Смотри во все глаза. Как взламывают IP- и веб-камеры и как от этого защититься. В первую очередь заклеим камеру, или как обезопасить себя в веб-пространстве Сняли на веб камеру что делать

Всем привет! С вами снова Дмитрий Костин, автор данного ресурса. Если вы помните, то в прошлой своей статье я рассказывал, . Сегодня я вам расскажу нечто похожее, но на сей раз как снять видео на веб камеру компьютера. И опять же я приведу в пример несколько замечательных сервисов, которые помогут нам легко справиться с этой задачей. А самое главное, что не надо ничего устанавливать.

Video Recorder

Это бесплатная онлайн программа как раз специализируется на съемке фото и видео с помощью вашей вебки. И причем совершенно неважно, встроенная ли она в ваш компьютер или ноутбук, или же подключена из вне.

Настроек в сервисе не так много, но по крайней мере вы сможете выставить качество. И конечно же несомненным преимуществом является то, что вы можете записывать ролики неограниченной длины, чем не могут похвастаться большинство подобных онлайн программ.

Из минусов я бы выделил небольшой рассинхрон видео с голосом. То есть голос на доли секунды отстает от видео. Казалось бы не страшно, но все же к этому нужно привыкнуть.

Cam-Recorder

Этот сервис мне понравился больше. Он также абсолютно бесплатный, но в отличие от первого варианта, здесь нет рассинхрона и ролик получается более плавным.

Из минусов я отметил бы отсутствие как таковых настроек, кроме установки количества кадров в секунду (FPS). Также основным минусом является то, что время записи видео ограничено — всего 2 минуты. Так что особо не разгуляешься.

Clipchamp

Ну и последний сервис, который я сегодня хотел бы рассмотреть, называется clipchamp. Тоже довольно неплохая штука, но в отличие от предыдущих онлайн программ, здесь запись доступна только авторизированным пользователям. Поэтому вам обязательно нужно будет либо зарегистрироваться через электронную почту, либо войти через свою учетную запись Facebook. Я вошел с помощью фейсбука. Это заняло секунд 5.

Как и во втором варианте, здесь ограниченное время записи, но хотя бы уже не 2 минуты, а целых 5. Также это не совсем бесплатный сервис. Вы сможете сохранить не более 5 роликов ежедневно. Хотите, чтобы у вас не было ограничений? Тогда оформите платную подписку за 7,5 долларов в месяц. Тогда вы увидите новые доступные эффекты, а время записи увеличится с 5 аж до 30 минут, а количество сохраняемых роликов также увеличится. Но я бы не стал заморачиваться с платной версией.

Ну вот в принципе и все, что я сегодня хотел сказать поводу. Скажите пожалуйста, а какой из вышеперечисленных сервисов больше всего понравился вам? Буду рад услышать ваш ответ в комментариях.

ну а на этом я свою сегодняшнюю статью заканчиваю. Не забывайте подписываться на обновления моего блога, а также делиться с дузьями материалами статьи в социальных сетях. Удачи вам. Пока-пока!

С уважением, Дмитрий Костин.

Связанный с приватностью пользователей в интернете. Компанию Aaron’s, которая занимается прокатом ноутбуков, обвинили в том, что она устанавливает на прокатные компьютеры программное обеспечение, которое позволяет следить за веб-камерой устройства.

В Aaron’s сразу попытались опровергнуть информацию. Пресс-служба заявила, что ПО устанавливают для розыска устройств, которые не вернули в положенный срок. И всё бы хорошо, но убийственные доказательства предоставила семейная пара из Вайоминга.

Семья взяла ноутбук в прокат, а спустя несколько дней приехал коллектор Aaron’s, который пытался забрать устройство и в качестве доказательств его использования показывал фотографии, сделанные веб-камерой. Позже выяснилось, что коллектор приехал из-за бухгалтерской ошибки и семья могла пользоваться ноутбуком ещё долгое время, но инцидент уже произошёл и его смогли использовать против компании.

О другом случае подглядывания с помощью камеры рассказал пользователь ресурса The Question Николай Шмидт:

После того как мой знакомый подключался к камерам всех абонентов одного из провайдеров, с лёгкостью получив доступ, я всегда закрываю камеру. Прикольно, кстати, наблюдать за выражением лица человека за компьютером.

