CCTV как основа зомби-сетей

Около 90% всех камер видеонаблюдения на объектах малого и среднего бизнеса содержат различные уязвимости, из-за которых система может быть взломана в любой момент. Это утверждение справедливо для всех популярных устройств интернета вещей: роутеров, камер и видеорегистраторов, навигаторов, устройств беспроводного управления и всевозможных датчиков. Рассмотрим в статье, почему видеокамеры превратились в основных «противников» ботнетов и как это исправить.

Павел Новиков, руководитель группы исследований безопасности телекоммуникационных систем, Positive Technologies

По данным экспертов Positive Technologies, уровень безопасности популярных IoT-гаджетов оставляет желать лучшего. Например, возраст используемых прошивок подключенных устройств часто составляет 3-4 года, доступ к веб-панели управления возможен извне, по умолчанию открыты порты 80, 443, 23, 22, 21, 137. Пароли 15 из 100 устройств никогда не менялись пользователями с дефолтных.

ГДЕ УЖЕ НАШЛИ УЯЗВИМОСТИ

Больше всего вопросов вызывает уровень защищенности подключаемых к интернету устройств видеонаблюдения. Новости о выявлении новых уязвимостей и атаках появляются с пугающей частотой.

Например, летом 2017 года эксперты Positive Technologies обнаружили критические уязвимости в популярных IP-камерах Dahua, которые широко используются для видеонаблюдения в банковском секторе, энергетике, телекоммуникациях, транспорте, системах «умный дом» и других областях.

Несколькими месяцами ранее «лазейка» для хакеров была найдена в IP-камерах Sony, исследователи также сообщали о наличии серьезных «дыр» безопасности в прошивке цифровых устройств видеонаблюдения (DVR) AVer Information EH6108H+ — это позволяло злоумышленникам без труда получать к ним удаленный доступ и формировать ботнеты. Такие сети зараженных устройств могут иметь огромные размеры. Например, вирусом-червем BASHLITE было заражено около 1 млн веб-камер, которые использовались для DDoS-атак.

Через уязвимые камеры злоумышленники могут выполнять и другие противоправные действия. Так, в ходе форума по информационной безопасности Positive Hack Days в мае 2017 года специалисты продемонстрировали, как взломанные устройства интернета вещей помогают в конкурентной разведке.

Известны случаи проникновения в государственные системы видеонаблюдения с целью мошенничества — например, в Монголии хакер пошел на это, чтобы за деньги удалять из базы информацию о штрафах.

Для доступа к видео произвольно взятого пользователя требуется всего пара запросов в поисковой системе Shodan, один — в Google, VLC-медиаплеер и не более 60 секунд. За это время даже неопытный хакер может получить изображение с камер как частных пользователей, так и из системы наблюдения целого предприятия.

ОБЩИЕ ПРОБЛЕМЫ СФЕРЫ IoT

Сфера интернета вещей активно развивается, но далеко не все компании, которые работают в области создания технологических продуктов (камер и любых других устройств), применяют принципы безопасной разработки (SSDLC), как это сделали, к примеру, вендоры  телекоммуникационного оборудования.

Как следствие, в прошивках часто встречаются вшитые стандартные пароли. Это в свое время помогло злоумышленникам создать крупнейший в мире ботнет Mirai, в коде которого были обнаружены десятки комбинаций стандартных логинов и паролей для взлома камер и прочего оборудования.

Заплатив $50 за аккаунт на shodan.io, любой желающий получает доступ к большому количеству IoT-устройств. Однако разработчики и поставщики сетевого оборудования не придают значения таким понятиям, как «тестирование» и «безопасность».

Многие серьезные уязвимости остаются без патчей, а если они все-таки выходят, то пользователи не торопятся их применять. При этом, по данным Positive Technologies, хакеры уже через три дня после выхода информации об уязвимости готовы использовать ее для атак. В результате легионы устройств по всему миру «ждут» своего часа, чтобы быть взломанными и стать ботами для DDoS-атак.

Ситуация усугубляется наличием значительного числа вендоров — это сотни компаний, многие их которых для своих продуктов используют прошивки не собственного производства. Часто в таком ПО содержатся уязвимости, но поскольку оно является проприетарным, то использующие его компании могут не знать о проблемах безопасности, а функции автоматического обновления обычно отсутствуют.

Несколько лет назад эксперты Positive Technologies обнаружили критические уязвимости в одной из таких прошивок для цифровых видеорегистраторов (DVR). Доля этих систем составляла более 90% сегмента рынка устройств такого класса (поисковики проиндексировали более 500 000 уязвимых устройств). Но, несмотря на наличие серьезной проблемы, вендор не стал заниматься устранением ошибок безопасности.

РЕЦЕПТЫ ЗАЩИТЫ ОТ ВЗЛОМА

Проблема безопасности продуктов интернета вещей глобальна, ее решением должны заниматься и вендоры IoT-продуктов, и пользователи конечных устройств.

Рекомендации вендорам:

• отказаться от небезопасных протоколов, внедрить парольные политики;
• отключить отладочные механизмы, обеспечить физическую защиту устройств;
• использовать HTTPS, двухфакторную аутентификацию, аудиты защищенности;
• взять на вооружение безопасную разработку с использованием анализаторов кода;
• внедрить отраслевые и государственные стандарты безопасности по аналогии с промышленными системами управления (АСУ ТП);
• реализовать механизм автоматических обновлений — это поможет гарантировать применение исправлений безопасности после обнаружения уязвимостей.

Эксперты Positive Technologies также рекомендуют разработчикам сократить число поддерживаемых технологий до необходимого минимума. Часто в современных камерах можно встретить функции и технологии (например, ONVIF и UPNP), которые в реальности не используются, но по умолчанию включены. Чем больше число активированных сервисов, тем больше вероятность, что злоумышленникам удастся обнаружить и успешно эксплуатировать уязвимость.

Рекомендации пользователям:

• регулярно проверять обновления и устанавливать новые версии прошивок;
• перед подключением оборудования к интернету проверять наличие неиспользуемых сервисов и закрывать их с помощью межсетевого экрана.

Если камеры и системы наблюдения используются для бизнеса, то в таких случаях следует изолировать доступ к таким устройствам из интернета (например, настройками роутера и/или firewall). Желательно для устройств из внутренней сети также ограничить доступ к DVR и дать доступ только тем адресам, которым он точно необходим (например, только администраторам). И аналогично ограничить доступ к сети самого DVR, дав ему доступ только к нужным адресам. Лучше всего помещать такие устройства в отдельную изолированную сеть.