Jak zabezpečit kamery před hackem — praktický checklist

Bezpečnostní kamera, která je sama o sobě bezpečnostním rizikem — paradox, ale realita. Kamery s výchozím heslem jsou každý den napadeny, zneužity k botnetům (Mirai) nebo odposlouchávány. Checklist 10 kroků, které ochrání váš systém.

Proč kamery hackují

Útočník získá kontrolou nad kamerou:

• Přístup do vaší lokální sítě (odrazový můstek k PC, NAS)
• Živý přenos — odposlech vaší firmy, domácnosti
• Otroka v botnetu — tisíce IP kamer pro DDoS útoky
• Těžba kryptoměn (procesor kamery)
• Vydírání — uzamčení NVR, požadavek výkupného

Nejčastější chyba: výchozí heslo admin/admin nebo admin/12345. Útočníci skenují celý internet a zkoušejí ho.

Checklist — 10 kroků

1. Změň výchozí heslo HNED po prvním spuštění

Heslo musí mít:

• Minimálně 12 znaků
• Velká i malá písmena
• Číslice
• Speciální znaky (!@#$%^&*)
• Nebýt slovníkové (password, kamera123, admin2024…)

Příklad silného hesla: Kamera7!Bazin#Pes

2. Unikátní heslo pro každé zařízení

Nepoužívej stejné heslo na kameře, NVR, routeru i Wi-Fi. Pokud se jedno prolomí, útočník má klíč ke všemu.

3. Aktualizuj firmware pravidelně

Výrobci pravidelně opravují bezpečnostní chyby. Aktualizace firmware blokuje známé útoky. Kontroluj alespoň jednou za 3 měsíce.

Návod: Aktualizace firmware zařízení.

4. Vypni UPnP (Universal Plug and Play) na routeru

UPnP automaticky otevírá porty do internetu — a útočník je vidí. Vypni ho v nastavení routeru. Místo UPnP použij P2P (bezpečnější, šifrovaný protokol).

5. Nevystavuj kameru přímo na internet

Port forwarding na portu 80/554/8000 = pozvánka pro útok. Používej:

• ✅ P2P (přes cloud výrobce)
• ✅ VPN (WireGuard, OpenVPN) — tunel do LAN
• ❌ Port forwarding (bez VPN)

6. Samostatná VLAN/síť pro kamery

Pokročilé: Oddělte kamery do samostatné VLAN na switchi. I kdyby byla kamera napadena, útočník nevidí zbytek sítě (PC, NAS, mobil).

Pro rezidenci: použijte guest network na routeru pro kamery.

7. Vypni nepoužívané služby

Na kameře nebo NVR vypni služby, které nepoužíváš:

• FTP, Telnet — zranitelné protokoly
• SNMP — pokud nemonitoring
• UPnP
• ONVIF — pokud NVR od stejné značky
• SSH / webový port externě

8. Zkontroluj seznam účtů

Smaž všechny neaktivní účty v NVR. Necháno jen nutné, každý s osobním heslem.

9. Nastav uzamčení po neúspěšných pokusech

V menu NVR: Zabezpečení → Lockout. Po 5 neúspěšných pokusech o přihlášení uzamkni účet na 30 minut. Brzdí brute force útoky.

10. Monitoruj přístupy

V NVR zkontroluj log přístupů: Systém → Log. Pokud vidíš přihlášení z divných IP adres (Čína, Rusko, Brazílie) — okamžitá změna hesel a firmware update.

Pokročilá opatření

Dvoufaktorová autentizace (2FA)

Vybraný NVR a aplikace BitVision podporují 2FA přes SMS nebo authenticator aplikaci. Aktivuj v: Účet → Bezpečnost → 2FA.

HTTPS místo HTTP

Ujistěte se, že webové rozhraní NVR používá HTTPS (šifrované). V menu Síť → HTTPS → enable. Bez HTTPS je heslo přenášeno v plain textu.

Pravidelná záloha konfigurace

Po nastavení NVR exportuj konfiguraci do souboru. Když pak cokoliv selže, obnovíš rychle.

Co dělat, pokud kamera je už napadena

1. Fyzicky odpoj kameru/NVR od sítě
2. Proveď factory reset (hard reset tlačítkem)
3. Nainstaluj nejnovější firmware (ze stránek výrobce)
4. Projdi celý checklist výše, než připojíš zpět
5. Zkontroluj i ostatní zařízení v síti (možná jsou napadena)

Shrnutí

Bezpečnost kamerového systému je jednorázové 30 minut práce při instalaci. Když to neuděláš, riskuješ zneužití za dobu, kdy si toho všimneš až později. 10 kroků výše vyřeší 95 % hrozeb.