Uyuyan aşıklar canlı yayınlanır: Ödeme yaptığınız sürece her şeyi izleyebilirsiniz!
Bir ay boyunca karanlık ve rüzgarlı bir gecede, parlak şehir yavaş yavaş kararmıştı. Xiao Zhao yatak odasında çoktan tekrar ve tekrar esnemişti ve gömleksiz yatakta uykulu bir haldeydi. Daha sonra, kız arkadaşı Xiaohong yatak odasına girdi, ışıkları söndürdü ve kıyafetlerini tek tek çıkarmaya başladı - paltolar, gömlekler, kısa kollular ... Hiç bilmiyorlardı, ama bu iki kişilik dünyada geri verdiler. Karanlıkta ona bakan bir "göz" vardı.
Ertesi gün meslektaşlarının, arkadaşlarının ve hatta akrabalarının onlara tuhaf gözlerle baktıklarını gördüler. İlk başta nedenini bilmiyorlardı, o gece yatak odalarının videosunu yetişkin bir web sitesinde görene kadar, aniden, izleme ekipmanı kapatılmadığı için o gece dünyaya "uyku duruşlarını" yayınladıklarını fark ettiler.
Bunun sadece bir anlatı olduğunu düşünmeyin. Aslında bu hikaye gerçek olaylardan uyarlanmıştır. Şu anda, Ukrayna'daki bir çiftin canlı bir videosu, dünyanın "izlemesi" için yetişkin web siteleri tarafından çevrimiçi olarak yayınlanıyor. Artık iyi olduklarına göre, kimsenin bilmediği büyük kırmızılar haline geldiler, çünkü dünyanın her yerinden insanlar onların ayağa kalkmasını bekliyor.
Bak? Resimdeki sadece bu ikisi. Şu anda, belki şimdiye kadar kişisel olarak bilmiyorlardı. Hayallerinde hayatlarının zirvesine ulaşıp ulaşmadıklarını bilmesem de, editör uyandıklarında ikisinin de çıldıracağından emin.
Twitter'da olay, kavun yiyenler arasında da büyük paniğe neden oldu: "Henüz kamera yok ve arkanızda kaç büyük adam canlı şovlarını zevkle izliyor bilmiyorum!"
Resim çok güzel, bunu düşünemiyorum bile ~
Sakin ol ~
Kişi "yaşadı" gönüllü mü?
Leifeng.com'un editörü gözetim videosunun yalnızca canlı bağlantısını alsa da, bağlantının birleşik bir platformdan geldiği açıktı. Muhtemelen dikkatli okuyucular bunu VuyeurHouse'un yukarıdaki ekran görüntüsünden görmüşlerdir.
VuyeurHouse web sitesinde oturum açtıktan sonra, Leifeng.com editörleri yukarıdaki durumun sadece bir durum değil, çok fazla olduğunu keşfetti! Web sayfasının ana arayüzünde, canlı yayın için üst çubukta görüntülenen toplam 11 kullanıcının izlemesinin kullanıldığını açıkça görebiliyoruz.
Resim yok, gerçek yok, ilk resim:
Daha da korkutucu olan, sitenin sadece tek bir izleme cihazını kontrol etmemesidir. İzleme sisteminin izinsiz girişiyle, bir ailedeki birden fazla cihazın bağlantı anahtarlaması bile gerçekleştirilebilir. Diğer bir deyişle, bir kullanıcı olarak, birkaç kamera aracılığıyla tüm evin panoramik görüntüsüne sahip olabilirsiniz.
Ardından, editör platformun "Genel Sorular" sütununda aşağıdaki talimatları gördü:
Yukarıdaki açıklama esas olarak aşağıdaki dikkatimizi çekecek noktaları içerir:
1. Kimi görüyorsunuz?
Tüm katılımcılar 18 yaşında veya daha büyüktür. VoyeurHouse projesine katılan kişiler oyuncu değil gerçek kişilerdir, kameraların takıldığı her konutta yorum yapılmaksızın normal bir hayat yaşarlar.
