Posle objavljivanja ovog članka, navodni administrator stranice odgovorio je na naše mejlove i ponovio tvrdnju da je svrha sajta da ukaže na lošu bezbednost korisnika. “Samo naša stranica može da skrene pažnju na ozbiljnost problema”, napisao je. “Ovaj problem je godinama tavorio u mraku.”
Administrator je napisao i da niko još nije tražio da njegova kamera bude uklonjena sa stranice. “Većina ljudi i dalje ne zna za problem”, stajalo je u jednom od mejlova. Proces dodavanja kamera na stranicu navodno je “automatizovan”, a svake nedelje se pridružuje hiljade novih.
Videos by VICE
Prošle nedelje sam sedeo za svojim kompjuterom i gledao mladića u Hong Kongu kako se opušta za svojim laptopom; Izraelku kako čisti kabinu za presvlačenje u prodavnici odeće; stariju ženu u Velikoj Britaniji kako gleda TV.
Svi ti ljudi bili su potpuno nesvesni da ih špijuniram, sa udaljenosti od hiljade kilometara, preko uređaja koji nenamerno emituju njihove privatne živote preko interneta.
Pronašao sam ih na stranici koja tvrdi da ima direktan pristup stotinama hiljada privatnih kamera. Možete da birate između 152 zemlje koje su navedene na stranici, toliko raznovrsne kao što su Tajland, Sudan i Holandija. Velika Britanija ima 1.764 navedenih sistema. Sjedinjene Države 8.532.
Ova konkretna stranica prati IP kamere. To su eksterni uređaji koji se obično kupuju kako bi se motrilo na posed, da bi služili kao monitori za bebe ili činili deo kućnog ili poslovnog sigurnosnog sistema. Neki od tih uređaja dolaze sa fabričkom lozinkom koju mnogi korisnici ne menjaju, pa ova stranica uspeva da im pristupi na taj način.
I sve to da bi se skrenula pažnja na kompjutersku bezbednost, tvrdi tvorac stranice (zanemarite činjenicu da stranica ima reklame). “Ova stranica napravljena je da bi pokazala koliko je važno imati dobra bezbednosna podešavanja”, ističe se.
Stranica je među poslednjim i verovatno najvećim primerima trenda da istraživači bezbednosti narušavaju ličnu privatnost ljudi pod izgovorom da razotkrivaju bezbednosne probleme. Iako ovaj pristup može ponekad da natera prodavca da se pokrene i popravi problem, on takođe može da naudi široj javnosti.
Često kad istraživač pronađe neku slabost u uređaju ili sistemu, on obaveštava oštećenu kompaniju, potom radi sa njom iza zatvorenih vrata na pronalaženju rešenja. Na primer, u maju je jedan istražitelj obavestio Gugl i Majkrosoft o posebnoj metodi ubacivanja malvera obmanjivanjem korisnika da misle kako skidaju dokument sa pouzdane stranice. Problem je rešen pre nego što je istražitelj obelodanio svoje nalaze javnosti.
Ova vrsta “etičkog” hakera obično se pridržava strogih smernica. “Većina odgovornih politika obelodanjivanja kojima se služe istraživači bezbednosti potiču sa RFPolicy-a”, rekao mi je u mejlu Šejn Mekoli, direktor bezbednosti “oblaka” pri IOActive-u. “Procedura ima jasno utvrđene etičke načine za ophođenje prema nekooperativnim prodavcima i obelodanjivanje toga forumima za bezbednost kao način da se posrami prodavac i ‘pusti glas’, baš kao i preko normalnih medijskih kanala.”
Pogledajte film Upoznajte oca Interneta
Ti principi nisu ni na koji način obavezujući; oni su više sugestije kako odgovorno rešavati sigurnosne probleme između istraživača i prodavaca, kao što su bliska saradnja i objavljivanje informacija u javnosti u dogovoreno vreme.
Ali neki smatraju da postoje trenuci kada se traži drugačiji pristup. Dva istraživača su početkom godine obelodanila ozbiljnu ranjivost USB uređaja. Napad je mogao da ubaci nevidljivi i moćan malver u bilo koji USB uređaj, a nije postojao brz način da ga se rešite.
Priznajem da ponekad imate slabe tačke koje su nedodirljive
I tako su istraživači obelodanili detalje o slabim tačkama u nameri da nateraju čitavu industriju — koja se bavi proizvodnjom USB uređaja — da se pozabavi ovim problemom. To ima i svoju lošu stranu: pošto je kod postavljen na Github, teoretski bi svaki preduzimljivi kriminalac mogao na osnovu rezultata istraživanja da sklepa novu šemu za zaradu, narušivši usput sigurnost nebrojeno mnogo ljudi.
Metju Grin, vandredni profesor sa Katedre za kompjutersku nauku na Univerzitetu Džon Hopkins, rekao mi je u telefonskom intervjuu da je ponekad neophodna takva vrsta aktivnosti. “Priznajem da ponekad imate slabe tačke koje su nedodirljive: ispričate za njih ljudima i svi znaju za njih, ali niko ne pokušava da ih popravi”, rekao je on. “U teoriji, u takvim slučajevima, morate da uradite nešto što će čitavu stvar prebaciti na viši nivo.”
Ali, u slučaju stranice sa IP kamerama, on je rekao da ne misli da je hostovanje snimaka sa stotina hiljada privatnih kamera pravi način da se pristupi tom problemu. “Ono što se razlikuje kod ovog slučaja jeste da postoje konkretne žrtve; to su nebrojeni pojedinci”, rekao je Grin.
