IM24Podcast.pl » Czy faktycznie tak łatwo zdalnie przejąć naszą kamerkę w laptopie?

Czy faktycznie tak łatwo zdalnie przejąć naszą kamerkę w laptopie?

O łatwości przejęcia kontroli nad naszymi kamerami w komputerach krążą legendy. Czy faktycznie tak łatwo nas podglądać?

Nawiązując do tematu, ten podcast był realizowany zdalnie. Prowadzący oraz nasz gość rozmawiali przez komunikator internetowy.

Transkrypcja rozmowy

Prowadzący: Cześć. Witam wszystkich słuchaczy w pierwszej odsłonie naszego podcastu, w którym będziemy się starać w sposób czasami nieoczywisty, czasami oderwany od konwencji, poruszać różne tematy dotyczące bezpieczeństwa w sieci IT, czy ogólnie szeroko panujących przekonań, mitów, jak również faktów związanych z postrzeganiem tematyki cyberbezpieczeństwa w organizacjach i społeczeństwie. W dniu dzisiejszym moim gościem jest osoba, która chyba jednoznacznie jest kojarzona z tematem cyberbezpieczństwa, zarówno, jako wieloletni mówca, trener, prelegent, praktyk, jak również twórca i właściciel znanego portalu, traktującego o cyberbezpieczeństwie, Zaufana Trzecia Strona – Adam Haertle. Adam, dzięki, że jesteś dzisiaj z nami.

Adam Haertle: Dzień dobry.

Sponsorem cyklu rozmów „Rady Porady” jest firma Cisco

TRANSKRYPCJA

[00:00:09]

Prowadzący: Cześć. Witam wszystkich słuchaczy w pierwszej odsłonie naszego podcastu, w którym będziemy się starać w sposób czasami nieoczywisty, czasami oderwany od konwencji, poruszać różne tematy dotyczące bezpieczeństwa w sieci IT, czy ogólnie szeroko panujących przekonań, mitów, jak również faktów związanych z postrzeganiem tematyki cyberbezpieczeństwa w organizacjach i społeczeństwie. W dniu dzisiejszym moim gościem jest osoba, która chyba jednoznacznie jest kojarzona z tematem cyberbezpieczństwa, zarówno, jako wieloletni mówca, trener, prelegent, praktyk, jak również twórca i właściciel znanego portalu, traktującego o cyberbezpieczeństwie, Zaufana Trzecia Strona – Adam Haertle. Adam, dzięki, że jesteś dzisiaj z nami.

Adam Haertle: Dzień dobry.

Prowadzący: Słuchajcie, musicie wiedzieć, że jak początkowo rozmawiałem z Adamem, mając na celu przegadanie tematu, który chcielibyśmy wspólnie poprowadzić. Debata, tak naprawdę, swojego rodzaju przepychanki trwały chyba 15 albo 20 sekund. Rzuciłem hasło, Adam jednym słowem podsumował swoją aprobatę i tak oto w błyskawicznym tempie mieliśmy już temat przewodni dzisiejszego odcinka, ale żeby już nie rozwodzić się niepotrzebnie nad genezą dzisiejszego odcinka, chciałbym przedstawić wam bohatera, w sumie biorąc pod uwagę polszczyznę, bohaterkę naszego dzisiejszego odcinka – kamerę. Straszne bestyje czyhające na nasze twarze i w sumie nie tylko twarze, jednoznacznie zagrażające ludzkości. Adam, czy faktycznie tak łatwo zdalnie przejąć naszą kamerkę w laptopie i czy naprawdę właśnie tego powinniśmy się obawiać?

Adam Haertle: Myślę, że ten mit o tym jak kamerka jest ogromnym zagrożeniem dla naszej prywatności, ma swoje źródło w historii, kiedy faktycznie złośliwe oprogramowanie potrafiło przejąć kontrolę nad wbudowaną, czy podłączoną kamerą, w taki sposób, aby było to niezauważalne dla użytkownika. To zagrożenie prywatności faktycznie istniało i ono absolutnie nie było wyimaginowane i były przypadki, gdzie młodzi najczęściej chłopcy przejmowali kontrolę nad wieloma komputerami na świecie, a następnie przez kamerkę podglądali, sprawdzali, czy użytkownikiem komputera jest dziewczyna. Jeżeli była, no to regularnie starali się nagrywać to, co ta dziewczyna przed tym komputerem robi. Nawet były specjalne fora, kanały, na których wymieniali się potem takimi nagraniami. No, dosyć obrzydliwa sytuacja i, i dosyć wówczas popularna. Najwyraźniej producenci sprzętu poszli trochę po rozum do głowy i stwierdzili, że to nie powinno tak wyglądać, co wydaje się być całkowicie trafną konkluzją i wprowadzili zabezpieczenie na poziomie sprzętowym, powodujące, że w momencie włączenia się kamerki, zapala się obok niej światełko, co pewnie wszyscy posiadacze nowożytnych laptopów, już widzieli. Więc dzisiaj, w zasadzie chyba nie ma w sprzedaży urządzenia typu laptop, które miałoby, byłoby pozbawione takiej funkcji. Więc jeżeli mamy lampkę koło kamery, no to jesteśmy w stanie fizycznie kontrolować, kiedy ta kamera jest aktywna. Nie mamy tej funkcji na przykład w naszych smartfonach. Chyba jest jeden, czy dwa modele smartfonów, które pozwalają, które działają tak śmiesznie, że w momencie, gdy, gdy kamera nie jest włączona, to jest schowana, a jej włączenie powoduje, że wyskakuje coś z obudowy, co, co pozwala automatycznie zauważyć, że, że kamera jest aktywna. No i chyba najnowsza wersja IOS’a umożliwia też wyświetlenie komunikatu o aktywności kamery domyślnie. Natomiast no w smartfonach to, to nie jest do końca tak jeszcze, tak zabezpieczone, jak w komputerach.

