Brecha: vaza na web imagens gravadas por sistemas de segurança
Um pesquisador de segurança que usa o apelido de "someLuser" descobriu uma vulnerabilidade em sistemas de gravação digital (DVR, na sigla em inglês) comumente usados em conjunto com câmeras de segurança em circuitos fechados de televisão (CFTV). A falha permite descobrir a senha do aparelho, o que dá acesso total às imagens gravadas, permitindo inclusive alterá-las ou removê-las da memória do dispositivo.
A vulnerabilidade está presente em um software fornecido por uma empresa chinesa chamada Ray Sharp. Segundo o especialista em segurança H. D. Moore, 18 fabricantes diferentes fazem uso do sistema chinês.
Os fabricantes, porém, ainda não confirmaram a falha.
De acordo com os especialistas, o software do sistema de gravação é capaz de utilizar o protocolo universal Plug and Play (UPnP), que configura aparelhos de rede, como roteadores, para permitir o acesso externo ao gravador, mesmo quando esse acesso teria sido bloqueado pelas configurações do usuário. O UPnP vem ativado de fábrica em muitos roteadores.
Devido a essa configuração, Moore diz ter encontrado 58 mil sistemas de gravação expostos na internet, que, em teoria, poderiam ser explorados para terem as imagens extraídas ou alteradas. O especialista, no entanto, não confirmou que a brecha poderia ser explorada em todos esses sistemas.
Um código para explorar os sistemas foi incluído no Metasploit, uma ferramenta de testes de invasão desenvolvida pela empresa Rapid7, onde Moore trabalha. A brecha consiste em acessar o sistema de gravação de uma forma específica que revela nomes de usuários e senhas, que então podem ser usados para controlar completamente o aparelho.
Em sistemas de CFTV, DVRs substituem o uso de computadores para a captura, gravação e gerenciamento de imagens.
Fonte: G1