miércoles, 20 de febrero de 2013

Cámaras de seguridad TrendNET vulnerables en Internet

Figura 1. Streaming al vivo de diversas cámaras de seguridad.
¿Nunca tuviste la sensación de que te están mirando a través de tu propia cámara? Bueno, puede que sí, si tienes una de las cincuenta mil cámaras repartidas por el mundo, que por un error técnico, permiten ver qué hacen personas comunes y corrientes de manera pública. No, no se trata de ciencia ficción, se trata de cámaras de seguridad hogareñas, de esas que se compran para instalar en un negocio, en la entrada de una casa o en su sistema de alarma interior, en la entrada de un edificio, en el hall de una institución académica o incluso para cuidar a los bebés desde la distancia mientras duermen plácidamente en la pieza de al lado. A diferencia de los sistemas cerrados antiguos, estas cámaras están conectadas a Internet, y por lo tanto, tienen una dirección IP y se pueden "visitar" remotamente.

El año pasado se desató la polémica porque las cámaras de vigilancia marca TRENDnet permitían ver las imágenes desde cualquier parte del mundo, sin necesidad de contraseñas ni medidas de seguridad. Bastaba ingresar la dirección IP correcta en el navegador y voilá, voyeurismo instantáneo para ver a bebés durmiendo, el interior de casas u oficias, etc.

Un hacker descubrió que miles de cámaras de seguridad hogareñas de la marca TRENDnet podían ser observadas por Internet sin necesidad de tener una clave. Son unas cincuenta mil en todo el mundo. Sin embargo, lo que más me llamó la atención es que alguien ha creado una interfaz mucho más usable con un mapa de Google Maps, creando una especie de panel de control del voyeurismo en http://cams.hhba.info que permite meterse en la vida de las personas, comercio o empresas a golpe de click. Desde la interfaz solo hay que ir haciendo click y descubrir las cosas que menos te esperas. Otras cámaras están puesta en sitios que realmente asustan.

Era obvio que esto en algún momento iba a pasar, que la interconexión de la vida cotidiana iba a terminar en un descalabro de los derechos a la intimidad más básicos; y que cualquiera puede quedar encerrado en un esquema que puede ser de espionaje, basta con comprarse una de las cincuenta mil camaritas TRENDnet que en estos momentos podrían estar transmitiendo las imágenes hacia el mundo sin que sus dueños lo sepan. Entre ellas se pueden ver oficinas de bomberos, salas de espera, lavanderías, negocios de electrónica, almacenes, patios, sótanos, puertas, ventanas, escaleras, entradas, salidas y más patios. Son cámaras fijas, sin sonido, representando la vida real.

Pero ¿Cómo ocurrió ésto? ¿quién descubrió la falla de seguridad? ¿cómo se descubrió ésta falla? ¿qué hizo la empresa al saber de este agujero de seguridad? éstas y algunos otros aspectos son descritos a continuación.

1. Antecedentes.

El 10 de enero de 2012, en el blog de Console Cowboys se publicó un artículo que mostraba que miles de cámaras TRENDnet conectadas a Internet (que se venden en mercado libre por 150 dólares aproximadamente) tenían un problema de seguridad que permitía a cualquier internauta mirar ésas cámaras en tiempo real, sin necesidad de usar una clave por la web. Rápidamente, las direcciones que tenían esas cámaras se hicieron públicas en los foros más populares de la cultura hacker y el asunto llegó al sitio The Verge. Así, finalmente, la información fue publicada en el servicio de noticias de la BBC londinense. Pero mientras lo hacía conocer en su blog, el hacker le había avisado al fabricante y había subido una serie de imágenes recogidas públicamente desde la web para alertar sobre el problema. La empresa tardó en reaccionar, trabajó en la corrección del "error" del código que había sido desarrollado en 2010, estas miles de cámaras transmiten públicamente desde hace casi 2 años ¿y nadie lo sabía?