Prowadzący: No właśnie Adam. No w momencie, kiedy prowadzisz szkolenia, warsztaty i tym podobne rzeczy. Zresztą większość z nas w tym momencie, mocno korzysta oczywiście z home office’a, no to jest sprawa oczywista, że, że kamera w laptopie to jest, powiedzmy, normalne narzędzie pracy, ale na przykład Ty, jak często spotykasz sytuację, że mimo tego, że rzeczywiście swojego rodzaju jest to, jest to mit z tą kamerą, że po drugiej stronie rzeczywiście widzisz te osoby, które mają zakrytą kamerę, widzisz, co najwyżej, nie wiem, ich inicjały, ikonę symbolizującą wyciszenie mikrofonu. Jak często z Twojej strony coś takiego występuje?

Adam Haertle: To jest dosyć popularne dzisiaj. Zresztą, często też patrzę jak inne osoby prowadzą zajęcia dla studentów i widzę, że są grupy, w których ktoś ich nauczył, że wszyscy siedzą na kamerze, a są takie, gdzie na kamerze nikogo nie ma. Myślę, że no, korzystamy z tego, że, że możemy być zdalnie i bez podglądu. Wtedy dużo bardziej komfortowo można się, czy podrapać po plecach, czy, czy napić herbaty, czy podłubać w zębach w trakcie, gdy nikt nie widzi. Jednak, gdy wiemy, że po drugiej stronie jest kamera i ktoś przez nią patrzy to narzuca nam to pewną normę zachowań, która nie zawsze jest zgodna z naszą wygodą, komfortem, czy, czy poczuciem jakiegoś, jakiejś prywatności, no, bo trudno tu mówić o bezpieczeństwie, bardziej chodzi o, o prywatność. Więc ja się nie dziwię, że ludzie siedzą z wyłączoną kamerą. Ja jestem na tyle przyzwyczajony do tego, że, że w tym obiektywie mnie nie widać, że nieraz jest tak, że jest jakiś call z klientem na pięć osób i jestem jedyną osobą, którą na tym call’u widać i nie mam z tym żadnego problemu.

[00:05:09]

Adam Haertle: Zawsze siedzę w swoim studio, wiem, że w tle mam tylko rzeczy, które chcę mieć. Wiem, że nikt mi tu nie wejdzie. Wiem, że mam dobry sprzęt. A to, że wyglądam jak wyglądam, no to już na to nic nie poradzę, z tym się pogodziłem, więc, więc się tego, się tego wizerunku nie boję, ale też nie mam pretensji do ludzi, którzy, którzy wolą kamery nie włączać. Rozumiem to, jest tak prościej i wygodniej.

Prowadzący: I wiesz, i teraz możemy sobie rzeczywiście wyobrazić jakieś lekcje zdalne, tak jak mówisz, wyłączone kamery, ktoś omawia jakieś twierdzenia i tak naprawdę nie ma zielonego pojęcia czy nie mówi sam do siebie. Adam, ale dlaczego, właśnie dalej drążąc temat, w umysłach wielu użytkowników komputerów jest to takie pierwsze zadanie, tak. Czyli zakrywamy naszą kamerę, pierwsze zadanie zapewniające nam bezpieczeństwo, anonimowość, szczególnie biorąc pod uwagę te wszystkie artykuły, których jest naprawdę bardzo dużo, na najróżniejszych portalach traktujących w sumie o wszystkim, począwszy od jakichś przepisów na babki ziemniaczane, przez skuteczne metody na odchudzanie, a skończywszy właśnie na największych zagrożeniach czyhających w niedobrym, niedobrym Internecie, okraszone oczywiście odpowiednią ilością reklam.

Adam Haertle: Myślę, że…

Prowadzący: Czy to jest związane z obecnymi czasami właśnie, czy, czy to rzeczywiście od dłuższego czasu gdzieś tam przykuwa uwagę ludzi? To tak jak wspominałeś, to, to migające okienko, które gdzieś może pokazywać, że, że jesteśmy w sieci widoczni.

Adam Haertle: Myślę, że to ma głębsze podstawy. Zresztą ja co raz częściej w swojej pracy dbania o bezpieczeństwo użytkowników, widzę, że więcej potrzebuje psychologii, niż technologii. Myślę, że tutaj też do psychologii musimy jednak sięgnąć, bo lubimy proste rozwiązania, które możemy łatwo wdrożyć i wtedy dają nam one poczucie, że kontrolujemy coś, jesteśmy bezpieczniejsi. I w ten sposób, jeżeli nakleimy tą zaślepkę na kamerę w naszym laptopie, to czujemy, że w bardzo prosty i skuteczny sposób zwiększyliśmy naszą prywatność, a potem siedzimy z tą zaślepką w pociągu, z dokumentami klienta na ekranie, a kolega z siedzenia obok czyta raporty finansowe naszego klienta na przykład. Albo mamy zaślepioną kamerkę w laptopie, podczas gdy do toalety chodzimy jednak ze smartfonem, w którym nie zakleiliśmy tej kamerki. Czy, czy siedzimy pod prysznicem i obok leży smartfon z włączoną kamerą. I tam jakoś nie zaklejamy tej kamery. Ktoś nam wmówił, że to zaślepienie kamery w laptopie jest potrzebne i lepiej się czujemy w momencie, gdy to zrobimy. Tak samo jak ktoś nam wmówił, że noszenie karty zbliżeniowej w futerale odpornym na promieniowanie elektromagnetyczne, zwiększa bezpieczeństwo naszych środków. I mnóstwo ludzi to nosi, choć nie ma to absolutnie żadnego praktycznego znaczenia, bo te ataki po prostu nie występują. Tak samo jak dzisiaj, bardzo rzadko, naprawdę ekstremalnie rzadko zdarzają się te podglądy przez kamerkę, przez złośliwe oprogramowanie. No taki, taki te, ta potrzeba ludzka zrobienia czegoś, jest silniejsza.

