Lộ hình ảnh riêng tư nhạy cảm
Với giá chỉ vài triệu đồng cho một bộ đầu thu và 4 camera cùng các gói cước Internet ngày càng rẻ, bất cứ gia đình nào cũng có thể trang bị camera IP. Thậm chí, một số loại camera sử dụng thẻ nhớ trực tiếp (không dùng đầu ghi) giá chỉ còn 200-300.000 đồng/chiếc. Sự đa dạng và phổ biến của camera IP mà không theo tiêu chuẩn an ninh nào đã khiến người dùng gặp khá nhiều mối nguy tiềm ẩn.
Vài tháng trước, một tài khoản Facebook đã đăng tải những đoạn video ghi lại cảnh riêng tư, nhạy cảm, cảnh người trong tình trạng khoả thân lên mạng xã hội. Đoạn video đó đã được trích xuất trái phép từ camera giám sát và đối tượng đăng tải cho biết thường add thêm tài khoản đăng nhập khi lắp đặt camera cho khách hàng.
Điều đáng lo ngại là hầu hết khách hàng đều không biết kỹ thuật và phó mặc toàn bộ cho các nhân viên lắp đặt. Vì vậy, việc add thêm tài khoản để “xem chơi” là đơn giản. Ngoài ra, hầu hết các đơn vị lắp đặt camera đều lưu trữ mật khẩu của khách nhằm giúp họ sửa chữa, bảo trì từ xa và không có gì đảm bảo một nhân viên không tò mò xem và trích xuất hình ảnh nhạy cảm.
Một số nhân viên lắp đặt cũng không đổi mật khẩu mặc định của nhà sản xuất để tạo thuận tiện cho việc sửa chữa, bảo trì (vì không cần phải nhớ, phải ghi chép mật khẩu). Việc này vô tình tạo lỗ hổng cho những kẻ tò mò có thể truy cập vào camera với mật khẩu mặc định của nhà sản xuất.
Mua camera IP giá rẻ, giật mình lộ hình 'nhạy cảm' |
Nguy cơ bị lợi dụng tấn công mạng
Năm 2016, 2017, các thiết bị IoT, bao gồm cả camera giám sát đã được huy động để tạo ra những cuộc tấn công mạng lớn. Theo Cục An Toàn Thông Tin, hiện có hơn 147.000 camera đang tồn tại những lỗ hổng đã được nhận diện có nguy cơ bị hacker khai thác tấn công mạng, chiếm quyền điều khiển, truy xuất thông tin, hình ảnh trái phép.
Với số camera còn lại không có gì đảm bảo rằng không tồn tại các lỗ hổng bảo mật chưa nhận biết khác. Một số loại còn có thể chứa sẵn backdoor (cửa hậu), khi đó hacker chỉ cần quét thiết bị và nhập mật khẩu mặc định là có toàn quyền điều khiển giám sát, truy xuất thông tin hoặc ra lệnh truy cập liên tục đến một server làm quá tải dịch vụ (tấn công từ chối dịch vụ - DDOS).
Lời cam đoan của hầu hết các dịch vụ lắp đặt camera là hack camera rất phức tạp, chẳng ai rảnh rỗi để hack camera dân dụng, có chăng cùng lắm chỉ là bị lộ mật khẩu, và có lộ thì cũng chẳng mấy ai rảnh rỗi truy cập vào để làm gì. Song, sự thật trái ngược hoàn toàn. Như đã nói ở trên, chiếm quyền điều khiển camera không chỉ là để truy xuất trái phép hình ảnh. Camera IP là một thiết bị IoT, tức là có thể truy cập Internet, có thể tải và chạy phần mềm. Theo thông tin từ Kaspersky, camera IP thậm chí còn có thể bị lợi dụng để đào tiền ảo.
Hack camera có khó không?
Trở lại với câu hỏi “Hack camera có khó không”. Câu trả lời là một số loại không quá khó đối với dân kỹ thuật. Một kỹ thuật phổ biến là hacker tháo camera, tìm mã bo mạch rồi xem thông tin bo mạch trên mạng. Sau đó kết nối bo mạch với mạch chuyển và cắm vào máy tính rồi trích xuất firmware từ bootloader.
Với firmware đã trích xuất, hacker dò mã lệnh, phân tích firmware và có thể tìm được lỗ hổng hoặc mật khẩu quản trị root. Chỉ cần hack được một loại camera, hacker có thể dùng các công cụ quét, dò tìm những camera khác có cùng firmware và tiến hành chiếm quyền điều khiển hàng loạt.
Hack camera không quá khó với dân kỹ thuật |
Hacker có thể tải và bắt camera khổ chủ cập nhật firmware đã được chỉnh sửa có chứa mã độc. Như vậy, hacker đã có trong tay một đội quân camera zombie sẵn sàng tấn công DDOS hoặc đào tiền ảo. Dù công sức bỏ ra không nhỏ nhưng bù lại, nếu hack được một loại camera thì có thể hack tất cả camera có cùng firmware.
Nếu như các hãng sản xuất máy tính, điện thoại thường cập nhật firmware rất nhanh sau khi phát hiện lỗi bảo mật thì nhiều hãng sản xuất camera (nhất là các dòng camera giá rẻ) lại rất ít khi làm điều này. Vì thế, dù lỗ hổng đã được phát hiện, được báo cáo nhưng hacker vẫn thoải mái khai thác vì nhà sản xuất không cập nhật firmware sửa lỗi.
Không chọn camera tùy tiện, giá quá rẻ
Vì các lý do đó, trước khi lắp đặt, người dùng cần tìm hiểu kỹ, chú ý đến vấn đề bảo mật của các thiết bị được kết nối trước khi mua thêm thiết bị IoT khác. Đặc biệt, không phó mặc hoàn toàn cho nhân viên lắp đặt. Quan sát, theo dõi khi nhân viên lắp đặt thiết lập thông tin trên đầu thu, đồng thời yêu cầu đổi mật khẩu mặc định, không add thêm tài khoản.
Bạn cũng cần thay đổi mật khẩu sau một thời gian sử dụng, mật khẩu cần phải có các ký tự đặc biệt, khó đoán, không dùng mật khẩu như số điện thoại, ngày sinh... Hạn chế lắp đặt trong những khu vực nhạy cảm như phòng ngủ, nhà vệ sinh... Chọn mặt gửi vàng, tìm nhà cung cấp camera uy tín, lắp đặt camera có thương hiệu với mức giá hợp lý và tuyệt đối không ham camera giá rẻ
Tác giả: Vy Ái Dân
Nguồn tin: Báo VietNamNet