Πριν λίγο καιρό είχε γίνει σχετική συζήτηση στο διαδίκτυο για μερικά κινέζικα κινητά που έστελναν προσωπικές πληροφορίες σε κάποιους κινέζικους servers. Η είδηση δεν αποτελεί έκπληξη αφού θεωρείται πια αυτονόητο το ότι οι κυβερνήσεις προσπαθούν να μαζέψουν με όποιο τρόπο μπορούν προσωπικές πληροφορίες στο όνομα π.χ. της τρομοκρατίας. Οι ειδήσεις καθημερινά σχεδόν έχουν και ένα άρθρο κάπου στα ψιλά για την NSA στις ΗΠΑ που αποκτά προσωπικά δεδομένα ακόμα και χωρίς απόφαση δικαστηρίου.
Όμως αυτό γίνεται μόνο στα κινητά τηλέφωνα; Τι γίνεται και με τις άλλες συσκευές που συνδέονται στο δίκτυο; Πόσες “smart” συσκευές μας περιτριγυρίζουν; Τηλεοράσεις, ρούτερ, κάμερες, media players, ακόμα και λευκές συσκευές αποτελούν καθημερινό κομμάτι της προσωπικής και δημόσιας ζωής μας. Σε λίγο και οι λάμπες θα έχουν πρόσβαση στο internet και θα μας στέλνουν mail ότι κάηκαν!
Μήπως το «όλα στο δίκτυο», είναι και «όλα στην φόρα»; Δεν μιλάω για την εθελούσια έκθεση των προσωπικών στιγμών μέσω των κοινωνικών δικτύων, αλλά για την –πιθανή- κρυφή ατζέντα που κουβαλάνε οι διάφορες έξυπνες συσκευές που μας περιτριγυρίζουν.
Μήπως η smart TV στέλνει στατιστικά για το τι κανάλια δείχνει κάπου; Το ρούτερ μήπως κρατάει αρχείο του τοπικού δικτύου έτοιμο να το παραδώσει μόλις του ζητηθεί; Την κάμερα στο δωμάτιο του μωρού τη βλέπει μόνο αυτός που πρέπει;
Ας δούμε όμως την αφορμή αυτού του άρθρου. Κομμάτι της καθημερινής μου ρουτίνας είναι να τοποθετώ, να συντηρώ και να επισκευάζω ένα μεγάλο αριθμό DVR, όπως και άλλων ηλεκτρικών συσκευών. Στη συγκεκριμένη περίπτωση ‘προσγειώθηκε’ στον πάγκο μου ένα DVR, που για ευνόητους λόγους, δεν θα αναφέρω την μάρκα του.
Το χαρτί εργασίας ήταν παραδόξως κατατοπιστικό. Ο χρήστης επιθυμούσε να τοποθετηθούν συγκεκριμένες παράμετροι dyndns στο DDNS για να μπορεί να το διαχειρίζεται απομακρυσμένα. Οι σχετικές ρυθμίσεις είχαν γίνει, αλλά το DVR δεν υπάκουε.
Μετά τον σχετικό έλεγχο για πιθανές άλλες βλάβες και επιβεβαίωση των παραμέτρων DDNS το DVR συνδέθηκε στο wireshark για να ελεγχτεί η δικτυακή του επικοινωνία.
Και εδώ ήρθε η έκπληξη. Το DVR κάθε μερικά δευτερόλεπτα επικοινωνούσε με μία διεύθυνση που κατά την γνώμη μου δεν θα έπρεπε. Η διεύθυνση ήταν η data002.cngame.org.
Κάθε λίγο και λιγάκι το DVR έστελνε ένα πακέτο 9 bytes με περιεχόμενο:
test&&&&&
και δέχονταν απάντηση ένα πακέτο 28 bytes με περιεχόμενο:
6891.140.62.13 5&&&&zzzzz&&& (zzzzz = διαφορετικός αριθμός κάθε φορά).
Και αυτό παράλληλα με τις προσπάθειες να συνδεθεί με το dyndns.
Το αρχικό πρόβλημα με το dyndns βρέθηκε και λύθηκε εύκολα, αλλά το μυστήριο για την παραπάνω μη εξουσιοδοτημένη επικοινωνία παραμένει.
Σε περεταίρω έλεγχο των πακέτων βρέθηκε προσπάθεια σύνδεσης και με μία άλλη διεύθυνση, την ns2.wuip.com.