2. Web sitesini kullanmak için ödeme yapmam gerekiyor mu?
Ödeme yapmayan bir kullanıcı olarak, etkinleştirilebilen cihazlar genellikle oturma odası ve mutfak ile sınırlıdır. Yatak odası ve banyonun kilidini açmak için ücretli üyelik gereklidir. Ücretli bir üyelik satın almak, hedef odanın 24 saatlik tekrar jetonuna erişimin de kilidini açar;
3. Katılımcılar projeye aşina mı?
Evet, tüm katılımcılar kameranın tam olarak nerede olduğunu bilir, aksi takdirde yasa dışı olur;
Genel olarak, yukarıdaki sonuçlardan VoyeurHouse'un kullanıcıların iki noktayı anlamasını umduğu görülebilir:
1. Kamera tarafındaki kişiler gönüllü olarak katılıyor, bu yasa dışı değildir;
2. Bu, gerçek bir ailenin canlı yaşam kaydıdır, içinde herhangi bir tümdengelim bileşeni yoktur ve orijinal lezzet garantilidir;
Öyleyse, bu erkek ve kadınların başkalarının görmesine izin vermeye istekli oldukları anlamına mı geliyor?
VoyeurHouse'un katılımcıların haklarının nasıl garanti altına alınacağına ve bilgi korumasına ilişkin herhangi bir ilgili düzenlemeden bahsetmediğini belirtmekte fayda var. Ve görünen tek "koruyucu önlem" üyelik sistemidir.Üye olmayanlarla karşılaştırıldığında üyeler yatak odası, tuvalet ve banyo gibi sahnelerin kilidini açma olanağına sahip olacak - kısaca, sadece para verin ve ne istediğinizi görün. .
Heichen: Sizi baştan sona görmek zor değil
Gördüğünüz VoyeurHouse buzdağının sadece görünen kısmı. Siyah endüstrinin elinde, Tanrı'nın Gözü, Assassin'in Creed, Clairvoyance, Watcher, Skyscanner, EasyN vb. Gibi sayısız araç senaryosu var ve bakmak için kamerayı kontrol ediyorlar. Senden önce sana bir ifade bile gönderilmezdi.
Bu çok garip. İyi bir izleme cihazı için saldırıya uğramak neden bu kadar kolay? Aslında, izleme ekipmanını kırmanın birçok yolu vardır ve siyah ürünler de ekipmanın güvenlik özelliklerine göre seçilecektir.
Shodan
Bundan bahsetmişken, Leifeng.com'un editörü, arama motorunun karanlık versiyonu olan Shodan'dan bahsetmek zorunda hissetti. Korkunç olan şey, Shodan'ın arama işlevinin tek tek URL'lere dayanmaması, sürekli olarak İnternet ile ilişkili tüm sunucuları, kameraları, yazıcıları, yönlendiricileri vb. Aramasıdır. İstatistiklere göre, Shodan her ay 24 saat yaklaşık 500 milyon sunucu hakkında bilgi topluyor.
Son derece geniş çaplı arama altında, sözde güvenlik neredeyse etkisizdir. IHS Markit'ten alınan bir dizi anket verisi, Çin'in yalnızca kamuya açık ve özel alanlarda (havaalanları, tren istasyonları ve sokaklar dahil) toplam 176 milyon güvenlik kamerası kurduğunu ve Çin'de kurulan kamera sayısının üç yıl içinde 6,26'ya çıkmasının beklendiğini gösteriyor. Milyar.
Bu kadar çok kamera cihazıyla, hepsinin istisnasız olarak ağa bağlanması gerekir.Kurulum süresi ve kullanımdaki farklılık nedeniyle, hiç kimse tam bir güvenlik sistemine sahip olması gerektiğini garanti edemez. Şu anda, Shodan'ın fırsatı burada.
Genel olarak konuşursak, Shodan'daki en popüler arama içeriği: web kamerası, linksys, cisco, netgear, SCADA, vb. Çok sayıda ipcam, güvenlik önlemleri olmaksızın doğrudan çevrimiçi olarak açığa çıkar ve milyonlarca cihaz hala fabrika varsayılan hesaplarını kullanır. parola.
zayıf şifre
Shodan ile bile, sadece cihazı ele geçirmek için bir anahtarı olduğu söylenebilir, ancak bu siyah ürün "üçüncü göz" ün süper gücünü nerede kontrol ediyor?
