TopTekninen sanakirjaHakkerin hyökkäys verkoston tarkkailujärjestelmässä.

Hakkerin hyökkäys verkoston tarkkailujärjestelmässä.

Tarkkailujärjestelmän perustehtävä on varmistaa turvallisuus, samalla kiinnittäen perusyksityisyys sääntöihin tai yrityssalaisuuksiin, tarkkailussa laitoksessa. Hyvin suunniteltu ja konfiguroitu järjestelmä täyttää sen perustejtävän vain, kun se on varmistettu ja suojeltu oikein, joka tarkoittaa, että se on oikein konfiguroitu toiminnalle, erityisesti toiminnan suhteen verkostossa, jossa on internet-pääsy.

 

Viime aikoinen olemme tarkkailleet lisääntynyttä hakkerien hyökkäytsä itsenäisissä turvallisuusjärjestelmän laitoksissa, kuten IP-kameroita, DVR/NVR tallennuslaitteita, verkostossa toimintoja. Moni laite on hyökkäyksen kohde, koska niiden turvallisuuteen liittyviin konfiguraatioihin liittyvät turvallisuussäännöt verkostossa toimintaan jätetään huomiotta. Mikä on tärkeää tässä on se, pääsylaitteiden konfiguraatio (esim reititin) paikallisen verkoston lähdössä, joka on liitetty tarkkailujärjestelmään, joka osaltaan taas mahdollistaa pääsyn tähän järjestelmään laajasta internet-verkostosta.

 

Kuva 1. Hakkerin ohjelmisto odottaa voidakseen hyväksikäyttää haavoittuvuutta järjestelmässäsi...

 

Monissa tapauksissa laitteen takavarikoinnin syy hakkerilta ei ole virhe tai haavoittuvuus laiteohjelmistossa vaan oven aukijättäminen murtajalle oletettuejn turvallisuusasetusten muodossa, joka tarkoittaa, että turvallisuus periaatteessa puuttuu.

 

Jos IP-kamera on liitetty verkostoon (se on konfiguroitu olemaan näkyvä verkostossa), valtuutettu henkilö joutuu sellaiseen tilanteeseen pääsyn kuvan virtaukseen kamerasta ja sen kokoonpanosta. Esimerkki, joka varoittaa meitä kaikkia on verkkopalsta www.insecam.org, jonka luojan ei tarvinnut murtautua mihinkään laitteeseen.

 

Kuva 2. Jos et ole turvannut kameraasi, on mahdollista, että koko maailma näkee sinut!

 

Riitti, että kirjoitimme skriptin, jossa haetaan internetissä IP-videokameroita ja sitten tarkistetaan onko pääsy mahdollista tehtaan asettaman käyttäjän sisäänkirjautumisen ja tuottajan salasanan (esiasetetaan samalla, kun hankitaan videokamera). Positiivisella tuloksella kuvan IP-kamerasta viedään verkostopalstallaan ilman omistajan tuntemusta. Ilmenee, että maailmassa on tuhansia ei-turvattuja CCTV-kameroita, yrityksissä, varastoissa, kaupoissa, myös yksityisissä kodeissa. Riittäisi IP-kameran hankinnan jälkeen, sen konfiguraation aikana muuta tehtaan asettama salasana ennen kuin se on saatavissa internetissä ja kuva sellaisesta videokamerasta ei tulisi julkisuuteen tällä verkkopalstalla (onneksi muuttuva konfiguraatio ja salasanan asetukset pyyhkivät IP-kameran tältä verkkosivulta).

 

Yhä enemmän hakkerihyökkäyksiä on kohdistettu CCTV-tallentimiin, jotka toimivat tarkkailujärjestelmissä. Sellaiset hyökkäykset aiheuttavat usein vahinkoja, kuten laitemuistin pyyhkimisen tai vahingoittamisen. Haittaohjelman (viiruksen) lastaaminen laitteeseen voi muuttaa sen robotiksi, joka suorittaa hyökkäyksiä toisiin tietokonejärjestelmiin tai koneeseen, joka on tarkoitettu tiettyyn tarkoitukseen (esim. Bitcoin diggeri). Jokainen tallennin on erikoistunut kerta-alusta tietokone videodatan tallentamiseksi, joka tekee siitä tulevan laitelähteen, jota voidaan käyttää verkoston kautta zombina eri tarkoituksiin.

 

Kuva 3. Tallentimen alusta. Tallennin on täysin toiminnallinen kerta-alusta tietokoneelle, joka on omistettu nimenomaiseen tarkoitukseen.

 

Hakkeri-ohjelmisto tai viirus, joka hyökkää laitetta saattaa käyttää yleistietoa tehtaan asettamista salasanoista, sekä myös yrittää päästä sellaiseen laitteeseen heikon salasanan kautta, kun esimerkiksi muutamme tehtaan asettaman salasanan admin salasanaksi admin1 - tämä ei lisää turvallisuuttamme, koska se on hyökkäään ennustama hyökkäys.Kuitenkin toinen ongelma on huollon salasanat, jotka ovat valmistajien luomat kriittisille laitteen vapautuksille, kun esimerkiksi käyttäjä unohtaa salasanansa. Sellaiset salasanat, kun ne joutuvat haluamattomiin käsiin tai jos ne voidaan luoda jotenkin, ovat vaarallisia, joita voidaan käyttää hyökkääjän avulla (takaovi) .

 

Siksi tallentimen konfiguraation ohella on tärkeää luoda omistettu verkosto, jonka puitteessa se toimii, sopiva turvallisten pääsylaitteiden konfiguraatio tälle verkostolle (ei käytä DMZ toimintoa - demilitarisoitua vyöhykettä - antaen rajoittamattoman pääsyn laitteeseen, tehtaan asetuksen viestintäporttien muutokset, mahdollistaen osoitteiden suodatuksen) ja uusimman laiteohjelmiston asennuksen laitteissa, jotka eristävät kaikki raportoidut säännöttömyydet ja lisäävät sellaisten laitteiden turvallisuustason.

 

On tärkeää noudattaa alla annettuja sääntöjä:

 

  • Aseta / muuta tehtaan asettama salasan vahvempaan (salasana, kuten „admin1”, „111111”, „123456” ovat vastaneuvottuja). 

    		•

    Salasanan on oltava vaikeasti arvattava ja sisältää erilaisia kirjainmerkkejä ja lukuja. Ainostaan valtuutetut käyttäjät saavat päästä sellaisiin salasanoihin. Kannattaa myös harkita salasanojen systemaattista vaihtoa, joka on toinen turvallisuustoimenpide sellaisten salasanojen arvaamiseksi (Valtuutetun työntekijän vaihtaminen, luottamuksellisten tietojen kertominen). Suositellaan myös Onvif-valtuutuksen huomioon ottamiseksi. Joissakin IP-kameramalleissa, riippumatta järjestelmän salasanan muuttamisesta, on tarpeen muutta Onvif-tilin salasana.

     

  • älä käytä DMZ-toimintoa reittittimessäsi – jos sinun on tehtävä se – suuntaa uudelleen vain nämä portit, jotka on tarpeen oikean yhteyden vuoksi. 

    		•

    DMZ on demilitarisoitu vyöhyke – jos laitamme laitteemme tälle reititinalueelle, tarjoamme pääsyn ulkoisesta verkostot kaikkiin portteihin, jotka ovat auki laitteemme oletuskokoonpanossa (laite on sijoitettu reitittimen palomuurin ulkopuolelle). Se on hyvin vaarallinen, koska useimmilla kokoonpanoilla on TELNET-portti auki tehtaan asetuksesta, jota käytetään useimmiten laitteiden hakkeeraamiseen. Reitittimessä on tarpeen suunnata portit uudelleen, jotka ovat tarpeen viestintään laitteen kanssa (HTTP, TCP). Porttien laajoja kantamia ei saa suunnata uudelleen, vaan ne ovat ainoastaan nimenomaisten toimintojen täyttämisen vuoksi tarpeen. Jos verkostovideon kamerat on liitetty niiden tallentimiin, meidän ei tarvitse suunnata niiden portteja uudelleen oikealle viestinnälle tarkkailujärjestelmän kanssa, riittää, jos suuntaamme vain tallentimen portit portit.

     

  • Vaihda tehtaan asettamat portit HTTP, TCP, UDP (tettävien porttien kantama 10000-65535). 

    		•

    Tehtaan asettama portti 80 on hakkereiden hyökkäämä juuri. Tehtaan asettamien porttien määrä tekee siitä vaikeammin arvattavan muilta tahoilta.

     

  • Aktivoi IP / MAC suodatus jos mahdollista. 

    		•

    Tämän option aktivointi reitittimessä sallii omistettujen laitteiden nimenomaisten osoitteiden mainitsemisen (verkoston IP- tai MAC) joita valtuutamme etäisille liittämisille laitteisiimme.

     

  • Käytä CLOUD-palvelua. 

    		•

    Turvallinen Cloud-palvelu varmistaa laitteen suojelutoiminnan sellaisissa, kuin cloud-palvelu.

     

  • Hallitse tilejäsi reaalisesti - älä käytä samoja asetuksia / salasanoja kaikkiin asennuksiin. 

    		•

    Asiakkaan sovellutusten tapauksessa on kielletty käyttää automaattista sisäänkirjautumistomintoa, erityisesti kun tietokonetta käyttää moni henkilö. Käyttäjän tunnuksen ja salasanan on myös oltava ainutlaatuinen. Samojen salasanojen käyttö eri palveluissa eri tileillä altistaa yksityisten tietojen kertomisen tai varkauden riskille. Nämä ovat muita vaiheita voidakseen parantaa turvallisuutta ja estääkseen valtuuttamattomien henkilöiden pääsyä. Jos järjestelmää käyttävät muut henkilöt, varmista, että kaikilla on oleellinen valtuutus niiden tehtävään (ei suumpi, kuin tarpeen).

     

  • Luo omistetut verkostot CCTV-asennukselle. 

    		•

    Tarkkailujärjestelmän laitteet on sijoitettava erilliselle verkostolle ilman minkäänlaista laitetta, ilmaisella pääsyllä verkostosta ja verkostoon. Se on turvallisuustoimenpide valtuutettua pääsyä vastaan. Jos ei ole mahdollisuutta luoda fyysisesti erotettua verkostoa, on luotava alaverkosto, jossa on IP-osoitteiden liittymä joka eroaa niistä, jotka ovat jo läsnä asennuksessa (esim. 10.10.10.xxx ja tee alaverkkopeitteestä kapeamman esim. 255.255.255.0). Pääsy sellaiseen verkkoon mahdollistetaan lisäreitittimellä, joka uudelleen ohjaa liittymät verkostojen välillä.

     

  • Asenna viimeisin laiteohjelmisto. 

    		•

    Sinun on aina tarkistettava versiot ja laiteohjelmiston päivityksen mahdollisuus. Viimeisin ohjelmisto parantaa laitteen tulevien vikojen/haavoittuvuuksien turvallisuustasojen turvallisuustasoa, joka löytyy edellisissä versioissa.

     

    Moni verkoston videokamera ja tallennin omaa HTTPS viestintäoption, jolla on SSL-käyttöoptio. Sen aktivaatio mahodllistaa viestintäkoodin laitteiden välillä, joka ehkäisee esimerkiksi salasanan kaappauksen yhteyden aikana.

    Kannattaa aina tutustua laitteen asiakirjoihin. Se saallii meille sen toimintoihin tutustumisen ja niihin, jotka on aktivoitu tehtaan asetuksella. Kannattaa soveltaa lähestymistapaa, joka koostuu kaikkien toimintojen deaktivoinnista, joista emme ole varmoja. Kun emme käytä sellaisia protokolleja, kuten UPnP, SNMP, MULTICAST on tarpeen deaktivoida ne.

    Jos on olemassa epäily, että järjestelmässämme oli valtuuttamaton pääsy, järjestelmän lokit voivat olla hyödyllisiä, jotka mahdollistavat joidenkin tietojen määrittämisen (lokikirjauksen päivä, IP-osoite, käytetyt toiminnot).

    Kannattaa mainita, että tallennin on sijoitettava suojeltuun huoneeseen, voidaksemme ehkäistä valtuuttamattomien henkilöiden fyysinen pääsy (laatikot, telineet, palvelimen huoneet).

     

    Tarkkaillessa ylläolevia turvallisuussääntöjä tarkkailujärjestelmän asentimilla sallii varmasti turvallisen järjestelmätoiminnan luomisen ja käyttäjän silmässä, turvallinen ja yksinkertainen järjestelmän toiminta on paras suosittelu asentajalle aitona eksperttinä.