Sunday, February 21, 2010

Video Vigilancia y el efecto Boomerang


Hoy estaba leyendo un post muy interesante ( me entere en un tweet de Sandro Suffert )sobre los efectos de la video vigilancia cuando la misma es realizada en forma "oculta" para las personas.

En el caso del Lower Merion School District, las autoridades entregaron a 1800 estudiantes notebooks Apple. Junto con los equipos que poseen videocámaras incorporadas, se les activo en forma "secreta", software de vigilancia, el cual si las notebooks eran robadas, podian activar en forma remota la videocámara para tomar una foto del ladrón.

Ademas de esto, la idea de las autoridades, fue vigilar a los estudiantes en sus casas, para actuar en caso que los mismos realizaran actos non santos.

Ya habia hablado de la presentación durante la ultima Ekoparty de la gente de Core Technologies "Deactivate-the-Rootkit" , la cual alertaba sobre la presencia de un rootkit en las bios de las notebooks utilizado por empresas como LockJack para el rastreo remoto de los equipos y el peligro que representaba el control por parte de terceros.

Volviendo al caso del colegio que vigilaba a los estudiantes, fue tan grande el escándalo que ahora el FBI esta investigando hasta donde llegaron las autoridades del colegio en las tareas de espionaje de sus estudiantes.

En un caso en particular, un alumno fue acusado de vender drogas y las autoridades de la escuela presentaron como evidencia, imágenes de las notebooks. El alumno negó eso diciendo que solo eran caramelos lo que estaba compartiendo.

La video vigilancia con cámaras IP o webcams, es un arma de doble filo e implementada en manos inexpertas, puede volverse en nuestra contra.



Ya en el libro "Google Hacking" , Johnny Long nos mostraba como realizar búsquedas de webcams por medio de google.

Solo es cuestión de poner las palabras correctas con el operador adecuado y tendremos acceso a los sitios mas inverosímiles.

A los efectos de una demostración de lo que uno puede encontrar, voy a mostrar tres imágenes, de una videocámara IP que encontré fácilmente en google. El sitio, tenia la password por default que viene en los manuales del fabricante.

Y no estoy hablando de webcam's Logitech o Genius. En este caso son sistemas de video vigilancia IP avanzados.

Las cámaras corresponden a un fastfood ( aparentemente en Fargo, Dakota del Norte ,USA ), y las mismas están ubicadas en lugares estratégicos. Detrás de los mostradores, en frente de los mismos, en el mostrador de ventas del autoservice, en el salón de comidas...



Como notaran en la imagen, tengo acceso a todas las funcionalidades del sistema de vigilancia.



Seleccionando la camara 1, tenemos el foco en la camara que atiende la "caja". En este caso la encargada esta realizando una transaccion en un POS.


Con una cámara con la suficiente nitidez, "creo" que podemos tomar la información de la transacción. De hecho el sistema permite acercar la imagen y aumentar el foco.



Imaginen los problemas que pueden tener los clientes, si se encuentran en compañías "comprometidas " y son observados desde internet.

Otras imágenes correspondientes a otros lugares que cuentan con el mismo sistema y la password por default.

Oficinas


Deptos con camaras infrarojas


Estas cámaras, son conocidas como Pin's cams y son tan diminutas que pueden ocultarse muy fácilmente.



Son las utilizadas en lugares donde pasen desapercibidas para los empleados. También son utilizadas para el robo de credenciales en cajeros automáticos.



Nuevamente lo remarco, la utilizacion de camaras IP debe ser realizada por personal experto, o al menos se debe consultar a personas que tenga experiencia en seguridad informática.

Aun los sistemas que se encuentran protegidos por señas, pueden tener problemas y dejarnos expuestos a todo tipo de ataques, o lo que es peor, poner en peligro nuestra familia.

Tuve la experiencia en un trabajo anterior de ver como una webcam que contenía un bug el software de administración, permitía tomar el control de la misma, sin ingresar el usuario y password y exponiendo informacion de las redes internas de la empresa. ( http://secunia.com/advisories/8876/ )


No se confíen en el anonimato que pueda dar una IP no asociada a un dominio, la seguridad por oscuridad no protege, recuerden que irónicamente google todo lo ve.

3 comments:

nrm said...

Otro tema con estos sistemas es que muchos no soportan https y eso hace que sniffear el trafico sea trivial.

Julio Jaime said...

NRM cuando vas a postearte algo por aca ?

La hinchada esta reclamando un poco de artes oscuras.

Podes usar otro seudónimo, tipo NRA ( National Rifle Association )

nra said...

cuando tenga algo interesante te lo paso.

saludos