Hardware Foscam 8918 Sicherheit?

[MarSche]

Hallo zusammen

Evtl. kann mir mal ein Netzwerker was dazu sagen?
Ich möchte die ältere Foscam 8918W einbinden.
Das funktioniert alles auch super.
Habe mir die letzten Firmwares aus 2015 auch noch auf die Cam gespielt
Jetzt habe ich einen Artikel gelesen, indem ganz viele IP Cams eine schwere Sicherheitslücke besitzen. Da Foscam wohl für viele Hersteller produziert sind das etliche betroffene Cams.

Meldung

Ich habe die Cam per WLAN in die FritzBox eingebunden und den Internetzugang für die Cam dort gesperrt. Auch habe ich in der Cam weder DynDNS noch FTP aktiviert.
Wäre ich somit auf der sicheren Seite bzgl. des geschilderten Problems?
Sie hat ja insoweit keinen Zugang zum Internet außer die Synology DS220+ mit Surveilence.

Danke vorab

 

[Ulfhednir]

Ergänzend hierzu gab es auch ein Problem mit den Kennwörtern. Um deine Frage zu beantworten: Wenn der Internetzugang gesperrt wird, sollte das die Probleme beheben. Um noch eine zweite Sicherheitsebene einzubauen (wenn AVM mit einem Firmwareupdate die Sperre versehentlich zerhackstückeln sollte), kann man noch eine Sperre auf DNS-Ebene z.B. Pi-hole einbauen. Dort untersagst du dann die Namensauflösung der angesprochenen Foscam-Server.

 

[MarSche]

Moin

Danke für deine Antwort.
Genau wie in deinem verlinkten Bericht hin ich vorgegangrn und habe es auch so vor.
Den NAS nutze ich z.B. nur über VPN in der Fritz und nicht über dieses Synology Connect oder wie das sich nennt. Somit will ich lediglich, wenn mal nötig, per VPN auf die Cam per Heimnetz IP 192.168.x.x zugreifen oder eben über die App DS Cam von Synology aber auch hier per VPN.

VPN läuft zwar auch hier über den AVM Dienst, den man ja kostenlos von AVM mit MyFritz erhält aber das ist mir vertrauenswürdiger als Server im Ausland.

Das mit den Passwörten betrifft jetzt die App von Foscam? Die habe ich ja eh nicht in Nutzung oder gar installiert da ich ja über VPN oder direkt im Heimnetz über die WebUI gehe oder über VPN oder Heimnetz über Surveilence drauf gehe.

Dein Tipp bzgl. DNS Sperre, kannst du das kurz näher erklären was ich machen müsste? Pi- Hole kenne ich jetzt nicht. ?

 

[Ulfhednir]

VPN läuft zwar auch hier über den AVM Dienst, den man ja kostenlos von AVM mit MyFritz erhält aber das ist mir vertrauenswürdiger als Server im Ausland.

MyFritz ist ja im im Kern lediglich ein DynDNS - das heißt ein Dienst der eine Domain und deine (sich i.d.R. ändernde externe IP) "matched" bzw. den dazugehörigen DNS-Record speichert.
Ob dieser Dienst in Timbuktu läuft oder auf dem Mond, ist erstmal aus Sicherheitsaspekten vollkommen Wurscht.

Zum Thema: Pi-hole - das ist im Kern ein DNS-Server, welcher gerne als Werbeblocker verwendet wird. Um dir zu erklären, wie das genau funktioniert, müsste ich jetzt einen Roman schreiben. Das belasse ich aber und empfehle zunächst die Basics von Netzwerkgrundlagen bzw. - Was ist ein DNS-Server
Danach : Funktionsweise pi-hole und bevor du dich an eine Installation machst, wäre der nächste Schritt Grundlagen zu Docker

und dann kannst überlegen, ob du dir das Pi-hole in einen Docker-Container installieren möchtest. ?

 

[MarSche]

?
Ich wollte nur die Cam einbinden. Aber ich denke mit mit MyFritz und der VPN Lösung und Cam Internetzugriff gesperrt, sollte es reichen.
Kann naturlich mich auch nach eine andere Cam umschauen aber wer weiß was da dann wieder unsicher ist? DLInk hat ja mittlerweile auch Zwangsregistrierung für einige Cams um darauf per App zugreifen zu können.