El hallazgo abre una vez más el debate sobre la invasión a la privacidad de las tecnologías de conexión, en un contexto en el que compartirlo todo va de lleno con la cultura Facebook. "Este error permite recolectar información en grandes volúmenes. Sin embargo, no sirve demasiado para fines específicos. La posibilidad de utilizar esta información para motivos concretos es bastante discutible cuando se trata de lugares públicos que son en su mayoría los casos encontrados. Donde sí puede ser peligroso es en aquellas cámaras que filman el interior de las casas y muestran personas viendo la televisión o cocinando", cuenta Felipe Lerena, hacker y activista del software libre.

2. ¿Quién y cómo encontró el agujero de seguridad?

El descubrimiento que hizo el autor que "desnuda" esta situación, encontró que siguiendo una serie de pasos específicos se podía acceder a la transmisión en vivo. Luego bastaba conocer qué aparatos estaban conectados a Internet con esa cámara asociada y escribir el número IP (Internet Protocol, Protocolo de Internet en español) junto a una secuencia de 15 caracteres. Para hacer la búsqueda de cámaras TRENDnet se usó el buscador Shodan, que se especializa en buscar artefactos; así como Google busca información, éste lo hace con dispositivos conectados. De allí a localizarlos en un mapa de Google, hay un paso que cualquier programador con mínimos conocimientos puede realizar en unos minutos.

El creador del blog Console Cowboys, que suele encontrar éste y otro tipo de agujeros en cualquier artefacto o sistema disponible, contó que se compró una cámara TRENDnet deseoso de participar en este mundo en el que cualquier persona puede transmitir su vida filmada desde su web. El autor eligió el modelo TVIP110w, actualizó el firmware (como se dijo antes, el software que viene incorporado en la máquina) y luego de analizar el sistema comprendió que podía poner un enlace en un navegador para ver su cámara en tiempo real sin clave, sin usuario, transmitiendo en vivo para todos. Primero pensó que era un problema suyo, pero el resto de las configuraciones de seguridad estaban correctas. Entonces, el autor decidió probar si podía encontrar otra cámara conectada a Internet de la misma marca a través del sitio Shodan, una plataforma para encontrar hosts. Encontró rápidamente unos 9500 resultados. Y empezó el show.

3. La reacción de la empresa fabricante al saber del fallo.

Figura 2. Cámara de seguridad TRENDnet modelo TV-IP110W.
Durante la primer semana de febrero de 2012, la empresa TRENDnet envió un correo alertando sobre la falla a aquellos usuarios que habían registrado sus cámaras. Pero la cantidad de registrados no supera el cinco por ciento de los productos en el mercado. Según le dijo Zack Wood, director global de marketing de la empresa a BBC, se habían encontrado 26 modelos vulnerables, y en siete de ellos ya se había realizado el testeo y se publicó una actualización del firmware, que es el software que viene de fábrica en el artefacto. "Pareciera haber sido un problema de la supervisión del código", dijo Wood. Es decir, un error humano de implicancia planetaria.

No deja de ser irónico que el eslogan publicitario de la empresa sea "redes en las que la gente confía" (networks peoples trust, en inglés). La solución inicial que ofreció TRENDnet fue actualizar el programa que viene incorporado a la cámara y subirlo a su web el 7 de febrero; pero el asunto era contárselo a miles de usuarios esparcidos por el mundo y avisarles también a los distribuidores, los vendedores y hacerlo sin que se note demasiado. Pero ese mismo día, la BBC publicó un artículo alertando a los usuarios londinenses -al fin y al cabo la ciudad más filmada del planeta- sobre el agujero de seguridad. Lo que da a entender TRENDnet en el primer comunicado es que ellos no sabían del error y que se enteraron por "por Internet" de lo que estaba ocurriendo. "Inmediatamente tomamos acciones para cuantificar el problema, iniciar acciones correctivas y publicamos una actualización que resuelve el error". La empresa confirmó que se trataba de cámaras compradas entre abril de 2010 y febrero de 2012.

TRENDnet lanzó una actualización para sus cámaras, sin embargo, miles de dueños no han aplicado el parche y un año después, todavía es posible observar directamente todo lo que se hace en un lugar que tenga instalado uno de estos aparatos, en vivo.

