Häkkerirünnakud võrgupõhistesse valvesüsteemidesse

Valvesüsteemi põhiülesanne on tagada turvalisus ning samal ajal täita põhilisi privaatsuse nõudeid ning hoida ettevõtte ja valvatava objekti saladusi. Hästi projekteeritud ja seadistatud süsteem täidab oma põhiülesandeid ainult siis, kui see on korralikult turvatud, st selle toimimine on seadistatud korrektselt eriti just Interneti kaudu juurdepääsetavas võrgus.

Viimasel ajal oleme täheldanud häkkerirünnakute sagenemist autonoomsete valvesüsteemide seadmetesse, näiteks IP-kaameratesse ja DVR/NVR salvestitesse, mis töötavad võrgus. Paljud seadmed langevad rünnakute ohvriks, sest nende seadistamisega seotud turvalisusnõudeid ei täideta. Samuti on oluline seadistada juurdepääsuseadmeid (näiteks ruuterid), mis võimaldavad valvesüsteemile ligi pääseda kogu Internetist.

Joonis 1. Häkkimistarkvara ootab teie süsteemi nõrkuste ära kasutamist…

Paljudel juhtudel saab häkker seadme oma kontrolli alla mitte püsivara vigade tõttu, vaid seetõttu, turvaseadistustes on jäetud lahti uksi, mis tähendab sisuliselt turvalisuse puudumist.

Kui IP-kaamera on ühendatud Internetiga (seadistatud nii, et see on Internetis nähtav), siis võib volitamata isik saada enda valdusesse andmevoo ja selle seadistused. Hoiatuseks on näiteks veebileht www.insecam.org, mille autorid ei ole häkkinud sisse ühessegi seadmesse.

Joonis 2. Kui teie kaamera ei ole turvatud, siis on võimalik, et terve maailm jälgib teid!

Piisab ainult sellest, et kirjutada skript, mis otsib Internetist IP-videokaameraid ning seejärel kontrollib, kas sellele on võimalik juurde pääseda vaikimisi määratud kasutaja ja tootja parooliga (st parooliga, mis oli määratud seadme ostmise ajal). Positiivse tulemuse korral postitatakse sellest IP-kaamerast saadud kujutis veebilehele ilma omaniku teadmata. Selgub, et maailmas on tuhandeid turvamata valvekaameraid, mis asuvad ettevõtetes, ladudes, poodides, kuid ka eramajades. Pärast IP-kaamera ostmist ja enne Internetiga ühendamist piisab ainult sellest, kui seadistamise ajal muuta ära vaikeparool, et antud videokaamerast pärit kujutis ei jõuaks avalikule veebilehele (seadistuste muutmise ja uue parooli määramise korral õnneks IP-kaamera kustutatakse sellelt veebilehelt).

Üha enam häkkerirünnakuid on suunatud valvesüsteemides töötavate salvestite vastu. Sellised rünnakud põhjustavad tihti tõrkeid, näiteks seadme mälu kustutamine või kahjustamine. Pahavara (viiruse) laadimine seadmesse võib muuta selle robotiks, mis ründab teisi arvutisüsteeme, või masinaks, mis täidab teatud ülesandeid (näiteks kaevandab Bitcoine). Iga salvesti on ühe emaplaadiga arvuti, mis on mõeldud videoandmete salvestamiseks ning seetõttu sobivad need seadmed ressursiks, mida võib kasutada Internetis teiste eesmärkide täitmiseks.

Joonis 3. Salvesti emaplaat. Salvesti on täiesti funktsionaalne ühe emaplaadiga arvuti, mis on kohandatud konkreetseks eesmärgiks.

Seadet ründav häkkimistarkvara või viirus ei pruugi piirduda ainult laialt teada olevate vaikeparoolidega, vaid võib proovida seadmesse tungida ka nõrkade paroolide abil, näiteks kui vaikeparool "admin" asendatakse parooliga "admin1" - selline asendus ei tõsta turvalisust, sest ründaja aimab sellist situatsiooni ette. Omaette oht on teeninduse jaoks mõeldud paroolid, mille on tootjad loonud kriitilises olukorras seadme avamiseks, kui kasutaja on näiteks unustanud parooli. Kui need paroolid satuvad pahatahtlikesse kätesse või kui neid õnnestub uuesti genereerida, siis võivad need olla ründaja käes ohtlikud (nn tagauks).

Seetõttu tuleb lisaks salvesti seadistamisele luua ka privaatvõrk, mille sees seade töötab, ning tagada sellele võrgule juurdepääsemiseks õige seadistus (ärge kasutage DMZ funktsiooni - demilitariseeritud tsoon -, mis tagab seadmele takistamatu ligipääsu, muutke vaikimisi määratud kommunikatsiooniporte, võimaldage aadresside filtreerimine) ja paigaldada seadmetesse uusim püsivara, mis sulgeb kõik teadaolevad probleemid ja tõstab nende seadmete turvalisust.

Oluline on kinni pidada järgmistest reeglitest:

Parooli äraarvamine peab olema keeruline ning see peab sisaldama erinevaid tähti ja numbreid. Paroolidele peab olema ligipääs ainult volitatud kasutajatel. Samuti tasub kaaluda paroolide süstemaatilist vahetamist, mis on täiendav turvameede paroolide äraarvamise vastu (volitatud töötaja vahetumine, konfidentsiaalsete andmete lekkimine). Samuti tasub tähelepanu pöörata Onvifi volitustele. Mõne IP-kaamera mudeli puhul tuleb hoolimata süsteemi parooli vahetamisest vahetada ka Onvifi konto parooli.

DMZ kujutab endast demilitariseeritud tsooni - kui me paigutame oma seadme ruuteri sellesse tsooni, siis tagame välisest võrgust ligipääsu kõikidele portidele, mis on meie seadme vaikeseadistuse puhul avatud (seade paigutatakse väljapoole ruuteri tulemüüri). See on väga ohtlik, sest enamike seadistuste puhul on TELNETi port vaikimisi avatud ning seda kasutatakse seadmesse häkkimiseks. Ruuteri juures on oluline suunata ümber pordid, mis on vajalikud seadmega suhtlemiseks (HTTP, TCP). Ümber ei tule suunata mitte suurt arvu porte, vaid ainult neid, mis on vajalikud teatud funktsioonide täitmiseks. Kui võrgus olevad videokaamerad on ühendatud salvesti külge, siis ei tule valvesüsteemiga korrektseks sidepidamiseks nende porte ümber suunata, piisab ainult salvesti portidest.

Häkkerid ründavad kõige sagedamini vaikeporti 80. Portide vaikenumbrite muutmine muudab nende äraarvamise häkkeritele raskemaks.

Selle valiku aktiveerimine ruuteris võimaldab määrata konkreetsed aadressid (võrgus IP- või füüsiline MAC-aadress) usaldatud seadmetele, mida me volitame oma seadmega kaugsuhtlema.

Turvaline pilv tagab selles pilvele töötavale seadmele korraliku turvalisuse.

Kliendi rakenduste puhul ärge kasutage automaatset sisselogimise funktsiooni, eriti siis, kui arvutit kasutab mitu inimest. Kasutajatunnus ja parool peavad olema ka unikaalsed. Identsete paroolide kasutamine erinevates teenustes ja erinevates kontodes kujutab ennast ohtu, kui privaatsed andmed peaksid lekkima või need varastatakse. Need on täiendavad sammud, mida saab teha turvalisuse tõstmiseks ja volitamata isikute juurdepääsu takistamiseks. Kui süsteemi kasutab palju inimesi, siis tehke kindlaks, kas kõigil olemas ainult endi ülesannete täitmiseks vajalikud volitused (ja mitte kõrgemad kui vaja).

Valvesüsteemi seadmed peavad paiknema eraldi võrgus, milles pole teisi seadmeid, millel on vaba juurdepääs Internetile. Tegemist on volitamatu juurdepääsu vastu mõjuva meetmega. Kui pole võimalik luua füüsiliselt eraldatud võrku, siis tuleb luua paigaldises juba olemasolevatest IP-aadressidest erinev alamvõrk (nt 10.10.10.xxx ja muuta alamvõrgumask kitsamaks, näiteks 255.255.255.0). Sellisele võrgule juurdepääsemiseks tuleb kasutada eraldi ruuterit, mis suunab ümber ühendused võrkude vahel.

Püsivara versiooni ja uuendamise võimalikkust tuleb pidevalt kontrollida. Uusim tarkvara parandab eelmistes versioonides esinenud vead/nõrkused ning seega tõstab seadme turvalisust.

Paljud võrgupõhised videokaamerad ja salvestid sisaldavad HTTPS side võimalust koos SSL-i kasutamisega. Selle aktiveerimisel kodeeritakse seadmetevaheline side, mis ennetab näiteks parooli varastamist ühenduse loomisel.

Alati tasub tutvuda seadme dokumentatsiooniga. Tänu sellele saate teada seadme funktsioonide kohta ja millised neist on vaikimisi aktiveeritud. Soovitatav on kasutada lähenemist, mille kohaselt tuleb deaktiveerida kõik funktsioonid, mille vajalikkuses ei olda kindlad. Kui ei kasutata selliseid protokolle nagu UPnP, SNMP või MULTICAST, siis tuleb need deaktiveerida

Kui esineb kahtlus, et süsteemi on volitamata sisenetud, siis võivad olla abiks süsteemi logid, mis annavad infot (logimise kuupäev, IP-aadress, kasutatud funktsioonid).

Samuti tuleb mainida, et salvesti peab paiknema kaitstud ruumis, millele ei ole volitamata isikutel füüsilist juurdepääsu (karbid, RACK-kapid, serveriruumid).

Kui valvesüsteemi paigaldajad järgivad ülaltoodud turvareegleid, siis aitab see luua turvalisema süsteemi; kasutaja silmis on paigaldaja professionaalsuse parim näitaja turvaline ja lihtsalt toimiv süsteem.