Видеонаблюдение: архитектурные ошибки в сетях видеонаблюдения, и как ими пользуются злоумышленники

Когда руководство компании решает установить систему видеонаблюдения, в головах у большинства возникает следующая картина: вешаются камеры, подключаются к видеорегистратору, просмотр записей при необходимости.

Но проблема здесь начинается в тот момент, когда мы осознаём, что современная IP-камера — это полноценный сетевой компьютер. У неё есть процессор, операционная система, сетевой стек, веб-сервер и иногда даже возможность запускать какой-то софт. И в большинстве случаев она подключается к той же физической сетевой инфраструктуре, по которой ходит весь корпоративный трафик: бухгалтерия, 1С, почта, файловые серверы.

Это и есть первая и самая фундаментальная архитектурная ошибка — воспринимать систему видеонаблюдения аналоговую, а не как часть общей информационной инфраструктуры с соответствующими рисками.

Давайте разберём, какие именно риски существуют, как ими пользуются злоумышленники и что с этим делать.

Выгода злоумышленника и ущерб бизнеса

Прежде чем говорить об атаках, стоит понять — зачем вообще кому-то нужен доступ к вашим камерам.

Во-первых, для разведки. Охраняемые объекты, склады, серверные комнаты, зоны ограниченного доступа — всё это обычно покрывается камерами именно потому, что там происходит что-то важное. Злоумышленник, получивший доступ к системе видеонаблюдения, видит: маршруты персонала и охраны, расположение ключевых помещений, режим работы сотрудников, слепые зоны камер, процедуры доступа. Примером использования таких методов в банковской среде может стать кража денежных средств в процессе их инкассации.

Во-вторых, для промышленного шпионажа. На производственных предприятиях камеры часто смотрят на технологические линии, встречи руководства в переговорных комнатах, производственные и другие процессы, которые должны оставаться в тайне. В таких условиях нахождение интересанта для такой информации может быть только вопросом времени.

В-третьих, данные для социальной инженерии. Наблюдая за поведением сотрудников, их привычками, распорядком дня и коммуникациями (если камера стоит в зоне, где видны экраны или слышны разговоры), можно подготовить точечную атаку на конкретного человека.

В-четвёртых – для входа в корпоративную сеть. Это, пожалуй, самое недооцениваемое последствие. Скомпрометированная камера, это не просто глаза и уши в ваших стенах. Это узел внутри вашей сети, с которого можно продолжать дальнейшую атаку.

Как злоумышленники получают доступ к камерам

IPv6 и проброшенные порты

Многие IT-администраторы тщательно настраивают NAT и правила межсетевого экрана для IPv4 — и совершенно забывают про IPv6. Современные провайдеры всё активнее раздают IPv6-адреса, и если коммутатор или маршрутизатор транслирует этот префикс во внутреннюю сеть, каждое устройство — включая IP-камеру — получает глобально маршрутизируемый адрес.

При этом межсетевой экран на IPv6-трафик просто не настроен. В итоге камера становится напрямую доступна из любой точки мира. Но иногда и в этом нет необходимости, когда доступ к камерам по тем или иным причинам пробрасываются в публичную сотрудниками самостоятельно.

Дальше всё банально: большинство бюджетных IP-камер поставляются с дефолтными учётными данными типа admin/admin, admin/12345 или вообще без пароля. Списки дефолтных паролей для популярных марок — Hikvision, Dahua, Reolink, Uniview – присутствуют в открытом доступе.

Поисковики вроде Shodan.io индексируют устройства с открытыми портами, включая веб-интерфейсы камер. Достаточно вбить соответствующий запрос, и перед вами – миллионы публично доступных камер по всему миру, в том числе российских.

Например, на данный момент в shodan.io проиндексировано более 2 182 338 камер видеонаблюдения из которых более 9000 доступны по российским IP адресам.
Существуют и специализированные агрегаторы вроде Insecam, которые собирают трансляции с камер без аутентификации и отображают их в открытом доступе. Склады, офисы, магазины, парковки — всё это можно наблюдать в реальном времени совершенно легально с точки зрения технологии, но явно не с точки зрения здравого смысла владельцев.

Китайские камеры и «облачный» доступ

Отдельного разговора заслуживают камеры с функцией P2P-доступа через облако производителя — преимущественно китайского происхождения.

Схема работает так: камера при включении сама устанавливает исходящее соединение с сервером производителя в интернете. Через это соединение можно смотреть видео из мобильного приложения или веб-интерфейса.

С пользовательской точки зрения это удобно: не нужно настраивать NAT, к тому же кажется, что если нет входящего трафика, то и нет угрозы. Но с точки зрения киберрисков — это постоянный исходящий тоннель из вашей локальной сети наружу, который никто не контролирует.

