Jak na bezpečné provozování IP kamery
Stále více uživatelů si pořizuje domů různé bezpečnostní kamery, které jim umožňují zajišťovat bezpečí jejich majetku či rodiny, pokud zrovna nejsou přítomni. Jako u všeho, i zde ovšem platí, že každá užitečná věc může být zneužita. Je proto vždy potřeba znát možná rizika a adekvátně jim předcházet. Konkrétně IP kamery mohou být nejčastěji zneužity k narušení soukromí uživatele i jeho rodinných příslušníků, ale také k páchání útoků na další cíle v Internetu.
Na Internetu existují databáze kamer, dostupných on-line a určitě ne všichni uživatelé kamer, které v těchto databázích figurují, o tom vědí a přístup ke své kameře sdílí s celým světem dobrovolně. Některé z nich pak umožňují filtrovat i podle měst, států, nebo zabíraného objektu (dům, bazén). Například na této adrese najdete veřejně dostupné záběry z kamer dostupných v Praze.
I zneužívání IP kamer k útokům na další cíle není neobvyklé. Nejznámější případ, který pronikl i do médií, je malware Mirai), který se zaměřoval právě na on-line dostupné IP kamery, ale také na domácí routery. Tento malware pak z těchto zotročených zařízení vytvořil velkou síť (botnet), schopnou při koordinovaném útoku (DDoS) na několik hodin vyřadit z provozu i takové služby jako jsou Twitter, GitHub, Netflix a řadu dalších. To neznamená, že se máme IP kamer nutně bát, ale že je potřeba znát rizika a vědět, jak se proti nim zabezpečit.
Co zvážit před nákupem
Chystáte-li se pořídit si nějakou IP kameru, doporučujeme ještě před nákupem prověřit, zda výrobce reaguje na bezpečnostní problémy vydáváním opravného firmware. Pokud plánujete IP kameru připojit prostřednictvím bezdrátové sítě WiFi, pak je dobré prověřit, zda daná kamera podporuje zabezpečení, které používáte ve vaší WiFi, abyste následně nemuseli kvůli zapojení IP kamery snižovat úroveň zabezpečení celé bezdrátové sítě. S velkou pravděpodobností by ale toto neměl být v dnešní době problém. Pokud plánujete používat služby výrobce zařízení a počítáte s tím, že video bude posíláno dále do Internetu, například do nějaké cloudové služby, pak doporučujeme vznést dotaz na výrobce či jeho podporu, zda jsou data při přenášení z vaší sítě chráněna šifrováním. Pokud plánujete využívat mobilní aplikaci daného výrobce, pak je potřeba se ptát i na bezpečnost propojení této aplikace se servery daného výrobce.
Zapojení a používání IP kamery
Většina uživatelů si IP kameru pořizuje proto, aby mohla vzdáleně sledovat dění na daném místě, případně aby měla k dispozici uložené záznamy. První věc, kterou je tedy potřeba zvážit je, jakým způsobem bude uživatel kameru provozovat. Vhodné, avšak nákladné a náročné na uživatelské znalosti je využití dnes velmi populárních síťových disků (NAS). Máte-li NAS disk od renomovaného výrobce, můžete si ověřit, zda toto zařízení nemá v sobě zahrnout funkcionalitu NVR (network video recorder). Tato funkce obvykle znamená možnost přenášet živý obraz z IP kamery přímo na NAS zařízení a na něm provádět i případné vyhodnocení detekce pohybu a dalších funkcí. NAS nás pak může e-mailem či i jinak upozornit na detekovaný pohyb, připojit ke zprávě fotografii, případně určitý úsek uložit. K samotnému NAS zařízení a tedy i živě přenášenému obrazu se pak může uživatel připojovat prostřednictvím VPN. Toto řešení však není pro každého a pro úplnost je třeba říci, že má i svá úskalí. Pokud totiž NAS nemáte v jiné fyzické lokaci, můžete o nahrané záznamy například v případě krádeže přijít.
Další možností je pak spolehnout se na služby výrobce, připojovat se ke kameře s pomocí dodané aplikace a data ukládat do cloudové služby, případně na paměťovou kartu vloženou přímo do zařízení.
Zvažte také, kde skutečně kameru potřebujete mít. Rozhodně ji neumísťujte do prostoru, kde byste se necítili příjemně, pokud by vás v něm mohl pozorovat někdo cizí. Stoprocentní bezpečnost neexistuje v reálném světě a stejně tak ani v tom virtuálním, proto je opravdu nutné si dobře rozmyslet, co je pro vás ještě přijatelný zásah do soukromí, pokud by se k záznamům z kamery někdo cizí dostal nebo by dokonce byly někde zveřejněny.
Pro minimalizaci výše zmíněných rizik je nutné dodržovat následující opatření. Je potřeba ihned po prvním zapojení změnit výchozí hesla všech na zařízení existujících účtů a nastavit silné heslo. Výchozí hesla těchto zařízení jsou často veřejně známá a představují tak značné riziko. Samozřejmostí je mít silná hesla i v obslužné mobilní aplikaci, na NAS serveru, nebo v cloudové službě, kde budeme záznamy uchovávat. Všude kde je to možné, aktivujte dvoufaktorovou autentizaci.
Dále je potřeba zkontrolovat, zda pro zařízení nebyl vydán nový firmware. I po této prvotní inicializaci je však potřeba pravidelně kontrolovat web výrobce, zda náhodou nebyla vydána novější verze firmware. Pokud využíváme pro přístup mobilní aplikaci, je potřeba i u ní myslet na pravidelné aktualizace. Ty za nás obvykle řeší operační systém telefonu, přesto je dobré zkontrolovat, zda máme opravdu aktuální verzi.
Pokud se rozhodnete používat řešení s NAS, pak je vhodné na routeru zakázat IP kameře veškerou komunikaci z i do Internetu. Pokud kameru propojujete s využitím nějakého řešení daného výrobce, nic nezkazíte, pokud povolíte pouze porty, na kterých kamera skutečně potřebuje komunikovat a vše ostatní preventivně zakážete.