Wired News - Ko podjetje kupi videonadzorni sistem - po možnosti takega, modernega, ki omogoča prenos slike preko interneta - se vodstvo podjetja oddahne. Sedaj smo varni.
Pa je temu res tako? Amir Azam in Adrian Pastor, raziskovalca iz podjetja ProCheckUp sta dokazala drugače. V članku z naslovom Owning Big Brother in v video demonstraciji sta prikazala, kako je mogoče s pomočjo XSS zlorabe "vdreti" v kamere podjetja Axis 2100 in zamenjati video, ki ga vidijo varnostniki.
Napadalec mora kameri najprej poslati ustrezno oblikovan URL, ki ga kamera shrani v datoteko aktivnosti (log datoteko). Ko administrator preveri datoteko aktivnosti (v kar ga je mogoče "prepričati" s kakšnim napadom s poplavljanjem), se poslani JavaScript izvede in na kameri ustvari nov uporabniški račun, podatke pa pošlje napadalcu. S pomočjo uporabniškega računa lahko potem napadalec spremeni video, ki ga vidi varnostnik.
Sicer je res, da so kamere Axis 2100 že razmeroma stare in niso več v proizvodnji, vendar raziskovalca trdita, da so podobne zlorabe mogoče tudi v drugih kamerah.
Bodo sedaj vlomilci med svojim početjem varnostnikom lahko zavrteli svoj najljubši pornografski film?
Novice » Varnost » XSS napad na nadzorne kamere
Izi ::
Saj podobne scenarije gledamo v vohunskih in vlomilskih filmih že celo desetletje.
Hacker z prenosnikom si posname 10 sekund videa iz varnostne kamere in potem ta video v zanki predvaja varnostnikom, da lahko njegovi kolegi medtem ukradejo kakšno zadevo.
To smo videli že več stokrat, tako da ni vrag da se to nekomu dejansko posreči.
Hacker z prenosnikom si posname 10 sekund videa iz varnostne kamere in potem ta video v zanki predvaja varnostnikom, da lahko njegovi kolegi medtem ukradejo kakšno zadevo.
To smo videli že več stokrat, tako da ni vrag da se to nekomu dejansko posreči.
Matevžk ::
Ja, samo tisti v malo manj tehnoloških filmih nastavijo fotografijo pred kamero, v malo bolj tehnoloških pa vdrejo v kakšen "globlji" sistem. Tukaj je pa vdor ... emmm. Zanimiv. :) Seveda je neumno od podjetja, da spusti kar-nekoga v isto (pod)omrežje, v katerem je varnostni sistem ;).
lp, Matevžk
denial ::
Lep dokaz kaj vse je moč narediti s CSRF/XSS. Admini pa omenjeni vrzeli sploh ne jemljejo resno...
SELECT finger FROM hand WHERE id=3;
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Quadcopter (strani: 1 2 3 4 … 8 9 10 11 )Oddelek: Loža | 117474 (28042) | helonational |
| » | Brezpilotna letala v SlovenijiOddelek: Znanost in tehnologija | 8129 (5601) | String |
| » | Creepy Camera Man (strani: 1 2 3 )Oddelek: Novice / Zasebnost | 29497 (23965) | darkolord |
| » | Avto na vodo - SPET (strani: 1 2 )Oddelek: Loža | 22417 (20489) | T0RN4D0 |
| » | ZDA -(svoboda govora) not (strani: 1 2 )Oddelek: Loža | 6460 (4880) | MihaFirst |