Czy ktoś cię obserwuje? O cyberbezpieczeństwie kamer

Zhakowane nianie, monitoringi biurowe z publicznym dostępem, podgląd z salonów i kuchni transmitowany na forach w Rosji czy Azji – to nie odległe scenariusze z thrillerów, ale rzeczywistość, którą na co dzień analizują eksperci NASK.

– Przestępcy potrafią przejąć kontrolę nad kamerą, jeśli nie została ona odpowiednio skonfigurowana. Wystarczy pozostawienie domyślnego hasła, brak aktualizacji oprogramowania lub nieświadome udostępnienie obrazu w sieci – zwraca uwagę Anna Felkner, Dyrektorka Pionu Badań i Rozwoju Cyberbezpieczeństwa w NASK. – Niestety, są to wciąż często popełniane błędy. Użytkownicy nierzadko nie traktują kamer jako urządzeń w pełni podłączonych do internetu, podczas gdy są one typowymi elementami Internetu Rzeczy i wymagają odpowiednich zabezpieczeń.

Jak to możliwe?

Większość nowoczesnych kamer to urządzenia IoT – oznacza to, że łączą się z siecią i pozwalają na podgląd obrazu zdalnie, na przykład przez aplikację w telefonie. To wygodne, ale jednocześnie tworzy potencjalny punkt wejścia dla atakujących. Jeśli kamera jest źle skonfigurowana lub nie została zaktualizowana, cyberprzestępcy mogą wykorzystać jej podatności w jej oprogramowaniu lub konstrukcji i uzyskać dostęp do obrazu – czasem nawet bez wiedzy właściciela.

W sieci istnieją specjalne wyszukiwarki, które potrafią odnaleźć działające online kamery – wiele z nich nie wymaga nawet hasła do zalogowania, bo użytkownik nigdy go nie ustawił. W innych przypadkach wystarczy spróbować kilku popularnych loginów i haseł – typu „admin/admin”.

– To nie są tylko hollywoodzkie scenariusze, to się faktycznie zdarza – podkreśla Karol Bojke, specjalista ds. incydentów i komunikacji w obszarze cyberbezpieczeństwa w CERT Polska. – Znamy przypadki, w których z pozoru niegroźne urządzenia, jak kamerki w biurowcach, były wykorzystywane do obserwowania zwyczajów pracowników, analizowania specyfiki wykonywanych zadań, a nawet kradzieży danych.

Ale czasem stawka jest jeszcze wyższa niż bezpieczeństwo danych firmy. Kamery bywają narzędziem walki – dosłownie.

W czasie trwającej wojny w Ukrainie rosyjscy hakerzy przejmowali dostęp do kamer monitoringu w miastach objętych ostrzałem. Obraz z miejskich kamer wykorzystywano do oceny skuteczności ataków rakietowych i planowania kolejnych uderzeń. To samo próbowali zrobić irańscy hakerzy podczas eskalacji konfliktu w Izraelu – ich celem było uzyskanie obrazu z kamer znajdujących się w pobliżu obiektów wojskowych i infrastruktury krytycznej.

Cyberatak na kamerę to dziś nie tylko zagrożenie prywatności. W skrajnych przypadkach to narzędzie wywiadu. I dowód na to, że w cyfrowym świecie nawet niewinna kamerka umieszczona nad bramą może być wykorzystana jako cenne źródło do pozyskiwania informacji w konflikcie zbrojnym.

Kamery domowe: wygoda z ryzykiem

Coraz więcej osób instaluje w domach smart kamery, elektroniczne nianie, wideodomofony czy systemy alarmowe z podglądem w aplikacji. Tyle, że komfort szybko może zmienić się w niepokój, jeśli nad bezpieczeństwem tych urządzeń nie pochylimy się choć przez chwilę.

Znamy przypadki, w których hakerzy przejmowali nianie elektroniczne i mówili do dzieci przez wbudowany mikrofon. Inne urządzenia transmitowały obraz z sypialni, salonu czy pokoju dziecka – a właściciele nie mieli pojęcia, że ktokolwiek je ogląda.

– Kamera to nie tylko urządzenie rejestrujące obraz. Coraz częściej kamery rejestrują również dźwięk, analizują twarze i ruch, a także integrują się z innymi urządzeniami domowymi. Oznacza to, że gromadzą jeszcze więcej danych, które wymagają skutecznej ochrony – zaznacza Anna Felkner. – Tym bardziej istotne jest, aby użytkownicy byli świadomi, jakie urządzenia posiadają w swoim domu i jak je odpowiednio zabezpieczyć.

