Temos Archyvai: Saugumas

Pigios kinietiškos IP kameros (ne)saugumas

Per AliExpress įsigijau pigią kinietišką IP kamerą. Daug maž tuo pat metu užsienio spaudoje plačiai nuskambėjo naujienos apie DDoS atakas rengiamas per piktadarių užvaldytas IP kameras ir kitus „įrenginių interneto“ prietaisus.

Gavęs savo užsakymą nusprendžiau išbandyti kiek saugi yra ši kamera. Nmap pagalba greitai aptikau atvirus prievadus:

80 prievadas naudojamas kameros web interfeisui, 554 – RTSP protokolo vaizdo srautui perduoti, o vat atidarytas telnet prievadas yra negražu ir yra plačiai išnaudojamas blogiukų įrenginiui užvaldyti.

Taigi bandau prie kameros jungtis per telnet – pirma išbandau kameros web interfeiso prisijungimo duomenis (kuriuos, beje, iš karto pakeičiau) – netinka, tada sekė keletas spėliojimų (su vartotojo root ir paprasčiausių slaptažodžių kombinacijomis) – nepavyko. Galiausiai po trumpo googlinimo radau 2014 (!) metų įrašą, po kuriuo komentatorius pasidalino panašios kameros root slaptažodžiu, kuris yra cat1029. Išbandžiau ir sėkmingai prisijungiau:

Taigi kameros kūrėjai dėl vienokių ar kitokių priežasčių paliko backdoor’ą su paprastai internete randamu slaptažodžiu, kamerai, kuri kaipgi turėtų užtikrinti Jūsų saugumą.

Pradžioje pabandykime užtikrinti KAMEROS saugumą: prisijungę per telnet vykdom komandą passwd ir pakeičiame slaptažodį. Perkrovus kamerą ir net atstačius gamintojo nustatymus per web interfeisą, slaptažodžio pakeitimas išsilaikė. Prieš kabindamas kamerą telnet servisą išjungsiu visai.

Taigi patarimai, įsigijusiems IP kameras:

  • Jokiu būdu neleiskite joms prieigos prie interneto! Laikykite jas tik už gerai sukonfigūruotos ugniasienės.
  • Jei įmanoma išjunkite nereikalingus servisus ir pakeiskite kameros root slaptažodį.

OpenBSD ugniasienė

Šiame įraše aprašinėsiu patirtį įrengiant sistemą namų tinklui apsaugoti. Kompiuteryje veiks OpenBSD operacinė sistema ir PF ugniasienė.

2016 11 10

Aparatinė įranga

  • Asus N3050I-C motininė plokštė su integruotu Intel Celeron N3050 dviejų branduolių 1.6 GHz dažnio procesoriumi – 67,39 €
  • Adata 2 GB DDR3 1600 MHz atmintis (AD3U1600C2G11-R) – 13,39 €
  • Adata SATA3 16 GB SSD modulis (DOM – Disk On Module) – 24,89 €
  • Intel Gigabit CT Desktop tinklo plokštė (PCI-E jungtis) – 31,39 €
  • Corsair VS350 350 W maitinimo blokas – 36,99 €
  • Eurocase MC X201 MicroATX korpusas – 18,29 €

Kaina viso: 192,34 €.

Surinktas kompiuteris. Laidai nesutvarkyti.

Viską surinkęs, pradėjau nuo RAM skanavimo MemTest86 4.3.7 versija pateikiama Ultimate Boot CD V5.3.6 ir… po 7 min ties 7 testu kompiuteris pakibo. Tada išbandžiau MemTest86+ 5.01 ir ties septintu testu gavau krūvą klaidų. Biškeli pasigooglinęs, RAM’ų nurašyti dar neskubėjau. Pradėjau nuo motininės plokštės BIOS atnaujinimo nuo buvusios priešpaskutinės 0507 versijos iki paskutinės 0601. Asus savo tinklapyje ties paskutinės versijos aprašymu nedaugžodžiavo: Improve system stability.

Po šio atnaujinimo MemTest86 jau nenulūždavo, bet ties 6 testu metė klaidas. Pasiskaitęs šią temą PassMark forume, bandyti ten aprašomų veiksmų nesiėmiau, bet pabandžiau iš MemTest86 puslapio atsisiųsti naujausią programos versiją, kuri yra 7.1. Laimei, klaidų testas daugiau neberado. Nekvaršindamas daugiau sau galvos, ankstesnes klaidas nurašiau ant senos MemTest versijos ir naujos aparatinės įrangos nesuderinamumo (aišku, jei bus stabilumo problemų prie šio klausimo reikės grįžti).

Įsitikinus šiokiu tokiu surinktos sistemos stabilumu, atėjo laikas įrašyti OpenBSD 6.0 operacinę sistemą. Įrašinėsiu iš USB rakto – tam parsisiunčiu instaliacinį disko atvaizdą – (install60.fs) failą. Iš Windows operacinės sistemos šio failo duomenis surašau į USB raktą Win32 Disk Imager pagalba.

2016 12 05

Įsigijau Absolute OpenBSD knygą.

[Bus tęsiama]