Wired News - Ko podjetje kupi videonadzorni sistem - po možnosti takega, modernega, ki omogoča prenos slike preko interneta - se vodstvo podjetja oddahne. Sedaj smo varni.
Pa je temu res tako? Amir Azam in Adrian Pastor, raziskovalca iz podjetja ProCheckUp sta dokazala drugače. V članku z naslovom Owning Big Brother in v video demonstraciji sta prikazala, kako je mogoče s pomočjo XSS zlorabe "vdreti" v kamere podjetja Axis 2100 in zamenjati video, ki ga vidijo varnostniki.
Napadalec mora kameri najprej poslati ustrezno oblikovan URL, ki ga kamera shrani v datoteko aktivnosti (log datoteko). Ko administrator preveri datoteko aktivnosti (v kar ga je mogoče "prepričati" s kakšnim napadom s poplavljanjem), se poslani JavaScript izvede in na kameri ustvari nov uporabniški račun, podatke pa pošlje napadalcu. S pomočjo uporabniškega računa lahko potem napadalec spremeni video, ki ga vidi varnostnik.
Sicer je res, da so kamere Axis 2100 že razmeroma stare in niso več v proizvodnji, vendar raziskovalca trdita, da so podobne zlorabe mogoče tudi v drugih kamerah.
Bodo sedaj vlomilci med svojim početjem varnostnikom lahko zavrteli svoj najljubši pornografski film?
Novice » Varnost » XSS napad na nadzorne kamere
Izi ::
Saj podobne scenarije gledamo v vohunskih in vlomilskih filmih že celo desetletje.
Hacker z prenosnikom si posname 10 sekund videa iz varnostne kamere in potem ta video v zanki predvaja varnostnikom, da lahko njegovi kolegi medtem ukradejo kakšno zadevo.
To smo videli že več stokrat, tako da ni vrag da se to nekomu dejansko posreči.
Hacker z prenosnikom si posname 10 sekund videa iz varnostne kamere in potem ta video v zanki predvaja varnostnikom, da lahko njegovi kolegi medtem ukradejo kakšno zadevo.
To smo videli že več stokrat, tako da ni vrag da se to nekomu dejansko posreči.
Matevžk ::
Ja, samo tisti v malo manj tehnoloških filmih nastavijo fotografijo pred kamero, v malo bolj tehnoloških pa vdrejo v kakšen "globlji" sistem. Tukaj je pa vdor ... emmm. Zanimiv. :) Seveda je neumno od podjetja, da spusti kar-nekoga v isto (pod)omrežje, v katerem je varnostni sistem ;).
lp, Matevžk
denial ::
Lep dokaz kaj vse je moč narediti s CSRF/XSS. Admini pa omenjeni vrzeli sploh ne jemljejo resno...
SELECT finger FROM hand WHERE id=3;
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Quadcopter (strani: 1 2 3 4 … 8 9 10 11 )Oddelek: Loža | 117511 (28079) | helonational |
» | Brezpilotna letala v SlovenijiOddelek: Znanost in tehnologija | 8135 (5607) | String |
» | Creepy Camera Man (strani: 1 2 3 )Oddelek: Novice / Zasebnost | 29504 (23972) | darkolord |
» | Avto na vodo - SPET (strani: 1 2 )Oddelek: Loža | 22417 (20489) | T0RN4D0 |
» | ZDA -(svoboda govora) not (strani: 1 2 )Oddelek: Loža | 6462 (4882) | MihaFirst |