A co z kamerką w laptopie?

Nie trzeba mieć rozbudowanego systemu monitoringu, by stać się ofiarą cyfrowego podglądania. Wystarczy zwykły laptop – i chwila nieuwagi.

Brzmi niewiarygodnie? Niekoniecznie. Kamera w laptopie to często narzędzie, do którego dostęp mogą uzyskać przestępcy po zainfekowaniu urządzenia złośliwym oprogramowaniem. A potem wystarczy już tylko chwila – ktoś widzi, jak siedzisz przy biurku, rozmawiasz z dzieckiem, przebierasz się przed snem. To nie fikcja. To możliwy scenariusz – jeśli nie zabezpieczysz swojego sprzętu.

Jak się chronić?

Eksperci NASK podpowiadają, jak zadbać o bezpieczeństwo wszystkich kamer – tych domowych, firmowych, jak i w laptopach:

1. Zaklejaj kamerkę w laptopie, kiedy z niej nie korzystasz – to najprostsze i skuteczne zabezpieczenie laptopa.
2. Zmień domyślne hasło – to podstawowy krok przy każdej nowej kamerze lub aplikacji.
3. Regularnie aktualizuj oprogramowanie – zarówno kamerę, aplikację, jak i system operacyjny komputera.
4. Sprawdzaj, które aplikacje mają dostęp do kamery – i co jakiś czas weryfikuj te uprawnienia, odbierając je aplikacjom, z których nie korzystasz.
5. Nie udostępniaj obrazu z kamery publicznie– jeśli Twoja kamera ma funkcję dostępu przez internet, upewnij się, że nie jest widoczna dla wszystkich, ani nie korzysta z domyślnych haseł Kupuj sprzęt od sprawdzonych producentów – tanie, nieznane marki często nie oferują aktualizacji ani wsparcia.

Świadomość zagrożeń i wykonanie tych kilku prostych kroków mogą sprawić, że nieprzyjemna historia o przejętej kamerze – niezależnie od jej rodzaju – pozostanie dla nas tylko miejską legendą.

Firmy i instytucje – większa odpowiedzialność, większe ryzyko

W przypadku firm, szkół czy instytucji dochodzą jeszcze obowiązki wynikające z przepisów. Monitoring musi być odpowiednio oznaczony, zgodny z przepisami RODO, a dostęp do nagrań – ograniczony i zabezpieczony.

– Wyciek danych z firmowego monitoringu to nie tylko kwestia wizerunkowa. To poważne naruszenie danych osobowych, które może mieć konsekwencje prawne – ostrzega Karol Bojkeę z CERT Polska. – Dlatego w przypadku większych instalacji warto inwestować nie tylko w sprzęt, ale i w systemowe zabezpieczenia oraz regularne przeglądy.

W marcu 2021 r. grupa hacktywistów zdobyła dostęp do systemu firmy Verkada – dostawcy ponad 150 000 kamer bezpieczeństwa rozmieszczonych w biurach, więzieniach, szpitalach i zakładach produkcyjnych – m.in. w placówkach branży motoryzacyjnej, IT.

Atak uwypuklił, że nawet duże organizacje, korzystając z nowoczesnych systemów monitoringu, mogą stać się ofiarą masowego wycieku obrazu i danych, jeśli nie zadbają o odpowiednie zabezpieczenia.

Podsumowanie: Kamera nie musi być zagrożeniem

Kamera to narzędzie – może działać dla naszego bezpieczeństwa, ale jeśli zaniedbamy jej konfigurację lub regularne aktualizcacje, może zostać wykorzystana przeciwko nam. Dlatego warto traktować ją jak każde inne urządzenie smart w naszym otoczeniu: z ostrożnością, ale i świadomością, że to my decydujemy, kto patrzy, a kto nie.

 

– W NASK podkreślamy, że każde urządzenie podłączone do internetu może stać się celem ataku. Nie oznacza to jednak, że należy rezygnować z technologii, lecz że powinniśmy używać ich w sposób odpowiedzialny – dodaje Anna Felkner.

 

Świat cyfrowy nie musi być niebezpieczny – jeśli to my trzymamy pilota w ręku. Albo przynajmniej stosujemy trudne do złamania hasła, dwuskładnikową weryfikację i inne zabezpieczenia.