Podizanje ovakve stranice, dodao je Grin, “zvuči mi pomalo neodgovorno.” Što će reći, ako su tvrdnje tvorca da je stranicu podigao kako bi ukazao na važne sigurnosne probleme uopšte iskrene. “Postoji mnogo ljudi koji prave takve egzibicije samo da bi se proslavili”, upozorio je Grin. Vlasnik stranice nije odgovorio na naš zahtev za komentar.
Još 2012. godine, slična stvar desila se konkretno sa Trendnetovim kamerama. Blog Console Cowboys detaljno je opisao ozbiljnu grešku u ovim kamerama, a neko drugi je na kraju napravio interfejs u stilu Gugl Mape za upad u te kamere po sopstvenom nahođenju, navodno da bi ukazao na problem i naterao Trendnet da nešto preduzme. Reagujući na sve to, Trendnet je obavestio svoje mušterije o ažuriranju koje odstranjuje tu konkretnu slabu tačku.
Ali ova nova stranica ne juri tehničku grešku, a njen tvorac ne deluje kao vaš uobičajeni etički istraživač. Iako se navode različite vrste kamera koje se koriste ( Foscam, Panasonic, Linksys i IPCamera, kao i AvTech i Hikvision digitalne video rekordere), slabost nije nužno potekla od proizvođača. Makar delimično, za to je zaslužno loše rukovanje korisnika lozinkama.
Postoji nekoliko stvari koje bi proizvođači kamera mogli da urade, kao što je navođenje korisnika da izaberu novu lozinku kad prvi put podešavaju svoj uređaj ili da fabrički podese jedinstvenu lozinku za svaku kameru.
Rukovodilac Foscam-a Čejs Rajms rekao mi je da su pre godinu dana počeli da primenjuju ovo poslednje, čim su postali svesni da se njihovim kamerama lako pristupa zbog njihovih fabričkih lozinki. Ali “to svakako nije bilo zbog ove stranice”, rekao je Rajms. Bilo je to zbog monitora za bebe u koji je neko upao još 2013. godine. Foscam je znao za postojanje ove stranice još pre nego što sam im se obratio, zato što su ih novinari lista Mail on Sunday kontaktirali kad su saznali za postojanje sajta.
“Sve kamere koje se prave zahtevaju da korisnik, tokom procesa podešavanja, promeni lozinku”, rekao je Rajms u telefonskom intervjuu. Za kamere koje su već u upotrebi, ustvrdio je on, već je izdato ažuriranje koje će navesti korisnike da sami promene lozinku. Kompanija je takođe tvrdila da se javila svim korisnicima i prodavcima elektronskom poštom.
Linksys je, pak, prvi put čuo za ovu stranicu od mene. Ova kompanija i dalje pokušava da “utvrdi koje se Linksys IP kamere pominju na stranici”, ali veruje da su to stari modeli koji se više ne proizvode. Njihove novije kamere imaju upozorenje za korisnike koji nisu promenili fabričku lozinku.
Pravi problem je taj da ljudi koji su žrtve — ljudi koji se posmatraju — nisu nužno obavešteni da se to dešava
Prema tvrdnjama dotične stranice, ako otkrijete da se emituje sadržaj sa vaše kamere i želite da je uklonite, možete da im pišete i ona će nestati sa stranice. Ako ne želite da vaša kamera ostane izložena na duže staze, preporučuje se da promenite lozinku. Ali kako vi, krajnji korisnik kamere, uopšte da otkrijete je li ona kompromitovana?
“Pravi problem je taj da ljudi koji su žrtve — ljudi koji se posmatraju — nisu nužno obavešteni da se to dešava”, rekao je Grin.
Čak i ukoliko ovaj istraživač — ako uopšte možemo tako da ga nazovemo — stvarno pokušava da razotkrije lošu sigurnosnu praksu, malo je sumnje u to da je ovakvo ponašanje prema američkim zakonima ilegalno.
“To je zapanjujuće jasno kršenje Zakona o kompjuterskoj prevari i zloupotrebi (CFAA)”, rekao mi je u telefonskom intervjuu Džej Lederman, američki advokat koji se bavi slučajevima hakovanja.
Čini se da je stranica promenila provajdera od objavljivanje reportaže u Mail-u; novinari su obelodanili da su njen izvor pronašli u Moldaviji, ali da izgleda da je sada hostuje GoDaddy.com sa IP adresom u Moskvi, u Rusiji.
Lederman kaže da u pravnom smislu nije bitno što nije došlo do ‘pravog’ hakovanja i što se kamerama pristupa preko njihovih fabričkih lozinki. “Lozinku stavljate na kompjuter da biste ga zaštitili, čak i ako je ta lozinka samo ‘1’”, rekao je on. “Radi se o upadu u zaštićen kompjuter.”
Ponekad postoji slučaj kad neko želi na smeo način da ukaže na neku sigurnosnu slabost. To može da satera kompanije u ćošak i natera ih da se pozabave problemom koji bi inače možda ignorisale. Ali stranice kao što je ova, koje obelodanjuju privatne živote ljudi — ljudi koji za to inače ne znaju — ne nude nikakva rešenja. Pravi motivi tvoraca stranice i dalje ostaju nejasni.
“Stvarno sumnjam da će ovo za posledicu imati široku pažnju posvećenu problemu”, zaključio je Grin. “Kad se sve sabere i oduzme, mislim da će doneti više štete nego koristi.”
Još na VICE.com
“Incognito” prozor nije baš sakriven na netu, a nisi ni ti, pa ni u Srbiji
„Pravila interneta” opisuju divlji zapad onlajn sveta koji polako nestaje
Ispravljao sam ljudima gramatičke greške na četu i doveo ih do ludila