Вопросы, которые стоит задать в этой ситуации:

• Куда именно подключается камера? На чьи серверы? На арендованные VPS неизвестного происхождения? Можем ли гарантировать безопасность данных на нем?
• Доверяем ли мы прошивке этой камеры? Можем ли мы гарантировать что в ней нет уязвимостей?
• Шифруется ли трафик, идущий в другую страну? Проверяются ли сертификаты?
• Кто имеет доступ к этому облачному серверу и к данным, которые через него проходят?
• Обновляется ли прошивка камеры? Были ли в ней критические уязвимости?
• Доверяете ли вы владельцу облачных серверов, на которые происходит трансляция аудио и видео потока.

На большинство этих вопросов честный ответ — «не знаем».
А ряд производителей бюджетных камер был уличён в том, что их устройства действительно отправляли данные на серверы в КНР без ведома пользователей.

NVRкак цель, видеорегистратор с уязвицмостями

Сетевой видеорегистратор (NVR) — сердце системы видеонаблюдения. Он хранит записи, управляет камерами, часто имеет веб-интерфейс для удалённого просмотра. И почти всегда работает на устаревшем Linux с прошивкой, которую никто не обновлял годами.

История CVE для популярных NVR-устройств Hikvision и Dahua насчитывает десятки серьёзных уязвимостей: RCE без аутентификации, обход авторизации, захардкоженные пароли. Некоторые из них позволяли получить полный контроль над устройством одним HTTP-запросом.

Если NVR доступен из интернета или из корпоративной сети — он является полноценной точкой атаки. Скомпрометированный регистратор даёт злоумышленнику и видеоархив, и потенциальный плацдарм для дальнейшего движения по сети.

Физический доступ к инфраструктуре

Камеры не редко питаются через PoE и подлючены витой парой к коммутатору. Сам коммутатор часто стоит в небольшом шкафу где-нибудь в коридоре, без контроля доступа. NVR нередко стоит там же или вообще на открытой полке в охранной будке.

Физический доступ к NVR — это в большинстве случаев полный доступ к видеоархиву. USB-порт, загрузка с внешнего носителя, сброс пароля — стандартный набор для устройств без защиты загрузчика.

Пентестерский кейс: как сеть видеонаблюдения стала входной точкой

Рассмотрим реальный сценарий из практики. Компания проводит пентест внутренней инфраструктуры. Специалиста помещают в переговорную комнату: ноутбук, несколько сетевых розеток. На розетках включена технология контроля доступа по MAC-адресу (802.1X или статический port security) — подключить чужое устройство нельзя, MAC неизвестен, а узнать его негде.

В углу комнаты висит IP-камера видеонаблюдения, которая, разумеется, наблюдает за происходящим.

Пентестер отключает камеру от розетки и подключает туда свой ноутбук. Сегмент видеонаблюдения оказывается без какого-либо контроля доступа — IT-команда просто не предусматривала такого сценария. Зачем защищать розетку если туда подключается только камера.

Итог: пентестер получает доступ к сетевому сегменту, из которого открыт путь к NVR, а оттуда к серверному сегменту. Цель достигнута без единого эксплойта.

Может показаться что такой случай возможен только в случае контролируемого пентеста, ведь неработающую камеру сразу же заметят. Но в случае реальной атаки – никто не мешает подключить вместо ноутбука компактный wi-fi роутер с микро-коммутатором на 2 порта. Связь с камерой будет восстановлена за секунды, а подключиться к такой точке доступа находясь в кафе за соседней стеной (или на парковке за окном) будет куда комфортнее чем в офисе под потолком.

Ещё несколько показательных сценариев:

ARP-спуфинг из сегмента камер.

Если сеть видеонаблюдения физически или логически не отделена от корпоративной, злоумышленник, попавший в сегмент камер, может проводить ARP-спуфинг и перехватывать трафик других устройств в том же широковещательном домене. Включая аутентификационные данные NTLMv2, которые потом ломаются офлайн.

Камера как точка для горизонтального перемещения.

Скомпрометированная камера на базе Linux — это устройство с процессором, памятью и сетевым доступом. Загрузив на неё инструменты (если позволяет прошивка или есть RCE), атакующий получает постоянную точку присутствия внутри сети, которую крайне сложно обнаружить — ведь камеры никто не мониторит как рабочие станции.

Как правильно выстроить защиту

Свмая надёжная архитектура — это полностью раздельные физические сети. Одна для корпоративной инфраструктуры, другая исключительно для видеонаблюдения. Никаких общих коммутаторов, никаких общих кабельных трасс.

Это дорого и сложно если в СКС не предусмотрено подобное масштабирование заранее. Но если объект проектируется с нуля — это правильный подход для критически важных систем.

VLAN-сегментация

Когда физическое разделение невозможно, VLAN-сегментация становится обязательной, а не опциональной мерой. Причём сегментация должна быть продуманной:

• VLAN для камер — только камеры, никаких других устройств.
• VLAN для NVR — только регистраторы и сервера видеоархива.
• VLAN для операторов — рабочие места сотрудников безопасности, которым нужен доступ к системе наблюдения.

Между этими сегментами трафик должен ходить через межсетевой экран или коммутатор с явно прописанными правилами. Не «разрешить всё», а конкретно: камеры могут отправлять видеопоток на NVR по определённому порту, операторы могут подключаться к NVR по определённому протоколу — и ничего более. Исходящий трафик в сегменты локальной сети и уж тем более в интернет должен быть запрещён.

