Quais câmeras IP da D-Link são afetadas pela reclamação da FTC e o que posso fazer sobre elas?

A FTC entrou com uma queixa legal contra a D-Link, alegando que seus roteadores e câmeras IP têm vulnerabilidades críticas de segurança e estão enganando os consumidores a acreditarem que são seguros.

Os réus falharam em tomar medidas razoáveis ​​para proteger seus roteadores e câmeras IP de riscos amplamente conhecidos e razoavelmente previsíveis de acesso não autorizado, inclusive ao não proteger contra falhas que o Open Web Application Security Project classificou entre as vulnerabilidades de aplicativos da web mais críticas e generalizadas desde pelo menos 2007.

Pesquisei um pouco mais e encontrei a resposta da D-Link , dizendo:

Quais produtos da D-Link Systems são afetados?

A FTC fez alegações vagas e sem fundamento relacionadas a roteadores e câmeras IP. Notavelmente, a denúncia não alega violação de nenhum produto vendido pela D-Link Systems nos EUA.

Existe alguma preocupação de segurança para os produtos atuais?

A FTC não alega violação de nenhum produto vendido pela D-Link Systems.

É claro que a D-Link não quer admitir que seus dispositivos são inseguros, a partir dessa resposta. A lista das vulnerabilidades de segurança já é fornecido pela FTC, que é útil, mas eles realmente não fornecer uma lista de quais produtos específicos são vulneráveis.

Quais produtos são afetados pela reclamação e quais ações (se houver) posso tomar para proteger meus dispositivos e minha rede doméstica?

Eu tenho uma câmera IP D-Link 5020-L.

Mesmo sem o soft da D-Link, as mensagens são transmitidas via HTTP simples e um cabeçalho básico de autorização. O que significa que, se alguém cheira minha rede doméstica, pode facilmente obter meu login / senha. E sim, se meu roteador abriu portas, meu login / senha é codificado em base64 no cabeçalho básico, de maneira muito fácil de ler.

Quanto ao documento, vejo duas partes do que li no começo:

• a primeira parte é "câmeras inseguras". Bem, sim, as pessoas ainda não alteram a senha padrão do dispositivo. Os robôs simplesmente realizam consultas padrão para verificar se as câmeras são seguras e, em seguida, listam-nas.
• a segunda parte é "fácil de proteger" as câmeras escritas na caixa. A D-Link garante que é fácil proteger uma câmera, mas, de fato, não, as pessoas devem ter um forte conhecimento dos protocolos Wifi (WPA, ...) e essas configurações estão ocultas atrás de todos os menus da interface da web da câmera.

Com meu primeiro argumento, eu diria que "todos os dispositivos" são impactados, pois o usuário deve habilitar a segurança. Então, para responder sua pergunta: como?

• Mude a senha padrão da conta de administrador !!!!
• Se possível, renomeie o host da rede pela interface da web ou pelo roteador; nesse caso, se um invasor encontrar seu dispositivo na rede, ele não saberá que é uma câmera [insira a marca].
• Não exponha a porta da câmera ao roteador, a menos que seja uma câmera pública e você tenha definido uma conta de convidado.
• Proxy sua câmera: faça com que um servidor da Web execute todas as consultas para sua câmera para que você possa ter um monitor visual de quem fez essas consultas.