P.S. Он это делал не со злыми намерениями. Просто гендиректор компании-провайдера его друг, и мой знакомый проверял уязвимости. Ну и позволил себе пятиминутную шалость.

В общем, есть причины думать, что за вами вполне могут наблюдать. И не только с помощью камеры. Вот несколько способов этого избежать.

Веб-камера и микрофон

Самый надёжный способ прекратить слежку через камеру - заклеить её глазок непрозрачной изолентой. Пусть вас будут считать шизофреником или сумасшедшим, но, если вы сомневаетесь в своей приватности, наплюйте на это и найдите кусок изоленты.

С микрофоном всё не так просто. Его тоже можно заклеить, и это в какой-то степени снизит шанс того, что вас смогут услышать. Но, возможно, лучше использовать программное обеспечение.

К примеру, приложение Micro Snitch для OS X всегда активно и в фоновом режиме проверяет, не имеет ли какая-то программа доступа к вашей камере или микрофону.

Для Windows есть утилита Webcam Blocker Pro . Она обладает аналогичными функциями, правда, стоит на порядок дороже.

К сожалению, эти приложения - не стопроцентная гарантия того, что вас не смогут прослушать. Поэтому, если вы не можете довериться им, физические способы будут эффективнее.

Местоположение

Если вы не отключили сервисы геолокации, то ваш браузер практически всегда знает, где вы находитесь. Можно отключить сервисы в настройках, а можно обмануть браузер, сообщив ему неверные координаты.

В Chrome это можно сделать, нажав Ctrl+Shift+I и открыв инструменты разработчика. Затем нужно нажать Escape для перехода в консоль, открыть вкладку «Эмуляция» (Emulation) и сменить координаты широты и долготы.

В Firefox можно сделать то же самое, но с помощью расширения. Geolocater будет сообщать браузеру те координаты, которые вы укажете.

Слежка за клавиатурой

Программы, которые могут следить за информацией, вводимой с клавиатуры, находятся в открытом доступе. Многие из них преподносятся как средство для хранения всего, что вы ввели, но красноречивые названия вроде Spy Keylogger недвусмысленно намекают на основное предназначение подобных утилит.

Злоумышленнику достаточно получить доступ к вашему компьютеру на пару минут, чтобы установить утилиту. Для этого даже не нужно быть программистом - в интерфейсе программы может разобраться и школьник. Кроме того, есть и более изощрённые способы добраться до вашей клавиатуры даже без физического контакта с компьютером.

Есть несколько способов борьбы со слежкой за клавиатурой:

1. Использовать виртуальную наэкранную клавиатуру. Так как вредоносное ПО отслеживает непосредственно нажатие на клавиши, это может сработать.
2. Использовать сокращения. К примеру, стандартными средствами OS X можно назначать на фразы сокращения: если вы введёте слово «парольотвк», это сокращение заменится на сам пароль.

Способы не стопроцентные, поэтому вдобавок к ним стоит проверить компьютер парой антивирусов.

С одной стороны, эта статья выглядит как бред сумасшедшего, считающего себя важной персоной, за которой все следят. С другой стороны, я не исключаю того факта, что людей, за которыми и вправду могут следить, довольно много. Причём слежка может быть организована как ради выгоды, так и ради веселья.

И не забывайте о Хемингуэе. Ему никто не верил, когда он говорил, что за ним следят. Вот только в 1980-х ФБР рассекретило дело писателя и факт слежки подтвердился.

Как проверить, камера следит за пользователем или нет?

Здравствуйте, сегодня мы поговорим о том, как проверить, работает ли сейчас веб-камера вашего ноутбука или компьютера, и камера следит сейчас за вашими движениями, или же вы можете преспокойно себе ковырять в носу?

То, что любое мобильное устройство сейчас снабжено камерой, чертовски удобно. А вы не задумывались, что камера может снимать и без вашего разрешения? Ведь она своим только существованием нацелена на того, кто устроился напротив монитора. То есть вас.

Следуем далее. Если камера встроена, то помигивающий рядом с ней светодиод часто «выдаёт» процесс работы. Такой же «глаз» расположен и на монтируемом на мониторе стационарного ПК устройстве. Ну… хорошо, если так, и вы вдруг обратили на это внимание. А если нет, и камера следит за вами прямо сейчас? Она может это делать и не помигивая…

Сразу о неприятном.

Вариантов, когда хакер может включить камеру на расстоянии, очень много. Обычно это делается с помощью двух вариантов:

• троянской программы, причём она будет скомпонована не только ради того, чтобы транслировать изображение с камеры. Ведь картинка сама по себе значения не имеет. Иногда включение камеры и последующая запись идёт вкупе с другим, огромным количеством программ, которые позволяют, в том числе, и отключать большинство функций безопасности Windows. Типичный и самый элементарный пример такого трояна – .
• кто не знает, (он же метер ), советую с ним хоть поверхностно, но познакомиться. И если в первом пункте ловкость хакера может сойти на нет благодаря хорошему антивирусному пакету, то от этого панацеи нет – антивирус открытую сессию метера не вычленяет. А в числе запущенных служб там может быть запущена и запись скриншотов с экрана или вебкамеры. Читайте статью по ссылке.

Камера следит? Вариант на скорую руку.

Давайте-ка проверим …

Но для начала я попрошу вас скачать очень хорошую программку под названием Process Explorer . Она очень полезна для тех, кто интересуется природой тех или иных процессов, которые протекают в Windows , позволяя отследить программы и , запущенные в системе. С её помощью легко выявлять вирусы и прочую дрянь, которая удачно маскируется под популярные процессы. Программа Process Explorer будет фигурировать в моих статьях не раз, вам давно пора ею обзавестись. Она на английском, установки не потребует, простой исполнительный файл.

Но вернёмся к “нашим баранам” и проверим, за кем камера следит.

Качаем программу Process Explorer с сайта Microsoft в zip-архиве

Чтобы проверить подробности работы вашего устройства (да любого!), вам понадобится его полное название. Диспетчер устройств в Windows выдаст его с потрохами. Компьютер (через Пуск ) – правой мышкой Свойства – Диспетчер устройств .

Теперь найдите устройства обработки изображений. Разверните пункт. И щёлкните правой мышкой Свойства . Скопируйте название устройства во вкладке Описание устройства :

Теперь запускаем Process Explorer . Напоминает она Диспетчер задач windows. Слева в панели инструментов найдите значок с биноклем. Щёлкните по нему и вставьте скопированное. Нажмите Search

Если вас уже что-то насторожило, убейте процесс с помощью двух кнопок выше, начинающихся с Kill . Посмотрите, что произойдёт с работоспособностью камеры и программы для работы с камерой. Если не произошло ничего – вариант задуматься о том, что кто-то ещё знает, как выглядит ваше лицо перед монитором. А то, что камера следит за вами, считайте уже доказанным фактом.

• чтобы верно определить свою камеру среди прочих устройств компьютера и ноутбука, вам понадобится её полное имя в списке оборудования. Лучше Диспетчера Windows этого вам никто не скажет. Жмём WIN + R , набираем команду

devmgmt.msc

Скопируйте имя из вкладки Сведения под пунктом Описание устройства и введите его в открытом окне поиска Process Explorer (CTRL + F). Как действовать дальше, вы знаете. Проверьте и удостоверьтесь.

Как предотвратить?

Скажу по секрету – хорошо спрятанный троян спрячет “процесс” так, что никто его уже не заметит. Следовательно, проследите чтобы зараза в компьютер не попадала. Если хорошего антивирусного пакета нет – ваш компьютер открыт для наблюдения. А он решит большинство проблем. Обойти защиту антивируса, а иногда даже на уровне Difender -а от Windows 10, может далеко не каждый “хакер”. Профессионалов, которые будут посягать на вашу камеру, немного найдётся. И без антивируса в сети вообще делать нечего. Проблема ведь иногда в том, что хакеры нередко имеют вполне конкретные звания и должности.

Есть возможность – отключите. И включайте только на время сеанса. Камера встроенная? В наверняка есть возможность отключить камеру оттуда. Пляшите от слова camera в настройках CMOS. Этим и воспользуйтесь. Если же пользуетесь часто – подойдёт следующий вариант.

Удаленный доступ к веб-камерам и камерам наблюдения - самая наглядная практика взлома. Она не требует спецсофта, позволяя обойтись только браузером и нехитрыми манипуляциями. Тысячи цифровых глаз по всему миру станут доступны, если ты умеешь находить их IP-адреса и уязвимости.

WARNING

Статья носит исследовательский характер. Она адресована специалистам по безопасности и тем, кто собирается ими стать. При ее написании использовались общедоступные базы данных. Ни редакция, ни автор не несут ответственности за неэтичное использование любых упомянутых здесь сведений.

С широко закрытыми глазами

Видеонаблюдение используется преимущественно для охраны, а потому не жди веселых картинок с первой же хакнутой камеры. Может, тебе и посчастливится быстро найти HD-трансляцию из элитного борделя, но чаще будут попадаться скучные виды на безлюдные склады и парковки с разрешением VGA. Если в кадре и есть люди, то в основном это ждуны в холле и жруны в кафе. Куда интереснее наблюдать за самими операторами и работой всяких роботов.

IP-камеры и веб-камеры часто путают, хотя это принципиально разные устройства. Сетевая камера, или IP-камера, - самодостаточное средство наблюдения. Она управляется через веб-интерфейс и самостоятельно передает видеопоток по сети. По сути, это микрокомпьютер со своей ОС на базе Linux. Сетевой интерфейс Ethernet (RJ-45) или Wi-Fi позволяет выполнять прямое подключение к IP-камере. Раньше для этого использовались фирменные клиентские приложения, но большинство современных камер управляются через браузер с любого устройства - хоть с компа, хоть со смартфона. Как правило, IP-камеры включены постоянно и доступны удаленно. Именно этим и пользуются хакеры.

Веб-камера - пассивное устройство, которым управляют локально с компьютера (по USB) или ноутбука (если она встроенная) через драйвер операционной системы. Этот драйвер может быть двух разных типов: универсальный (предустановленный в ОС и подходящий для многих камер разных производителей) и написанный на заказ для конкретной модели. Задача хакера здесь уже другая: не подключиться к веб-камере, а перехватить ее видеопоток, который она транслирует через драйвер. У веб-камеры нет отдельного IP-адреса и встроенного веб-сервера. Поэтому взлом веб-камеры всегда следствие взлома компьютера, к которому она подключена. Давай пока отложим теорию и немного попрактикуемся.

Взлом камер наблюдения

Взлом IP-камер вовсе не говорит о том, что кто-то хозяйничает на компьютере, с которого владелец смотрит их видеопоток. Просто теперь он смотрит его не один. Это отдельные и довольно легкие цели, однако подводных камней на пути к ним хватает.

WARNING

Подглядывание через камеры может повлечь административное и уголовное наказание. Обычно назначают штраф, но не всем удается легко отделаться. Мэттью Андерсон отсидел полтора года за взлом веб-камер с помощью трояна. Повторившему его подвиг присудили уже четыре года.

Во-первых, удаленный доступ к выбранной камере может поддерживаться только через какой-то конкретный браузер. Одним подавай свежий Chrome или Firefox, а другие работают только со старым IE. Во-вторых, видеопоток транслируется в интернет в разных форматах. Где-то для его просмотра нужно будет установить плагин VLC , другие камеры потребуют Flash Player, а третьи не покажут ничего без старой версии Java или собственного плагина.

Иногда встречаются нетривиальные решения. Например, Raspberry Pi превращают в сервер видеонаблюдения с nginx и транслируют видео по RTMP.

По замыслу, IP-камеру защищают от вторжения два секрета: ее IP-адрес и пароль учетной записи. На практике IP-адреса вряд ли можно назвать секретом. Они легко обнаруживаются по стандартным адресам, к тому же камеры одинаково откликаются на запросы поисковых роботов. Например, на следующем скриншоте видно, что владелец камеры отключил анонимный доступ к ней и добавил ввод CAPTCHA для предотвращения автоматизированных атак. Однако по прямой ссылке /index.htm можно изменить их без авторизации.

