Por una falla técnica miles de cámaras de seguridad hogareñas fueron observadas por Internet

Un hacker descubrió que miles de cámaras de seguridad hogareñas de la marca Trendnet podían ser observadas por Internet sin necesidad de tener una clave. Son unas cincuenta mil en todo el mundo, incluso en Argentina.

Se trata de cámaras de seguridad hogareñas, de esas que se compran para instalar en un maxikiosco, en la entrada de una casa o en su sistema de alarma interior, en el palier de un edificio, en el hall de una institución académica o incluso para cuidar a los bebés desde la distancia mientras duermen plácidamente en la pieza de al lado. 

A diferencia de los sistemas cerrados antiguos, estas cámaras están conectadas a Internet y, por lo tanto, tienen una “dirección” y se pueden “visitar”.

El diario Página/12 pudo saber que varias de las cámaras “libres” están funcionando en territorio argentino. Entre ellas se pueden ver oficinas de bomberos, salas de espera, lavanderías, negocios de electrónica, almacenes, patios, sótanos, puertas, ventanas, patios, escaleras, entradas, salidas y más patios. Son cámaras fijas, sin sonido, representando la vida real.

El 10 de enero de 2012, en el blog de Console Cowboys se publicó un artículo que mostraba que miles de cámaras Trendnet conectadas a Internet (que se venden en Mercado Libre por 150 dólares) tenían un problema de seguridad que permitía a cualquier usuario mirar esas cámaras en tiempo real, sin necesidad de usar una clave por la web.

Rápidamente, las direcciones que tenían esas cámaras se hicieron públicas en los foros más populares de la cultura hacker y el asunto llegó al sitio The Verge. Así, finalmente, la información fue publicada en el servicio de noticias de la BBC londinense.

Pero mientras lo hacía conocer en su blog, el hacker le había avisado al fabricante y había subido una serie de imágenes recogidas públicamente desde la web para alertar sobre el problema. La empresa tardó en reaccionar, trabajó en la corrección del “error” del código que había sido desarrollado en 2010: estas miles de cámaras transmiten públicamente desde hace casi dos años y ¿nadie? lo sabía.

El hallazgo abre una vez más el debate sobre la invasión a la privacidad de las tecnologías de conexión, en un contexto en el que compartirlo todo va de lleno con la cultura Facebook.

“Este error permite recolectar información en grandes volúmenes. Sin embargo, no sirve demasiado para fines específicos. La posibilidad de utilizar esta información para motivos concretos es bastante discutible cuando se trata de lugares públicos que son en su mayoría los casos encontrados. Donde sí puede ser peligroso es en aquellas cámaras que filman el interior de las casas y muestran personas viendo la televisión o cocinando”, cuenta Felipe Lerena, hacker y activista del software libre, quien asesoró a Página/12 .

Durante la primera semana de febrero, la empresa Trendnet envió un correo alertando sobre la falla a aquellos usuarios que habían registrado sus cámaras. Pero la cantidad de registrados no supera el cinco por ciento de los productos en el mercado.

Según le dijo Zak Wood, director global de marketing de la empresa a BBC se habían encontrado 26 modelos vulnerables, y en siete de ellos ya se había realizado el testeo y se publicó una actualización del firmware, que es el software que viene de fábrica en el artefacto.

 “Pareciera haber sido un problema de la supervisión del código”, dijo Wood ascético. Es decir, un error humano de implicancia planetaria. El descubrimiento que hizo el autor que “desnuda” esta situación encontró que siguiendo una serie de pasos específicos se podía acceder a la transmisión en vivo. Luego bastaba conocer qué aparatos estaban conectados a Internet con esa cámara asociada y escribir el número IP (Internet Protocol) junto a una secuencia de 15 caracteres.

Para hacer la búsqueda de cámaras Trendnet se usó el buscador Shodan, que se especializa en encontrar artefactos: así como Google busca información, éste lo hace con aparatos conectados. De allí a localizarlos en un mapa de Google hay un paso que cualquier programador con mínimos conocimientos puede realizar en unos minutos.

