La solucion, vlans y frigate

Llamativo

#1 He pensado lo mismo. Debe tener una app y la conexión se hace a través de sus servidores (aunque podría haber algo más). El problema que le veo a estos dispositivos es que si dejan de dar mantenimiento a su web pierdes la conectividad.

#2 O aún mejor, le metes OpenIPC y te montas el servidor en tu casa, así no hay tráfico que no controles.

#4 #1. Seguro que es un tema de drivers, no necesariamente del hardware de la cámara. Si funcionase con un driver de Software Libre que reconociente esas cámaras probablemente se solucionarían los problema de seguridad de un plumazo.

#5 frigate es en local, la vlan es para que no salga tráfico fuera...

Yo las camaras las tengo sin Internet y accedo a ellas con vpn. El mundo de CCTV siempre me ha parecido muy descuidado en cuanto a ciberseguridad, y eso sumado a que muchos de los instaladores tienen apenas conocimiento del mundo IP, es un peligro

Entiendo que el autor del artículo no ha entendido en que consistia la vulnerabilidad grave, porque da a entender:

El agujero por el que este experto logró colarse estaba relacionado con el QR Captcha que se debía escanear con la aplicación móvil para confirmar que el usuario estaba intentando recuperar sus credenciales. "El nombre de usuario necesario para llevar a cabo este paso era fácil de obtener, ya que en la mayoría de los casos, a menos que se cambie, es una palabra como admin"

Supongo que por esa misma regla de tres Linux tiene un enorme fallo crítico de seguridad ya que el administrador por defecto se llama root.

#Edit: Del reporte original:

Cuando se activa el Captcha QR, es posible evitar dicha verificación, lo cual permite recibir consultas autenticadas dirigidas a las funcionalidades administrativas de las cámaras IP de BESDER que emplean VideoPlayTool para establecer comunicación con el cliente al acceder al panel web de la cámara y la aplicación XMEYE.

[...]

El fabricante ofrece una aplicación para controlar y visualizar la cámara desde un dispositivo móvil. Para el acceso remoto, simplemente se requiere el nombre de usuario de la cámara (por defecto 'admin') y el número de serie, que puede obtenerse con la prueba de concepto mencionada más abajo en la publicación.

apesta a publicidad de su "empleador"

#4 #6 Hay modelos de Mi que les puedes meter un firmware que te permiten usarla como una cámara IP normal.

Este tío ha descubierto el agua de fuego.
Todas las webcams wifi domésticas a las que puedas acceder desde fuera de casa envían las imágenes a servidores externos. Pero igual que todos tus datos los tiene Apple y Google. O que los ficheros que subes a La nube se abren misteriosamente

Todas esas cámaras tienen apps muy similares, he comprado varias y aunque cada una lleva su propia app, las vinculé a una misma de otra marca.

Son muy cómodas porque no tienes que abrir puertos ni salir de cgnat, pero no las tengo dentro de casa

enviaba tráfico a servidores chinos

Si quieres poder acceder sin estar abriendo puertos en el router, la única forma es pasar por un servidor externo. (Es parte del costo de la ignorancia: es difícil, no quieres aprender, alguien te da una solución ya tomas sin pensarlo porque no comprendes lo que implica)

enviar datos a servidores fuera de la UE, resulta delicado

No sería ilegal si los datos no se guardan. Por un lado no tiene sentido que lo guarden. Por otro lado si quieren hacerlo, lo harán te guste o no. Pregúntate si la NSA si no tiene datos europeos guardados ilegalmente.

#9 probablemente opinaría igual que tú si me lo hubiese leído .

El igual algo más viene por la parte que no leí

#3 Que una cámara china se conecte a un servidor chino para funcionar con una app del móvil que viene de china no me parece nada raro la verdad, casi todos los trastos funcionan así hoy en día. Cualquier cosa "inteligente" si se cae internet en tu casa se convierte automáticamente en un pisapapeles.

Más preocupante es que venga de serie con una vulnerabilidad.

#5 Que interesante, no conocía OpenIPC, miraré a ver si vale para alguna de mis cámaras.

Yo no soy experto en ciberseguridad de momento, tengo una que compre por ,14€ motorizada, WiFi y vision nocturna.