Ρίχνοντας μια έρευνα στο διαδίκτυο βρέθηκαν αρκετές αναφορές για κάμερες IP που έχουν παρόμοια συμπεριφορά χωρίς την άδεια του χρήστη. Οι διευθύνσεις data002.cngame.org και ns2.wuip.com καθώς και δεκάδες άλλες χρησιμοποιούνται από αρκετές κινέζικες συσκευές για παροχή υπηρεσιών DDNS. Όμως στην συγκεκριμένη περίπτωση ακόμα και με τη σχετική επιλογή DDNS μη ενεργή, το DVR ήταν σε επικοινωνία μαζί τους.
Όταν έγιναν οι σχετικές ενημερώσεις στον εισαγωγέα η αντίδραση ήταν μάλλον αδιάφορη και η απάντηση περιείχε αναφορά του αριθμού των συσκευών που έχει διανέμει στην ελληνική αγορά και το γεγονός ότι κανένας άλλος δεν του έχει κάνει παράπονα. Η απάντηση της κατασκευάστριας εταιρίας παρέπεμπε σε bug του λογισμικού και δόθηκε η υπόσχεση να λυθεί σε επόμενη αναβάθμιση. Δεν έχω κανένα λόγο να μη τους πιστέψω, όμως έγινα πολύ καχύποπτος.
Στα πλαίσια αυτού, έλεγξα και ένα DVR άλλης μάρκας και έπεσα σε παρόμοια περίπτωση. Το DVR προσπαθούσε, χωρίς να υπάρχει σχετική ρύθμιση από τον χρήστη, να συνδεθεί στην διεύθυνση dvr1.wuip.com. Η λύση εδώ δόθηκε άμεσα με το εργοστάσιο να βγάζει αναβάθμιση την επόμενη μέρα.
Τα DVR δεν είναι τα μόνα πράγματα που πρέπει να ελεγχθούν για διαρροές. Κατά την διάρκεια των ελέγχων παρατήρησα ότι ένα NAS που υπήρχε στο δίκτυο είχε αρκετή κίνηση από και προς το διαδίκτυο χωρίς αυτό να δικαιολογείται. Ελέγχοντας τα μενού βρήκα μια επιλογή με όνομα “download station” που ήταν υπεύθυνη για αυτή την άχρηστη κίνηση. Το λογισμικό του NAS είχε ενεργοποιημένη την λειτουργία torrent, χωρίς αυτό να είναι επιλογή του χρήστη και χωρίς φυσικά να χρησιμοποιείται. Τώρα τι έστελνε και λάμβανε το DVR είναι μυστήριο, πάντως σίγουρα όχι κάτι που ήθελε ο ιδιοκτήτης του.
Θέλω να πιστεύω ότι δεν υπάρχει κακόβουλο λογισμικό στις συσκευές αυτές έτοιμο να δώσει τα στοιχεία μου σε αγνώστους με μια απλή διαδικασία. Όμως οι αναφορές χρηστών στο διαδίκτυο αλλά και τα παραπάνω ευρήματα λένε ότι δεν πρέπει να εφησυχάζομαστε.
Μια απλή έρευνα σε μηχανή αναζήτησης θα σας δώσει τουλάχιστον μια δεκάδα ιστοσελίδων που αναπαράγουν ζωντανά “feeds” από κάμερες και συστήματα παρακολούθησης CCTV, καθώς και διαφόρων άλλων webcam. Υπάρχουν συνδέσεις που αφορούν δημόσιους χώρους (δρόμους, πλατείες κλπ) που όντως μπορεί να είναι εσκεμμένα με ελεύθερη πρόσβαση π.χ. για διαφήμιση / προβολή κάποιου τόπου. Υπάρχουν όμως και συνδέσεις ιδιωτικές από εσωτερικά σπιτιών, παιδικών σταθμών, καταστημάτων που αδυνατώ να πιστέψω ότι ο ιδιοκτήτης της συσκευής έχει δώσει άδεια για δημόσια προβολή – σίγουρα γίνεται εν αγνεία του.
Καλού κακού αναρωτηθείτε, μήπως ο κλέφτης είναι ήδη μέσα, σας βλέπει αλλά δεν τον βλέπετε;
Αν διαθέτετε κάποια ανάλογη συσκευή, η πρώτη και ίσως η μόνη και καλύτερη μορφή άμυνάς σας απέναντι σε λαθροθέαση είναι η αλλαγή των εργοστασιακών κωδικών πρόσβασης. Συνίσταται η δημιουργία νέου λογαριασμού με άλλο όνομα χρήστη (user name) και κωδικό πρόσβασης (password) και αλλαγή του εργοστασιακού κωδικού με άλλου αρκετά πολύπλοκου.
