TopTechninis žodynasĮsilaužėlių atakos į tinklines monitoringo sistemas.

Įsilaužėlių atakos į tinklines monitoringo sistemas.

Pagrindinė monitoringo sistemos užduotis yra saugumo užtikrinimas išsaugojant pagrindines privatumo taisykles, ar įmonės paslaptį, monitoruojamo objekto. Gerai suprojektuota ir suderinta sistema pildys savo pagrindinę užduotį, tik tuomet, kaip pati bus taip tinkamai apsaugota ir prižiūrima, t.y. tinkamai suderinta darbui, ypatingai jeigu kalba apie darbą tinkle su prieiga į internetą.

 

Paskutiniu metu pastebime įsilaužėlių atakų į autonominius saugumo sistemų įrenginius padidėjimą, tokius kaip IP kameros, registratoriai (DVR, NVR) veikiantys tinkle. Labai daug įrenginių tampa atakos aukomis, todėl kad nekreipiama dėmesio ir nėra svarbus saugumo užtikrinimas, susijęs su jo saugumo suderinimu darbui tinkle. Reikšmingas taip pat yra prieigos įrenginiai (pvz. maršrutizatorius) vietinio tinklo įvestyje su pajungta stebėjimo sistema, kurie teikia prieigą į šią sistemą iš plataus interneto tinklo.

 

1 pieš. Įsilaužimo programa tik laukia, kaip išnaudoti laisvę erdvę jūsų sistemoje...

 

Daugelyje atveju, programišių valdymo įrenginiu priežastimi nėra klaida, ar skylė įmonės programinės įrangos saugume, bet palikimas įsilaužėliui "atvirų durų", tokių kaip numatyta apsaugos konfigūracija, tai reiškia jos trūkumas.

 

IP kameros prijungtos prie interneto atveju (suderintos, kad būtų matoma internete), tokiu atveju neįgaliotas asmuo gauna prieigą į vaizdo iš kameros srautą ir jos konfigūracijai. Pavyzdys, esantis visiems įspėjimu tai internetinis puslapis www.insecam.org, kurio kūrėjams visai nereikėjo įsilaužti į įrenginį.

 

2 pieš. Neapsaugojote savo kameros - Tave gali stebėti visas pasaulis!

 

Pakanka įrašyti skriptą išieškantį internete interneto kamerų IP adresus, o vėliau patikrinti ar yra galima į jas prieiga, panaudojant numatytą prisijungimo vartotojo vardą ir gamintojo slaptažodį (kokį turime nustatytą fabrikiniu būdu, po įrangos pirkimo). Teigiamu atveju, vaizdas iš tokios kameros, yra patalpintas jų puslapyje, be savininko žinios. Pasirodo, kad yra tūkstančiai neapsaugotų stebėjimo kamerų visame pasaulyje, įmonėse, sandėliuose, parduotuvėse, o taip pat privačiuose namuose. Pakanka, po kameros pirkimo, jos konfigūravimo metu, pakeisti numatytą slaptažodį prieš pateikiant prieigą internete, o kameros vaizdas nebūtų paviešinamas tame puslapyje (visa laimė konfigūracijos pakeitimas ir slaptažodžio nustatymas pašalina kamerą iš to puslapio).

 

Vis daugiau įsilaužimo atakų vyksta į CCTV registratorius, veikiančius monitoringo sistemose. Atakos dažnai priveda prie defekto atsiradimo, kuri pasižymi įrenginio atminties išvalymu arba pažeidimu. Įrašymas į įrengimą kenkimo programinės įrangos (viruso) gali jį pakeisti į robotą, vykdančio ataką į kitas kompiuterines sistemas arba mašinas, skirtas kažkokiam tikslui (pvz. Bitcoin eskavatorius). Kiekvienas registratorius, tai specializuotas video medžiagų įrašymo kompiuteris vienos sistemos, taigi įrengimas yra potencialia įranga, kuri gali būti naudojama tinkle kaip "zombie" įvairiems tikslams.

 

3 pieš. Registratoriaus plokštelė. Registratorius, tai pilnai veikiantis vienos sistemos kompiuteris, skirtas nustatytam tikslui.

 

Įsilaužimo programinė įranga, arba įrengimą atakuojantis virusas gali išnaudoti ne tik viešai žinomą numatytų slaptažodžių žinojimą, bet taip pat bandyti įsibrauti į įrengimą per taip vadinamus silpnus slaptažodžius, jeigu pavyzdžiui numatytas slaptažodis "admin", pakeičiame į "admin1", tai iš tikrųjų nepagerina mūsų saugumo, nes tai yra atakuojančio numatyta situacija. Dar kitas reikalas, tai serviso slaptažodžiai, kuriami gamintojo, skirti įrengimo kritiškam atblokavimui, kaip pavyzdžiui vartotojas pamirš slaptažodį. Tie slaptažodžiai, kai pateks į nepageidaujamas rankas, ar dar blogiau jei yra jų, kokiu nors būdų generavimo galimybė, kelia grėsmę, kurią gali panaudoti atakuojantis asmuo (t.y. "galinės durys" ang. "backdoor").

 

Todėl išskyrus registratoriaus konfigūraciją, labai svarbus yra nustatyto tinklo, kuriame veikia sukūrimas, tinkama saugumo atžvilgiu prieigos įrengimų konfigūracija prie to tinklo (DMZ funkcijos nenaudojimas - demilitarizuota zona - teikianti įrenginio prieigą be apribojimų, numatytų komunikacijos portų pakeitimas, adresų filtravimo įjungimas) o taip pat naujausios programinės įrangos įrenginiuose instaliavimas,kuri sandarina visus pranešamus netinkamumus ir didina įrengimų saugumo lygį.

 

Svarbu yra laikytis žemiau pateiktų taisyklių:

 

  • Nustatykite / pakeiskite numatytą slaptažodį į stipresnį (nerekomenduojami slaptažodžiai tipo "admin1", "111111", "123456" ir t.t.). 

    		•

    Slaptažodis turėtų būti sunkiai atspėjamas, su įvairiais ženklais ir skaičiais. Prieigą į slaptažodžius turėtų turėti tik įgalioti vartotojai. Šioje vietoje reikia apmąstyti reguliaraus slaptažodžių pakeitimo galimybę, o tai yra papildoma apsauga nuo jų atspėjimo (įgalioto asmens pakeitimas, konfidencialių duomenų atskleidimas). Taip pat verta atkreipti dėmesį į Onvif įgaliojimus. Kai kuriuose kamerų modeliuose, nors ir buvo pakeisti sistemos slaptažodžiai reikia atskirai pakeisti Onvif paskyros slaptažodį.

     

  • Nenaudokite DMZ funkcijos maršrutizatoriuje – jeigu būtina – perduokite tik tuos portus, kurie yra būtini tinkamam sujungimo suderinimui. 

    		•

    DMZ, tai taip vadinama demilitarizuota zona, jeigu patalpinsime mūsų įrengimą šioje maršrutizatoriaus zonoje, tuomet suteikiame prieigą iš išorinio tinklo į visus portus, kurie yra atviri numatytoje mūsų įrengimo konfigūracijoje (įrengimas yra patalpintas už maršrutizatoriaus užtvaro). Yra tai labai pavojinga, todėl, kad dauguma konfigūracijų turi atidarytą numatytu būdu TELNET portą, kuris daugumoje yra išnaudojamas įrengimų atakoms. Maršrutizatoriuje reikia tik perteikti portus būtinus komunikacijai su įrengimu (HTTP, TCP). Negalima taip pat perteikti plačių portų apimčių, tik konkrečius reikalavimus, būtinus nustatytų funkcijų vykdymui. Verta taip pat atkreipti dėmesį, jeigu tinklo kameros yra prijungtos prie registratoriaus, tai tinkamai komunikacijai su monitoringo sistema nereikia perteikti jų portų, pakanka perteikti tik registratoriaus portus.

     

  • Pakeiskite numatytus portus HTTP, TCP, UDP (prieinamų portų apimtis 10000-65535). 

    		•

    Dažniausiai atakuojamas programišių yra numatytas portas 80. Portų numatytų numerių pakeitimas sunkina tretiems asmenims jų atspėjimą.

     

  • Įjunkite IP filtrą / MAC jeigu tai įmanoma. 

    		•

    Šios parinkties įdiegimas maršrutizatoriuje teikia konkrečių adresų nurodymą (IP tinklo arba MAC fizinių) patikimų įrengimų, kuriems leidžiame susijungti su mūsų įrengimu nuotoliniu būdu.

     

  • Naudokite DEBESĮ. 

    		•

    Saugus debesys užtikrina saugią veikiančio joje įrengimo apsaugą.

     

  • Racionaliai valdykite paskyras - nenaudokite tų pačių nustatymų / slaptažodžių visoms instaliacijoms. 

    		•

    Klientų programinės įrangos atveju, negalima naudoti automatinio prisijungimo funkcijos, ypatingai kai kompiuteriu naudojasi daug asmenų. Vartotojo pavadinimas ir slaptažodis turėtų būti taip pat unikalūs. Tų pačių slaptažodžių naudojimas įvairioms paslaugoms, įvairiose paskyrose sudaro grėsmę privačių duomenų iš vienos iš jų paskleidimo arba pavogimo atveju. Yra tai sekantys žingsniai dėl saugumo padidinimo ir prieigos apsauga pašaliniams asmenims. Jeigu sistema naudojasi daugelis asmenų, įsitikinkite ar kiekvienas iš jų turi įgaliojimus, atitinkančius jų vykdomoms užduotims (ne didesni negu reikalaujama).

     

  • Kurkite dedikuotus tinklus CCTV instaliacijoms. 

    		•

    Monitoringo sistemos įrengimai turėtų būti atskiriame tinkle, kuriame nėra kitų įrengimų su laisva prieiga į ir iš interneto. Yra tai apsaugos elementas nuo prieigos be įgaliojimų. Jeigu nėra fiziškai atskiro tinklo sukūrimo galimybės, sukurkite potinklį su skirtinga IP adresų grupe negu yra šioje instaliacijoje 10.10.10.xxx ir sumažinkite potinklio mazgus (pvz. 255.255.255.0). Prieiga į paskirtą tokiu būdu potinklį suteiks papildomą maršrutizatorių kuris nukreips sujungimus tarp tinklų.

     

  • Instaliuokite naujausias programines įrangas. 

    		•

    Visada reikia patikrinti versiją ir įrangos programos atnaujinimo galimybę (firmware). Naujausia programinė įranga didina įrengimo saugumo lygį dėl eventualių defektų, surastų ankstesnėse versijose pašalinimo.

     

    Daugelis kamerų ir tinklo registratorių turi taip pat įmontuota HTTPS komunikacijos parinktį su SSL išnaudojimu. Jos įjungimas teikia informacijos tarp įrengimų šifravimo galimybę, saugo nuo slaptažodžio jungtyje slapto įrašymo.

    Visada verta susipažinti su įrengimo dokumentacija. Tai teikia galimybę susiorientuoti kokios yra prieinamos funkcijos, kokios funkcijos yra numatytos ir įjungtos. Geriausiai taikyti būdą, kuris pasižymi visų funkcijų išjungimu, kurių naudojimo neesame tikri. Jeigu nenaudosime tokių protokolų kaip UPnP, SNMP, MULTICAST reikia juos išjungti.

    Atveju, kai bus įtariama, kad įvyko neteisėta prieiga į mūsų sistemą, pagelbėti gali sisteminis prisijungimas, kurie padės nustatyti tam tikras informacijas (prisijungimo data, IP adresas, įdiegiamos funkcijos).

    Pabaigoje verta paminėti, kad registratorius, turėtų būti vietoje, saugojamoje patalpoje, nesuteikianti prieigos pašaliniams asmenims (skrynios, Rack spintos, serveravimas).

     

    Aukščiau pateiktų saugumo taisyklių monitoringo sistemos montuotojų laikymasis būtinai suteiks saugios sistemos sukūrimą, o vartotojų nuomone saugus ir be problemų sistemos darbas, tai geriausia montuotojo, kaip tikro eksperto rekomendacija.