Somit auch wieder an Fremdserver gebunden.

?

 

[Jim_OS]

Moin,

Genau wie in deinem verlinkten Bericht hin ich vorgegangrn und habe es auch so vor.

d.h. Du hast, bevor Du die Kamera das erste mal mit dem Router verbunden hast, dessen WAN-Verbindung getrennt? Denn das ist der entscheidende Punkt. Falls Du die Kamera mit dem Router verbunden hast und dessen WAN-Verbindung war/ist noch aktiv, war/ist es bereits zu spät. D.h. falls Du erst danach der Kamera per FritzBox "Kindersicherung" den WAN-Zugang gesperrt hast, war bzw. ist das Kind bereits in den Brunnen gefallen und die Foscam hatte bereits die "Firewall" der FritzBox durchlöchert. Ab da baut die Kamera selbstständig über div. unterschiedlichste und wechselnde Ports Verbindungen ins WAN auf. Das konnte ich damals mit meinen damaligen Foscam Kameras schön per Wireshark nachvollziehen, bzw. live sehen.

Falls also die Kamera irgendwie die Möglichkeit hatte ins WAN zu kommen, solltest Du ggf. auch mal mit Wireshark schauen was da jetzt bei Dir im Hintergrund ggf. so abgeht.

Die Berichte bzgl. der Passwörter aus dem Jahr 2016 und 2017 ist eine andere Geschichte, welche Foscam dann mit Firmware-Updates beseitigt hat, bzw. beseitigen wollte. Da die letzte Firmware Deiner Foscam, wie Du ja schreibst, aus dem Jahr 2015 ist, dürften diese Lücken bei Deiner Kamera wohl noch bestehen.

Ich an Deiner Stelle würde das Teil entsorgen und mir eine andere, aktuelle Kamera kaufen. Es gibt auch noch jede Menge aktuelle Kameras ohne Zwangsregistrierung und Cloud.

VG Jim

 

[Ulfhednir]

Ab da baut die Kamera selbstständig über div. unterschiedlichste und wechselnde Ports Verbindungen ins WAN auf. Das konnte ich damals mit meinen damaligen Foscam Kameras schön per Wireshark nachvollziehen, bzw. live sehen.

Falls also die Kamera irgendwie die Möglichkeit hatte ins WAN zu kommen, solltest Du ggf. auch mal mit Wireshark schauen was da jetzt bei Dir im Hintergrund ggf. so abgeht.

Ich gehe jetzt mal davon aus, dass du die FritzBox-Interne Capture-Funktion verwendet hast und keine Man-in-the-middle durchgeführt hast, um den Traffic über deinen PC zu schleifen. Beim Capture ist aber die entscheidene Frage, welche Schnittstelle verwendet wurde. Ich würde vermuten, dass man durchaus Kontaktversuche über die Netzwerkschnittstellen lan / wifi sehen kann. Erwartungsgemäß müsste dieser dann aber im Output der Internetschnittstellen verworfen werden.

Wenn die Kamera läuft, würde ich aus ökologischen und ökonomischen Gesichtspunkten auf einen Neuerwerb verzichten.
Die Internetsperre der FritzBox funktioniert aus jetziger Sicht sehr zuverlässig.

 

[Jim_OS]

Nein ich habe die WAN-Schnittstelle überwacht und mitgeschnitten und nein die Internetsperre der Fritzbox verhindert eben nicht mehr den WAN-Verbindungsaufbau der Foscam, sofern die Sperre erst dann eingerichtet wurde, nachdem die Foscam bereits erstmalig mit der FritzBox verbunden war, ohne das deren WAN-Verbindung vorher getrennt war.

Wenn Du möchtest kannst Du ja mal bei den div. Beiträge von damals in div. Foren schauen. Da ist das (damalige) Verhalten und die Vorgehensweise der Focsam Kameras mehrfach beschrieben und dokumentiert.

