Cámaras IP en casa, ¿observamos o nos observan?
En la actualidad, se analiza la vulnerabilidad de los implementos de seguridad personal, como las cámaras de video de uso doméstico, además de la privacidad del Bluetooth
Si bien hace algún tiempo las cámaras de vigilancia requerían una fuerte inversión en equipos, en la actualidad las cámaras IP están disponibles para que cualquier persona las instale en su hogar. Existen opciones cableadas e inalámbricas y en cualquiera de los dos casos las cámaras están pensadas para ser controladas en forma remota, y acoplarse a la red. Luego surge la pregunta, ¿qué pasa si las cámaras son vulnerables? ¿Podrán observarnos con nuestras propias cámaras?
Esto es lo que Francisco Falcón y Nahuel Riva de Core Security demostraron en el último día de la prestigiosa feria tecnológica ekoparty en su más reciente edición. Durante su investigación sobre las cámaras IP pudieron encontrar vulnerabilidades pre-auth (o previas a la autenticación) para lograr control sobre diversos modelos y marcas de cámaras IP de baja gama. Sin embargo, las implicaciones de esto no son menores: el acceso logrado a las cámaras permitiría a un atacante obtener las imágenes que la cámara está transmitiendo en tiempo real, modificar el video que se muestra para que se vea otra cosa (video stream hijacking, muy al estilo de Hollywood, como en películas estilo Ocean’s Eleven) e incluso el robo de información de la red a la cual está conectada la cámara. Si bien estas últimas pruebas fueron realizadas para cámaras clones de la marca Foscam, los investigadores demostraron diversas vulnerabilidades para cámaras MayGion, D-Link, Zavio y TP-LINK.
En la imagen anterior se observa la demostración que los investigadores realizaron en vivo, en la cual, mediante la inserción de un firmware personalizado, remplazaron el stream de vídeo de la cámara por otro video. “Si vamos a utilizar cámaras para proteger nuestro hogar o empresa, evitemos usar aquellas de menor precio dado que pueden resultar vulnerables. En el caso de que las utilicemos, es altamente recomendable no exponer las mismas a Internet, y siempre tener la última versión del firmware instalada”, explica Matías Porolli, especialista de Awareness & Research de ESET Latinoamérica
Además de esta investigación se presentaron otras muy interesantes en el último día de este evento de seguridad informática. A primera hora, Sebastían García estuvo hablando acerca de aspectos de privacidad de Bluetooth. García desarrolló, junto con Verónica Valeros, una herramienta llamada bluedriving que escanea dispositivos bluetooth, descubre los servicios que se tienen activados, obtiene la posición por GPS (o por otros métodos) y guarda un histórico de los lugares en que se encontró ese dispositivo. “Dado que generalmente un móvil con bluetooth corresponde a una persona, lo mencionado implica que es posible realizar el seguimiento de posición y obtener los hábitos de comportamiento de una persona a partir de la señal de bluetooth encendida. En manos equivocadas esto podría convertirse en una violación a la privacidad, por lo cual siempre es recomendable apagar la señal de bluetooth cuando no se utiliza”, asegura el especialista.