Başlangıçta giriş yapmak için varsayılan ilk hesap şifresini kullanan izleme ekipmanı için, bilgisayar korsanları zayıf bir şifre ile kontrol etmek ve görüntülemek için arka planda kolayca oturum açabilir. Varsayılan hesap şifresi en zayıf güvenliğe sahip olduğu için teknik olarak hiç bir zorluk olmadığı söylenebilir.
Örnek olarak yerli bir üretici tarafından satılan bir IP ağ kamerasını ele alırsak, siyah şirketin ağda açığa çıkan Hikvision IP ağ kameralarını kolayca elde etmek için yalnızca Shodan'da Hikvision-Webs anahtar kelimesini araması gerekir. Ardından web sitesi arka planına girmek için İndeks'e tıklayın, yönetim arayüzüne girmek için varsayılan hesap şifresini girin: admin / 12345.
Fabrika varsayılan şifresiyle bir otel izleme arka planı
Bu nedenle, şu ana kadar izleme ekipmanının ilk şifresini değiştirmeyi hatırlamayan öğrenciler, büyük yetişkin web sitelerinde "süper model" olmuş olabilirsiniz ~
Toplu satın alma ve Hydra kaba kuvvet kırma
Tabii ki, izleme ekipmanının çoğu hesap ve şifre ile değiştirildi. Bu cihazların izleme haklarını elde etmek için, siyah prodüksiyon önce bir Python betiği yazarak bir grup oturum açma testleri dalgası gerçekleştirecek ve ilk olarak tarama işlemi sırasında bir dizi kullanılabilir aygıtları görüntüleyecektir.
Başarılı tarama ve oturum açmanın beş ana nedeni vardır ve bunlar aşağıda özetlenmiştir:
1. IP ve bağlantı noktasını açın, web sayfalarının doğrudan görüntülenmesi;
2. Fabrika değerini değiştirmeden doğrudan varsayılan şifre ile oturum açın;
3. Genel parolaların birleşimini kaba kuvvet uygulamak için Hydra'yı kullanın;
4. Donanım, sızmaya neden olmak için yararlanılabilecek yüksek riskli güvenlik açıklarına sahiptir;
5. Belli bir hazine ürünü, gri işi yapmak için bir arka kapı kurdu;
Ek olarak, siyah ürünler de kali linux aracılığıyla IP kameralara girebilir. Saldırı süreci kabaca dört adıma bölünmüştür:
1. Önce açık kamerayı Angry ip tarayıcı ile tarayın;
2. Cihazın sistem güvenlik duvarını aşmak için Metasploit'teki shodan arama saldırı modülünü kullanın;
3. Şifre kombinasyonunu kaba kuvvetlendirmek, oturum açmak ve platform kontrol yetkisi elde etmek için Hydra ile birleştirin;
4. Uçbirim denetim izinlerini almak üzere IoT otomatik saldırı çerçevesini çalıştırmak için AutoSploit'i kullanın;
Yukarıdaki iki örneğin ortak bir yönü vardır: siyah şirketlerin açık durumda olan cihazları bulması veya ilk parolaları kullanması gerekir ve çoğu kullanım durumunda genellikle bu adımları göz ardı etmeyi seçeriz.
Geçici çözüm
İzleme ekipmanının kullanılması gerekiyorsa, gözetleme riski etkili bir şekilde nasıl azaltılabilir? Burada dört öneri var:
1. Güvenlik düzenlemeleri ve onay sertifikalarına sahip ürünleri arayın ve kaynağı bilinmeyen izleme ekipmanı satın almayın;
2. İlk parolayı zamanında değiştirin ve cihaz için ilgili güvenlik duvarı yazılımını yükleyin;
3. Kamerayı özel bir yaşam alanına yerleştirmeyin;
4. Ekipmanın gücünü zamanında çıkarın ve takın;