Уязвимые камеры наблюдения можно отыскать через Google или другой поисковик с помощью продвинутых запросов. Например:

Inurl:«wvhttp-01» inurl:«viewerframe?mode=» inurl:«videostream.cgi» inurl:«webcapture» inurl:«snap.jpg» inurl:«snapshot.jpg» inurl:«video.mjpg»

Еще один шикарный поисковик по «интернету вещей» - ZoomEye . Камеры в нем находятся по запросам device:webcam или device:media device .

Можно искать и по старинке, банально сканируя диапазоны IP-адресов в поисках характерного отклика от камеры. Получить список айпишников определенного города можно на этом веб-сервисе . Там же есть сканер портов на случай, если у тебя до сих пор нет собственного.

В первую очередь нас интересуют порты 8000, 8080 и 8888, поскольку они часто заданы по умолчанию. Узнать дефолтный номер порта для конкретной камеры можно в ее руководстве. Номер практически никогда не меняют. Естественно, на любом порте можно обнаружить и другие сервисы, поэтому результаты поиска придется дополнительно фильтровать.

RTFM!

Узнать модель обнаруженной камеры просто: обычно она указана на титульной странице веб-интерфейса и в ее настройках.

Когда я говорил в начале статьи об управлении камерами через «фирменное клиентское приложение», то имел в виду программы вроде iVMS 4xxx, которая поставляется с камерами Hikvision. На сайте разработчика можно почитать русскоязычный мануал к программе и самим камерам . Если ты найдешь такую камеру, то с большой вероятностью на ней будет стоять заводской пароль, и программа предоставит к ней полный доступ.

С паролями к камерам наблюдения дела вообще обстоят крайне весело. На некоторых камерах пароля просто нет и авторизация отсутствует напрочь. На других стоит заданный по умолчанию пароль, который легко найти в мануале к камере. На сайте ipvm.com опубликован список самых часто встречающихся логинов и паролей, установленных на разные модели камер.

Часто бывает, что производитель оставил в прошивке камеры служебный вход для сервис-центров. Он остается открытым даже после того, как владелец камеры сменил дефолтный пароль. В мануале его уже не прочтешь, а вот найти на тематических форумах можно.

Огромная проблема состоит в том, что во многих камерах используется один и тот же веб-сервер GoAhead. В нем есть несколько известных уязвимостей , которые производители камер не спешат патчить.

GoAhead, в частности, подвержен переполнению стека, которое можно вызывать простым запросом HTTP GET. Ситуация усложняется еще и тем, что китайские производители модифицируют GoAhead в своих прошивках, добавляя новые дыры.

В коде других прошивок встречаются такие ляпы, как кривые условные переходы. Такая камера открывает доступ, если ввести неправильный пароль или просто нажать кнопку «Отмена» несколько раз. Во время нашего исследования мне попалось более десятка таких камер. Так что, если ты устал перебирать дефолтные пароли, попробуй кликнуть Cancel - есть шанс внезапно получить доступ.

Камеры среднего и высокого класса оснащают поворотными креплениями. Взломав такую, можно сменить ракурс и полноценно осмотреть все вокруг. Особенно занятно бывает играть в перетягивание камеры, когда, помимо тебя, ей одновременно пытается управлять кто-то еще. В общем случае атакующий получает полное управление камерой прямо из своего браузера, просто обратившись по нужному адресу.

Когда говорят о тысячах уязвимых камер, хочется подробнее разобрать хотя бы одну. Предлагаю начать с популярного производителя Foscam. Помнишь, я говорил про служебные входы? Так вот у камер Foscam и многих других они есть. Помимо встроенной учетки admin, пароль к которой рекомендуется задать при первом включении камеры, есть еще один аккаунт - operator . Его пароль по умолчанию пустой, и его редко кто догадывается сменить.

Кроме того, у камер Foscam очень узнаваемые адреса из-за шаблонной регистрации. В общем случае он выглядит как xxxxxx.myfoscam.org:88 , где первые два xx - буквы латиницы, а последующие четыре - порядковый номер в десятичном формате.

Если камера подключена к IP-видеорегистратору, то можно не только удаленно наблюдать в реальном времени, но и просмотреть прежние записи.