Lo gracioso de ésta, es que pilla conexión a internet aunque en tu red no haya dhcp incluso si configuras la red a mano con una puerta de enlace errónea, la cámara encuentra el camino hacia internet.

Estuve curioseando y vi que testeaba automáticamente rangos de red conocidos.

Incluso si encontraba una red wifi sin cifrado, se conectaba automáticamente.

Lo de enviar tráfico a china, es obvio porque usan la vpn del fabricante para acceso desde las apps.

#4 eso sucede con gran cantidad de dispositivos IoT .

Y fue uno de los motivos por los que devolví la conga y no probé con otros modelos, Aunque me gustase el funcionamiento remoto no me gustaba para nada depender de un servidor externo que a saber durante cuánto tiempo iba a funcionar

#8 Bastan búsquedas sencillas en google para encontrar cámaras IP expuestas en internet.

Por ejemplo buscar: intitle:”Live View / – AXIS"

#1 especialista en cybernotenerniputaideadecomofuncionanlaswebcamshoyendia.

#19 esta debe ser de las "fastidiosas" que se apropian de una IP privada que tenías asignada por reserva dhcp a una Mac de oro dispositivo, y te llega el aviso de conflicto de IP

#22 cuando varios fabricantes usan "la misma app" suele ser porque el primer fabricante la desarrolló (o encargó el desarrollo) y el resto le copio el cacharro (con sus personalizaciones, cambios de apariencia, etc) y la aplicación (con cambios de logo y pico más)
Después una actualiza la aplicación y otros no se enteran, o bien en primero desaparece y el resto no mantiene la aplicación. Por lo que muy seguras no diría que son.

Lo he visto con SAIs, donde la clave por defecto era la misma en varios modelos de distintos fabricantes, y en cámaras IP

Un poco chorrada el artículo. No creo que nadie se sorprenda de que una cámara que compras en una web china envíe datos a china.

Yo tengo también dispositivos GPS Sinotrack, y por mucho que cambies los datos a donde enviar las marcas de posición, siempre las envía también a china. Me dá un poco igual, pero vamos, ya era lo esperado.

Vamos, que hace lo mismo que cualquier cámara que uno compre en Amazon, con la salvedad de que en vez de EEUU enviará tus datos a China. Bueno, pues mira, ya están al mismo nivel

Si hubiera encantado lo mismo pero con servidores a USA ni los comentarios ni los votos serían lo mismo. Mandar a servidores sin configuración previa del usuario está MUY mal, sea una empresa china o usana quien lo haga. Dejad se justificar lo injustificable.

#21 o buscarlas en shodan

#20 pues si te gusta cacharrear hay un firmware libre para aspiradoras tipo conga. Se llama Valetudo y la verdad que desde que lo vi que trato de convencer a la parienta de comprar un cacharro de esos

news.ycombinator.com/item?id=37812217

Acobo de verlo en HN, es un firmware alternativo para camaras IP, soporta bastantes. No lo he probado (aun)

Edit : No habia visto el comentario , a esto se refiere #5 (OpenIPC)

#7 mola lo de frigate, estaba haciendo el canelo tratando de meter openavr en HA, pero esto mola más, y ha sido muy fácil!

"Lo que descubrió no te lo podrás creer!"

El contenido de la noticia es interesante pero menudo clickbait más cochambroso e innecesario.

El original en vez de la simplificación periodística: security-garage.com/index.php/es/investigaciones/cve-2023-33443-eludir

El problema no es que la cámara se conecte a china, el problema es que alguien consiga fácilmente usuario admin, haga lo que sea que se pueda hacer con ese admin y se aproveche para después hacer lo que sea delante de esas cámaras.

#25 Ya te digo que smart Life o xmeye son las 2 apps que se usan mayoritariamente para dispositivos y cámaras chinas.
Encima los puedes integrar fácilmente con home assistant, Google home, Alexa, etc.
Y son apps que se actualizan continuamente y dudo mucho que tengan graves fallos de seguridad como los que en ocasiones han descubierto en Apple y nadie se rasga las vestiduras.

#13 ¿A qué te refieres con "abrir" un fichero?
 

