Velký bratr (Internet Eyes) hacked!

Zajímáte-li se aktivně o dění nejen na českém, ale i světovém Internetu, určitě vám před pár týdny neunikla zpráva o nově vzniklé službě ve Velké Británii s příznačným názvem Internet Eyes, viz interneteyes.co.uk. Představím ji pouze v krátkosti, pro detailnější popis služby doporučuji např. článek v Respektu 41/2010 či na Lupě, do kterých jsem rovněž přispěl svým názorem. Zmíněný projekt umožňuje civilním osobám "z Evropské unie" za symbolický poplatek přístup k průmyslovým (CCTV) kamerám obchodníků v Londýně, přičemž každý takový občan má možnost v případě nelegální činnosti zaznamenávané kamerou v reálném čase tento incident okamžitě nahlásit její obsluze, a tak získat při splnění určitých podmínek odměnu. Nejen pořádkové složky, ale kdokoliv již tak dnes po vzoru Orwellovy novely může sledovat vaše kroky. Samotné spuštění služby samozřejmě vzbudilo vedle pozitivních názorů i množství odporu a záporných ohlasů (kupodivu spíše v zahraničí než samotné Británii), k jejich umlčení tedy byly použity restrikce v podobě nemožnosti identifikovat obchod skrz kameru, časové omezení záznamu, množství současně sledovaných kamer atp. Pro většinu možná argument, pro geeky rozhodně výzva k otestování.

Když jsem byl osloven s žádostí, abych se vyjádřil k bezpečnosti služby Internet Eyes, nebylo tehdy ještě co testovat, stránky fungovaly pouze sporadicky a některé části nebyly dosud implementovány. Přesto už v té době bylo možné nalézt ve formulářích zranitelnosti XSS a Blind SQL Injection. Jelikož navíc při registraci a přeposlání zapomenutého hesla přišlo automaticky na mail heslo původní, nikoliv náhodný řetězec, bylo jasné, že se v databázi ukládají data v podobě plain textu. Bez placení za přístup ke kamerám tak bylo již tehdy patrné, že to provozovatel s bezpečností příliš vážně nemyslí a zkušenější uživatelé si budou moci se službou provádět psí kusy. Nemýlil jsem se.

Nedávno jsem si službu na měsíc předplatil a postupně ji oťukával. Přestože je stále v režimu BETA, zdá se být zcela funkční a na základě mých zkušeností i stabilní. Sledovat současně můžete až 4 náhodně vybrané kamery, každou maximálně 20 minut (+ 5 minut, kliknete-li na časomíru, což ovšem není nikde uvedeno, hold na to musíte přijít sami :) Poslední omezení se týká alertů na podezřelou činnost, kterých za měsíc můžete odeslat pouze pět. Tolik asi k oficiálnímu představení projektu a nyní se podíváme, jak vypadá realita. Hned v úvodu asi nikoho nepřekvapí, že si je možné zapnout více jak 4 kamery, můžete si jich zobrazit tolik, kolik jen chcete a kolik snese výpočetní výkon vašeho počítače (viz obrázek No. 1). Po přihlášení stačí jednoduše načíst ve více oknech či záložkách tuto url

http://interneteyes.co.uk/InternetEyes/com/player/ (nutný login)

Obrázek No. 1

Další bezpečnostní problém se týká odesílání alertů. Pokud nahlásíte podezřelou aktivitu, zastaví se časomíra, odešle informace o kliknutí na alert a kamera se z větší části překryje informačním formulářem (viz obrázek No. 2). Chyba je ovšem v tom, že časomíra stojí, kamera nadále streamuje a díky jejímu nejčastějšímu strategickému zaměření na vchod obchodu je stále možné minimálně sledovat na okrajích obrazovky počet procházejících návštěvníků, což může být v případě chystaného teroristického útoku poměrně cenná informace. Pokud navíc zamezíte odeslání informace o stisknutí tlačítka alert (např. pomocí pluginu Tamper Data ve Firefoxu), neodečte se vám z limitu pěti alertů za měsíc ani jeden, přestože jste na tlačítko klikli a časomíru zastavili.

Obrázek No. 2

Výše uvedené vylomeniny zvládne i méně znalý počítačový uživatel, co když je ovšem útočník chytřejší a podívá se do zdrojových kódů aplikace? Pak se asi potrhá smíchy :) Po otevření scriptu obsluhujícího samotný přehrávač streamu z videokamer

http://interneteyes.co.uk/InternetEyes/com/player/ (nutný login)

narazíme na povědomé javascriptové parametry pro flashový přehrávač, konkrétně:

var flashvars = {serverName:"rtmp://83.170.104.38:1935/interneteyes", streamName:"iedvs103-1.stream", procServerUrl: "http://interneteyes.co.uk:80/InternetEyes/", cvid:"1719", alertEnabled:"true", msTimeToRun:"1200000", msTimeToIncrement:"300000", openHoursMessage: "This Store Opening Hours 8:0 - 20:0" };

Člověk asi nemusí být génius, aby mu došlo, že pokud nebude měnit cvid, tak se mu bude zobrazovat stále jedna a ta samá kamera, padá tím tedy argument, že se kamery vybírají náhodně, msTimeToRun značí čas pro zobrazení videa v milisekundách, tedy 20 minut, msTimeToIncrement je oněch 5 minut, které získá každý, kdo klikne na časomíru a openHoursMessage je libovolný text zobrazující se přes celou kameru. Co si tedy takhle zahrát na teroristu, sledovat stále jednu a tu samou kameru třeba hodinu a ještě přes ní napsat uvědomělý nápis? Například následovně:

var flashvars = {serverName:"rtmp://83.170.104.38:1935/interneteyes", streamName:"iedvs103-1.stream", procServerUrl: "http://interneteyes.co.uk:80/InternetEyes/", cvid:"1719", alertEnabled:"true", msTimeToRun:"3500000", msTimeToIncrement:"300000", openHoursMessage: "Hacked by Emkei :)" };

Nyní stačí útočníkovi nainstalovat mezi serverem a svým prohlížečem obyčejnou HTTP proxy a jakmile přijde požadavek na zmíněný soubor

http://interneteyes.co.uk/InternetEyes/com/player/ (nutný login)

odeslat prohlížeči odpověď s pozměněnými údaji. Výsledek si můžete prohlédnout na obrázku No. 3.

Obrázek No. 3

Co říci závěrem. Pokud máte silný počítač (nebo jste vláda či terorista), můžete si klidně streamovat všechny londýnské kamery zapojené do projektu Internet Eyes, a to libovolně dlouhou dobu bez omezení. Ať už věnoval provozovatel do tohoto projektu jakkoli velký balík peněz, do bezpečnosti to rozhodně nebylo.