El creador del blogspot Consoles Cowboy, que suele encontrar éste y otro tipo de agujeros en cualquier artefacto o sistema disponible, contó que se compró una cámara Trendnet deseoso de participar de ese mundo en el que cualquier persona puede transmitir su vida filmada desde su web.

El autor eligió el modelo TVIP110w, actualizó el firmware (como se dijo antes, el software que viene incorporado en la máquina) y luego de analizar el sistema comprendió que podía poner un enlace en un navegador para ver su cámara en tiempo real sin clave, sin usuario, transmitiendo en vivo para todos. Primero pensó que era un problema suyo: pero el resto de las configuraciones de seguridad estaban correctas.

Entonces, el autor decidió probar si podía encontrar otra cámara conectada a Internet de la misma marca a través del sitio Shodan, una plataforma para buscar aparatos. Encontró rápidamente unos 9500 resultados.

No deja de ser simpático que el slogan publicitario de la empresa sea “redes en las que la gente confía” (networks people trust, en inglés). La solución inicial que ofreció Trendnet fue actualizar el programa que viene incorporado a la cámara y subirlo a su web el 7 de febrero: pero el asunto era cómo contárselo a miles de usuarios esparcidos por el mundo y avisarles también a los distribuidores, los vendedores y hacerlo sin que se note demasiado.

Pero ese mismo día, la BBC publicó un artículo alertando a los usuarios londinenses –al fin y al cabo la ciudad más filmada del planeta– sobre el agujero de seguridad. Lo que da a entender Trendnet en el primer comunicado es que ellos no sabían del error y que se enteraron “por Internet” de lo que estaba ocurriendo.

“Inmediatamente tomamos acciones para cuantificar el problema, iniciar acciones correctivas y publicamos una actualización que resuelve el error.” La empresa confirmó que se trataba de cámaras compradas entre abril de 2010 y febrero de 2012. La gran mayoría de estos modelos se venden en Argentina.

El 14 de febrero, cuando el escándalo crecía y los hackers ya comenzaban a publicar listas de direcciones de cámaras que transmiten en vivo por todos lados, Pei Huang, presidente y CEO de Trendnet, escribió una carta a sus clientes, que tiene algo de olor a despedida.

“Trendnet produjo redes de hardware de alta calidad durante 22 años, y fuimos unos de los primeros en lanzar cámaras IP hace una década. Desarrollamos redes seguras y confiables a precios razonables”, escribió Huang. “Tardamos tres semanas en liberar nuevos firmwares, se reemplazaron los envíos, se avisó a los socios para que avisen a sus clientes y se contactaron 300 proveedores de Internet a nivel mundial.Trabajaremos honestamente para recuperar su confianza.”

El cuartel central de la empresa está en Torrance, California, pero tiene oficinas en Europa, Centroamérica, Sudamérica y Asia y vende productos en 125 países.

Fuente y nota completa: Página 12 –Enlace

Anuncios

Acerca de Dirección de Protección de Datos Personales
La Defensoría del Pueblo, por ley 1845, ha sido designado órgano de control del asiento, uso y difusión de las bases de datos personales del sector público de la Ciudad de Buenos Aires garantizando el derecho al honor, la intimidad y la autodeterminación informativa. Con el objeto de cumplir con las funciones asignadas, la Defensoría del Pueblo ha creado el Centro de Protección de Datos Personales. Toda persona que presuma o tenga la certeza de que sus datos figuran en alguno de los bancos de datos personales puede ejercer su derecho de información, acceso, rectificación, actualización o supresión. Estamos en Piedras 574, 5º piso, C.A.B.A., teléfono 54-11-4338-4900, int. 7451 / 7452. Mail: cpdp@defensoria.org.ar, sitio web: www.cpdp.gov.ar

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: