Atacuri cibernetice asupra instalațiilor de supraveghere video

Una dintre funcțiile principale ale sistemului de supraveghere video este aceea de a garanta, pe cât posibil, siguranța celor din jur, respectând în același timp regulile de bază ale intimității personale. Un sistem de supraveghere bine proiectat își va îndeplini această funcție de bază doar atunci când este configurat într-un mod corespunzător, mai ales atunci câd acesta funcționează într-o rețea cu acces la internet.

În ultima vreme s-a observat o creștere semnificativă a atacurilor informatice asupra dispozitivelor autonome (care nu necesită supervizare constantă, precum camerele video IP, unități de înregistrare video de tip DVR și NVR, etc.) folosite în cadrul sistemelor de securitate cu acces în rețea. Acestea devin ținte ușoare ale hackerilor din cauza desconsiderării regulilor de securitate cu privire la configurarea parametrilor de funcționare a echipamentelor de acest tip în cadrul unei rețele cu acces la internet. La fel de important este și gradul de securitate pe care îl oferă echipamentul folosit de rețeaua de supraveghere video pentru accesul la internet - router-ul.

Fig. 1. Programele hackerilor vor exploata toate vulnerabilitățile sistemului dvs.

De cele mai multe ori, reușita unui atac informatic nu se datorează unei vulnerabilități a firmware-ului echipamentului (sistemul de operare) ci indiferenței și comodității utilizatorului deoarece acesta păstrează setările de securitate (ex:username și parolă) date de producător.

Dacă o cameră IP este conectată direct la internet (configurată în așa fel încât să poată fi accesată direct și nu prin intermediul NVR-ului) o persoană neautorizată poate accesa în acest caz, fluxul video și chiar și parametrii adiționali de funcționare ai camerei. Un exemplu edificator în acest sens este website-ul www.insecam.org creat în mod legal, fără atacuri informatice asupra dispozitivelor prezentate.

Fig. 2. Dacă nu vă securizați camera video, întreaga planetă vă poate spiona!

Doar un simplu program (un script) a fost îndeajuns pentru a căuta pe internet adrese IP în spatele cărora sunt instalate camere video. Dacă adresa IP este activă, scriptul încearcă logarea folosind o listă de nume de utilizator și parole folosite adesea de producătorii echipamentelor și neschimbate de utilizatorul obișnuit la cumpărarea camerei IP. Dacă rezultatul este unul pozitiv, un stop cadru este salvat și postat pe site, fără ca proprietarul să își dea seama. După cum se poate observa, sunt mii de camere CCTV nesecurizate pe tot globul, în companii mici și mari, în depozite, magazine și locuințe personale. Modificarea configurației inițiale imediat după achiziția camerei, în special a parolei, înainde de a o conecta într-o rețea cu acces la internet vă va salva de pericolul acestui script. Din fericire, chiar și modificarea ulterioară a parolei duce la ștergerea camerei de pe acel website.

Din ce în ce mai multe atacuri informatice sunt direcționate către înregistratoarele video din sistemele CCTV. Consecințele pot fi dintre cele mai variate. De la stergerea materialelor video înregistrate și coruperea memoriei aparatului până la instalarea de programe malware (viruși) ce pot transforma echipamentul într-un robot folosit la alte atacuri cibernetice sau la creare de bitcoin (bitcoin miner). Orice DVR/NVR este la bază un simplu calculator (placă de bază, procesor, memorie, etc) dar specializat pe înregistrarea de conținut video (direct de la cameră sau din rețea). Acest lucru face din înregistratorul CCTV o țintă ideală pentru a fi transformat într-un dispozitiv de tip "zombie" folosit de hackeri în diverse scopuri necinstite.

Fig. 3. Placa de bază a unui înregistrator. Este un calculator complet funcțional dedicat înregistrării video.

Software-ul folosit de hackeri în atacurile cibernetice face uz de combinațiile clasice username - parolă folosite de producătorii echipamentelor dar în același timp exploatează și parolele simple, nesigure, create de utilizator - spre exemplu schimbarea parolei "admin" în "admin1" nu îmbunătățește gradul de securitate deoarece chiar și cele mai simple programe de atac exploatează cu ușurință astfel de situații. O altă vulnerabilitate ușor de atacat ar fi modul în care producătorii echipamentelor rezolvă problema uitării parolei de către utilizator - prin parole de deblocare sau de service. Dacă aceste parole sunt generate de un algoritm simplist sau ajung din greșeală pe internet, pot fi folosite de atacatori ca backdoor pentru a accesa dispozitivul.

Așadar, configurarea corectă a echipamentului de înregistrare nu este îndeajuns; ar trebui creată o rețea de date separată pentru DVR/NVR în care accesul celorlalte echipamente să fie bine definit și strict monitorizat. Evitați folosirea zonei DMZ iar în caz contrar schimbați porturile de comunicare și filtrați accesul pe bază de MAC și IP. O măsură de siguranță complementară este folosirea ultimei versiuni de firmware disponibile.

Este important să respectați regulile de mai jos:

O parolă trebuie să fie dificil de ghicit și să conțină atât litere cât și cifre sau semne de punctuație. Schimbarea periodică și sistematică a parolei este des folosită de companii ca măsură de securitate - la plecarea sau înlocuirea unui angajat sau în cazul spargeri conturilor de acces la servicii în rețea get FTP, SMB, LDAP, etc. Se recomandă o atenție sporită în cazul autorizării Onvif. La unele modele de camere IP este necesară și schimbarea parolei Onvif chiar dacă a fost schimbată cea de sistem.

Zona demilitarizată - o listă de parametrii configurați specific și atribuiți unei adrese sau interval de adrese IP din rețeaua locală sau unui port fizic al router-ului astfel încât orice echipament "amplasat" în această zonă este accesibil din afara rețelei locale (de pe internet) pe orice porturi pe care echipamentul le are deschise, nemaifiind astfel sub protecția firewall-ului. Este o situație periculoasă deoarece marea majoritate a echipamentelor sunt accesibile pe portul 23 (TELNET) și pot fi acum ușor atacate. Pentru a diminua pericolul se recomandă evitarea funcției DMZ și redirecționarea către echipament, prin intermediul router-ului, doar a porturilor necesare stabilirii conexiunilor de interes (HTTP, TCP). Specificarea porturilor redirecționate sub formă de interval trebuie evitată pe cât posibil. Camerele IP din rețea pot fi accesibile din internet prin intermediul NVR-ului și nu mai trebuie redirecționate porturile acestora.

Portul 80 este cel mai adesea atacat de hackeri. Schimbarea lui pentru comuniațiile HTTP îi va încetini într-o oarecare măsură pe hackeri obligându-i să testeze un număr mare de porturi.

Prin activarea acestei opțiuni, doar anumite adrese (IP sau MAC) specificate în prealabil de administratorul rețelei sunt autorizate pentru a accesa echipamentul de înregistrare din afara rețelei.

Una dintre funcțiile principale ale sistemului de supraveghere video este aceea de a garanta, pe cât posibil, siguranța celor din jur, respectând în același timp regulile de bază ale intimității personale. Un sistem de supraveghere bine proiectat își va î

În cazul în care sunt folosite programe de tip client pentru accesul de la distanță la sistemul de supraveghere, evitați opțiunea de logare automată. Numele de utilizator și parolele trebuie să fie unice. Dacă reutilizați aceleași date de identificare pentu mai multe servicii vă expuneți unui risc major în cazul în care unul dintre conturi este spart. Pentru sistemele cu mai mulți utilizatori, trebuie să vă asigurați că gradul lor de acces în rețea este în concordanță cu fișa postului și sarcinile pe care le au de îndeplinit.

Sistemele de supraveghere video ar trebui să folosească o rețea de date separată, fără echipamente cu acces la internet sau ușor accesibile din afara rețelei. Este o măsură de siguranță suplimentară. Dacă o rețea dedicată nu este posibilă atunci trebuie să creați un subnet separat, diferit de cel existent deja (spre exemplu 10.10.10.xxx cu o mască de subnet restrânsă - 255.255.255.0). Accesul în această rețea va fi realizat fie prin adăugarea manuală a căii de acces în tabelul de rutare a router-ului fie prin intermediul unui router adițional folosit pentru redirecționarea traficului dintre cele două rețele.

Trebuie să verificați întotdeauna dacă aveți instalată ultima versiune de firmware. Nivelul de securitate al sistemul va crește prin simplul fapt că eliminați treptat ultimele vulnerabilități informatice descoperite de hackeri în sistemul de operare al echipamentelor.

În ziua de azi, din ce în ce mai multe camere de supraveghere și echipamente de înregistrare video (NVR/DVR) suportă comunicarea pe HTTPS și implicit protocolul criptografic SSL. Activarea acestuia va îngreuna mult folosirea datelor de autentificare (parole, conturi de utilizator) obținute de hackeri în cazul în care aceștia reușesc să acceseze rețeaua locală și să înregistreze traficul de date dintre echipamente.

Manualul sau documentația echipamentului trebuie întotdeauna cititiă. Doar așa puteți fii sigur de funcțiile activate în mod implicit de producător. Daca nu sunteți familiar cu anumite tehnologii sau nu sunt importante pentru dvs. și nu le folosiți în fiecare zi, dezactivați-le! Daca nu folosiți serviciile oferite de protocoale precum UPnP, SNMP, MULTICAST, etc. recomandarea noastră este să le dezactivați imediat.

Folosiți jurnalul de sistem (system log) în cazul oricărei suspiciuni de atac informatic. Veți putea afla momentul accesării, adresa IP folosită de atacator precum și funcțiile de sistem accesate.

Securitatea fizică a echipamentelor rețelei de supraveghere nu este de neglijat. Acestea trebuie instalate într-o cameră protejată, în care accesul persoanelor neautorizate este complet restricționat. Le puteți instala în camera dedicată serverelor sau într-un rack metalic.

Respectând aceste reguli, sistemele de supraveghere video create de dvs. vor rezista cu ușurință atacurilor informatice, vor fi simplu și ușor de folosit dar poate cel mai important, vor oferi utizatorilor un sentiment de siguranță și încredere.