Wie gesagt: Ich pers. würde eine so alte Foscam Kamera, mit einer Firmware-Version aus 2015 und den seit dem bekanntgewordenen Lücken, ganz sicherlich nicht mehr einsetzen. Aber das kann, darf und muss jeder für sich selber entscheiden.

VG Jim

 

[Ulfhednir]

Nein ich habe die WAN-Schnittstelle überwacht und mitgeschnitten und nein die Internetsperre der Fritzbox verhindert eben nicht mehr den WAN-Verbindungsaufbau der Foscam, sofern die Sperre erst dann eingerichtet wurde, nachdem die Foscam bereits erstmalig mit der FritzBox verbunden war, ohne das deren WAN-Verbindung vorher getrennt war.

Ich hatte vorhin mal ein kurzen Blick in ein paar .eth riskiert und konnte bei mir nichts verdächtiges feststellen. Ich schaue mir das aber bei Zeiten noch mal genauer an. Ohne jetzt irgendwelche Beiträge gelesen zu haben, wäre deine Aussage nachvollziehbar. Wenn bereits eine Connection zu irgendeinem Server aufgebaut ist, wird natürlich die Firewall durchlöchert. Theoretisch sollte aber spätestens mit Neustart der FritzBox die Connection gekappt sein und damit die Internetsperre korrekt greifen.

Um auf Nummer sicher zu gehen, könnte MarSche allerdings die Foscam aus dem Netzwerk schmeißen. Das Internet kappen und die Foscam neu einrichten und die Internetsperre einrichten. Dann wäre das Thema auf jeden Fall vom Tisch - auch ohne Neukauf

 

[Jim_OS]

In dem von mir verlinkten Heise-News Artikel ist das was die Foscam treibt auch ganz gut beschrieben. Hier nur mal ein Ausschnitt:

Potenziellen Angreifern hilft auch, dass die Kamera sofort nach dem Einschalten nach Hause telefoniert und Tunnel nutzt, um lokale Firewalls zu durchlöchern. So beobachteten wir nur wenige Sekunden nach Einschalten reproduzierbar, wie die Kamera bis zu zehn UDP- und (SSL-verschlüsselte) TCP-Verbindungen zu verschiedenen Servern im Internet aufbaute.
...
Aufgrund der Mitteilsamkeit und Kontaktfreudigkeit durch alle Firewalls hindurch ist der Betrieb der Foscam-Kamera in einem Firmennetz oder zu Hause unverantwortlich.
...
Mit Kindersicherungen oder der Firewall von DSL-Routern wie der AVM Fritzbox können Sie der Kamera aber einen wirksamen Maulkorb verpassen – ohne auf den Zugriff aus der Ferne verzichten zu müssen. Wichtigster Punkt ist, dass Sie vor dem ersten Einschalten der Kamera zunächst die DSL-Verbindung Ihres Routers unterbrechen – indem Sie einfach den Stecker ziehen.

Um auf Nummer sicher zu gehen, könnte MarSche allerdings die Foscam aus dem Netzwerk schmeißen. Das Internet kappen und die Foscam neu einrichten und die Internetsperre einrichten.

So habe ich das damals dann auch gemacht und konnte dann per Wireshark sehen/nachprüfen das meine damaligen Foscam Kameras keinerlei WAN-Verbindung mehr aufgebaut haben, bzw. nicht mehr aufbauen konnten.

Was die von Dir erwähnte ökologischen und ökonomischen Gesichtspunkte betrifft:
Ökologisch: Stimme ich zu.
Ökonomisch: Hm - der aktuelle Zeitwert einer Foscam 8918W dürfte vielleicht einen Euro betragen. Mal ganz abgesehen von den technischen Daten wie z.B. der Auflösung von 640x480. Eine Neuanschaffung einer vergleichbaren Kamera, die dann auch noch wesentlich bessere technische Daten haben dürfte, kostet vielleicht € 50 (oder so). Ich glaube das ist ökonomisch durchaus vertretbar, aber das muss der TE entscheiden.

