martes, 24 de diciembre de 2019

Cámaras que espian


Buenos días a todos y sed bienvenidos a Gàbia de Grills. Un lugar donde damos un relato más bien diferente de todo lo que pasa. Yo soy Jose y hoy quiero hablaros de un debate que tuve no hace mucho tiempo con personas cercanas a mí.
En este debate se hablaba e intercambiaban las impresiones que se tenían en cuanto a las empresas de alarmas tipo Tyco o Securitas Direct, entre muchísimas otras, y los sistemas de video vigilancia que se venden por internet que te prometen una protección total, siempre y cuando tú o quien tú quieras, estéis supervisando las imágenes que mandan estas videocámaras a tu terminal.
No voy a entrar a valorar lo que hacen las empresas privadas de seguridad como las que he citado antes, puesto que la conexión que tienen estos aparatos van directamente a centrales donde hay personas que trabajan en eso, la conexión se supone que es cifrada, o al menos eso es lo que venden, y se supone con intercambios regulares de IP para que no puedan ser atacadas por el ciberespacio, si no es que usan otro tipo de comunicaciones diferentes a la conexión a internet, cosa que desconozco.

cámara-que-espía-al-usuario





En cuanto a las videocámaras con sistemas de seguridad que te montas tú mismo, yo albergo algunas dudas más, no sé exactamente ahora, pero antes todos estos dispositivos trabajaban con Java, un lenguaje de programación en el que se descubrió un peligroso Xploit que los hacía completamente vulnerables a ataques desde el ciberespacio, dejando, en el caso de las webcam, totalmente publica tu privacidad, ya que podían estar grabándote sin tú saberlo.
Como he dicho antes , la verdad que estos sistemas de seguridad, donde solo tú tienes el control del mismo me parece un poco precario, porque imaginemos por un momento, te vas a trabajar y como está claro te toca dejar el móvil en la taquilla ya que en tu trabajo no te dejan portar tu móvil personal encima, cosa que sucede en muchísimos trabajos, y entran a robar a tu casa, recibirás un aviso en tu móvil, móvil que tienes en la taquilla y ahora viene la gran pregunta, ¿Quién avisa a la policía? ¿El móvil directamente? No se puede, aparte, para que acuda la policía a tu domicilio cuando tienes la certeza que te están entrando a robar, tienes que mandar una imagen para tener la policía la certeza que no les estás mintiendo, cosa esta de la que se encargan las compañías de seguridad privadas.
Pero por otra parte saltó una noticia allá por el 29 de Abril de 2019 en la que aseguran que millones de cámaras de seguridad se pueden hackear y muchas de ellas se venden por ejemplo en Amazon con multitud de comentarios positivos.
Está claro que en mundo actual donde el Internet de las Cosas o IoT (Internet of Things, sus siglas en inglés) ha crecido sobremanera y aquí es donde empiezan los problemas puesto que para prevenir ataques hay que tener el firmware actualizado, de esto se encargan los fabricantes, pero hay fabricante que fabrica y punto y por mucho que desde la revista que leí mandaron los correspondientes avisos, los fabricantes hicieron caso omiso a los avisos de vulnerabilidad de sus dispositivos.
Se descubrió que hay un protocolo llamado iLnkP2P, que fue desarrollado por Shenzhen Yunni Technology, que posee dos vulnerabilidades críticas, la primera tiene el código CVE-2019-11219 y permite encontrar dispositivos vulnerables cuando están conectados y la segunda tiene el código CVE-2019-11220 que permite colocarse entre el dispositivo y el usuario al hacker, pudiendo éste capturar todo el tráfico en texto plano sin cifrar (vídeo, imágenes, credenciales, …) Y no es cosa de pillarse a broma ya que los dispositivos que utilizan este protocolo se encuentran cámaras de seguridad, monitores para bebés, timbres inteligentes, … dispositivos a los que se puede tomar el control total de forma remota.
Entre estos dispositivos se encuentran marcas como HVCAM, Eye Sight, Sricam, NEO Coolcam, Wanscam, Vstarcam, SV3C, TENVIS y HiChip, entre otras y si quieres saber si tu dispositivo está afectado por este fallo te dejo este cuadro aquí abajo, donde tendrás que mirar el prefijo de tu UID (identificador único) que es donde te muestra si tu dispositivo es hackeable.

listado-completo-prefijos-UID-vulnerables
Listado completo prefijos UID vulnerables

Si por desgracia compruebas que tu dispositivo tiene la posibilidad de ser hackeado y como es normal quieres seguir preservando tu privacidad y tu seguridad, tranquilo, no todo está perdido.
A pesar que tanto los fabricantes como los desarrolladores del protocolo ha sido avisados a principios de año y estos han hecho caso omiso a todas los avisos, quien descubrió está vulnerabilidad decidió hacerla pública para ver si así se les cae un poco la cara de vergüenza y deciden actualizar tanto el protocolo como el firmware para subsanar estos errores.
Y te decía que no todo está perdido porque tú puedes hacer algo que sí está en tu mano, debes ir a la configuración de tu Router, si, el que te da Internet en casa y bloquear todo el tráfico UDP a través del puerto 32100 y con esto conseguiremos que estos dispositivos no sean accesibles usando P2P (si, el que usaba Emule, Amule y tantos otros que al fin y al cabo no deja de ser Deep Web) desde redes externas, aunque quien descubrió la vulnerabilidad sugiere que mejor compremos un dispositivo nuevo que no contenga esta vulnerabilidad porque en los antiguos que si se han descubierto estas dos pueden haber bastantes más.
Sin más me despido de todos vosotros hasta la próxima entrada y si os gusta lo que leéis, por favor, suscribíos, compartid y difundid por vuestras redes sociales. ¡¡Hasta luego!!

Enlaces relacionados:

15000 webcams espiadas en España
Millones de cámaras de seguridad se pueden hackear y algunas de ellas se venden en Amazon





¡¡Suscribete a mi blog!!













4 comentarios:

Bienvenido a
https://www.gabiadegrills.com

Visita Herbeset

Buenos días a todos y sed bienvenidos a Gàbia de Grills. Un lugar donde damos un relato más bien diferente de todo lo que pasa. Yo soy Jos...