Αντί επιλόγου
Στο ίδιο μήκος κύματος είναι και πολλά προγράμματα που δίνουν πληροφορίες για τις συνήθειες του χρήστη. Πρώτα - πρώτα τα Windows με το customer experience program που είναι ενεργοποιημένο σε όλα τα windows από τα Vista και μετά. Η λειτουργία αυτή μαζεύει στατιστικά στοιχεία χρήσης του υπολογιστή μας. Η επιλογή βρίσκεται στην καρτέλα ρυθμίσεων του action center και είναι ενεργή by default.
κλεμένο από securityreport
Όμως αυτό γίνεται μόνο στα κινητά τηλέφωνα; Τι γίνεται και με τις άλλες συσκευές που συνδέονται στο δίκτυο; Πόσες “smart” συσκευές μας περιτριγυρίζουν; Τηλεοράσεις, ρούτερ, κάμερες, media players, ακόμα και λευκές συσκευές αποτελούν καθημερινό κομμάτι της προσωπικής και δημόσιας ζωής μας. Σε λίγο και οι λάμπες θα έχουν πρόσβαση στο internet και θα μας στέλνουν mail ότι κάηκαν!
Μήπως το «όλα στο δίκτυο», είναι και «όλα στην φόρα»; Δεν μιλάω για την εθελούσια έκθεση των προσωπικών στιγμών μέσω των κοινωνικών δικτύων, αλλά για την –πιθανή- κρυφή ατζέντα που κουβαλάνε οι διάφορες έξυπνες συσκευές που μας περιτριγυρίζουν.
Μήπως η smart TV στέλνει στατιστικά για το τι κανάλια δείχνει κάπου; Το ρούτερ μήπως κρατάει αρχείο του τοπικού δικτύου έτοιμο να το παραδώσει μόλις του ζητηθεί; Την κάμερα στο δωμάτιο του μωρού τη βλέπει μόνο αυτός που πρέπει;
Ας δούμε όμως την αφορμή αυτού του άρθρου. Κομμάτι της καθημερινής μου ρουτίνας είναι να τοποθετώ, να συντηρώ και να επισκευάζω ένα μεγάλο αριθμό DVR, όπως και άλλων ηλεκτρικών συσκευών. Στη συγκεκριμένη περίπτωση ‘προσγειώθηκε’ στον πάγκο μου ένα DVR, που για ευνόητους λόγους, δεν θα αναφέρω την μάρκα του.
Το χαρτί εργασίας ήταν παραδόξως κατατοπιστικό. Ο χρήστης επιθυμούσε να τοποθετηθούν συγκεκριμένες παράμετροι dyndns στο DDNS για να μπορεί να το διαχειρίζεται απομακρυσμένα. Οι σχετικές ρυθμίσεις είχαν γίνει, αλλά το DVR δεν υπάκουε.
Μετά τον σχετικό έλεγχο για πιθανές άλλες βλάβες και επιβεβαίωση των παραμέτρων DDNS το DVR συνδέθηκε στο wireshark για να ελεγχτεί η δικτυακή του επικοινωνία.
Και εδώ ήρθε η έκπληξη. Το DVR κάθε μερικά δευτερόλεπτα επικοινωνούσε με μία διεύθυνση που κατά την γνώμη μου δεν θα έπρεπε. Η διεύθυνση ήταν η data002.cngame.org.
Κάθε λίγο και λιγάκι το DVR έστελνε ένα πακέτο 9 bytes με περιεχόμενο:
test&&&&&
και δέχονταν απάντηση ένα πακέτο 28 bytes με περιεχόμενο:
6891.140.62.13 5&&&&zzzzz&&& (zzzzz = διαφορετικός αριθμός κάθε φορά).
Και αυτό παράλληλα με τις προσπάθειες να συνδεθεί με το dyndns.
Το αρχικό πρόβλημα με το dyndns βρέθηκε και λύθηκε εύκολα, αλλά το μυστήριο για την παραπάνω μη εξουσιοδοτημένη επικοινωνία παραμένει.
Σε περεταίρω έλεγχο των πακέτων βρέθηκε προσπάθεια σύνδεσης και με μία άλλη διεύθυνση, την ns2.wuip.com.
Ρίχνοντας μια έρευνα στο διαδίκτυο βρέθηκαν αρκετές αναφορές για κάμερες IP που έχουν παρόμοια συμπεριφορά χωρίς την άδεια του χρήστη. Οι διευθύνσεις data002.cngame.org και ns2.wuip.com καθώς και δεκάδες άλλες χρησιμοποιούνται από αρκετές κινέζικες συσκευές για παροχή υπηρεσιών DDNS. Όμως στην συγκεκριμένη περίπτωση ακόμα και με τη σχετική επιλογή DDNS μη ενεργή, το DVR ήταν σε επικοινωνία μαζί τους.
