Niezabezpieczone systemy bezpieczeństwa

„admin” i „12345” – dzięki pozostawieniu domyślnych nazw użytkowników i haseł do sieciowych systemów monitoringu, każdy użytkownik Internetu może obejrzeć, jak klienci pewnej apteki we Włocławku wklepują PIN-y kart do terminala, pacjenci spacerują po korytarzu szpitala, a także podejrzeć obraz z setek kawiarń, sklepów i sypialń. To nie jest zwykłe podglądactwo. Twórcy strony Insecam, na którą w ostatnim czasie zwróciły uwagę media na całym świecie, pokazują, jak bardzo właściciele urządzeń sieciowych lekceważą zabezpieczenia*. Strona dobitnie pokazuje też bardziej podstawowy problem: nigdy nie możemy być pewni, kto tak naprawdę obserwuje nas przez kamery monitoringu ani w jaki sposób wykorzysta to, co zobaczy.

Strona Insecam wyświetla obrazy z prawie 700 niezabezpieczonych kamer z Polski i niecałe 2 tys. z zamieszkanych przez miliard ludzi Indii. Niestety nie ma danych, które pozwoliłyby stwierdzić, czy odsetek niezabezpieczonych kamer jest taki sam na całym świecie. Gdyby jednak tak było, to ci, którzy mają dość monitoringu i walki z nim, powinni rozważyć przeprowadzkę do ciepłych krajów. Zimna północ przoduje w liczbie (niezabezpieczonych) kamer.

Autorzy Insecam zaznaczają, że nie łamią żadnych zabezpieczeń. Winni są właściciele sieciowych systemów monitoringu, którzy nie zmienili fabrycznie ustawionych danych dostępowych. I tłumaczą: „jeśli chcesz, żeby Twoja kamera zniknęła z tej strony, prześlij nam jej URL. Ale pamiętaj, że obraz z niej wciąż będzie dostępny dla każdego użytkownika Internetu, który korzysta z wyszukiwarki”. I radzą: jedynym sposobem, żeby obraz z kamery nie był dostępny publiczne, jest zmiana hasła.

Nigdy nie możemy być pewni, kto tak naprawdę obserwuje nas przez kamery monitoringu ani w jaki sposób wykorzysta to, co zobaczy.

To prawda, ale oznacza to tylko tyle, że obrazy będą trudniej dostępne. Dane z monitoringu, nawet zabezpieczone odpowiednio silnym hasłem, przez samą swoją obecność w sieci są wrażliwe na ataki. A skoro stawką w grze są m.in. zbliżenia na PIN do karty i obrazki dzieci w przedszkolu, chętnych do ich dokonania z pewnością nie zabraknie.

Specjaliści od bezpieczeństwa danych – hakerzy – często zwracają uwagę na niedostateczne zabezpieczenia urządzeń sieciowych, usług, oprogramowania czy baz danych. Niestety nie zawsze informowanie podmiotu odpowiedzialnego za taki stan rzeczy (producenta, właściciela, administratora) odnosi skutek i potrzebne są bardziej drastyczne środki. Podobnie w tym przypadku: właściciele kamer sieciowych najwyraźniej nie odrobili lekcji z podstawowych zasad bezpieczeństwa. My namawiamy do pójścia jeszcze dalej niż postulują twórcy Insecam – ograniczenie monitoringu w sytuacjach, kiedy przynosi więcej szkody niż pożytku.

Anna Obem

Współpraca: Małgorzata Szumańska

PS Obrazy z kamer widoczne na Insecam można udostępnić na Facebooku, Twitterze, Google+ i Pinterest. Kamery z USA mają już swoich fanów.

* W momencie publikacji tego tekstu większość losowo sprawdzanych obrazów na stronie Insecam nie wyświetlała się. Administrator strony wyjaśnił nam, że niektóre obrazy powodowały zbyt duże obciążenie strony. Apel o zmianę haseł i ograniczenie monitoringu pozostaje aktualny.