Aller au contenu

failles caméras foscam et clones


biboun

Messages recommandés

SI je suis hors sujet, merci de déplacer le post.

 

Je voulais juste partager mon experience, possesseur de caméras ip Heden, clones de foscam, au sujet de la sécurité.

En 2013, on a  vu apparaitre sur le net pas mal d'articles alertant sur la possibilité de visionner des cameras sans authentification, à  cause de failles dans les os utilisés par les integrateurs de caméra.

 

J'ai pu constater une faille assez effarante sur les heden (sauf récentes) , qui a priori existe sur une quantité incroyable de caméras exploitant la même plateforme ( et elles sont légion)

 

Voici la description de la faille:

le chemin http://ip//proc/kcore   ( notez bien le double // avant proc)   est accessible sans authentification, le problème est que ce fichier kcore est une image instantanée, et en clair de la mémoire de la caméra.

 

Il suffit de télecharger une partie de ce fichier ( les 4 à  5 premiers Mo) et de l'analyser avec la commande linux "strings".

avec un peu de recherche, que je ne détaillerai pas ici, on voit apparaitre en clair, non seulement les login/mdp de la cam, mais aussi les configurations d'emails ( serveur login mdp) et d'envoi ftp ( serveur login/mdp).

En 3 minutes, on peut donc non seulement visionner, et prendre la main complète ( ptz, IR) sur une cam, mais aussi dérober les identifiants email et ftp de la victime.

 

Certains fabricants, notamment foscam ont sorti des firmwares correctifs, pour ma part j'a contacté heden, qui m'a fourni des mises à  jour pour les cameras qui pouvaient être corrigées, les modèles trop vieux ne peuvent pas être mis à  jour, il est impératif de désactiver tout accès exterieur, ou tout au moins de ne laisser aucun email etc dans la config, de mettre un login/mdp unique et de savoir qu'il peut etre volé, et la caméra visionnée par quiconque (même le cambrioleur qui pourra verifier que vous n'êtes pas là )

 

 

SI vous voulez plus de détails sur la faille, n'hésitez pas

Sachez aussi qu'il est très facile de trouver des proies faillibles en utilisant le moteur de scan aléatoire du site shodan, donc personne n'est à  l'abris, ip fixes ou changeantes.

 

 

  • Upvote 3
Lien vers le commentaire
Partager sur d’autres sites

SI vous voulez plus de détails sur la faille, n'hésitez pas

Sachez aussi qu'il est très facile de trouver des proies faillibles en utilisant le moteur de scan aléatoire du site shodan, donc personne n'est à  l'abris, ip fixes ou changeantes.

 

ça c'est certain... Tapez la marque de notre belle HC2 sur shodan, ça fait peur hein :rolleyes:...

Lien vers le commentaire
Partager sur d’autres sites

Et  oui Shodan est peut être le plus gros danger dans l'histoire, et en même temps ce genre d'agitateurs permet de faire évoluer la sécurité en géneral, ce qui va dans le bon sens.

 

Au lancement, ils ont trouvé des accès ouverts dans des centrales hydro-électriques des pays de l'est , ou des panels de monitoring de centrales...nucléaires...( default password ou backdoors constructeurs inconnus des clients, mais avec des login/mdp constants et connus publiquement)

 

Alors nous avec nos foscam, on est petits joueurs :)

 

Pour ceux qui testent, faites bien gaffe c 'est //proc/kcore, pas /proc/kcore.

Si vous avez un 404 c'est parfait, je crois que vous pouvez d'ailleurs accéder à  ce fichier une fois authentifié ( selon les patch ça peut varier, mais il me semble que foscam a fait du bon boulot sur ses modèles désormais).

 

Pour avoir joué un peu avec shodan, je vous assure qu'il y en a des milliers accessibles, pas glop du tout...

Lien vers le commentaire
Partager sur d’autres sites

Je me faisais un peu la même réflexion.... je me demandais si en allant sur ce site, on n'allait pas gentiment "fournir notre identité IP"  :angry:

Effectivement, je me suis fait la même réflexion. Après une brève recherche sur Google je suis tombé sur cet extrait d'interview:

Donc qu’est ce qui empêche un criminel endurci d’utiliser Shodan pour causer le chaos ?

Les gens qui savent réellement ce qu’ils font n’utiliseront pas Shodan, parce qu’ils ne souhaitent pas que leurs actions soient tracées. Shodan n’est pas un service anonyme. Si vous utilisez Shodan et que vous souhaitez plus de 50 résultats – et 50, ce n’est pas beaucoup – vous devez commencer à  me donner des informations personnelles. Si quelqu’un veut faire quelque chose de vraiment illégal, il va utiliser des botnets pour recueillir les informations à  sa place.

Lien vers le commentaire
Partager sur d’autres sites

Oui enfin déjà  chopper les identifiants de 50 personnes, que j'aurai ciblé sur un provider et une ville, c'est pas mal illégal je trouve.

Sachant que si je cible une ville pas loin de chez moi, et que j'ai accès aux identifants gmail de la personne, je vais facilement retrouver son adresse ( adresse de  livraison d'une commande en ligne, facture dematérialisée),pourquoi pas un planning gmail, et accès à  sa caméra, je peux facilement aller chez lui ( pour peu qu'il ait filé ses codes digicode par mail à  un ami, bref, vous voyez le top, très grosses immiscions dans la vie privée de la victime, en quelques recherches accessibles à  n'importe qui...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Chez un client par sécurité j’ai essayer de configurer la Foscam sur IP interne 192.XXX.XXX.XXX et désactiver le port d’accès externe sur le routeur.

et la surprise :(  la cam est non visible sur le reseau interne par contre si je saisie l'IP externe cela fonctionne correctement.

Quelqu'un a t il une explication car la je bloque.

Lien vers le commentaire
Partager sur d’autres sites

alors il va falloir préciser un peu.

quand tu dis desactiver le port d'accès externe sur le routeur, on parle bien de port-forward ? si oui quel port était redirigé aupravant?

 

Le "routeur" est il bien en mode routeur et non bridge ? ( quel modèle est-ce ?)

 

lorsque tu as une machine sur le réseau local, donc avec une ip et un masque dans la même classe ( supposée 192.xx...) parviens tu à  faire un ping faire l'ip de la caméra, parviens tu à  faire un ping de l'adresse ip du routeur ?

 

Lorsque tu parles de saisir l'ip externe, et que celà  fonctionne, quel test fais-tu ? accès à  la page web de la cam, ping etc... le fais-tu depuis une connection exterieure différente ou depuis l'interieur de son réseau? ( auquel cas nombre de routeurs te forwardent comme si tu utilisaient l'ip interne du port forward demandé )

 

n'y-a t'i une adresse Ip DMZ configurée sur le routeur ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @biboun,

 

Alors c'est une freebox tous les port sont fermés sauf celui de la HC2 et de la camera (+redirection des deux ports vers les IP local)

sur le réseau local j'ai bien une réponse au ping de la cam et bien l'image sur la tablette et pc.

 

en renseignant l'adresse IP local (192.168.XXX.XXX) dans la config de la cam dans HC2 = pas d'image

en renseignant l'adresse IP publique (89.XXX.XXX.XXX:99) dans la config de la cam dans HC2 = c'est ok j'ai l'image

 

merci pour ton aide

Lien vers le commentaire
Partager sur d’autres sites

Ok, c'est plus clair en fait c'est juste ds Hc2 que ça merde donc.

 

Qd tu tests le hc2, tu es dans le réseau local ou distant ?

Car hc2 ne fait en aucun cas relai des cameras, il se contente d'intégrer dans l'affichage le flux issu de la cam, si tu veux l'utiliser comme moyen de router les images des cams vers l'exterieur ça ne marchera pas.

En clair si tu tests depuis l'exterieur, et que dans la config Hc2 la cam est déclarée en ip locale, ton browser à  l'exteieur tentera de résoudre l'ip lan 192.168 et échouera.

Lien vers le commentaire
Partager sur d’autres sites

Merci @biboun je comprend mieux, je n'ai pas pensé que HC2 ne fait pas le relais. Mais ça coulé de source.

@Domodial le but est de empêché l’accès directement de l’extérieur, dyndns ou nom de domaine ne résoudrons pas le problème.

 

En fin la camera est installé et configuré en scène LUA pour la prise de photo en cas d'intrusion.

Elle n'est pas vulnérable a la faille cité par @biboun mais je voulais juste une sécurité de plus en cas ou :)

 

Merci encore a vous deux

Lien vers le commentaire
Partager sur d’autres sites

Je viens de remarquer que si on exécuter la commande cité par @biboun et une fois la commande arrêté (la fenêtre de l'explorateur fermée ou clic sur X pour arrêter l’exécution de URL)

la cam se réinitialise dans sa position initial et envoi un mail de forme

 

adresse_MAC_de_la_cam(Nom_de_la_cam)'s url is http://XX.XX.XX.XX

 

Bien-sur pour ça il faut cocher dans le Réglage Mail -> Report adresse IP par mail

 

Pour exploiter, je vais écrie une script Google pour envoyer un SMS dans la foulé :D

Lien vers le commentaire
Partager sur d’autres sites

J'ai réglé le problème définitivement en mettant en place un proxy réalisé en C# qui tourne sur un serveur perso, mes caméras ne sont pas exposées, juste mon proxy :)

Lien vers le commentaire
Partager sur d’autres sites

@Domotique-Home , n'est-ce pas la une fonction integrée de la caméra qui vise a envoyer un email avec l'ip externe detectée lorsque la caméra (re)boot ?

Ca plus le fait qu'elle se remet en position centrale, ça me fait bien penser à  un reboot.

ça fait ça quand tu accèdes à  http://ip//proc/kcore ?  

Si tu as une faille, normalement ton navigateur va te renvoyer le contenu de la memoire dan la page web ( essentiellement du binary pas lisible), mais je n'ai jamsie vu mes cams planter sur cette requête..

 

@Krikroff du coup il fait quoi le proxy ? il filtre les urls autorisées en accès ?

Lien vers le commentaire
Partager sur d’autres sites

×
×
  • Créer...