Как устроен детектор движения

Профессиональные камеры наблюдения оснащены дополнительным датчиком - детектором движения, который работает даже в полной темноте благодаря ИК-приемнику. Это интереснее постоянно включенной ИК-подсветки, так как не демаскирует камеру и позволяет ей вести скрытое наблюдение. Люди всегда светятся в ближнем ИК-диапазоне (по крайней мере - живые). Как только сенсор зафиксирует движение, контроллер включает запись. Если фотоэлемент сигнализирует о низкой освещенности, дополнительно включается подсветка. Причем точно в момент записи, когда уже поздно закрываться от объектива.

Дешевые камеры устроены проще. У них нет отдельного датчика движения, а вместо него используется сравнение кадров с самой веб-камеры. Если картинка отличается от предыдущей, значит, в кадре что-то изменилось и надо это записать. Если движение не зафиксировано, то серия кадров просто удаляется. Это экономит место, трафик и время на последующую перемотку видео. Большинство детекторов движения настраиваются. Можно задать порог срабатывания, чтобы не протоколировать любое шевеление перед камерой, и настроить дополнительные оповещения. Например, отправлять СМС и последнюю фотку с камеры сразу на смартфон.

Программный детектор движения сильно уступает аппаратному и часто становится причиной казусов. В ходе своих изысканий я наткнулся на две камеры, которые непрерывно слали алерты и записывали гигабайты «компромата». Все тревоги оказались ложными. Первая камера была установлена снаружи какого-то склада. Она заросла паутиной, которая дрожала на ветру и сводила детектор движения с ума. Вторая камера была расположена в офисе напротив мигающего огоньками роутера. В обоих случаях порог срабатывания был слишком низким.

Взлом веб-камер

Веб-камеры, которые работают через универсальный драйвер, часто называют UVC-совместимыми (от USB Video Class - UVC). Взломать UVC-камеру проще, поскольку она использует стандартный и хорошо задокументированный протокол. Однако в любом случае для доступа к веб-камере атакующему придется сначала получить контроль над компьютером, к которому она подключена.

Технически доступ к веб-камерам на компьютерах с Windows любой версии и разрядности осуществляется через драйвер камеры, фильтры DirectDraw и кодеки VFW. Однако начинающему хакеру не требуется вникать во все эти детали, если он не собирается писать продвинутый бэкдор. Достаточно взять любую «крысу» (RAT - Remote Admin Tool) и слегка модифицировать ее. Средств удаленного администрирования сегодня просто уйма. Кроме отборных бэкдоров с VX Heaven, есть и вполне законные утилиты, вроде Ammyy Admin, LiteManager, LuminosityLink, Team Viewer или Radmin. Все, что опционально требуется изменить в них, - это настроить автоматический прием запросов на удаленное подключение и сворачивание главного окна. Дальше дело за методами социального инжиниринга.

Кодомодифицированная крыса загружается жертвой по фишинговой ссылке или проползает на ее компьютер сама через первую обнаруженную дыру. О том, как автоматизировать этот процесс, смотри в статье « ». Кстати, будь осторожен: большинство ссылок на «программы для взлома камер» сами фишинговые и могут привести тебя к скачиванию малвари.

У рядового пользователя большую часть времени веб-камера неактивна. Обычно о ее включении предупреждает светодиод, но даже с таким оповещением можно выполнять скрытое наблюдение. Как оказалось, индикацию активности веб-камеры можно отключить даже в том случае, если питание светодиода и CMOS-матрицы физически взаимосвязано. Это уже проделывали с веб-камерами iSight, встроенными в MacBook. Исследователи Брокер и Чекоуэй из университета Джона Хопкинса написали утилиту , которая запускается от простого пользователя и, эксплуатируя уязвимость контроллера Cypress, подменяет его прошивку. После запуска жертвой iSeeYou атакующий получает возможность включать камеру, не зажигая ее индикатор активности.

Уязвимости регулярно находят и в других микроконтроллерах. Специалист компании Prevx собрал целую коллекцию таких эксплоитов и показал примеры их использования. Практически все найденные уязвимости относились к 0day, но среди них были и давно известные, которые производители просто не собирались устранять.

