18.03.2013
Sicherheit
Lücken bei Kameras mit Netzwerkfunktionen
Autor: Thorsten Eggeling
Netzwerkfähige Kameras bieten viel Komfort. Allerdings fanden Sicherheitsforscher nun heraus, dass sie leicht zu hacken sind und sich damit auch in Überwachungsgeräte verwandeln lassen.
Netzwerkfähige Kameras erlauben dem Fotografen, seine geschossenen Fotos direkt beispielsweise auf den FTP-Server des Auftraggebers zu übertragen. Doch dieser Komfort hat auch seine Tücken.
Wie die Experten Daniel Mende und Pascal Turbing von der Sicherheitsfirma ERNW herausgefunden haben, bergen die Geräte hohe Sicherheitsrisiken. Auf der Sicherheitskonferenz Troopers13 präsentierten sie ihren Hack unter dem Namen „Paparazzi over IP“. Am Beispiel der DSLR EOS-1D X von Canon gelang es den Experten, die Kamera aus der Ferne über das Internet zu steuern, die Netzwerkkommunikation auszuspionieren, Fotos zu stehlen und eigene Bilder zu übertragen. Auch die Videofunktion konnten sie problemlos und ohne Authentifizierung für eine Liveübertragung und damit zur Überwachung missbrauchen. Nur bei der Übertragung von Tönen soll es unüberbrückbare Hürden gegeben haben. Außerdem war es möglich, die Kamera per DDoS-Angriff lahmzulegen.
Die Anfälligkeiten der Kameras mit Ethernet-Buchse oder WLAN-Netzwerkverbindung zeigen sich in mehrerlei Hinsicht. Zum einen können die Fotos unverschlüsselt und automatisch über das als unsicher geltende FTP oder per DLNA (Digital Living Network Alliance) verteilt werden. Außerdem hat Canon beim Ajax-basierten Server, der zur Konfiguration und Fernsteuerung dient, auf das sichere HTTPS-Protokoll verzichtet. Aber auch bei der Authentifizierung zeigen sich gravierende Mängel. Zum einen erfolgt sie nur einmalig und zum anderen basiert sie nur auf der eher unsicheren „HTTP Basic Access Authentication“. Dadurch kann ein Angreifer in einem unsicheren Netz auf die Zugangsdaten oder die Session-ID zugreifen. Da die Session-ID lediglich aus vier Bytes besteht, ist sie über Brute-Force innerhalb weniger Minuten geknackt.
Canon EOS-1D X verwendet das PTP/IP (Picture Transfer Protokoll over IP), um Bilder auf einen Rechner zu übertragen. Damit haben sowohl der Nutzer als auch ein Angreifer Zugriff auf fast alle Kamerafunktionen. Die Canon-Software EOS-Utility ermöglicht eine Fernsteuerung vom Rechner aus. Außerdem gibt es die Möglichkeit eines Root-Zugriffs auf die Kamera, ohne dass es nötig wäre, die Firmware zu manipulieren.
Die Sicherheitsexperten kritisieren, dass Canon seine neuen Kameras zwar mit vielen Funktionen ausstattet, aber die aktuellen und notwendigen Sicherheitsstandards außer Acht lässt.
So schützen Sie sich
- Deaktivieren Sie wenn möglich alle Netzwerk-Funktionen. Sonst geben Sie in einem Umfeld mit unsicherer Netzwerkverbindung – etwa im Hotel und anderen öffentlichen WLANs – den gesamten Inhalt ihrer Kamera preis.
- Nutzen Sie die Netzwerkfunktionen möglichst nur in sicheren Netzwerkumgebungen, bei denen die WLAN-Verbindung per WPA abgesichert ist.
- Verwenden Sie möglichst sichere Passwörter.
Drei Modelle
Huawei bringt die Pura-70-Serie nach Deutschland
Bei Huawei löst die Pura-Serie die P-Modelle in der Smartphone-Oberklasse ab. Nach dem Debüt in China hat der Hersteller jetzt auch die Preise und das Startdatum für den deutschen Markt genannt.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Datenverfügbarkeit
Where EDGE Computing meets 5G
Logistik- und Produktionsprozesse sollen flüssig und fehlerfrei laufen. Maschinen und Personal müssen im Takt funktionieren. Zulieferer haben just-in-time anzuliefern. Dies stellt hohe Anforderungen an die lokale Datenübertragung. Welche Technik bietet sich dazu an?
>>