Стоит ли бояться веб-камеры ноутбука?
Практически на каждом ноутбуке — и в этом отношении на планшете и смартфоне — установлена хотя бы одна камера, которая постоянно на нас указывает. Но как мы должны беспокоиться о нас? Могут ли злобные люди включить их, чтобы шпионить за нами?
На прошлой неделе Джоанна Стерн из WSJ опубликовала статью в колонке «Личные технологии», в которой содержался интересный вопрос, касающийся камер, которые теперь встроены в современные ноутбуки: «Насколько эти крошечные глаза защищены в нашей личной жизни?»
Интересный вопрос. Ну, скажите мне колонку Personal Tech, насколько безопасны эти вещи?
Плохая новость заключается в том, что мистер Хайд [сертифицированный этический хакер и главный специалист по исследованиям и разработкам в Security Scorecard] смог получить доступ к веб-камере моего ноутбука с Windows 10 и оттуда всей моей домашней сети. Он также в итоге взломал мой MacBook Air.
Это звучит довольно плохо, и многие могут прикоснуться к изоленте, чтобы накрыть свои камеры. Тем не менее, в следующем предложении большая часть драмы предшественника сходит на нет.
Хорошая новость заключается в том, что обе операционные системы изначально могли помешать хакеру. Мне потребовалось совершить некоторые намеренно небрежные поступки, чтобы он «преуспел».
Хм … «некоторые намеренно небрежные вещи». Вот где повествование начинает разваливаться. Фактически, обручи, которые пришлось пройти Стерну, чтобы разрешить «хакерский» доступ к машине с Windows 10, были довольно подробными. Стерн даже заходит так далеко, что признается, что «подыгрывал» запросам Хейда.
- Когда я открыл прилагаемый документ Word, встроенное бесплатное антивирусное программное обеспечение Microsoft, защитник Windows, сразу же пометило его. Когда я щелкнул ссылку на «ролик», файл, который начал загрузку, был идентифицирован как вирус и удален. Система работала, но я хотел посмотреть, что произойдет, если бы я был тем, у кого изначально не был включен антивирус или кто выключил его, потому что это раздражало.
- Я зашел в настройки Windows и отключил антивирусную защиту в реальном времени. Я смог загрузить ролик без проблем. Но когда я дважды щелкнул документ, Microsoft Word открыл его в защищенном режиме. Я намеренно отклонил предупреждающий знак и разрешил редактирование документа.
- Это много подыгрывает. На самом деле, это всего лишь несколько шагов до того, как хакер попросил жертву отправить им ноутбук по почте, убедившись, что он записал пароль для входа в заметку.
Попасть в систему MacOS было еще более запутанным.
- Для взлома MacBook Air 2015 года с последней версией MacOS, Mojave, также потребовался многоступенчатый процесс (и некоторые «ошибки» со стороны «жертвы»). На этот раз вредоносная программа была встроена в документ .odt, формат файла с открытым исходным кодом.
- Чтобы открыть его, я скачал LibreOffice. Однако бесплатной версии популярного офисного пакета с открытым исходным кодом нет в Mac App Store, поэтому мне пришлось отключить параметр безопасности Mac, который предотвращает установку непроверенного программного обеспечения для разработчиков. Это часто встречается при загрузке многих популярных приложений, которых нет в App Store. (Однако я мог бы заплатить 14 долларов за версию в App Store.)
- После установки LibreOffice я отключил настройку безопасности макросов в соответствии с инструкциями хакера. Существуют сценарии, в которых вы могли бы сделать это, например, потому что ваша компания использовала специально разработанную таблицу инвентаризации или форму продаж, но для большинства людей это плохая идея.
Примечание: согласно статье, Хейд смог осуществить все это с помощью «готовых хакерских инструментов», какими бы они ни были.
Извините, но, если не брать в руки отвертку и выдергивать камеру из лицевой панели ноутбука, я не вижу способа предотвратить доступ хакера к камере системы, когда за рулем находится кто-то такой совместимый. Если кто-то хочет скачать это, установить это и отключить другого, это похоже на то, что хакер сидит за клавиатурой и в значительной степени свободно управляет системой.
Я также уверен, что кто-то, настолько параноидальный, чтобы положить кусок ленты на свою веб-камеру, вряд ли будет столь же послушным, и если ему удастся достичь идеального баланса между подозрительным и любезным, мало что сможет предотвратить появление хакера с некоторой фиктивной историей, чтобы заставить их устранить препятствие.
Для предприятий, которые раздают ноутбуки всем и каждому, именно здесь информирование пользователей о рисках, об игнорировании предупреждений и, возможно, о том, что они не соблюдаются при удаленном взаимодействии со случайными людьми, которые просят их отключить материал, окупается.
Возможно, есть также причина для ноутбуков, на которых не установлены камеры, и для использования съемных USB-камер, где это необходимо. Но это только удаляет одну поверхность атаки. Нет ничего, что могло бы помешать хакеру просто попросить о так-подменяемого пользователя отправить ему по электронной почте информацию, которую он хочет.
Я также нахожу интересным, что этот материал беспокоится о веб-камерах и предполагает, что наклеивать на них ленту разумно, не говоря уже о встроенных микрофонах, которые также присутствуют в современных ноутбуках.
Эта статья продолжает давать некоторые разумные рекомендации в отношении использования паролей — которые можно сформулировать так: «Не используйте повторно пароли и не меняйте те, которые были скомпрометированы», — что, я думаю, помогает достичь гораздо большего, чем просто камера вебкамера делает.
Тем не менее, если вы используете хрустящий старый ноутбук, работающий на старой операционной системе, которая давно не видела обновлений, то покрытие веб-камеры может иметь некоторый смысл, но правда в том, что это будет лишь верхушка головная боль безопасности, с которой вы сталкиваетесь.
Если покрытие вашей веб-камеры заставляет вас чувствовать себя лучше, сделайте это. Это ваш ноутбук, и эти глаза смотрят в вашу работу и жизненное пространство. Вы можете использовать что-то такое же простое, как изоленту или заметку, вам не нужно вкладывать деньги в какую-то специальную наклейку, чтобы сделать работу. Но я бы также порекомендовал вам подумать, почему вы это делаете.