VG Jim

 

[MarSche]

Hey
Danke Euch für die vielen Antworten.
Den Bericht bzgl. das man das Internet kappen solle habe ich auch gelesen aber habe es natürlich anders herum gemacht ?
Habe das für übertrieben gehalten.
Aber gut. Dann lösche ich die Cam nochmal aus dem Netzwerk, starte die Fritz neu, trenne dann das Internet und verbinde die Cam dann neu mit dem Router, schalte dann die Internetsperre rein und verbinde die Fritz dann wieder mit dem Internet.
Unfassbar und dass soll bei neuen Cameras nicht ein Problem sein, dass dort auch so gearbeitet wird?
Mein Favoriten wären die DLink 2670l und die Reolink 511wa. Hat jemand einer dieser Cams in Betrieb? Vorteil für mich wäre die DLink da diese auch in mein Mangenta Smart Home passen würde was die Reolink nicht könnte.
Wäre aber kein K.O. Kriterium da es ja eh auf Synology geht.
Habt ihr eine Empfehlung zu den zweien?

Haben DLink oder Reolink auch solche Art Probleme wie meine Mittelalterkamera?

 

[Jim_OS]

Unfassbar und dass soll bei neuen Cameras nicht ein Problem sein, dass dort auch so gearbeitet wird?

So schlimm wie bei Foscam ist es m.M.n. nicht. Natürlich gibt es auch Kameras die "nach Hause telefonieren", oder eine "Zwangsregistrierung" benötigen, aber bei Foscam war halt das große Problem das sie, bewusst oder unbewusst, bzw. zumindest wissentlich, Sicherheitsmechanismen (z.B. Firewallfunktionen) bei den Kunden ausgehebelt haben und das ohne den Kunden davon irgendwie oder irgendwo und vor allem vorher, darüber informiert zu haben. So etwas geht natürlich gar nicht.

Zu Kameras von D-Link oder Reolink: Beides sind Hersteller die ihre Kameras irgendwo unter ihrem Label produzieren lassen, wobei Kameras bei D-Link nur eins von vielen Produkten sind. Sprich da sollte man wohl nicht großartig Support erwarten.

Zu Reolink gibt es, zumindest hier in Deutschland, durchaus geteilte Meinungen. Es gib schon eine Menge User die mit ihren Reolink Kameras zufrieden sind. Ich pers. würde aber immer Kameras von Dahua oder Hikvision bevorzugen. Warum ist das so:
1. Dahua und Hikvision sind etablierte Kamera-Hersteller, d.h. die kaufen nicht irgendwas irgendwo zu, sondern entwickeln und produzieren selber.
2. Die Qualität von Dahua und Hikvison ist m.E. besser. Qualität im Sinne von verwendeten Materialien und Firmware.
3. Kameras von Dahua oder Hikvison sind auch nicht unbedingt sehr viel teurer als die von Reolink. Auch von Dahua oder Hikvision gibt es Einstiegsserien, die sich auf dem Preisniveau von Reolink befinden, aber für die dann immer noch Punkt 2 gilt.
4. Reolink ist für aggressives Marketing bekannt. Es vergeht z.B. keine Woche bei der nicht irgendwelche angeblichen Reolink Angebote z.B. bei Mydeals.de beworben werden. So etwas hat für mich immer einen faden Beigeschmack und ich habe den Eindruck das es eher um Masse und nicht um Klasse geht.

Wie gesagt, es gibt auch hier im Forum jede Menge User die mit ihrem Reolink Produkt zufrieden sind. Was letztendlich ja das Wichtigste ist. Allerdings heißt zufrieden mit einem Produkt nicht automatisch das ein anderes Produkt nicht ggf. besser ist.

Da Dir ja sogar die betagte Foscam 8918W gereicht hätte und wir somit bei einem neuen Produkt ja wohl von der günstigsten Einstiegsklasse (~ € 50) reden, werden Qualität und Features wohl kaum eine (große) Rolle spielen. D.h. such Dir irgendein Produkt aus das Deinen Mindestanforderungen entspricht und welches Label dann darauf steht ist egal.

VG Jim

 

[c0smo]

Wie immer gilt, wer billigt kauft, muss zwangsläufig in irgendeiner Art Abstriche machen.
Material, Software, Firmware, Support!
Und Löcher in der Firmware sind erstmal normal und bei allen Herstellern vorhanden. Die Frage ist, wie der Hersteller damit umgeht, wie transparent er ist und wie schnell die Löcher gestopft werden.

Ich finde es immer wieder lustig, wenn das Thema Datenverarbeitung angesprochen wird und alles dicht gemacht wird im Netzwek, sich aber danach wundert, dass irgendetwas nicht mehr funktioniert.
Was glaubt ihr eigentlich, was mit euren paar anonymisierten Daten passiert?

Ich steig lieber aus aus dem Thema, sonst kommt meine Ader wieder zu weit raus ?

 

[MarSche]

Naja, ein bisschen anonyme Daten, darum geht es bei der Sicherheitslücke ja nicht. Hier geht es klar darum, dass die Kamera trotz Block nach außen kommuniziert und zudem der Stream abgefangen werden könnte. Das alles ohne mein Wissen, denn ich war ja im Glaube, dass die Verbindung gesperrt war/ist.
Also das ist Äppel mit Birnen vergleichen.

 

[Jim_OS]

Ich habe mir jetzt die beiden von Dir genannten Kameras (DLink 2670l und Reolink 511wa) bei Amazon angeschaut. Die D-Link bekommt man wohl für rund € 150 und die Reolink, "mit dem üblichen Rabattgutschein", für rund € 100. Was ich mich gerade frage: Wie kommst Du von der alten Foscam 8918W (für innen und den natürlich inzwischen total überholten technischen Feature) jetzt gerade auf diese beiden und was soll denn überhaupt der Verwendungszweck sein?

Also € 150 würde ich pers. sicherlich nicht für eine/diese D-Link Kamera ausgeben. Für das Geld (oder sogar manchmal auch weniger *) kann man auch schon vergleichbare Kameras von Dahua oder Hikvision bekommen.

* Amazon selber als Anbieter hat manchmal etwas "komische" Preisgestaltungen was Dahua oder Hikvision Kameras betrifft. Das könnte daran liegen das sie ihre Preise, die sie für manche Produkte im Ausland aufrufen, manchmal auch hier in bzw. für Deutschland übernehmen. Gerade Kameras von Dahua oder Hikvision sind hier in D verhältnismäßig teuer, was u.a. an der Vertriebsstruktur der beiden Hersteller liegt. In Asien eh, aber auch in den USA, oder manchen europäischen Staaten, sind die Produkte teilweise erheblich günstiger. Das führt dann manchmal dazu das ein günstiger Preis bei z.B. Amazon.es (also Spanien) auch bei Amazon.de aufgerufen wird.

Ich habe z.B. eine meiner Dahua SD49225T-HN direkt bei Amazon.de gekauft. Amazon hatte die Kamera zu dem Zeitpunkt für € 330 als Normalpreis (also kein Angebot) verkauft, was zu dem Zeitpunkt lediglich rund € 40 über dem günstigsten Preis eines Versenders aus China lag. Wobei der Preis in China damals noch ohne Zoll und Umsatzsteuer war. Nach ein paar Wochen lag dann der Preis bei Amazon.de wieder bei über € 400.

Was ich damit sagen will: Es lohnt sich durchaus immer mal wieder bei Amazon nach den Preisen von Dahua oder Hikvision Kameras zu schauen. Manchmal ist da durchaus ein Schnäppchen möglich. Falls man eh regelmäßig bei Amazon einkauft und z.B. eine Kreditkarte hat, lohnt auch immer mal ein Blick auf Amazon.es, Amazon.it und Amazon.fr.


Nachtrag: Auch muss man nicht immer das aktuellste Modell, mit den neusten Features, eines Herstellers kaufen. Auch so lässt sich, was Dahua oder Hikvision betrifft, manchmal ein guter Deal machen. Man sollte dann nur darauf achten das für das Modell noch relativ aktuelle Firmware angeboten wird und es nicht komplett EOL ist. Falls irgendwann ggf. irgendwelche Sicherheitslücken entdeckt werden, werden diese von den beiden Herstellern im Normalfall auch noch per Update geschlossen. D.h. auch dies ist ggf. ein Vorteil gegenüber Herstellern die ihre Produkte nur irgendwo zukaufen und labeln lassen.

