TopSłownik technicznyAtaki hakerskie na sieciowe systemy monitoringu.

Ataki hakerskie na sieciowe systemy monitoringu.

Podstawowym zadaniem systemu monitoringu jest zapewnienie nam bezpieczeństwa z zachowaniem podstawowych zasad prywatności, czy też tajemnicy firmy, monitorowanego obiektu. Dobrze zaprojektowany i skonfigurowany system będzie spełniał swoje podstawowe zadanie tylko wtedy, gdy sam będzie również właściwie zabezpieczony i chroniony, czyli odpowiednio skonfigurowany do pracy, zwłaszcza jeżeli chodzi o pracę w sieci z dostępem do Internetu.

 

W ostatnim okresie obserwujemy nasilenie ataków hakerskich na autonomiczne urządzenia systemów bezpieczeństwa, takie jak kamery IP, rejestratory (DVR, NVR) pracujące w sieci. Bardzo wiele urządzeń pada ofiarami ataku, ponieważ pomijane lub lekceważone są kwestie bezpieczeństwa związane z konfiguracją ich zabezpieczeń do pracy w sieci. Nie bez znaczenia pozostaje również konfiguracja urządzeń dostępowych (np. routera) na wyjściu sieci lokalnej z podłączonym systemem monitoringu, które umożliwiają dostęp do tego systemu z rozległej sieci Internetu.

 

Rys. 1. Oprogramowanie hakerskie tylko czeka, aby wykorzystać lukę w twoim systemie...

 

W wielu przypadkach przyczyną opanowania urządzenia przez hakera nie jest błąd, czy też dziura w zabezpieczeniach oprogramowania firmowego, ale pozostawienie włamywaczowi „otwartych drzwi” w postaci domyślnej konfiguracji zabezpieczeń, czyli w zasadzie ich braku.

 

W przypadku kamery IP podłączonej do Internetu (skonfigurowanej, aby była widoczna w Internecie), nieupoważniona osoba uzyskuje w takiej sytuacji dostęp do strumienia obrazu z kamery oraz jej konfiguracji. Przykładem, będącym ostrzeżeniem dla wszystkich może być strona www.insecam.org, której twórcy wcale nie musieli się włamywać na urządzenia.

 

Rys. 2. Nie zabezpieczyłeś swojej kamery – może oglądać Cię cały świat!

 

Wystarczyło napisać skrypt wyszukujący w Internecie adresy kamer internetowych, a następnie sprawdzić czy możliwy jest do nich dostęp przy użyciu domyślnego loginu użytkownika i hasła producenta (jaki mamy ustawiony fabrycznie po zakupie sprzętu). W przypadku pozytywnym, obraz z takiej kamery zostaje umieszczony na ich stronie, bez wiedzy właściciela. Okazuje się, że są tysiące niezabezpieczonych kamer monitoringu na całym świecie, w firmach, magazynach, sklepach, a także w prywatnych domach. Wystarczyłoby po zakupie kamery, w trakcie jej konfiguracji, zmienić tylko domyślne hasło przed udostępnieniem w sieci, a obraz z kamery nie zostałby upubliczniony na tej stronie (na szczęście zmiana konfiguracji i ustawienie hasła usuwa kamerę z tej strony).

 

Coraz więcej ataków hakerskich ma również miejsce na rejestratory CCTV pracujące w systemach monitoringu. Ataki często powodują wystąpienie usterki polegającej na wyczyszczeniu lub uszkodzeniu pamięci urządzenia. Wgranie do urządzenia złośliwego oprogramowania (wirusa) może je zamienić w robota dokonującego ataku na inne systemy komputerowe lub maszynę przyporządkowaną do jakiegoś celu (np. w koparkę Bitcoinów). Każdy rejestrator to przecież wyspecjalizowany do zapisu materiałów wideo komputer jedno-płytkowy, a więc urządzenie jest potencjalnym zasobem sprzętowym, który może być wykorzystany przez sieć jako „zombie” do różnych celów.

 

Rys. 3. Płyta rejestratora. Rejestrator to w pełni funkcjonalny komputer jedno-płytkowy, dedykowany do określonego celu.

 

Oprogramowanie hakerskie, bądź wirus atakujący urządzenie może wykorzystać nie tylko powszechną znajomość haseł domyślnych, ale także próbować dostać się do urządzenia poprzez tzw. słabe hasła, jeżeli na przykład domyślne hasło „admin” zmieniamy na „admin1”, to tak naprawdę, nie zwiększa to naszego bezpieczeństwa, bo jest to sytuacja przewidywana przez atakującego. Jeszcze inna sprawa to hasła serwisowe, tworzone przez producentów w celu krytycznego odblokowania urządzenia, gdy na przykład użytkownik zapomni hasła. Hasła te gdy dostaną się w niepowołane ręce, albo co gorsze gdy można je w jakiś sposób wygenerować, stanowią zagrożenie, które może wykorzystać atakujący (tzw. „tylne drzwi” z ang. „backdoor”).