Prowadzący: No właśnie. Nie sądzisz, że to jest taka troszkę hipokryzja? No wiesz, z jednej strony dbamy mocno o naszą prywatność, a z drugiej… Ja przynajmniej już nie odnajduję się w tych wszystkich ilościach portali związanych z social media, gdzie tak naprawdę chętnie dzielimy się, co jedliśmy, gdzie to jedliśmy, jak spędzamy wakacje, pokazując nie wiem, nowy tatuaż, wrzucając pinezki. Wiesz, niby tacy wrażliwi na punkcie prywatności, no chyba, że to już wchodzimy na takie stricte rozgraniczenie naszego życia prywatnego i odbiurowego, a ja tego po prostu w jakiś sposób nie zauważyłem.

Adam Haertle: Myślę, że tutaj bardziej znowu psychologia i kwestia kontroli, czyli to my kontrolujemy, co pokazujemy i, i to, że nie chcemy żeby ktoś nas oglądał jak dłubiemy w zębach, ale chcemy pokazać całemu światu nasze piękne pośladki w skąpych, w skąpej odzieży, wypięte w stronę obiektywu, to nasza decyzja, tak. To my wybieramy, co pokazujemy. No i mamy tą kontrolę i czujemy się z tego usatysfakcjonowani, nie patrząc na to, że efekty tak naprawdę są, są niezgodne z, ze zdrowym rozsądkiem. Ale to my zadecydowaliśmy, co wrzuciliśmy do Internetu, a nie przypadkowy haker.

Prowadzący: No dobra, a wiesz co, przyjmijmy, że jednak mamy do czynienia z podglądaczem w takiej, czy w innej formie i czy z Twojej perspektywy to kamera, czy na przykład mikrofon w tych urządzeniach to większe zło?

Adam Haertle: Myślę, że kamera. Gdyby, gdyby ktoś faktycznie chciał nam zrobić krzywdę, to gdyby tylko opublikował jakieś nagrania naszych rozmów, no to musielibyśmy być naprawdę, no bardzo ważnymi ludźmi, żeby ktoś tego słuchał, tak, jakimiś politykami na, na eksponowanych stanowiskach, czy szefami jakichś dużych firm i to najlepiej jeszcze o jakimś zabarwieniu politycznym. No, bo kto by tam słuchał jakichś nagrań, jak jacyś ludzie ze sobą rozmawiają, tak. To z reguły jest nudne. To musiałaby być jakaś sensacja.  A jeżeli mamy wideo no to każdy chętnie zobaczy, tak, szczególnie kogoś w negliżu. Wystarczy coś takiego wrzucić do Internetu i – o zobacz jak się potknął i rozwalił sobie tę głupi, tą głupią twarz, tak, na przykład. No to myślę, że dużo bardziej byłoby klikane niż – posłuchaj, jak, jak planuję zamach na prezydenta, tak, czy coś w tym stylu. Więc raczej, raczej niebezpieczeństwo czyha w kamerze. No chętniej konsumujemy treści wideo niż treści audio, to na pewno.

Prowadzący: Czyli o mikrofonach możemy, delikatnie mówiąc, zapomnieć.

[00:10:00]