VG Jim

 

[c0smo]

darum geht es bei der Sicherheitslücke ja nicht

Das stimmt. Ich habe hier irgendwo "nach Hause telefonieren" gelesen und bin einfach mal auf den Zug aufgesprungen

Viele Hersteller schießen Löcher in die Firewall um irgendwelche Daten nach aussen zu bringen. Dass das ein rtsp Stream ist, bezweifle ich doch sehr stark. So Seiten wie insecam.org profitieren zu 100% von der "Blödheit" der User. Ein Passwort 1234 oder sogar das Standard Passwort ist einfach ein noGo!
Alte Firmware von 2015 ebenfalls.
Um so etwas zu verhindern genügt es, ein anständiges Passwort zu wählen inkl deaktivierten Standard User, die Firmware aktuell zu halten und den Stream zu verschlüsseln!
Der Otto von gegenüber hat somit fast keine Chance, ohne Spezialwissen und erheblichen zeitlichen Aufwand, deinen Stream von außen abzufangen.

Auch wenn es Sicherheitslücken gibt, muss man erstmal wissen wie man diese nutzen muss und welches Ziel erreicht werden soll. Kein Mensch verbringt Stunden damit deine Hofkamera zu knacken um zu schauen wer deine Einfahrt hoch fährt.
Ein einfaches abfangen des Streams kannst du mit oben genannten Kniffen verhindern.

Die etablierten Kamera- und VMS Hersteller bieten alle einen Hardening Guide an, hier zb Dahua.
https://www.dahuasecurity.com/de/support/cybersecurity/details/472

Wenn du diese Schritte beherzigst, bist du schon allen anderen Usern um 10 Schritte voraus und machst es Angreifern um einiges schwieriger bzw. fast unmöglich den Stream von außen abzugreifen.
Angriffe von intern sind ein anderes Thema und bedarfen auch andere Mechanismen.

Bitte kommt von dem Gedanken weg, dass die Kameras die Streams selbständig irgendwo hinschicken oder jeder ohne weiteres darauf zugreifen kann. Wenn irgendetwas nach aussen geht, sind das Metadaten.

Mal zum Vergleich, jedes Windows System hat dutzende permanente Sicherheitslücken, die ein Angreifer nutzen könnte. Hier liegen weitaus kritischere Daten, als es eine Kamera je haben wird. Macht ihr Windows dicht? Von Handys fange ich gar nicht erst an.

Nicht falsch verstehen, ich möchte nicht den Eindruck erwecken, dass das Thema an mir vorbei geht - mit Nichten, alleine schon weil mein Job davon anhängen könnte. Allerdings wird die Suppe oft viel zu heiß gekocht und falsch gelöffelt
Ein sicheres System ist das a und o aber deshalb alles auszusperren und vielleicht Funktionen zu kastrieren, die u. U. wichtig fürs System sind, ist der "falsche" Weg - aber in seltenen Fällen und Szenarien vielleicht der einzige.

 

[MarSche]

Ich möchte schlicht meinen Garten einsehen.
Dies ist sehr gut über den Balkon möglich, welcher Wettergeschützt steht, deshalb war es einst mal eine Indoor, was auch gut funktionierte.
Damals wie gesagt.
Jetzt bin ich auch von DLink und Reolink weg.
Habe mir nun Eure Empfehlungen angeschaut.
Zur Zeit ist mein Favorit dafür die
Hikvision bei Amazon
Was bedeutet den Tag/Nacht mechanisch?
Die hat doch Nachtsicht oder??

Nachtrag, ich brauche ja WLAN dann fällt die wieder raus oder per Repeater das wäre aber wieder ein Gerät mehr?
So eine mit WLAN wäre top.

 

[c0smo]

Schätze die meinen den IR Cut Filter. Dieser wird mechanisch betätigt.
Für den Aussenbereich würde ich ganz klar zu AI Kameras tendieren!

 

[MarSche]

Wie betätigt? Von mir oder wird das von der Kamera durchgeführt??

 

[c0smo]

Musst du machen, immer bei Sonnenauf- und Untergang ?