Статьи

Николай Вариниченко "Безопасны ли системы безопасности?"

По многочисленным просьбам клиентов публикуем доклад Николая Вариниченко о кибербезопасности в security-сфере, прозвучавший на семинаре "Техническая эволюция-2017".

Мы продаем не системы безопасности. Мы продаем нашим клиентам безопасность, спокойствие, уверенность в целостности и сохранности имущества, возможность быстрой идентификации преступника в критической ситуации. Мы помогает сохранить здоровье и жизни людей. В конце концов, мы хотим сделать мир безопасней! Но так ли это на самом деле? Безопасны ли системы безопасности?

По нашему мнению основной критерий оценки системы безопасности является вероятность ее «взлома». То есть возможность проникновения в систему, изменения ее настроек, подмены или изменения информации, которую она передает, или саботаж системы в целом.

С охранно-пожарными сигнализациями мы уже немного знакомы и сталкиваемся с ними достаточно часто. В Украине имеются крупные производители охранных систем. Существует сертификация ГСО, списки рекомендованного для установки оборудования ГСО. Эти документы дают нам уверенность в том, что указанное в них оборудование защищено.

С системами видеонаблюдения все сложнее. Рынок быстро перешел с замкнутых аналоговых систем на IP-системы. Доступ в интернет и P2P подключение сейчас не новость или прихоть заказчика. Это «must have», иначе ваш товар не купят. Термин «Интернет вещей» (IoT) распространяется уже не только на киберфизические системы для «домашнего» применения, но и на промышленные объекты. Развиваются концепции «интеллектуальных зданий» и «индустриальный интернет вещей». Мы все больше и больше зависим от глобальной сети, при этом мы практически не задумываемся о кибербезопасности.

Приведем статистику международной компании «Positive Technologies», которая специализируется на разработке программного обеспечения в области информационной безопасности. Согласно их исследованиям, злоумышленники могут потенциально получить доступ более чем к 3,5 миллионам IP-камер по всему миру. Кроме того, порядка 90% всех DVR-систем, используемых сегодня для видеонаблюдения предприятиями малого и среднего бизнеса, содержат те или иные уязвимости и могут быть взломаны.» Если говорить совокупно, IPVM заявляет о десяти миллионах сетевых устройств - это камеры и видеорегистраторы систем безопасности. По нашим оценкам, в 2016 году рынок видеонаблюдения Украины составил 250 тысяч устройств, как аналоговых так и сетевых. В 2016 году в Украине было продано 250 тыс. камер и видеорегистраторов Насколько важна кибербезопасность для наших клиентов? Уверены, при построении преобладающего большинства систем мы не задумываемся о безопасности, точно так же, как и наш клиент. Пока не будет громкого прецедента, о кибербезопасности в системах видеонаблюдения мало кто будет беспокоиться. Это возможно даже на предприятиях, которые имеют свои департаменты IT-безопасности. Если раньше злоумышленники выслеживали, дома хозяева или нет, то теперь это может сделать их собственная система видеонаблюдения.

Сегодня вы ставите видеонаблюдение местному депутату в его загородном доме, а завтра фото с этих камер с сотнями или тысячами лайков будут «расшаривать» на Facebook. Его автопарки, кого он возит в этот дом. Вы устанавливаете видеоняню в квартире, а завтра сайты пополняются новым видео с вашей камеры. Вы устанавливаете систему видеонаблюдения на предприятии, но в момент, когда она действительно будет нужна для идентификации злоумышленников и противоправных действий, архива не обнаружится.

Это не страшилки и статистика в 10 млн. незащищенных устройств это доказывает. Безопасность данных нужна всем. Не важно,какой у вас объект: квартира, дом, склад, офисное или производственное помещение - проработайте этот пункт на этапе проектировки и монтажа, и в дальнейшем это убережет ваши финансы и репутацию.

Как и почему преступники могут получить доступ к нашим данным? Для ответа на этот вопрос следует понять принцип работы большинства сетевых камер и регистраторов. Как только мы подключаем ее в сеть, она тут же начинает отдавать информацию. Первым делом, камера стучится на свое облако, как правило в Китай или Гонконг, передавая информацию о себе и своем размещение. Это сделано для того, чтобы пользователь мог взаимодействовать с камерой через мобильные приложения и браузер, не заморачиваясь с настройками портов и DNS. Все просто: если что-то подключено к интернету – у него есть IP-адрес. Если у устройства есть IP-адрес, его можно обнаружить с помощью поисковиков, таких как Google, Shodan, Censys, ZoomEye. Существуют IP-сканеры - это поисковые реестры IP-адресов с информацией о подключенном устройстве. Помимо IP-адреса, сканер смотрит, есть ли на устройстве медиа порт и если он есть – Ваше видеоустройство уже обнаружено.

Скриншот IP-сканера Shodan У многих камер и видеорегистраторов пароли установлены по умолчанию. В таком случае стоит просто найти камеру через поисковик. Мы можем выбрать страну, город, производителя, IP адрес выбранного провайдера. Стоит всего лишь попробовать по очереди зайти в админ панель, перебирая стандартные логин и пароль через браузер, и доступ к видео и настройкам получен.