Adam Haertle: Znaczy tak naprawdę, to jeżeli ktoś uzasadnia wyłączenie kamery, czy nawet jej fizyczne odcięcie, botacy ludzie też są, że wydłubują te kamery ze, ze sprzętu, tym, że, że dba o swoją prywatność, no to niech pójdzie krok dalej i odetnie też mikrofon, tak. No, bo mikrofonem też można ciekawe rzeczy zebrać. Natomiast mówię, to znowu wracamy do, do problemu psychologicznego i tak naprawdę jednego z najpoważniejszych problemów, moim zdaniem, w, w świecie bezpieczeństwa. Wiele osób już liznęło tematów bezpieczeństwa i uważa, że wie jak się zabezpieczyć i zaczyna od tego, że no wymyślimy teraz najlepszy na świecie system zabezpieczeń, który zagwarantuje, że nawet Mossad nas nie zhakuje. No ja mam złą informację, Mossad was zawsze zhakuje, jeżeli będzie chciał. Kluczowe jest, żeby nie być celem Mossadu i to jest jedyny sposób uniknięcia zhakowania przez Mossad. Natomiast pierwszy krok powinien być taki, że zadajmy sobie pytanie, po co ten Mossad miałby nas w ogóle hakować? I kto byłby chętny nas zhakować? Jakie mamy informacje do ochronienia? Jakie mamy środki i ile jesteśmy w stanie poświęcić wygody na zwiększenie naszego bezpieczeństwa? I dopiero jak sobie przeprowadzimy taką analizę naszego ryzyka, to wtedy możemy podejmować rozsądne decyzje, czym i jak powinniśmy się zabezpieczać. Ja na przykład nie zaklejam kamerki w moim laptopie, uznając, że jeżeli ktoś miałby już tak wysokie umiejętności techniczne, że byłby w stanie przejąć kontrolę nad moim komputerem, przy dosyć zaawansowanych innych mechanizmach bezpieczeństwa, a potem jeszcze przejąć kontrolę nad kamerą, nie zapalając tej lampki, co według mojej wiedzy, jest technicznie niemożliwe, bez naprawdę niezwykłych, technicznych fikołków, no to jeszcze musiałby zostać skazany na oglądanie mnie w różnych sytuacjach i pozycjach i, i, i, i, i czynnościach życiowych. Bardzo mu współczuję, że włożył tyle wysiłków, po to, żeby, żeby, nie wiem, zobaczyć mnie jak, jak na przykład dłubię w nosie. No byłoby to mega nudne, tak i, i, no mówię, kondolencje dla, dla operatora, który byłby obarczony obowiązkiem zapoznania się z tą treścią. Więc ja sobie kamerki nie zalepiam. Ale na przykład myślę, że gdyby przyszła do mnie jakaś piętnastoletnia dziewczyna, która powiedziałaby, no – boję się o swoją prywatność, to bym powiedział jej – zakryj kamerkę, tak. No, bo najgorsze, co Ci się może zdarzyć, a może się to gdzieś tam potencjalnie zdarzyć, uruchomisz jakiś załącznik, który Ci podesłał kolega ze szkoły i on Cię nagra i to jest katastrofa, bo znam takie historie, że te dziewczyny zmieniały szkoły, zmieniały miasta, rodziny się przeprowadzały, bo gdzieś w Internecie znalazło się nagranie. Więc jak mówię, wszystko zależy od tego, na jakie ryzyka się narażamy, jak, jak widzimy wagę tego, co najgorszego może się zdarzyć.

Prowadzący: Wiesz co, to teraz jeszcze poruszając właśnie tę Twoją ostatnią wypowiedź i to, o czym też mówiłeś wcześniej, to znaczy, że biorąc pod uwagę kamerki, to nie mówimy tylko i wyłącznie o laptopach, ale mówimy często o tak jak wspominałeś, dużo bardziej kompaktowych urządzeniach, z którymi spędzamy znacznie więcej czasu, w najróżniejszych scenariuszach, które też już częściowo przynajmniej omówiliśmy i pominąwszy ten jeden model, o którym wspominałeś, z fizyczną przesłoną, to ja rzeczywiście, no nie widzę zbyt często jakichś taśm izolacyjnych w miejsc obiektywu.  I o co chodzi Twoim zdaniem właśnie, Android jest be dla przestępców, dużo łatwiej jest nie wiem, zhakować tak naprawdę naszego, powiedzmy, Windowsa, czy może dane, możliwości nie te?

Adam Haertle: Zdecydowanie chodzi o architekturę systemu, co wpływa na bezpieczeństwo i możliwość kontrolowania, nawet przejąwszy kontrolę nad jakimś aspektem działania urządzenia, kontrolowania innych tych aspektów. No, a w systemie typu Windows, desktopowym, z reguły, jeżeli mamy możliwość wykonania kodu, na przykład zainstalowaliśmy na tym komputerze swoją złośliwą aplikację, to z dużym prawdopodobieństwem możemy zrobić z tym komputerem następnie wszystko to samo, co właściciel, tak. No, bo to przejmujemy kontrolę nad całym urządzeniem. Natomiast urządzenia mobilne, systemy operacyjne mobilne, szczególnie w tych nowszych edycjach, są już bardzo skrupulatnie stworzone, w ten sposób, aby każda aplikacja miała swoje własne podwórko i nie mogła za bardzo grzebać, w tym, co robią inne aplikacje, a w szczególności w tym, co robi system. I to system kontroluje dostępy tych aplikacji. Więc nawet, jeżeli sobie zainstalujemy złośliwą aplikację na Androidzie, to ona dalej nie będzie miała dostępu do kamery, jeżeli jej na to nie pozwolimy explicito. Oczywiście można nas do tego namówić jakimś atakiem socjotechnicznym, ale taka aplikacja, na przykład nie wiem, złośliwa aplikacja nie będzie czytała naszych czatów WhatsApp, bo to jest inna aplikacja, tak. Więc ten model prywatności, model bezpieczeństwa w systemach telefonów komórkowych, jest dużo bardziej utrudniający życie potencjalnemu atakującemu, stąd dosyć rzadko, a już w tych nowszych wersjach systemów operacyjnych, bardzo rzadko zdarza się, że ktoś jest w stanie przejąć kontrolę nad całym urządzeniem rodzaju smartfon.

Prowadzący: Wiesz co, przejąć kontrolę to jest jedna rzecz, ale co teraz z aplikacjami, które tak naprawdę pobieramy ze sklepów, w zależności od, oczywiście od platformy i no tutaj taki no może głupi, oderwany od rzeczywistości przykład, ale weźmy nie wiem, jakiś nowy kalkulator, który właśnie pobieram sobie ze sklepu na mój telefon, a później pytanie, czy ten kalkulator powinien mieć na przykład dostęp do mojej kamery i do mikrofonu?

[00:15:00]

Prowadzący: Bo jeżeli chodzi o te uprawnienia to nie wiem. Z Twojej perspektywy jak często ludzie rzeczywiście sprawdzają, do jakich uprawnień aplikacja żąda dostępu?