Hace ya un año que conocimos la existencia de éste fallo de seguridad crítico en las cámaras IP de la marca TRENDnet. El 'bug' en cuestión, que como ya contamos anteriormente hace posible que cualquier usuario de Internet pudiera ver el contenido de cámaras de seguridad privadas desde un simple navegador, con tan solo introducir la dirección IP pública de la cámara. A pesar de que el fabricante reaccionó rápidamente con un parche que corregía el 'agujero' de seguridad, pero hoy en día todavía hay miles de cámaras sin actualizar, para el deleite de los 'voyeurs' de medio mundo.

La cosa llego a tal extremo, que surgieron cientos de webs con listados de cámaras accesibles. Incluso una de ellas llegó a generar un mapa de Google con los 'puntos calientes' en forma de localización física de las cámaras 'pirateadas'.

4. El mapa de Google con las cámaras vulnerables de TRENDnet.

Google nos permite buscar cámaras de seguridad vulnerables en la red, pero para rematar a alguien se le ocurrió la idea de crear un mapa mundial de las cámaras de seguridad marca TRENDnet, que el año pasado presentaron una gran falla en su sistema, que permite que cualquier persona pueda acceder a las imágenes de sus cámaras sin colocar ninguna clave.

Es así que para facilitar las cosas y hacerlas quizás más reales, un grupo asoció las cámaras de las que se conoce la IP con un mapa de Google.
Figura 3. Cámaras vulnerables descubiertas geoposicionadas en un mapa.
Para acceder a cualquiera de esas cámaras sólo se debe hacer click en cualquiera de los globos y la imagen aparece en una ventana emergente.
Figura 4. Streaming en vivo de una cámara IP TRENDnet 'hackeada'.
Con un poco de suerte podrás encontrar algo de tu interés, aunque la mayoría de las cámaras de seguridad apuntan a lugares poco frecuentados por personas.
Figura 5. Cámara de seguridad vulnerable en la habitación de un niño.
¿Se creó este sitio con un objetivo malvado? Al parecer se trata de una campaña para llamar a la conciencia a los dueños de las cámaras, para ayudar a dimensionar el tamaño del agujero de seguridad de TRENDnet. La campaña fue lanzada por el blog Console Cowboys, que fueron los primeros en dar a conocer esta vulnerabilidad.

Lo bueno de este mashup en Google Maps es que, al menos, incluye un enlace para descargarse la actualización que te borra del mismo y cierra el agujero de seguridad. Lo malo: si no lo conoces y sigues utilizando una cámara conectada de TRENDnet con software antiguo, alguien podría espiar lo que haces. También en el sitio se deja un link a la página de pastebin, donde está la lista completa con las IPs de las cámaras vulnerables desplegadas en el mapa. Al mismo tiempo, están twitteando estas direcciones en la cuenta @TRENDnetExposed.

A la fecha que fue publicado este artículo la página web del mapa todavía está vigente, sin embargo Google ha inhabilitado el uso del API de Google Maps para esta aplicación; por lo que hoy por hoy en dicha página solo se ve una imagen estática de lo que fue el mapa interactivo en cuestión.