В 99% случаев системе видеонаблюдения не нужен доступ в интернет. Ни камерам, ни NVR. Если кто-то говорит, что это нужно для удалённого просмотра — это решаемо через VPN с жёстким контролем доступа, а не через пробросы портов или облачные P2P-сервисы производителя.

Здесь можно сформулировать простое правило — исходящий трафик из сегмента видеонаблюдения в интернет — запрещён по умолчанию. Исключения только через явное разрешение и только для конкретных адресов и сетевых портов (например, сервер синхронизации времени NTP с внутренним сервером времени).

Это автоматически нейтрализует большинство сценариев с китайскими P2P-камерами.

Контроль входящего трафика в сегмент: строго однонаправленно

Из корпоративной сети в сегмент видеонаблюдения — только то, что необходимо и только для авторизованных источников. Доступ к NVR должны иметь только конкретные учётные записи операторов (в крайнем случае рабочие места c фильтрацией по по IP), а не весь корпоративный VLAN.

И категорически нельзя разрешать трафик обратно — из сегмента видеонаблюдения в корпоративную сеть. Особенно если это кажется очень удобным.

Каждый порт коммутатора в сегменте видеонаблюдения должен иметь привязку к MAC-адресу подключённого устройства (или использовать 802.1X). Это напрямую закрывает сценарий по типу «отключил камеру – подключил портативный wi-fi роутер».

Да, придётся фиксировать MAC-адреса всех камер при монтаже и прописывать их в конфигурацию. Это работа. Но эта работа закрывает целый класс атак.

Коммутационные шкафы — на замок. NVR — в закрытом помещении с контролем доступа. Патч-корды в критических точках — с защитой от случайного и намеренного отключения (замки на RJ45, кабельные органайзеры с ключами).

Камеры снаружи здания — в защитных кожухах, устойчивых к вскрытию и замене.

Мониторинг и аномалии

Логи с коммутаторов сегмента видеонаблюдения должны попадать в SIEM или хотя бы регулярно просматриваться. Подключение нового MAC-адреса к порту камеры- это событие, которое должно генерировать алерт.

Исходящие соединения из сегмента видеонаблюдения (если всё же разрешены) — должны мониториться. Любой трафик в неожиданном направлении — повод для внутреннего расследования.

Все камеры и NVR — уникальные сложные пароли. Никаких дефолтных учётных записей. Список учётных данных — в корпоративном менеджере паролей с разграниченным доступом.

Административный доступ к камерам (если таковой необходим) из операторского сегмента — только через выделенный jump-host, а не напрямую.

Уязвимости в прошивках камер и NVR — реальная и задокументированная проблема. Раз в квартал нужно проверять наличие обновлений и применять их. Для критических уязвимостей – немедленно. (Но по факту, как вы понимаете, нужно опираться на модель угроз и степень риска).

Заключение. Контролируйте архитектурные решения, даже те, которые кажутся незначительными

В индустрии кибербезопасности принято говорить, что «безопасность — это процесс». Я предпочитаю уточнять что безопасность — это не один процесс, это процессы, которые реально работают внутри организации каждый день. Не политика на бумаге, не разовый аудит раз в три года, а живые, работающие процедуры: управление изменениями, контроль доступа, мониторинг, реагирование на инциденты.

Система видеонаблюдения — хороший пример того, как легко упустить целое направление из поля зрения. Её устанавливают не ИТ-специалисты, а монтажники из компании-интегратора. ИТ-отдел получает готовый факт: «вот сеть, вот кабели, всё работает». Служба безопасности думает о физической защите, а не о сетевой. В итоге система видеонаблюдения существует в организационной серой зоне и никому конкретно не принадлежит с точки зрения информационной безопасности.

А если самостоятельно разобраться безопасно ли то или иное решение, - лучше не рассчитывать на удачу, а обращаться к компетентным специалистам и организациям, которые помогут разобраться в безопасности того или иного архитектурного решения.

Важно понимать что всегда будут компромиссы и временные решения — это реальность любой инфраструктуры. Временно пробросили сетевой порт во время монтажа и забыли закрыть. Дефолтный пароль оставили до следующего технического обслуживания. P2P-облако включили, потому что директор хотел смотреть камеры с телефона. Это нормально для любой инфраструктуры — ненормально не иметь процессов, которые такие вещи выявляют, расписывают как риски и возможные последствия и поиск альтернативных более безопасных решений.

Если архитектура системы видеонаблюдения складывалась годами, а не проектировалась — скорее всего, в ней есть «слепые» пятна, о которых никто не знает просто потому, что никто не смотрел. Это не повод паниковать, но повод один раз сесть и разобраться: что куда подключено, что куда ходит, и кто за это отвечает. Иногда достаточно часа с диаграммой сети, чтобы найти то, что годами лежало на поверхности.

Контролируйте архитектурные решения. Даже те, которые кажутся незначительными. Потому что злоумышленник на мелочи не смотрит свысока.