Adam Haertle: Myślę, że czytelnicy mojego bloga zawsze, a zwykli użytkownicy wcale, tak. To tak trochę, trochę ironizując. Ale problem z uprawnieniami też jest taki, że te modele uprawnień nie były w zasadzie zaprojektowane z myślą o zwykłym użytkowniku, ponieważ często jest tak, że wyświetla nam się jakiś komunikat, na przykład – ta aplikacja będzie chciała dostępu do telefonu, i my sobie od razu myślimy – a, to będzie dzwonić i nabijać nam rachunek, a tak naprawdę ta aplikacja chce zobaczyć, nie wiem, listę ostatnich połączeń, żeby nam zasugerować, z kim mamy częściej kontakty i wtedy z tą osobą coś tam, tak, wysłać, nie wiem, zaproszenie do tej samej aplikacji. Ale nie może tego zrobić, nie prosząc o uprawnienie do nawiązywania połączeń telefonicznych, bo jest to pod jednym, pod jednym hasłem w systemie operacyjnym. Więc często te komunikaty są mylące, to, o co aplikacja prosi, one z reguły są dużo szersze, niż dzieje się to w rzeczywistości. Więc nawet, jeżeli ktoś na to zwraca uwagę, to jest duże ryzyko, że odmówi dostępu, który jest niezbędny do funkcjonowania aplikacji. Ponadto, właściciele sklepów z aplikacjami dosyć dbają o to, żeby te aplikacje nie robiły nam krzywdy i jest wiele osób, które patrzą, co robią aplikacje, szczególnie te popularniejsze. I gdyby taka popularna aplikacja zaczęła robić coś niepożądanego dla użytkowników, dość szybko zostałoby to pewnie zidentyfikowane. No chyba, że byłoby to naprawdę, gdzieś tam bardzo, bardzo zakamuflowane i na małą skalę zaimplementowane. Tak, że istnieje coś w rodzaju dwóch mechanizmów kontroli. Jeden to jest kontrola właściciela sklepu, czyli Google i Apple, którzy sprawdzają te aplikacje, przed ich wypuszczeniem do użytkowników, a potem również w trakcie ich używania. A drugi, no to jest kontrola całego sporego zespołu analityków, którzy siedzą i szukają tych złośliwych aplikacji, niezależnie i je zgłaszają do usunięcia, jeżeli jest taka potrzeba.

Prowadzący: Adam, wiesz co, zostawmy może na chwileczkę temat związany z kamerkami, tak stricte w naszych urządzeniach. A ja bym chciał Cię zapytać jeszcze o inny przykład, a mianowicie o kamery iPTV. To nawet może na samym początku niekoniecznie te umieszczane w firmach, tak, tylko takie, którymi na przykład, nie wiem, chcemy sobie monitorować, powiedzmy, nasz dom. Wyrzucone, bardzo często gdzieś tam na publiczny, dla wygody przekierowania portów, a no później użytkownicy mogą się na przykład zdziwić, tak, że więc na różnych forach, różnych tak naprawdę portalach, nie wiem, Shodan i tym podobne rzeczy. Jak to wygląda?

Adam Haertle: To jest też ciekawy temat, bo w domu mamy dużo urządzeń podłączonych do Internetu. Mamy lodówki, tostery, telewizory, ale też i kamery. No i teraz pytanie, czemu te kamery są takim celem włamywaczy. No to, co wspomniałeś, to jest jedno z tych niewielu urządzeń, które z punktu widzenia zwykłej użyteczności powinno być wystawione w jakiś sposób do Internetu, czy też dostępne z zewnątrz, bo w końcu te kamery stawiamy w domu po to, żeby patrzeć co się w tym domu dzieje, gdy nas w tym domu nie ma, więc musimy mieć do tego jakiś dostęp. I o ile to nie jest jakiś bezpieczny tunel zastawiony przez nas, albo przez jakąś chmurę producenta, no to oznacza to, że ta kamera jest na publicznym interfejsie, a niestety jeszcze do całkiem niedawna w większości przypadków, a dzisiaj w wielu nadal, te kamery nie są najwyższych lotów. To jest tani sprzęt, który kupujemy, kierując się głównie ceną, nie bezpieczeństwem producenta. Myślę, że nawet eksperci od bezpieczeństwa, wchodząc do sklepu z kamerami nie sprawdzają, który producent ile miał CVE w ostatnim roku, tylko sprawdzają, jakie są ceny, i jaka jest rozdzielczość i jakie są opinie w Internecie. Więc producenci nie mają motywacji do tego, aby te urządzenia były bezpieczne. Jeszcze całkiem niedawno z pełnym standardem wyłożone były z domyślnym hasłem i nic nie wymuszało zmiany tego hasła, w momencie instalacji urządzenia. No efektem tego były, były kamery, nad którymi ktoś przejmował kontrolę. A co najśmieszniejsze w tym wszystkim, ta przejęta kontrola nie służyła do tego, żeby zaglądać ludziom do mieszkań, tylko do organizowania ataków DDoS. Jeden, jeden z największych ataków DDoS w historii był oparty o botnety kamerowe właśnie, tak, więc, zamiast podglądać, okazuje się, że były wykorzystywane po prostu password. Taki żarcik.