Способов доставить эксплоиты становится все больше, а отловить их все труднее. Антивирусы часто пасуют перед модифицированными файлами PDF, имеют предустановленные ограничения на проверку больших файлов и не могут проверить зашифрованные компоненты малвари. Более того, полиморфизм или постоянная перекомпиляция боевой нагрузки стала нормой, поэтому сигнатурный анализ давно отошел на второй план. Внедрить троян, открывающий удаленный доступ к веб-камере, сегодня стало исключительно просто. Это одна из популярных забав среди троллей и script kiddies.

Превращаем вебку в камеру наблюдения

Любую веб-камеру можно превратить в подобие IP-камеры, если установить на подключенном к ней устройстве сервер видеонаблюдения. На компьютерах многие используют для этих целей старый webcamXP, чуть более новый webcam 7 и подобные программы.

Для смартфонов есть аналогичный софт - например, Salient Eye . Эта программа умеет сохранять видео в облачный хостинг, освобождая локальную память смартфона. Однако дыр в таких программах и самих ОС хватает, поэтому взломать управляемые ими веб-камеры часто оказывается не сложнее, чем IP-камеры с дырявой прошивкой.

Смартфон как средство наблюдения

В последнее время старые смартфоны и планшеты нередко приспосабливают для домашнего видеонаблюдения. Чаще всего на них ставят Android Webcam Server - простое приложение, которое транслирует видеопоток со встроенной камеры в интернет. Оно принимает запросы на порт 8080 и открывает панель управления на странице с говорящим названием /remote.html . Попав на нее, можно менять настройки камеры и смотреть изображение прямо в окне браузера (со звуком или без).

Обычно такие смартфоны показывают довольно унылые картины. Вряд ли тебе интересно смотреть на спящего пса или на припаркованную возле дома машину. Однако Android Webcam Server и аналогичные приложения можно использовать иначе. Помимо тыловой камеры, у смартфонов есть и фронтальная. Почему бы нам не включить ее? Тогда мы увидим другую сторону жизни владельца смартфона.

Защита от подглядывания

Первое, что приходит на ум большинству людей после демонстрации легкого взлома камер, - это заклеивать их изолентой. Владельцы веб-камер со шторкой считают, что их проблема подглядывания не касается, и зря. Возможно еще и подслушивание, поскольку, кроме объектива, у камер есть микрофон.

Разработчики антивирусов и других комплексов программной защиты используют путаницу в терминологии для продвижения своих продуктов. Они пугают статистикой взлома камер (которая действительно впечатляет, если в нее включить IP-камеры), а сами предлагают решение для контроля доступа к веб-камерам, причем технически ограниченное.

Защиту IP-камер можно повысить простыми средствами: обновив прошивку, сменив пароль, порт и отключив учетные записи по умолчанию, а также включив фильтрацию IP-адресов. Однако этого мало. Многие прошивки имеют неустраненные ошибки, которые позволяют получить доступ безо всякой авторизации - например, по стандартному адресу веб-страницы с LiveView или панели настроек. Когда находишь очередную дырявую прошивку, так и хочется ее обновить удаленно!

Взлом веб-камеры - совсем другое дело. Это всегда верхушка айсберга. Обычно к тому времени, когда атакующий получил к ней доступ, он уже успел порезвиться на локальных дисках, украсть учетки всех аккаунтов или сделать компьютер частью ботнета.

Тот же Kaspersky Internet Security предотвращает несанкционированный доступ только к видеопотоку веб-камеры. Он не помешает хакеру изменить ее настройки или включить микрофон. Список защищаемых им моделей официально ограничивается веб-камерами Microsoft и Logitech. Поэтому функцию «защита веб-камеры» стоит воспринимать лишь как дополнение.

Подглядывающие сайты

Отдельная проблема - атаки, связанные с реализацией управления доступом к камере в браузерах. Многие сайты предлагают сервисы общения с использованием камеры, поэтому запросы доступа к ней и ее встроенному микрофону всплывают в браузере по десять раз на день. Особенность здесь в том, что на сайте может использоваться скрипт, который открывает pop-under (дополнительное окно в фоне). Этому дочернему окну передаются разрешения родительского. Когда ты закрываешь основную страницу, микрофон остается включенным на фоновой. Из-за этого возможен сценарий, при котором пользователь думает, что закончил разговор, а на деле собеседник (или кто-то еще) продолжает его слышать.