 

Dlatego oprócz konfiguracji samego rejestratora, bardzo ważne jest stworzenie dedykowanej sieci w której on pracuje, właściwa od strony bezpieczeństwa konfiguracja urządzeń dostępowych do tej sieci (nie używanie funkcji DMZ – strefa zdemilitaryzowana – dającej dostęp bez ograniczeń do urządzenia, zmiana domyślnych portów komunikacyjnych, włączenie filtrowania adresów) oraz instalacja najnowszego oprogramowania sprzętowego w urządzeniach, które uszczelnia wszelkie zgłaszane nieprawidłowości i podnosi poziom bezpieczeństwa urządzeń.

 

Ważne jest zatem przestrzeganie poniższych zasad:

 

  • Ustaw / zmień domyślne hasło na silniejsze (nie zaleca się haseł typu „admin1”, „111111”, „123456” itp.). 

  • Hasło powinno być trudne do odgadnięcia, zawierać różne znaki i cyfry. Dostęp do haseł powinni mieć tylko upoważnieni użytkownicy. Należy w tym momencie rozważyć również możliwość regularnej zmiany haseł, co jest dodatkowym zabezpieczeniem przed ich odgadnięciem (zmiana upoważnionego pracownika na stanowisku, wyciek poufnych danych). Warto również zwrócić uwagę na uprawnienia Onvif. W niektórych modelach kamer pomimo zmiany haseł systemowych należy oddzielnie zmienić hasło dla konta Onvif.

     

  • Nie używaj funkcji DMZ w routerze – jeśli musisz – przekieruj tylko te porty, które są wymagane do prawidłowego zestawienia połączenia. 

  • DMZ to tak zwana strefa zdemilitaryzowana, jeżeli umieścimy nasze urządzenie w tej strefie routera wówczas dajemy dostęp z sieci zewnętrznej do wszystkich portów jakie są otwarte w konfiguracji domyślnej naszego urządzenia (urządzenie jest umieszczone poza zaporą routera). Jest to bardzo niebezpieczne ponieważ większość konfiguracji ma otwarty domyślnie port TELNET, który w większości jest wykorzystywany do ataków na urządzenia. Na routerze należy przekierować tylko porty niezbędne do komunikacji z urządzeniem (HTTP, TCP). Nie należy też przekierowywać szerokich zakresów portów, tylko konkretne wymagane do realizacji określonych funkcji. Warto również zwrócić uwagę, że jeżeli kamery sieciowe mamy podłączone do rejestratora, to do poprawnej komunikacji z systemem monitoringu nie musimy przekierowywać ich portów, wystarczy przekierować tylko porty rejestratora.

     

  • Zmień porty domyślne HTTP, TCP, UDP (zakres dostępnych portów 10000-65535). 

  • Najczęściej atakowanym przez hakerów jest domyślny port 80. Zmiana numerów domyślnych portów utrudnia ich odgadnięcie przez osoby trzecie.

     

  • Włącz filtr IP / MAC o ile to możliwe. 

  • Uruchomienie tej opcji w routerze pozwala na wskazanie konkretnych adresów (sieciowych IP lub fizycznych MAC) zaufanych urządzeń, którym pozwalamy na zdalne połączenie z naszym urządzeniem.

     

  • Korzystaj z CHMURY. 

  • Bezpieczna chmura zapewnia bezpieczną ochronę urządzenia działającego w niej.

     

  • Racjonalnie zarządzaj kontami – nie stosuj tych samych ustawień / haseł do wszystkich instalacji. 

  • W przypadku aplikacji klienckich nie należy używać funkcji automatycznego logowania, zwłaszcza gdy z komputera korzysta wiele osób. Nazwa użytkownika i hasło powinny być również unikatowe. Stosowanie tych samych haseł dla różnych usług, na różnych kontach stwarza zagrożenie w przypadku wycieku lub kradzieży danych prywatnych na jednym z nich. Są to kolejne kroki dla podniesienia bezpieczeństwa i utrudnienia dostępu dla osób niepowołanych. W przypadku obsługi systemu przez wielu użytkowników, upewnij się czy każdy z nich posiada uprawnienia adekwatne do swoich zadań (nie większe niż wymagane).

     

  • Twórz dedykowane sieci dla instalacji CCTV. 