Prowadzący: Adam, bo teraz jeszcze dalej pozostając wśród kamer iPTV, czy w takim temacie właśnie, ale to już też częściowo poruszyłeś, z Twojej perspektywy jest gorszą wizją to, że ktoś przejmuje strumień, bo tego typu scenariusze chyba też dosyć często występowały, czyli strumień z kamer, które pokazywały, nie wiem, jakieś miejsca, które tak naprawdę nie powinny być publicznie udostępniane, czy mówiąc wprost, gdzieś pomieszczenia, z których spokojnie można było odczytać jakieś elementy, które również były jakimiś wrażliwymi danymi, czy to, że te kamery właśnie mogą być w tej samej podsieci, bez żadnej separacji z innymi maszynami, czyli również kolejna rzecz właśnie, o której wspominałeś.

Adam Haertle: Myślę, że, tak naprawdę mamy tu do czynienia z każdym możliwym scenariuszem i od atakującego zależy, który będzie potrafił wykorzystać.

[00:20:00]

Adam Haertle: No, bo dostanie się do kamery, która ma domyślne hasło i podejrzenie jej obrazu, no to jest umiejętność na poziomie nastolatka, który przeczytał coś w Internecie i jeżeli ta kamera będzie wystawiona do Internetu, musimy założyć, że prędzej, czy później ktoś się do niej połączy i te informacje, które ta kamera widzi, w jakiś sposób przejmie i spróbuje wykorzystać. Natomiast przejęcie kontroli nad taką kamerą, aby z niej zrobić następnie platformę do dalszych ataków w sieci wewnętrznej, no to już jest kilka poziomów zaawansowania ataku wyżej i myślę, że atakujący nie są aż tak z reguły utalentowani, to wymagałoby dosyć specjalistycznej wiedzy. Nie ma, według mojej wiedzy, takich gotowych narzędzi, umożliwiających przejęcie kontroli nad kamerą. To musiałby być ktoś poziomu pewnie Michała Sajdaka, który jest w Polsce ekspertem od hakowania kamer, a i pewnie on byłby w stanie z takiej kamery stworzyć sobie platformę do, do dalszych ataków. Natomiast przeciętny atakujący raczej, raczej tak mocno nie będzie sięgał.

Prowadzący: To zostawmy może na chwileczkę te kamerki i chciałem poruszyć jeszcze jedną, ważną kwestię. Chciałbym, żebyś troszkę więcej na ten temat powiedział. Z mojej perspektywy, no przynajmniej z mojego punktu widzenia dosyć zabawne sytuacje, kampania/kampanie, w stylu wiesz – wiem, co robisz przed swoim komputerem, telefonem i nie zawaham się upowszechnić, potwierdzające Twoje dokonania, jakichś nagrań do Twoich znajomych, często wyrażające nie wiem, jakąś dodatkową aprobatę względem wybranych przez nieszczęśnika kategorii, czy jakichś konkretnych wytworów kinematografii. Przepis na sukces, ze strony atakujących?

Adam Haertle: Patrząc na skalę zjawiska? W jakimś stopniu pewnie tak. Z tego, co widziałem jakieś próby analiz dochodów, to nie są to całkowicie chybione ataki.  Z tego, co widzę w swojej skrzynce, po emailach od przerażonych odbiorców tych wiadomości, są to dosyć, dla ekspertów, oczywiste oszustwa, a dla zwykłego użytkownika, jednak niestety przekonujące treści. Tym bardziej, że no, nie ma w zasadzie tygodnia, żebym nie otrzymał kilku takich wiadomości od osób, które mimo całej, wielkiej akcji edukacyjnej z tym związanej, mimo faktu, że w Internecie łatwo jest znaleźć informacje, że te oszustwa są oszustwami, a nie rzeczywistymi próbami szantażu, dalej znajdują się osoby, dla których najwyraźniej treść tego szantażu przemawia, a i gdzieś tam nawiązuje do, do tego, czego oni się mogą spodziewać, że może się wydarzyć i są całkowicie zaniepokojone. Odzywają się do mnie z pytaniem, czy to na pewno jest oszustwo, czy, czy powinni na to reagować i co dalej z tym zrobić, więc wydaje się, że, że każdy atak dostatecznie szeroko rozsiany w Internecie na kogoś trafi. A i widać, że czasem faktycznie te, te konta bitcoinowe przyjmują jakieś płatności przychodzące.

Prowadzący: No właśnie, najczęściej to chodzi o doładowanie portfela Bitcoin jakąś konkretną kwotą, która ma służyć temu, aby napastnik wykasował, powiedzmy, obciążające materiały, których i tak raczej nie ma. Ale czy miałeś podobne przykłady, w których, podobne wiadomości były wykorzystywane do tego, że ofiara, oczywiście ze znacznie podniesionym ciśnieniem, czytając cały ten wywód, widzi w wiadomości link, powiedzmy nie wiem, z próbką nagrania, klika w nią z chęcią jej sprawdzenia, co tam jest, a tym samym, nie wiem, dalej infekuje się, rozpoczynając resztę magii, ewentualnie jakieś hybrydy, czyli nie wiem, portfel Bitcoin, doładowanie plus link do złośliwego oprogramowania. Jak to najczęściej wygląda?

Adam Haertle: Najczęściej widziałem same portfele, czyli wyłudzenie kwoty. Nie spotkałem się z tym, aby temu linkowi towarzyszyły jakieś próby infekcji komputera. Wydaje mi się, że to, takie hybrydowe ataki są dosyć rzadkie, tak. Tak jak na przykład, gdy dostajemy spam, no to wszyscy się boją, że jak klikną w linka, to zainfekują sobie komputer. Ale jakby to jest po prostu działalność marketingowa, tak i z daleka, ja widzę już od razu czy mam do czynienia z, z dużym prawdopodobieństwem jestem w stanie ocenić, czy mam do czynienia ze zwykłym spamem, czy z próbą infekcji i bardzo rzadko zdarza się, że, że gdzieś dwa różne wektory ataku w jednym, w jednym wydarzeniu występują.