En la actualidad, todavía 'existen' canales en los que se pueden consultar las cámaras que no han instalado el parche de seguridad en forma de firmware del fabricante. El más popular es la cuenta de Twitter 'TRENDnet Exposed', un medio en el que se van publicando hora tras hora las direcciones IP públicas de las cámaras TV-IP110W 'desprotegidas', el modelo afectado por la vulnerabilidad. Pero también hay otras menos conocidas como Rodolfo.gs, que presenta una interfaz intuitiva y fácil de usar, con acceso a 500 cámaras de seguridad de TRENDnet.
Figura 6. Cuenta de Twitter de TRENDnet Exposed.
5. Resumen.
  • El fallo de seguridad en las cámaras de TRENDnet se descubrió a comienzos del año pasado, destapado primero por el blog Console Cowboys y más tarde destripado en los foros Reddit y 4Chan.
  • La vulnerabilidad permitía a cualquiera que supiera explotarla acceder a la IP de la cámara y ver imágenes privadas de hogares, oficinas y básicamente cualquier rincón donde estuvieran estos equipos. El escándalo que se montó fue tal que TRENDnet lanzó una actualización de firmware y notificó a todos sus clientes de la necesidad de actualizar. O eso dice, porque, tal y como demuestra el mapa, hay todavía cientos de personas que no se han enterado.
  • Un año después de que se publicaran fallas en las cámaras de seguridad TRENDnet en el sitio de la BBC, todavía siguen apareciendo miles de usuarios afectados debido a la falta de concientización de éstos y de un método efectivo por parte de la empresa para dar aviso a éstos.
  • Éstas cámaras de seguridad permiten hoy en día ser accedidas en forma remota desde prácticamente cualquier dispositivo con acceso a Internet. Una falla de seguridad descubierta por el creador del blog Console Cowboys un año atrás permitía o mejor dicho todavía permite poder visualizar de forma remota lo que capturaban las cámaras de dicha marca más allá que estuvieran protegidas con contraseña. De esta forma, mediante búsquedas específicas, el dueño del blog pudo listar miles de equipos vulnerables a esta importante falla.
  • Debido a la gran cantidad de cámaras encontradas y buscando la generación de conciencia el descubridor de la falla vinculó la información obtenida con la geolocalización de Google Maps para mostrar el verdadero impacto de su descubrimiento.
  • La empresa TRENDnet al enterarse de la falla, publicó una actualización del firmware para sus dispositivos afectados la cual recomendamos descarguen todos aquellos que posean un producto de esta marca. A su vez intentó contactar a sus clientes afectados, pero solo pudo dar aviso a aquellos que registraron sus cámaras dentro del sitio web de la empresa, los cuales solo representan al 5% de los afectados.
Es por esto que a la fecha se siguen encontrando miles de equipos vulnerables a esta falla. A modo de recomendación, a todos aquellos que posean una de estas cámaras es de gran importancia que actualicen lo antes posible el firmware de la misma, y que también registren el producto dentro del sitio web del fabricante para poder estar al tanto de estos sucesos. Hasta entonces, lo que supuestamente se adquirió con el objetivo de tener más seguridad puede estar generando completamente lo opuesto.

6. Conclusiones.
  • Las cámaras de seguridad se montan como sistema que disuada a un delincuente, o para, en el caso de que el criminal no sepa que está la cámara, descubrirlo y detenerlo. Por otro lado, lo de colarse en cámaras de seguridad, que tengan una contraseña por defecto del fabricante, o que directamente estén sin contraseñas, es algo muy habitual en el mundo de la seguridad informática y el hacking.
  • Este tipo de Mashups, que simplifican de manera brutal la explotación de un fallo de seguridad por cualquiera, debería hacer reflexionar a los fabricantes de estos modelos de "cámaras de seguridad" vulnerables, y ser ellos mismos los que intenten localizar a los dueños de las mismas para que los usuarios de su tecnología sean conscientes del riesgo en que están por culpa de un error garrafal en el proceso de fortificación de sus productos antes de lanzarlos al mercado.
  • Es imprescindible registrar un producto en la página web del fabricante, a fin de estar al día en las noticias y/o actualizaciones sobre el mismo.
  • Lo más irónico de todo es sin duda el gancho de marketing que utiliza TRENDnet en su página web: "Network peoples trust" ¡JA!
Es un poco aterrador saber que siempre puede haber alguien mirando (o)_(o) ¿verdad?

2 comentarios :

  1. La tecnologia va avanzando a medida del tiempo, por ello es bueno saberla aprovechar y saberla usar.

    Esto tipo de video vigilancia nos permite tener control de saber lo que pasa en lugares determinados, normalmente se usa con los sistemas cctv que te permiten monitorear el lugar que deseas, por ello es bueno aprovechar esta tecnología y de una forma adecuada.

    ResponderEliminar
  2. Es muy feo ver como se puede torcer algo bueno como una cámara de seguridad, y utilizar exactamente para un uso inverso al que estaba pensada.
    Saludos.

    ResponderEliminar

Encuesta: ¿Quién es el mejor catedrático de la carrera de Ing. Informática de la UAGRM?