  • Urządzenia systemu monitoringu powinny znajdować się w wydzielonej sieci w której nie ma innych urządzeń o swobodnym dostępie do i z Internetu. Jest to element ochrony przed nieautoryzowanym dostępem. Jeśli nie ma możliwości stworzenia fizycznie oddzielnej sieci, stwórz podsieć z inną pulą adresów IP niż obecne w instalacji (np. 10.10.10.xxx i zawęź maskę podsieci do np. 255.255.255.0). Dostęp do wydzielonej w ten sposób podsieci umożliwi dodatkowy router, który przekieruje połączenia między sieciami.

     

  • Instaluj najnowsze oprogramowanie. 

  • Zawsze należy sprawdzać wersję i możliwość aktualizacji oprogramowania sprzętowego (firmware). Najnowsze oprogramowanie podnosi poziom bezpieczeństwa urządzenia w wyniku usunięcia ewentualnych usterek znalezionych w poprzednich wersjach.

     

    Wiele kamer i rejestratorów sieciowych posiada również wbudowaną opcję komunikacji HTTPS z wykorzystaniem SSL. Jej włączenie umożliwia zaszyfrowanie komunikacji między urządzeniami, uniemożliwiając na przykład podsłuchanie hasła na łączu.

    Zawsze warto zaznajomić się z dokumentacją urządzenia. Pozwala to nam zorientować się jakimi funkcjami ono dysponuje, jakie funkcje są domyślnie włączone. Najlepiej zastosować podejście polegające na wyłączeniu wszystkich funkcji, których wykorzystania nie jesteśmy pewni. Jeżeli nie będziemy używać takich protokołów jak np. UPnP, SNMP, MULTICAST należy je wyłączyć.

    W przypadku zaistnienia podejrzenia, że wystąpił nieautoryzowany dostęp do naszego systemu, pomocne mogą okazać się logi systemowe, które pozwolą na ustalenie pewnych informacji (data logowania, adres IP, uruchamiane funkcje).

    Na koniec warto wspomnieć iż sam rejestrator, powinien również znajdować się w miejscu, pomieszczeniu chronionym uniemożliwiającym dostęp fizyczny osobom niepowołanym (skrzynie, szafy Rack, serwerownie).

     

    Przestrzeganie powyższych zasad bezpieczeństwa przez instalatorów systemów monitoringu pozwoli na pewno na stworzenie bezpiecznego systemu, a w oczach użytkowników bezpieczna i bezproblemowa praca systemu, to najlepsza rekomendacja dla instalatora jako prawdziwego eksperta.

     


    Netto:0.00 USD
    Brutto:0.00 USD
    Waga:0.00 kg
    Szczególnie polecamy
    KAMERA WANDALOODPORNA AHD, HD-CVI, HD-TVI, PAL APTI-H24V3-2812 - 1080p 2.8 ... 12 mm
    APTI-H24V3-2812

    Netto: 45.29 USD

    WTYK BNC-W/SKR-PLAST*P100
    BNC-W/SKR-PLAST*P100

    Netto: 31.71 USD

    SZAFA RACK WISZĄCA EPRADO-R19-4U/450
    EPRADO-R19-4U/450

    Netto: 66.23 USD

    KAMERA AHD, HD-CVI, HD-TVI, PAL APTI-H24C6-2812W - 1080p 2.8 ... 12 mm
    APTI-H24C6-2812W

    Netto: 61.91 USD

    ZASILACZ 12V/5A/5.5*P50
    12V/5A/5.5*P50

    Netto: 483.70 USD

    KAMERA WANDALOODPORNA AHD, HD-CVI, HD-TVI, PAL APTI-H24V3-2812 - 1080p 2.8 ... 12 mm
    APTI-H24V3-2812

    Netto: 45.29 USD

    BEZPRZEWODOWA KLAWIATURA K-37 PARADOX
    K-37

    Netto: 110.38 USD

    SKRĘTKA UTP/K5/305M/ZEL/CON
    UTP/K5/305M/ZEL/CON

    Netto: 0.29 USD

    TRANSFORMATOR WIDEO TR-1D-UHD*P2
    TR-1D-UHD*P2

    Netto: 2.70 USD

     
    60-713 Poznań, Graniczna 10
    tel.: +(48) 61 864 69 60
    e-mail: info@delta.poznan.pl
    Godziny pracy
    Pon.-Piąt.: 8.00 - 19.00
    Sob.: 8.00 - 14.00
    Dział Handlowy, Wysyłki
    tel.: +(48) 61 864 69 69
    e-mail: sklep@delta.poznan.pl
    Wsparcie techniczne
    tel.: +(48) 61 864 69 70
    e-mail: technika@delta.poznan.pl
    (c) 2001-2019 DELTA