Самое популярное ПО для организации видеонаблюдения, которое работает со всеми существующими камерами. Xeoma запускается на любых компьютерах и даже не требует установки.

У программы лаконичный интерфейс и почти безграничные возможности. Помимо привычного детектора движения, в Xeoma реализовано распознавание автомобильных номеров, лиц и даже эмоций. Все функции работают в виде модулей, которые можно объединять в цепочки и очень тонко настраивать.

В бесплатной версии количество модулей ограничено тремя, чего будет достаточно для дома и несложных сценариев. Для более серьёзных задач есть три типа лицензий, цена которых зависит от количества камер.

• Платформы: Linux, iOS, Android.

Мощный инструмент с открытым исходным кодом и активным сообществом, который годится для организации видеонаблюдения любой сложности. После настройки просматривать видео можно с компьютера или смартфона, из любого браузера.

Zoneminder работает с камерами любых типов, позволяя записывать и анализировать картинку с них. Благодаря расширенным настройкам, для каждой камеры можно задать несколько зон определения движений и их чувствительность. Умеет отправлять оповещения на или СМС о заданных событиях.

Приложение полностью бесплатно как для домашнего, так и для коммерческого использования.

3. iSpy

• Платформы: Windows, iOS, Android.

iSpy имеет открытый исходный код, что предоставляет широкие возможности для модернизации программы и делает детальную настройку очень удобной. Расширить функциональность можно с помощью плагинов для распознавания автомобильных номерных знаков, наложения текста, сканирования штрихкодов.

Можно подключить неограниченное количество источников. Есть датчик движения, сетевое вещание, уведомления. Кроме того, iSpy поддерживает загрузку на YouTube, Dropbox или FTP‑сервер.

В качестве источника можно использовать не только USB- и IP‑камеры, но и изображение рабочего стола.

• Платформы:

Эта мультиплатформенная программа может похвастаться умным датчиком движения, который способен отличить человека от автомобиля или домашнего животного. Умеет работать с IP- и веб‑камерами, но в бесплатной версии можно стримить видео только с одного источника.

Sighthound Video способна сохранять ролики в облачные сервисы и имеет много полезных возможностей для тех, кому импонирует концепция .

На официальном сайте можно купить набор, который обеспечит безопасность, например, загородного дома, а сама программа умеет работать со службой автоматизации IFTTT.

• Платформы: Windows, macOS, iOS, Android.

Главное достоинство AtHome Video Streamer - мультиплатформенность. Помимо мобильных приложений для слежки, у программы есть полноформатные версии для Windows и macOS.

Предоставляется возможность вести запись по расписанию, сохранять видео в и отправлять уведомления на смартфон при обнаружении движения. В качестве источников используются камеры USB, IP, Smart TV, iOS- и Android‑устройств.

• Платформа: Windows.

EyeLine Video Surveillance может задействовать до 100 каналов одновременно. В качестве источников позволяет использовать как веб-, так и IP‑камеры.

Программа оснащена детектором движения, менеджером архивных записей и возможностью загрузки видео на FTP‑сервер. Уведомления о событиях можно получать по электронной почте или СМС.

EyeLine Video Surveillance - отличный вариант для тех, кому нужна простая и эффективная система видеонаблюдения. Программа имеет двухнедельный пробный период и предлагает несколько вариантов подписки с расширенной функциональностью.

• Платформы: Windows, iOS, Android.

Готовое решение от Milestone, которое сочетает простоту работы и массу полезных возможностей. XProtect Essential+ подойдёт для точек и домашнего использования.

Программа поддерживает до восьми IP-, USB- и веб‑камер, умеет вести запись по движению в кадре, а также позволяет настраивать отдельные зоны обнаружения большей точности. Просматривать потоки можно с неограниченного количества компьютеров и мобильных устройств.

XProtect Essential+ не требует активации, а бесплатная версия ограничена лишь количеством камер. При необходимости она легко масштабируется до платной с сохранением всех настроек.