Rok. Tyle czasu już minęło, odkąd niektórzy z nas zaczęli pracować zdalnie. Rodzice małych dzieci (a uwierzcie mi, coś o tym wiem 🙂 ), szczególnie jeśli oboje pracują na home office, stanęli przed sporym wyzwaniem. Nic więc dziwnego, że ci, którzy mogli, skorzystali z dobrodziejstw żłobków. A skoro już mamy dziecko w żłobku, fajnie jest móc zajrzeć sprzed komputera na livestream z kamery w jego sali, prawda? Brzmi fajnie, ale kiedy okazuje się, że może to zrobić każdy, robi się już nieciekawie.
Zajrzyj do maluszka…
To nie nas – uprzedzę na samym początku. Sprawa, o której piszę miała miejsce w Wlk. Brytanii, a na cenzurowane trafiła firma Nursery Cam, specjalizująca się w systemach monitoringu wizualnego w żłobku właśnie. Jej marketingowcy wzorowo strzelili sobie w stopę, reklamując swoją firmę jako „bezpieczniejszą, niż banki”. Tymczasem ich odpowiedzialni za stronę techniczną koledzy… Cóż, ja bym im dziecka nie powierzył.
O co chodzi? Jak się zapewne domyślacie ze wstępu, infrastruktura Nursery Cam pozwala rodzicom podejrzeć, co ciekawego dzieje się u ich maluszków. Zgłaszają się do kierownika w żłobku, dostają login i hasło, wpisują adres witryn, logują się – i już, sprawa załatwiona.
Jak sądzicie, w czym może tkwić problem? Jeśli pomyśleliście o loginie i haśle, możecie sobie pogratulować. Bycie „bezpieczniejszym niż banki” polegało na tym, że wnioskujący rodzic dostawał login „admin” i hasło „888”.
…w każdym żłobku
Dokładnie tak. Każdy rodzic, w każdym z 40 współpracujących z Nursery Cam żłobków dostawał takie same dane logowania, do konta administratora systemu.
Tak, nie mylicie się. Wszystkie systemy miały to samo, trywialne hasło administratora i każdemu rodzicowi właśnie dane logowania administratora podawano. Efekt? Każdy, kto posiadał hasło, miał nieograniczony dostęp nie tylko do filmów ze żłobkach i wszystkich zapisów z nagrywarek. A także – a może przede wszystkim – do systemu zarządzania nimi. Wśród nich – biorąc pod uwagę jak szczegółowo i nieprzerwanie skanowany jest w dzisiejszych czasach internet – niemal na pewno znaleźli się ludzie o złej woli.
Nieodpowiedzialna firma potężnie oberwała po wizerunku. A jak my mamy wyciągnąć wnioski z czyjegoś błędu? Bądźmy świadomi, by – jeśli otrzymamy dane logowania do jakiegoś systemu dla użytkownika jako „admin” – powinniśmy poważnie porozmawiać z odpowiedzialnymi zań osobami. W takich sytuacjach dla każdego użytkownika powinien być generowany indywidualny login i bezpieczne hasło, z dostępem wyłącznie do tego, co jest nam potrzebne. Wtedy nawet chowanie infrastruktury za firewallem nie pomoże, gdy skaner znajdzie otwarty port, a przestępca zaloguje się domyślnymi poświadczeniami. Ogrom złych rzeczy, które można zrobić przy tak lekceważącym podejściu do bezpieczeństwa nawet mnie ciężko ogarnąć umysłem.
A jeśli chcecie poczytać o najnowszych historiach i zagrożeniach w sieci – zaglądajcie regularnie na stronę CERT Orange Polska.
