Evinizin içinde veya çevresinde internet bağlantılı kameralarınız varsa, ayarlarını kontrol ettiğinizden emin olun. Araştırmacılar, 40.000’i internete ev ve işletmelerin görüntülerini sunduğunu keşfettiler.
Bitsight’ın Trace Araştırma Ekibi bu ay yayınlanan bir raporda sorunu açıkladı. Kameraların görüntüleri herhangi bir şifre veya kimlik doğrulaması olmadan sağladığını söyledi. Bazıları işletmelere bağlanırken, ofislerin, perakende mağazaların ve fabrikaların görüntülerini gösteren birçoğu muhtemelen özel konutlara bağlanmıştı.
Birçok kamera, kullanıcıların bir tarayıcı veya uygulama kullanarak uzaktan erişebilecekleri kendi web sunucularını içerir, böylece binalarını izleyebilirler. Rapora göre bunlar genellikle internete tamamen maruz kalıyor. Bu, herkesin doğru IP adresini yazarak video akışına erişebileceği anlamına gelir.
Açıkçası en fazla maruz kalan kamera ABD’de, yaklaşık 14.000 idi. Oradaki eyaletleri yıkmak Kaliforniya ve Teksas’ta en yüksek konsantrasyonları gösterdi.
En yüksek ikinci ülke olan Japonya, bunun sadece yarısına sahipti. Bundan sonra Avusturya, Çekya, Güney Kore, Almanya, İtalya, Rusya ve Tayvan geldi.
Bu tür kullanıcılar için büyük tehdit gizliliktir. İnsanlar bu kameraları evlerinde çocuk ve yetişkin yatak odaları gibi ekstra özel alanlar da dahil olmak üzere her yere koyuyorlar. Saldırganlar insanlara gözetleyebilir, hatta görüntülerden ödün veriyorsa onları gasp için ayarlayabilir.
Raporda, bariz gizlilik sonuçlarının yanı sıra başka güvenlik endişeleri de var. Kameralar, fiziksel bir müdahale planlayan biri tarafından gözetim verilerini toplamak için kullanılabilir.
Ancak yönetici arayüzlerine erişim sadece bir tehdittir; SSH erişimi (birisinin bir terminal aracılığıyla cihaza giriş yapmasına ve normal bir bilgisayar olarak kontrol etmesini sağlar), bir saldırgana üretici tarafından bırakılan güvenlik açıklarından yararlanabiliyorsa kameranın donanımı ve yazılımı üzerinde toplam kontrol verebilir.
Bu olursa, bir kamera (sonuçta, sadece lensli bir bilgisayar), saldırganın ağdaki diğer bilgisayarları tehlikeye atması için bir atlama noktası olabilir. Ya da saldırganın teklifini yapmak için bir botnet’e katılabilir.
Bağlı cihazlardan yapılmış botnetler yaygındır. Binlerce cihazın bir hedefle bağlantı kurmaya, trafikle sular altında kalması ve çalışmaz hale getirmediği hizmet saldırılarını başlatmak için en ünlü botnetlerden biri olan Mirai, ortak seçilmiş kameralar ve diğer internet bağlantılı sistemler.
Bitsight’ın raporu, saldırganların üzerine fidye yazılımı yüklemek için kamerada güvenlik açıkları kullandıkları bir durumdan da bahsediyor.
İnternet özellikli kamera sorunları yeni bir şey değil. Bitsight’ın kendi tarama motoru veya Shodan.io gibi halka açık motor aracılığıyla açık yemleri bulmak, bir varil içinde balık çekmek gibidir. Gerçekten de, Bitsight 2023’te benzer bir şey yaptı. Geçmişte, dünya çapında 40.000 teminatsız video kameradan görüntüler yayınlayan Insecam (şimdi çevrimdışı) gibi siteler gördük. Bu kameraların bazıları şüphesiz kamu tüketimi için vardı, tıpkı pek çoğu olmadığı gibi.
Teminatsız beslemeler bulmak çok kolaydır, çünkü insanlar portatif bir klima kullanabileceğiniz gibi, bunları takma ve açma eğilimindedir. Satıcılar bazı temel siber güvenlik hijyenini zorlamalıdır, ancak yapmazlar, çünkü pahalı sürtünme yapmak istemezler. ABD ve İngiltere’de IP kameraları gibi bağlı akıllı cihazlar için düzenleme ortaya çıktı, ancak uygulama başka bir konudur.
Bazıları sadece saygın bir IP kamera markası seçmenizi tavsiye edebilir, ancak her zaman sorumlu davrandığını iddia eden büyük isim satıcılarına güvenemezsiniz. Geçen yıl Amazon, Federal Ticaret Komisyonu’na yerleşti ve çalışanlarının ve yüklenicilerinin halka kameralarının kullanıcılarına casusluk yaptıklarından 5,6 milyon dolar ödedi.
Ring, herhangi bir müşterinin beslemelerini görmesine izin verdi, FTC, bazı çalışanların evin hassas bölgelerindeki genç kadınların yemlerine tekrar tekrar erişmesine yol açtı. FTC, Ring’in kameralarını kendilerini tehlikeye atan davetsiz misafirlere karşı yeterince koruyamadığını söyledi. Bu, davetsiz misafirlerin kameraların kontrolünü ele geçirmesine yol açtı. Şikayet, çocuklarda ırksal bulamaçları fırlatmak ve yatakta yatan kadınlara yemin etmek için kamera mikrofonlarını kullanacaklardı.
Diğer satıcı yanlış adımları, müşterilere birbirlerinin video yayınlarını yanlışlıkla gösteren Wyze ve Eufy’nin yapamayacağını söylediğinde buluta kamera görüntüleri göndermeyi içeriyordu.
En güvenli alanınız olması gereken şeyde size ve sevdiklerinize birisinin sizi ve sevdiklerinizi gözetlemekten daha kötü bir gizlilik senaryosu düşünemeyiz. Bağlı herhangi bir cihazın evinize izin vermek, özellikle video özelliklerine sahip olduğunda her zaman risklidir. İşte bu riski en aza indirmek için bazı tavsiyeler:
- Benzersiz kimlik bilgileri kullanın. Kameralarınız için benzersiz girişler ve şifreler ayarladığınızdan emin olun, böylece insanlar sadece içeri girip görüntüleyemez. Bu, kamerayı yönetici arayüzü aracılığıyla yapılandırmak ve varsayılan şifreyi değiştirdiğinizden emin olmak için biraz zaman ayırmak anlamına gelir.
- IP kamera kullanımını mümkün olduğunca duyarlı olmayan yerlerle kısıtlayın. Bazı halka müşterileri görünüşe göre banyo ve yatak odasında kameralara ihtiyaç duyarken, iki kez düşünmenizi tavsiye ediyoruz.
- Kamerayı güvenlik açıkları için araştırın. Düşündüğünüz markanın geçmişte herhangi bir güvenlik sorunu olup olmadığını ve sorunların ne kadar hızlı sabitlendiğini kontrol edin.
- Kameranıza güvensiz erişmeyi deneyin. Giriş kimlik bilgilerinizi kullanmadan kameranıza uzaktan erişmeyi deneyin. Eğer yapabilirsen, o zaman herkes de olabilir.
- Düzenli olarak yama. Cihazınızı en son güvenlik yamalarıyla nasıl güncelleyeceğinizi öğrenin ve düzenli olarak güncellemeleri kontrol edin veya tercihen mümkünse otomatik olarak güncellenecek şekilde ayarlayın.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.