IP 카메라 보안 위협 요소와 해킹 피해를 최소화하는 조치들

펌웨어 소프트웨어 결함

TP-LINK
2021년 3월경, TP-LINK TAPO C200 카메라의 펌웨어 버전 1.1.15에서
공격자들이 root권한으로 uhttpd 바이너리를 실행시킬 수 있는 결함을 발견함.
해당 결함은 공격자에게 카메라의 모든 기능을 원격 조작할 수 있는 권한을 줌.

2020년 7월경, Heartbleed 취약점 발견.
카메라의 API에 인가되지 않은 접근을 통해
API call로 카메라의 모터를 움직이거나, 외부 저장소의 데이터 삭제,
카메라의 Live 영상에 접근하기 위해 유저를 생성함.

CACAGOO
CACAGOO cloud 저장소 지능형 카메라
TV-288ZD-2MP의 펌웨어 3.4.2.0919는 패스워드 없이 RTSP 서비스에 접근할 수 있음.

동종 펌웨어 3.4.2.0919는 약한 TELNET 인증 방식을 뚫고
password 요구없이 루트 권한 기능을 쓸 수 있음.


uhttpd
임베디드 시스템에서 주로 사용되는 경량 웹서버.
http/https를 지원하면서 적은 메모리와 CPU 자원을 사용하기 때문에
IoT 제품이나 라우터 제품에 사용하기 적합하다.
Nginx나 Apache보다 더 기능이 제한적이다.


Heartbleed 취약점
버퍼 오버플로우 취약점이다.

사용자가 무작위 데이터를 담은 하트비트 패킷을 웹서버에 보낼 때
얼마만큼의 데이터를 보내는 것인지 명시한다. 

서버는 패킷을 전송받은 후 정확히 같은 양의 데이터를 돌려보내면서 
'사용자와 서버가 연결이 되어 있음'을 확인한다.

사용자의 컴퓨터가 얼마만큼의 데이터를 보냈는지 거짓으로 명시할 경우
서버는 메모리에 저장된 다른 정보까지 끌어와 패킷을 채운 후 사용자에게 재전송해 준다.

해커는 이 결함을 이용해 반복적인 전송과 응답을 받는 과정에서
정보를 축적할 수 있게 되고 그 중에서 유의미한 자료를 건져내면 
그걸 토대로 보안을 뚫는 것이 가능해진다.



heartbleed 공격에 대한 조치 방법은
이스트소프트 알약 블로그에 잘 정리되어 있다.








사용자 쪽에서도 조치해야할 사항들도 있다.

1. IP 카메라는 IoT 보안인증 대상에 포함되는데
IoT 보안인증을 받은, 정보보호인증기준 시험을 통과한 제품을 사는 것이 좋다.

2. 기본 아이디, 기본 패스워드를 반드시 바꿔준다.

3. 이중인증을 통해

4. 제품의 최신 보안 패치를 확인하고 업데이트한다.

5. 영상 수집 서버로 클라우드를 이용하는 제품의 경우
외부 비인가자에 대한 접속을 차단한다.

6. 가장 강력한 조치는
사생활이 노출될 수 있는 장소에 설치하지 않는 것.




+ 될 수 있으면, 로그 저장을 통해 추적성을 확보하는 것이 좋다.








참고자료

https://www.boannews.com/media/view.asp?idx=133977&kind=1&search=title&find=ip%C4%AB%B8%DE%B6%F3

https://www.lrqa.com/en/cyber-labs/exploiting-network-security-cameras-understanding-and-mitigating-the-risks/


댓글

댓글 쓰기

이 블로그의 인기 게시물

실무진 면접 경험으로 정리하는 백엔드 (1) : 에듀 테크 기업 면접

에듀 테크 기술 면접 시간 내어 이력서를 꼼꼼하게 봐주시고 서류상으로는 회사에서 원하는 background라고 생각해주셔서 느낌이 좋았다. 최근 본 면접들 중 가장 깊이있는 질문을 해주셨고 오답과 대안에 대한 설명도 해주셔서 배워갈 수 있었다. 아쉽게도 합격하지 못했지만 좋은 면접 경험이었기 때문에 다음 면접에서 더 견고한 답변을 위해 정리해보았다. 질문&답변&더 나은 답변 일반 질문 이직 사유? 경영상의 이유로 인한 권고사직, 프로덕트 개발과 프로덕트 피벗 과정의 공백기 회사의 이 직군에 지원하면서 뭘 기대하는지? 거의 혼자서 개발을 해왔는데 다른 관점의 의견을 들을 기회가 없었다. 여러 개발자의 의견을 듣고 내 의견에 태클을 걸며 같이 발전하면 좋겠다. 공백기에 뭐하고 있는지 ?  1. django template과 admin, 그리고 오픈소스 wysiwyg를 사용하여 블로깅 서비스 사이드 프로젝트하면서 풀스택 공부중이다. 2. 현업에서 줄곧 이미 구축된 ci/cd를 사용해오고있었는데 직접 구현을 학습하기 위해 github action workflow를 공부하고 있음.  기술&개발 관련 관리형 서비스를 쓰지 않고 aws ec2를 쓴 이유 ? - 비용문제 vpc 어떻게 설정했나? - production region은 모든 ip에 대해서 열고   development region은 사무실 개발 pc와 사무실 기기들의 ip만 접근가능하도록 함 nginx ssl 적용했다고 하는데, 인증서 뭐 사용했나? - 'let's encrypt'사용했는데 생각이 안나서 대답못함. socketio에는 wsgi or asgi? - wsgi vs asgi 차이점에 대해서 답변함. django vs fast api ? - 동기, 비동기 서버 기반과 기타 feature에 대해서 답변함. - django에서 기본 제공되는 템플릿, admin,ORM과 미들웨어들 - fastapi는 기타 기능들을 따로 붙여서 써야한다고 답변, django도 ...
Read more »