#36 Le miran tol porno. Le pitan los testículos en cada acceso de lectura.

#8 así es como debería ser por defecto y todo el mundo debería acostumbrarse a hacerlo. Si el número de consumidores fuera significativo, se puliría la interfaz y sería usable por todo el mundo.

Con los dispositivos IoT para domótica pasa exactamente lo mismo. Lo que hago siempre es que, dispositivo que se le pueda meter firmware tasmota, planteo la compra. Si no, inviable.

Ya no solo por el tema ciberseguridad, que también (aunque en ocasiones, que el chino sepa la temperatura que hace en mi terraza, no es demasiado relevante), si no por temas de mantenimiento. Una empresa cierra, chapa los servidores, y cualquier dispositivo que tengas de esa marca, se te queda sin poder usarse. Vease, el ejemplo de sonoff o Tuya. Me jode que de serie notengan la opción de que la activación tenga que ser por señal local. Únicamente funciona si usas la aplicación propia (y pasa por servers ajenos a ti). Con tasmota, todo por red local sin pasar por servidores externos.

Aliexpress siempre fue una mierda pero ahora cada vez se hace más patente

Mientras tanto windows: www.youtube.com/watch?v=IT4vDfA_4NI

No se trata de que sean servidores chinos o no, es que no se debería conectar a ningún sitio.

Yo también compré una y me sorprendió bastante que se puede usar como cámara IP sin nube pero solo una vez que la has activado con la nube, la nube que te dice el fabricante y ya. Tienes que confiar ciegamente en el fabricante, en que no venda acceso a tu cámara y en que no le hackeen.

Si le hackean a él acceden a tu cámara y a tu ubicación (por la IP y por las wifi a su alcance).

Y ni la web ni el firmware tienen calidad, así que yo no confiaría en absoluto en la seguridad.

No pongáis una cámara barata, de fabricante desconocido, si queréis cierta confianza en que nadie os ve.

La noticia seria que no se conectara a ningún sitio.
Yo doy por sentado que una camara china barata de marca Nisu, permitirá el acceso remoto al gobierno chino (o a quien pague por ello)

Por 30€ y guarda datos en la nube, es un chollo

#36 a acceder a su contenido.

#8 Si las tienes sin internet, ¿como accedes con un VPN en tu navegador?

#46 por qué con la vpn me conecto a mi router firewall desde fuera, y este me enruta luego a las camaras. Para esta conexión no hace falta que tengan internet

"Si es para "un ámbito estrictamente privado", no atentaría contra el RGPD. El problema es cuando esa cámara "enfoca a una zona sensible", a la vía pública, pudiendo tomar imágenes de vecinos en caso de un particular o de empleados en el caso de una empresa, vulneraría la normativa. "

Esto a mi me suena conpletamente del reves

#32 me.alegro,
ahora te he jodido y ya estarás mirando para comprar un Coral y hacer detección por IA, verdad?

#49 No, porque el Server tiene una GTX1660S y he visto que me vale para TensorRT

#50 joder como calzas, yo con un n100

#51 Es que es el mismo PC viejo (un i7-7700) que ya me hace de estación de trabajo, y que me sirve HA, Emby, BTorrent... la 1660S la tenía para simulaciones con COMSOL, pero me he retirado...

#45 claro, es que así funcionan los sistemas de ficheros. Si quieres almacenar un fichero en cualquier dispositivo es necesario que el sistema acceda a su contenido. No hay otra forma de hacerlo. Puedes cifrarlos si quieres para evitar que ningún sistema o persona pueda hacer uso del contenido en claro, pero no tiene sentido impedir que se abra si quieres almacenarlo.

#37 jajaja

#47 y no es más imprudente abrir unos puertos en tu router para poderte conectar?

#55 en este caso no, abres un puerto del servicio de vpn, que es securizado y está pensado para ser expuesto (igual que las páginas web de los bancos), todo lo que pasa por allí va cifrado. Evidentemente todo lo que se expone a internet tiene un riesgo, pero la cuestión es minimizarlo, al igual que conducir un coche.
En este caso no tengo un router, tengo un firewall que es algo más seguro.