Хакерски атаки срещу системите за мониторинг на мрежата.

Основна задача на системата за наблюдение е да ни гарантира безопасността при спазване на основните правила за неприкосновеност на личния живот или фирмената тайна, на наблюдаваното съоръжение. Добре проектираната и конфигурирана система ще изпълнява основната си задача само тогава, когато тя също бъде правилно обезопасена и защитена, което означава, че тя е съответно конфигурирана за работа, особено по отношение на работата в мрежа с достъп до Интернет.

Напоследък наблюдаваме увеличаване на хакерските атаки на автономни устройства за системи за сигурност, като IP камери, (DVR, NVR) записващи устройства, работещи в мрежа. Много голям брой устройства стават жертви на атаки, тъй като се пренебрегват или игнорират въпросите за безопасността, свързани с конфигурацията на техни защити за работа в мрежа. Не без значение е конфигурацията на устройствата за достъп (например рутер) на изхода на локалната мрежа, свързана със системата за наблюдение, които дават възможност за достъп от широката интернет мрежа.

Фиг. 1. Хакерският софтуер само чака да използва уязвимостта във вашата система ...

В много случаи причината за блокирането на устройството от хакери не е грешка или уязвимост във фърмуера, а оставянето на „отворена врата” за крадеца под формата на настройките за сигурност по подразбиране, т.е. тяхната липса.

В случай на IP камера, свързана към Интернет (конфигурирана, за да се вижда в интернет), неупълномощено лице получава достъп до потока от изображения от камерата и нейната конфигурация. Пример, който може да е предупреждение за всички нас е уебсайтът www.insecam.org, чиито автори съвсем не е трябвало да хакват никакви устройства.

Фиг. 2. Ако не сте защитили вашата камера, възможно е целият свят да ви гледа!

Достатъчно би било да се напише скрипт, който търси в интернет адресите на уеб камерите и след това да се провери дали достъпът е възможен чрез вход на потребител по подразбиране и паролата на производителя (предварително зададена при закупуване на такова оборудване). При положителен резултат, изображението от такава камера е публикувано на техния сайт без знанието на собственика. Оказва се, че има хиляди незащитени камери за наблюдение по целия свят, в компании, складове, магазини, както и в частни къщи. Достатъчно би било след закупуването на камерата, в хода на нейната конфигурация, да се промени паролата по подразбиране, преди мрежово споделяне, а изображението от камерата не би било направено публично достояние на тази страница (за щастие, промяната на конфигурацията и задаването на парола премахва камерата от тази страница).

Все повече и повече хакерски атаки са насочени към записващи устройства за видеонаблюдение, работещи в системите за мониторинг. Такива атаки често причиняват дефекти, като например изтриване или повреждане на паметта на устройството. Качването на зловреден софтуер (вирус) в устройството може да го превърне в робот, който извършва атаки срещу други компютърни системи или машина назначена за определена цел (например: багер за Биткойни). Всеки рекордер е всъщност специализиран едноплатков компютър за записване на видео данни, така че устройството е потенциален хардуерен ресурс, който може да бъде използван от мрежата като "зомби" за различни цели.

Фиг. 3. Платка за рекордера. Рекордерът е напълно функционален едноплатков компютър, предназначен за конкретна цел.

Хакерският софтуер или вирусът, който атакува дадено устройство може да използва не само общи познания за паролите по подразбиране, но и да се опита да осъществи достъп до такова устройство чрез така наречените слаби пароли, когато например променим паролата по подразбиране „admin” /администратор/ на паролата по подразбиране на „admin1”- то наистина това не увеличава нашата сигурност, защото това е ситуация, предвидената от нападателя. Друг проблем обаче са сервизните пароли, създавани от производителите, за критично отключване на устройството, когато например потребителят забрави паролата си. Такива пароли, когато попаднат в нежелани ръце или по-лошо, ако те могат да бъдат генерирани по някакъв начин, тогава представляват заплаха, която може да бъде използвана от нападателя (т.нар. „задната врата” от английски език „backdoor”).

Затова, освен конфигурацията на рекордера е важно да се създаде специално предназначена мрежа, в която да работи, подходяща за целите на сигурността конфигурация на устройствата за достъп за тази мрежа (без да се използва DMZ функция - демилитаризирана зона – даваща неограничен достъп до устройството, промяна на комуникационните портове, позволяваща филтриране на адреси) и инсталиране на най-новия фърмуер в устройствата, който запечатва всички докладвани нередности и повишава нивото на безопасност на устройствата.

Важно е да следвате правилата, посочени по-долу:

Паролата трябва да е трудна за отгатване и да съдържа различни знаци и цифри. Достъп до паролите трябва да имат само оторизирани потребители. Заслужава си да се обмисли и систематична промяна на паролите, което е допълнителна предпазна мярка за сигурност срещу отгатването на такива пароли (промяна на упълномощен служител, разкриване на поверителни данни). Препоръчва се също така да се обърне внимание на разрешенията на Onvif. При някои модели на IP камери, въпреки промяната на системните пароли е необходимо да промените паролата за профила на Onvif.

DMZ е така наречената демилитаризирана зона - ако поставим нашето устройството в тази зона на рутера тогава даваме достъп от външна мрежа към всички портове, които са отворени в конфигурацията по подразбиране на нашето устройство (устройството е поставено извън защитната стена на рутера). Това е много опасно, защото повечето конфигурации имат отворен по подразбиране порт TELNET, който се използва най-вече за хакерски атаки на устройствата. На рутера трябва да се пренасочат само портове, необходими за комуникация с устройството (HTTP, TCP). Широките обхвати на портовете не трябва да се пренасочват, а само тези, които са необходими за изпълнението на определени функции. Също така заслужава да се отбележи, че ако мрежовите видеокамери са свързани към рекордера, тогава за правилна комуникация със системата за наблюдение не е необходимо пренасочване на техните портове, достатъчно е само да пренасочим портовете на рекордера.

Най-често атакувания от хакери порт е портът по подразбиране - номер 80. Промяната на номерата на портовете по подразбиране ги прави по-трудни за отгатване от трети лица.

Активирането на тази опция в рутера позволява да се посочат конкретни адреси (мрежови IP или физически MAC) на доверени устройства, на които ние разрешаваме отдалечено свързване с нашето устройство.

Безопасният облак осигурява сигурна защита на устройството, работещо в него.

В случай на клиентски приложения е забранено да се използва функцията за автоматично влизане /автоматичен вход/, особено когато компютърът се използва от много хора. Потребителското име и паролата също трябва да са уникални. Използването на идентични пароли за различни услуги при различни акаунти представлява риск в случай на разкриване или кражба на лични данни на някой от тях. Това са следващите стъпки, за да се подобри безопасността и да се попречи на достъпа на неупълномощени лица. Ако системата се използва от много хора, уверете се, че всеки има разрешения, съответстващи с техните задачи (не по-високи от изискваните).

Устройствата на системата за наблюдение трябва да бъдат разположени в отделна мрежа без други устройства със свободен достъп до и от Интернет. Това е мярка за сигурност срещу неоторизиран достъп. Ако няма възможност за създаване на физически отделна мрежа, то е необходимо да създадете подмрежа с група от IP адреси, различни от съществуващите в инсталацията (напр. 10.10.10.xxx и да направите маската на подмрежата по-тясна например на 255.255. 255.0). Достъпът до такава мрежа ще бъде разрешен от допълнителен рутер, който ще пренасочва връзките между мрежите.

Винаги трябва да проверявате версията и възможността за актуализиране на фърмуера. Най-новият софтуер подобрява нивото на защита на устройството поради елиминирането на вероятните дефекти открити в предишните версии.

Много мрежови видеокамери и рекордери имат вградена опция за комуникация HTTPS с използването на SSL. Нейното активиране дава възможност за кодиране /криптиране/ на комуникацията между устройствата, предотвратявайки например, прихващането на парола на връзката.

Винаги си струва да се запознаете с документацията на устройството. Това ни позволява да се ориентираме с какви функции то разполага и кои функции са активирани по подразбиране. Препоръчваме да се предлага подход, който се състои в деактивиране на всички функции, по отношение, на които не сме сигурни. Ако няма да използваме такива протоколи като UPnP, SNMP, MULTICAST, тогава трябва да ги деактивираме.

В случай на съмнение, че е имало неоторизиран достъп до нашата система, тогава могат да бъдат полезни системните регистрационни файлове, които ще позволят да се установи определена информация (дата на регистриране, IP адрес, използвани функции).

Накрая си струва да споменем, че самият рекордер също трябва да бъде поставен в съответното място, защитено помещение, което предотвратява физическия достъп на неупълномощени лица (кутии, Rack шкафове, сървърни помещения).

Спазването на горепосочените правила за сигурност от инсталаторите на системите за наблюдение непременно ще позволи създаването на сигурна система, а в очите на потребителите - безопасна и безпроблемна работа на системата, Което е най-добрата препоръка за инсталатора като истински експерт.