Prowadzący: Jakiś święty Graal, którego często ze świecą szukać wśród ludzi, organizacji, z którymi masz do czynienia, jeżeli chodzi czy to o edukację, czy jakieś wdrożone polityki bezpieczeństwa, względem podobnych sytuacji?

Adam Haertle: Nie do końca zrozumiałem Twoje pytanie.

Prowadzący: Czy są jakieś elementy, które warto tutaj wskazać, tak naprawdę tym, tym ludziom, tak, jeżeli chodzi, czy o osoby prywatne, czy osoby związane tutaj z firmami, żeby wiedziały, w jaki sposób mają się tak naprawdę zachowywać względem tego typu kampanii?

Adam Haertle: No jest jedna porada, ignorować, tak, bo znaczy… Też spotkałem się raz z sytuacją, gdzie ta kontrola nad skrzynką, wiadomość jakby zaczynała się dokładnie tak samo – wiem wszystko, co robisz i, i mam kontrolę nad twoją pocztą i jestem w stanie ci zaszkodzić, i ja początkowo, przyznaję się, potraktowałem to, jako jedną z wielu, natomiast zgłaszający był gdzieś tam ważną osobą w pewnej organizacji, z którą współpracowałem, więc postanowiłem się temu bliżej przyjrzeć i dobrze zrobiłem, bo faktycznie, tam, tam okazało się, że to był bardziej poważny szantaż.

[00:25:13]

Adam Haertle: To nie był szablon, to była dedykowana wiadomość i tam faktycznie, ktoś przejął kontrolę nad skrzynką dosyć majętnej osoby i próbował to, to wykorzystać. Natomiast no, umiejętność odróżnienia tego prawdziwego, od tego hurtowego szantażu, jest istotna, no, bo ten hurtowy można po prostu usunąć, tak. Natomiast no, jeżeli to jest faktycznie gdzieś dedykowana wiadomość do konkretnej osoby i tu od razu uspokajam słuchaczy, raczej będzie to dotyczyć osób na eksponowanych stanowiskach, albo istotnie bardziej majętnych od przeciętnej, no to wtedy trzeba się tym faktycznie bliżej zająć. Natomiast znakomita większość tego rodzaju wiadomości, można po prostu usunąć, po potwierdzeniu, że jest to jedna z miliona. No, bo wtedy wiadomo, że nadawca niczym nie dysponuje, oprócz szybkiego serwera pocztowego.

Prowadzący: Ale właśnie, ale przykłady, gdzie osoba, tak naprawdę właśnie przypadkowo dostaje takiego emaila, gdzie w pewnym sensie ma do czynienia z personalizacją, to znaczy – witaj, imię, tak i później reszta całej wiadomości, czy nawet przypadki, gdzie nie wiem, mają próbkę jakiegoś starego hasła, które gdzieś może wyciekło. Jak to też wygląda i czy to są częste przypadki? Czyli takie elementy, które rzeczywiście mogą wskazywać tym uczestnikom, tym użytkownikom, którzy takiego emaila dostają, że kurczę, może rzeczywiście oni coś na mnie mają.

Adam Haertle: Atakujący zawsze stara się gdzieś zwiększyć prawdopodobieństwo, że atakowany ulegnie tej sugestii z emaila i wzbogaca tego emaila o elementy personalizujące, natomiast no one po prostu są wykradane z baz danych, z wcześniejszych, gdzieś istniejących w Internecie, opublikowanych wycieków. Stąd to, że w treści tego emaila pojawia się prawidłowe imię, czasem prawidłowe nazwisko, a często prawidłowe hasło z jakiegoś serwisu. Oznacza jedynie, że przestępca wykradł, albo skorzystał z tego, że inny wykradł z jakiejś bazy danych, parę, w postaci adres email i hasło, a następnie wykorzystuje to, no, bo większość osób używa tego samego hasła wszędzie, więc jak zobaczy swoje hasło to pomyśli, że – no faktycznie przestępca coś wie. Jedyne, co wie, to to, że gdzieś, kiedyś skorzystaliście z tego hasła, no i to w żadnym stopniu nie powoduje, że, że ten szantaż jest bardziej wiarygodny. To jedynie jest sugestia, że jeżeli jeszcze używacie gdzieś tego hasła, to należy jak najszybciej z niego zrezygnować, skoro nawet tak nisko żerujący przestępcy, już je znają.

Prowadzący: A właśnie, podchodząc do tego tematu, jeżeli dalej korzystacie z tego hasła i teraz właśnie pytanie, czy często zdarzają się takie przypadki, że taki użytkownik rzeczywiście korzysta dalej z tego hasła i co wtedy?

Adam Haertle: Tak. Ja spotykam się z tym, że zgłaszają się do mnie ludzie i mówią– no dostałem na emaila ten typowy szantaż bitcoinowy, widziałem, co robisz w kamerce i tam było moje aktualne hasło do poczty, a ja mówię – to gratuluję, że jeszcze to jest twoja poczta, bo pewnie już dwadzieścia pokoleń hakerów zdążyło się z tym hasłem zapoznać i aż dziwne, że nikt nie skorzystał z okazji żeby twoją skrzynkę przejąć, albo po prostu nie miałeś/nie miałaś tam nic absolutnie ciekawego i poszli sobie dalej. To się zdarza, tak. To się zdarza, ale to tylko wskazuje, że jednak ta polityka posiadania różnych haseł, do różnych serwisów, jest warta wdrożenia.