Если пользователь или установщик сменил пароль, IP-устройство по-прежнему можно взломать. У нас уже есть список IP-адресов, логин администратора, который изменить чаще всего невозможно. Существуют так называемые отладочные пользователи «root» и «operator». Специальными программами сканируем открытые порты, они, как правило, все по умолчанию открыты. Далее пытаемся попасть на камеру с помощью специального софта методом автоматического подбора пароля.

В мае 2017 года у некоторых версий прошивок, для камер, выпускаемых крупнейшим китайским производителем, была обнаружена серьезная ошибка некорректной аутентификации. Используя переполнение буфера в обработчике пакетов RTSP, камера дает злоумышленнику полный доступ к данным. Память на камере не безгранична и имеет фиксированный объем. Если дать запрос, выходящий за объем буфера, он будет выполняться в других частях системы, но уже под правами системы. Таким образом неважно, насколько сильный пароль был установлен, злоумышленник все равно получит доступ к устройству. Из-за этой уязвимости камерам горе-производителя присвоен критический рейтинг безопасности национальным агентством кибербезопасности США - 10 из 10.

Часть кода взлома камеры Hikvision Первые два способа дают доступ к пользовательским настройкам. Мы можем изменять настройки, удалять или перехватить видео. Продвинутый способ взлома – взлом камеры с доступом к программному обеспечению через Telnet. Простыми словами, Telnet - это текстовый протокол для доступа к файловой системе камеры, который не использует шифрование. Telnet на камере – это «бэкдор» для производителя и сервисов. Большинство камер и регистраторов работают под управлением Linux. Они имеют практически одинаковую корневую структуру и названия критических файлов. Попав в софт камеры, злоумышленник может изменить часть кода камеры, добавить свой кусок кода (например, для осуществления DDOS атак, перенаправления видеопотоков, были случаи использования камер и регистраторов для «выращивания» криптовалют – «майнинга») и просканировать локальную сеть. Таким образом, получив доступ к файловой системе камеры, открывается дверь ко всем остальным устройствам в локальной сети (компьютерам, роутерам, сканерам, принтерам и так далее).

Для отслеживания уровня уязвимости используется стандарт CVSS (Common Vulnerability Scoring System), который был разработан группой экспертов по безопасности National Infrastructure Advisory Council в 2005 году. В эту группу вошли эксперты из различных организаций, таких как CERT/CC, Cisco, DHS/MITRE, eBay, IBM Internet Security Systems, Microsoft, Qualys, Symantec.

Уязвимости в этом рейтинге делятся на группы, а также имеют числовой показатель для удобства принятия решения о защищенности того или иного устройства. Ниже представлена оценка по стандарту CVSS v3 наиболее популярных производителей систем видеонаблюдения в Украине.

Рэнкинг производителей IP-камер по данным Национального агентства US-CERT/NIST Помимо самой оценки также есть номер отчета об испытаниях, данные как проходили испытания, какие версии прошивок и оборудование использовалось, части кода ошибок.

При низкой защите существуют следующие риски:

  • - Перехват и модификация видеотрафика;
  • - Удаления всей информации или ее части с носителей;
  • - Перенастройка устройства и ограничение доступа пользователям;
  • - Физическое повреждение устройства вследствие перегрузок;
  • - Изменение программного обеспечения;
  • - Включение устройства в ботнет для осуществления DDOS-атаки или «майнинга»;
  • - Использование систем для проникновения в локальные сети с целью саботажа и заражения всех устройств на объекте.


Как же повысить безопасность своих систем?

1. Изменяйте пароли администратора. Не используйте популярные пароли или пароли, содержащие только цифры. Удалите «лишние» стандартные учетные записи.
2. По возможности используйте VPN подключение, статические IP-адреса и удаленное подключение, минуя китайские облака.
3. Если устройство поддерживает HTTPS или SSL, используйте это шифрование для удаленной связи с камерами и видеорегистраторами.
4. Отключайте функции, которыми не пользуетесь, например: FTP, NTP, SMTP и другие. Как правило, доступ и порты открыты в стандартных настройках.
5. Используйте оборудование брендов, которым можно доверять: как минимум, у них есть собственная служба технической поддержки и сервисный центр, они уже зарекомендовали себя на рынке, прошивки оборудования регулярно обновляются.
6. Подключайте камеры и видеорегистраторы к интернету через роутеры. Они имеют гораздо больше настроек безопасности, и в отличии от IP-камер. В них закрыты если не все, то большинство портов. Также на роутерах есть firewall. Меняйте пароли к службам роутера. При подключении через Wi-Fi используйте шифрование WPA2.
7. Не используйте общие сети. Для систем безопасности должна быть собственная СКС.

Соблюдение этих простых правил существенно усложняет несанкционированный доступ к системам безопасности на объекте. В конце концов, нет ничего более безопасного, чем подготовленный дом.