Поліцейські нагрудні відеокамери страшенно легко зламати і маніпулювати ними – дослідник

Хоча присяжні ще не визначилися з їхньою ефективністю, натільні камери для поліцейських, як правило, розглядаються як позитивний розвиток. В рамках зусиль, спрямованих на підвищення прозорості правоохоронних органів, є надія, що вони можуть бути використані як для захисту цивільних осіб від надмірного застосування сили, так і для захисту поліції від необґрунтованих скарг. Але нагрудні відеокамери не є безпомилковими – як нещодавно виявив дослідник з питань безпеки.

Виступаючи нещодавно в Лас-Вегасі на щорічній хакерській конференції DefCon, експерт з кібербезпеки компанії Nuix Джош Мітчелл продемонстрував, як можна маніпулювати відеозаписами з нагрудних камер поліцейських. Мітчелл використовував п’ять різних камер – в тому числі Vievu, Patrol Eyes, Fire Cam, Digital Ally і CeeSc – і продемонстрував, як їх можна зламати і потенційно змінити. Це може включати видалення або зміну відеозаписів чи внесення змін до важливих метаданих, в тому числі про місце і час зйомки. Це також може відкрити двері для зловмисників, які зможуть відстежувати місцезнаходження поліцейських.

“Я виявив, що зламати [і] відредагувати записи з натільних камер не просто можливо, але й дуже легко”, – сказав Мітчелл в інтерв’ю Digital Trends. “Ці системи мають безліч незахищених точок атаки і не мають навіть найелементарніших практик безпеки. Один пристрій дозволяв доступ до telnet з правами суперкористувача без пароля. Я міг замінити відео на іншому пристрої, просто використовуючи FTP для перезапису існуючих файлів з доказами. Третій пристрій шифрував і захищав файли доказів паролем, використовуючи ім’я файлу як ключ шифрування. Жоден з протестованих мною пристроїв не підписував файли доказів цифровим підписом. Крім того, кожен пристрій, який я протестував, дозволяє незахищене оновлення прошивки”.

Зі зрозумілих причин, це погана новина. Погіршує ситуацію той факт, що вразливості в системі безпеки не складно використати. Мітчелл зміг здійснити свої зломи без необхідності розробляти спеціальне програмне забезпечення. “Ризики будуть повністю залежати від мотивації людини здійснити атаку”, – сказав він. “Я б сказав, що вплив і легкість експлуатації дуже високі”.

Мітчелл пропонує кілька можливих варіантів вирішення проблеми, хоча їх реалізація, швидше за все, означатиме придбання нових пристроїв. Серед них – цифрове підписання усієї доказової інформації, цифрове підписання усієї прошивки пристрою, рандомізація усієї інформації SSID і MAC-адрес, використання сучасних механізмів запобігання використанню, а також оновлення програмного забезпечення, що входить до комплекту поставки.

“Заздалегідь відомства повинні відключити бездротове з’єднання”, – сказав він, зазначивши, що це можливо не у всіх випадках.

Рекомендації редакції

• Google тепер підтримує мої жахливі звички в браузері, і мені це подобається
• Старі технічні звуки збережені в рамках величезного аудіопроекту
• Цей моторошний додаток для Mac може записувати кожну мить вашого життя в Інтернеті
• Нова функція винагород PayPal додає знижки на покупки Honey
• Новий метод фішингу виглядає як справжній, але краде ваші паролі

Source: digitaltrends.com