Prowadzący: Albo tych rekordów w tej bazie danych, było może na tyle dużo, że nie zdążyli jeszcze do tego, do tej osoby dojść.

Adam Haertle: Ale to z reguły są automaty, które skanują, więc to tam skala nie ma, nie ma znaczenia. Potrafią i miliony haseł przemłucić.

Prowadzący: Adam, tak podsumowując, to bać się tych kamer, czy bardziej samych siebie i tego, do czego jesteśmy zdolni, biorąc pod uwagę jakieś właśnie, czy to kampanie, czy social engineering i tym podobne rzeczy?

Adam Haertle: Podchodzić rozsądnie do, do zagrożeń. Ja wiem, że no, mi jest łatwo to mówić, bo ja analizą zagrożeń w obszarze bezpieczeństwa informacji się zajmuję od lat i, i mam już to gdzieś pewne schematy wbudowane, natomiast zwykłemu użytkownikowi trudno jest tak naprawdę pochylić się nad tym tematem. Dużo prościej jest właśnie nakleić tą zaślepkę na kamerę i pomyśleć – po problemie. Ale zastanówcie się raczej, czy to faktycznie jest dla Was zagrożenie i czy ta kamera w laptopie jest większym zagrożeniem, niż kamera w smartfonie. Nie jest łatwo przejąć kontrolę nad smartfonem, nie jest łatwo przejąć kontrolę nad laptopem. Moim zdaniem, te, te zaślepki dają nam jakieś takie fałszywe poczucie bezpieczeństwa. Dużo lepiej, jeżeli robicie jakieś, jakieś rzeczy, niewymagające akurat używanie komputera, zamknąć klapę komputera, tak, po prostu, a nie zostawiać go na przykład otwartego na, na cały dzień, żeby sobie stał. Natomiast to przyzwoity program antywirusowy, aktualny system operacyjny, powinny w zupełności pozwolić Wam ominąć znakomitą większość zagrożeń w Internecie. Jeżeli chcecie mieć tą klapkę na kamerze, ja nie mówię nie, tak. To, to na pewno Wam w niczym nie zaszkodzi, natomiast no nie dajcie sobie wmówić, że hakerzy są w stanie przejąć kamerę w nowym laptopie, bez zapalenia lampki obok obiektywu kamery.

[00:30:00]

Adam Haertle: Więc jak zobaczycie tą lampkę obok obiektywu kamery, w momencie gdy nie używacie kamery i nie jest tak, że przed chwilą wyszliście z Zooma, albo Skype’a i jeszcze się połączenie nie rozpięło do końca, to to jest faktycznie powód do niepokoju. Na takie zachowania koniecznie zwracajcie uwagę i pytajcie wtedy znajomego informatyka, co z tym dalej zrobić. Natomiast no, nie demonizowałbym tego ryzyka.

Prowadzący: Adam, ale do tej pory rozmawialiśmy o tych kamerach w kontekście podglądania przez hakerów, czy wykorzystania ich w jakiś inny sposób, również przez hakerów, a może ludzie w pewnym sensie dbają o tą swoją anonimowość, zaklejają te kamery, może w pewnym sensie przed trwogą, przed nie wiem, swoim pracodawcą, tak, który też gdzieś może mieć ochotę w jakiś tam sposób ingerować w to, co się dzieje wokół, wokół na przykład urządzenia korporacyjnego.

Adam Haertle: Wydaje mi się, że żaden rozsądny pracodawca w naszym systemie prawnym nie posunie się do patrzenia przez kamerę na pracownika. Tym bardziej, że te zabezpieczenia w laptopach nawet pracodawcy nie pozwalają, z pełnymi uprawnieniami administratora domeny na, na wyświetlenie obrazu z kamery bez zapalenia tej lampki zielonej, obok kamerki. Więc to będzie widać, w razie gdyby któryś próbował. Natomiast dopóki nie macie w regulaminie pracyzapisanego, że pracodawca może korzystać z kamery na waszym komputerze, to nie może. To dosyć poważne pewnie naruszenie przepisów by było, gdyby chciał. Ale też warto pamiętać, że jeżeli to jest sprzęt firmowy, to wszystko, co na nim robicie, wszystkie dane, które na nim się pojawiają, mogą być kontrolowane przez, przez pracodawcę, więc zalecam nieużywanie sprzętu firmowego do celów prywatnych. Wiem, że często ciężko jest to oddzielić, ale jest to chyba najlepsza porada, szczególnie w dzisiejszych czasach, gdy wszyscy pracujemy zdalnie, jaką mogę dać, żeby jednak mieć osobne sprzęty do rzeczy prywatnych i osobne, do rzeczy służbowych. To pozwala uniknąć wielu problemów, na wielu różnych płaszczyznach, za jednym zamachem.

Prowadzący: Adam, dziękuję Ci za rozmowę. Dziękuję Ci za Twoje przekazane best practices, dotyczące czy to kamer, czy, czy ogólnie zachowania się względem tego typu urządzeń. Moim gościem, w tym jakże ciężkim odcinku, jeżeli chodzi o nastrój, niezwykle przerażającą tematykę, tak, był Adam Haertle z Zaufanej Trzeciej Strony. Adam, dziękuję Ci jeszcze raz.

Adam Haertle: Dzięki.

Chcesz być na bieżąco z tematami podcastów? Zapisz się do naszego Newslettera i otrzymuj na bieżąco informację o nowych odcinkach.

Dołącz do dyskusji