Όταν έγιναν οι σχετικές ενημερώσεις στον εισαγωγέα η αντίδραση ήταν μάλλον αδιάφορη και η απάντηση περιείχε αναφορά του αριθμού των συσκευών που έχει διανέμει στην ελληνική αγορά και το γεγονός ότι κανένας άλλος δεν του έχει κάνει παράπονα. Η απάντηση της κατασκευάστριας εταιρίας παρέπεμπε σε bug του λογισμικού και δόθηκε η υπόσχεση να λυθεί σε επόμενη αναβάθμιση. Δεν έχω κανένα λόγο να μη τους πιστέψω, όμως έγινα πολύ καχύποπτος.
Στα πλαίσια αυτού, έλεγξα και ένα DVR άλλης μάρκας και έπεσα σε παρόμοια περίπτωση. Το DVR προσπαθούσε, χωρίς να υπάρχει σχετική ρύθμιση από τον χρήστη, να συνδεθεί στην διεύθυνση dvr1.wuip.com. Η λύση εδώ δόθηκε άμεσα με το εργοστάσιο να βγάζει αναβάθμιση την επόμενη μέρα.
Τα DVR δεν είναι τα μόνα πράγματα που πρέπει να ελεγχθούν για διαρροές. Κατά την διάρκεια των ελέγχων παρατήρησα ότι ένα NAS που υπήρχε στο δίκτυο είχε αρκετή κίνηση από και προς το διαδίκτυο χωρίς αυτό να δικαιολογείται. Ελέγχοντας τα μενού βρήκα μια επιλογή με όνομα “download station” που ήταν υπεύθυνη για αυτή την άχρηστη κίνηση. Το λογισμικό του NAS είχε ενεργοποιημένη την λειτουργία torrent, χωρίς αυτό να είναι επιλογή του χρήστη και χωρίς φυσικά να χρησιμοποιείται. Τώρα τι έστελνε και λάμβανε το DVR είναι μυστήριο, πάντως σίγουρα όχι κάτι που ήθελε ο ιδιοκτήτης του.
Θέλω να πιστεύω ότι δεν υπάρχει κακόβουλο λογισμικό στις συσκευές αυτές έτοιμο να δώσει τα στοιχεία μου σε αγνώστους με μια απλή διαδικασία. Όμως οι αναφορές χρηστών στο διαδίκτυο αλλά και τα παραπάνω ευρήματα λένε ότι δεν πρέπει να εφησυχάζομαστε.
Μια απλή έρευνα σε μηχανή αναζήτησης θα σας δώσει τουλάχιστον μια δεκάδα ιστοσελίδων που αναπαράγουν ζωντανά “feeds” από κάμερες και συστήματα παρακολούθησης CCTV, καθώς και διαφόρων άλλων webcam. Υπάρχουν συνδέσεις που αφορούν δημόσιους χώρους (δρόμους, πλατείες κλπ) που όντως μπορεί να είναι εσκεμμένα με ελεύθερη πρόσβαση π.χ. για διαφήμιση / προβολή κάποιου τόπου. Υπάρχουν όμως και συνδέσεις ιδιωτικές από εσωτερικά σπιτιών, παιδικών σταθμών, καταστημάτων που αδυνατώ να πιστέψω ότι ο ιδιοκτήτης της συσκευής έχει δώσει άδεια για δημόσια προβολή – σίγουρα γίνεται εν αγνεία του.
Καλού κακού αναρωτηθείτε, μήπως ο κλέφτης είναι ήδη μέσα, σας βλέπει αλλά δεν τον βλέπετε;
Αν διαθέτετε κάποια ανάλογη συσκευή, η πρώτη και ίσως η μόνη και καλύτερη μορφή άμυνάς σας απέναντι σε λαθροθέαση είναι η αλλαγή των εργοστασιακών κωδικών πρόσβασης. Συνίσταται η δημιουργία νέου λογαριασμού με άλλο όνομα χρήστη (user name) και κωδικό πρόσβασης (password) και αλλαγή του εργοστασιακού κωδικού με άλλου αρκετά πολύπλοκου.
Αντί επιλόγου
Στο ίδιο μήκος κύματος είναι και πολλά προγράμματα που δίνουν πληροφορίες για τις συνήθειες του χρήστη. Πρώτα - πρώτα τα Windows με το customer experience program που είναι ενεργοποιημένο σε όλα τα windows από τα Vista και μετά. Η λειτουργία αυτή μαζεύει στατιστικά στοιχεία χρήσης του υπολογιστή μας. Η επιλογή βρίσκεται στην καρτέλα ρυθμίσεων του action center και είναι ενεργή by default.
κλεμένο από securityreport
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου