Видеонаблюдение и кибербезопасность: как нам быть?

[Никита Смагин]

Скрытые нюансы безопасности CCTV
Когда мы говорим о трендах развития любой отрасли в среднесрочной или долгосрочной перспективе, принципиально важно выявить наиболее уязвимый аспект индустрии – своеобразное «слабое звено», которое препятствует дальнейшему прогрессу и, словно якорь, тянет на дно застоя.
Применительно к видеонаблюдению ахиллесова пята уже давно была найдена: речь о слабом уровне кибербезопасности и подверженности хакерским атакам. Солидарны в осознании серьёзности проблемы эксперты из числа разных представителей рынка CCTV – производители, консультанты, интеграторы и конечные пользователи. Итак, в чём заключается проблема?
Базовая причина всеобщей обеспокоенности – крайне низкий уровень защищённости камер видеонаблюдения и видеорегистраторов от кибератак. Всему виной укоренившаяся практика установления большим числом производителей на CCTV – устройства стандартных пользовательских имён и паролей образца admin/123456. Опасность заключается в том, что они очень легко поддаются хакерскому взлому по методу полного перебора вариантов.
Да-да, полный перебор, или, как его ещё называют, брутфорс, является не только безобидным способом решения математических задач – он давно используется хакерами для взлома шифров и паролей. Разумеется, хакеры предварительно собирают самые часто встречающиеся комбинации пользовательских имён и паролей, вносят их в настройки полного перебора, и поразительно часто добиваются успеха.
Практический вред для пользователей заключается в потере потенциально важных данных с регистраторов или камер, однако угроза более высокого порядка состоит в том, что взломанное устройство может быть «завербовано» хакерами для их собственных целей, включено в состав ботнета и затем использовано в хакерских атаках на различные вебсайты.
Дурным предзнаменованием будущих тревог стала история, всколыхнувшая информационное поле в октябре прошлого года, когда атаке ботнета Mirai подвергся сайт крупного американского оператора DNS Dyn. Было посчитано, что около 25000 регистраторов и камер, заражённых вредоносным оборудованием Mirai, участвовали в так называемой атаке отказа в обслуживании (DoS атака), при которой пользователи не могут получить доступ к серверу, а ПО может выдать часть программного кода.
Впоследствии известный журналист Брайан Кребс, изучающий проблемы кибербезопасности, вычислил, что ботнет Mirai использовал 68 вариантов пользовательских имён и паролей, массово используемых производителями CCTV-устройств. Причём наименее защищёнными оказались регистраторы и камеры производства китайских компаний, таких как Dahua и HiSilicon. Кстати, нападению подвергся и сайт самого Кребса, а некоторые другие попытки аналогичных DoS-атак, хоть и произвели меньший резонанс, но происходили по той же схеме.
Однако нас интересует больше не исторический, а практический аспект, поэтому важно понимать, как же можно предотвратить хакерские взломы. Ответ напрашивается сам собой: если уж производители не озаботились созданием оригинального надёжного пароля, то надо перед началом использования устройства заменить пароль. Действительно, замена пароля защитит от лобового взлома, но, увы, не всё так просто.
Проблема в том, что даже изменение логина и пароля не в состоянии повлиять на системные учётные данные по умолчанию (в англоязычном дискурсе – default credentials), к которым также «прикапывается» вредоносное оборудование. В качестве канала внедрения используется сетевой протокол для реализации текстового интерфейса по сети TELNET.
Учитывая, что архитектурой протокола не предусмотрено никакого шифрования и даже не производится элементарная проверка подлинности данных, возможности для атак с удалённого доступа лежат на поверхности. Алгоритм хакерской атаки в данном случае сводится к использованию системных учётных данных по умолчанию через «транспортную беззащитность» протокола TELNET, что в конечном счёте позволяет с тем же успехом войти в учётную запись, что и при взломе пароля.
Очевидно, что «масштаб бедствий» не даёт пользователю возможности справиться с проблемой самостоятельно, а значит, ответственность за решение задачи пора бы делегировать производителям. И вот если взглянуть на ситуацию через призму вовлечённости производителей, то… радоваться, увы, пока нечему.
Уже было сказано, что производители CCTV-устройств вообще, и азиатские производители особенно, не утруждают себя ни установкой надёжных паролей, ни уж тем более установлением тесного партнёрства с компаниями, занимающимися кибербезопасностью. Бездействие привело к тому, что случаи массового «заражения» CCTV-оборудования конкретного производителя ведут к его репутационным издержкам, однако аналогичные инциденты у разных производителей, на самом деле, ещё опаснее.
Не секрет, что видеонаблюдение как объект внимания находится на задворках повестки дня среднестатистического обывателя. Массовый интерес к CCTV и так в разы меньше, чем, скажем, к автоиндустрии, а неблагоприятный информационный фон наподобие взлома вебсайта Dyn может дополнительно усугубить ситуацию: в общественном мнении сложатся стереотипы о CCTV-устройствах как о ненадёжных и не нужных.
Осознав глобальное значение угрозы, производители оборудования для видеонаблюдения наверняка предпримут меры к исправлению положения – ведь это в их же интересах. Наиболее комплексным, но в то же время и сложным в реализации шагом видится сотрудничество с компаниями, специализирующимися на кибербезопасности. Однако не стоит забывать, что весомую часть рисков можно устранить в зародыше с помощью установки надёжных паролей.

[dimonster]

Вооооот такая простыня сводится к следующему:
1) поменяй пароли с дефольных на свои
2) закрой доступ по телнету
А то твой регик превратится в бота.

[Sergiodemaster]

2) закрой доступ по телнету

2) Не используй телнет, используй ssh
3) Не выставляйся наружу без фаервола

[EasyCam]

либо вообще не подключай к сети систему видеонаблюдения

[ALEX_SE]

Самое эффективное.
Но потом придем к косякам NVR и клиентского софта а там их не меньше чем на камерах.

Вообще очень мало кто в системах безопасности (я имею в виду производителей/интеграторов) хоть какое-то внимание на это обращает.

[NeiroN]

Нужно внедрять политику: "Отдельный пароль на каждое устройство" и чтобы софт был интегрирован с ситемой авторизации UNIX, а то на практике имеем софт с одним паролем, операционная система устройства с другим и они никак не связанны, и пароль операционной системы жестко зафиксирован производителем.

Можно конечно вскрывать прошивки и менять вручную - но это неправильный подход.

Во вторых прошивки устройств имеют большое число уязвимостей