir que el método no es de lo mejor, e inclusive hasta va algo en contra de lo que profesan: advierten los efectos del descuido en términos de seguridad y privacidad, pero a través de la exposición de la privacidad de las personas que aparecen en cámara sin saberlo. Sin dudas, un tanto contradictorio.

Tal como reflexiona Motherboard, Insecam es uno de los últimos -y tal vez más importante- ejemplos de una tendencia en la que los investigadores de seguridad arriesgan la intimidad de las personas bajo la justificación de la exposición de los problemas de seguridad. Aunque este enfoque a veces puede obligar a un proveedor a actuar y solucionar el problema, también puede dañar al público en general.

El abogado estadounidense Jay Leiderman, entrevistado por Motherboard, afirmó que la publicación de lo que muestran las cámaras es una clara violación a nivel legal: sin importar que no haya un “hackeo” en sentido estricto, ya que se accede a las cámaras a través de sus contraseñas por defecto, el hecho de que existan dichas contraseñas y se incluyan en el sistema significa que hay una intención por parte de su usuario de restringir el acceso, y mantenerlo privado. “Aunque la contraseña fuera ‘1’, igualmente es acceso a un sistema protegido”, declaró.

Lo que sí parece es que algunos fabricantes ya han tenido en cuenta este problema y ya obligan al usuario a cambiar la contraseña durante el proceso de instalación. Podría ser que se trate, en su mayoría, de modelos antiguos donde no existía este requisito. Desde luego, ese requisito aliviaría el problema, y otra medida viable sería liberar los equipos con contraseñas por defecto únicas y no en serie, que desde ya, deberían ser cambiadas obligatoriamente.

Fuente: WeLiveSecurity

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?          4 Origen del problema          5 PRUEBAS DE CONCEPTO          7 Extracción masiva de datos personales:          7 Consulta de datos personales por CUIT:          8 Usos potenciales de esta información    
Leer más