노마드코더 개발자북클럽 Clean code 완주, 독후감

이미지
짧은 기간 동안 Java로 쓰여진 클린 코드 책을 읽으며 코드를 짤 때 더 정성을 들여 쓰는 습관을 들였다. 당장 작동하는 코드보다는 유지 보수가 편한, 수정보다는 확장을 할 수 있는, 잘 읽히는, 정직하고, 하나의 일에 몰두하는 그런 코드를 짜려고 했다. 퇴근을 하고 책상 앞에 앉으면 오늘 작성했던 class가 아른거리고 과연 이게 최선이었을까 생각하게 되었다. ========================================================== 책을 읽으면서 대부분 공감하고 고개를 끄덕일 수 있었지만 좋은 코드를 쓰는 법을 아는 것과 좋은 코드를 쓰는 것에는 큰 차이가 있다. 좋은 코드를 쓰는 법을 알기만 해서는 그저 말로만 잘난 체 할 수 밖에 없을 것이다. 좋은 코드를 쓰는 사람은 코드 리뷰를 하며 시스템 변경에 유연한 구조인지 고민한다. 확실히 후자가 더 고된 작업이지만 견고한 프로덕트를 만드는, 실체가 있는 실력이 는다고 생각한다. ========================================================== Java기 반의 코드를 이해하기는 쉽지 않았지만 확실히, Java가 객체 지향적인 장치가 많다고 느꼈다. Python 웹 개발자라면 당장 객체지향 원칙이나 디자인 패턴을 익히기 보다는 웹 애플리케이션 프레임워크를 익히기를 추천한다. 그 중에서도, FastAPI를 추천하는데 Layer와 Depends를 사용한 설계 장치를 사용하며 실전 감각을 기르면서 객체지향적인 사고를 할 수 있다. 혼자 상향식으로 배우기 버겁다면 Framework의 규칙을 따르며 배워나가는 것이 효율적이라고 생각한다. 그리고 이렇게 해야 실전 감각을 느낄 수 있다. ========================================================== 클린 코드 북클럽 챌린지 덕분에 오늘도 나는 하나의 괴이한 모듈을 처리했다. util 패키지의 fileutil이라는 모듈인데 온갖 잡다한 파일 처리를 다 도맡아 하...
Read more »

Blogger 커스터마이징 : CSS 수정 (sticky-header)

이미지
sticky-header, centered-top-container sticky animating 삽질1 google blogger의 템플릿 테마중 하나인 Contempo에서는  스크롤을 어느 정도 내린 상태에서 다시 올리면 상단의 검색창이 내려와서 스크롤을 다시 내릴 때까지 유지된다. (이 "어느 정도"에 해당하는 값은  기본 테마의 javascript에 코딩 되어있을 것으로 추측한다.) css 수정 후 이 부분에 문제가 생겨서 내릴때에도 올릴 때에도 계속 검색창이 내려오고 사라졌다를 반복한다. < 페이지 최하단 모습 > 데이터를 색인하여 찾을 때는 유용한 기능이라고 생각하지만 검색 기능은 이미 블로그 최상단에 존재한다. 따라서 해당 기능을 제거하기로 했다. scroll event를 감지하고 그에 따라 html이나 css문서를 수정하는 작업은  javascript가하는 일이다. html 편집기를 통해 코드를 살펴본 결과 이 javascript 코드는 외부 cdn 서버에서 가져오는 것 같다.  javascript 코드를 직접 건드려야되나 싶어서 구글링 해 본 결과 간단하게 css 코드를 수정해서 없앨 수 있었다. sol) sticky-header 제거 https://joshua-dev-story.blogspot.com/2020/04/blogger-remove-sticky-header.html FE, Publishing 에서는 '고정 헤더'라고 부르고 있는 이 태그의 css를 수정하면 된다. display 옵션을 none으로 바꿔서 기존 요소의 block을 전부 없애고 기능까지 해제해버리는 것. 이 sticky header를 보이지 않게하는 방법은 opacity를 0으로 만들거나 visibility를 hidden으로 할 수도 있지만 display : none 옵션이 가장 확실해보인다. 수정 후 여전히 scroll 이벤트에 따라 DOM의 변경이 일어나는 것 같지만 sticky header는 더이상 보이지 않는다. 삽질2...
Read more »