/ /

Производителей IP-камер ждет проверка на благонадежность

Производителей IP-камер ждет проверка на благонадежность

05 июля 2022, 09:06    2976

Сергей Ромаев

Сергей Ромаев

Эксперт в сфере видеонаблюдения

1 мая 2022 года Президент России подписал Указ N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Теперь поставщиками госсектора смогут стать только вендоры, чье дружелюбие и лояльность не вызывают сомнений. Плохая новость для иностранных производителей IP-камер – не все их устройства попадут в списки благонадежных.

Текст: Сергей Ромаев, Борис Швырев

Видеонаблюдение – умные и небезопасные IP-камеры

Пункт 6 Указа содержит запрет с 1 января 2025 г. использовать в государственном секторе средства защиты информации, странами происхождения которых являются «иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними».

Кого из иностранных производителей может затронуть новый запрет – легко проследить на примере сегмента видеонаблюдения.

Объем российского рынка видеонаблюдения по итогам 2021 года составил 85 млрд руб, почти на 6% больше предыдущего (источник данных – TelecomDaily). Современная система видеонаблюдения полностью подпадает под действие Указа — это совокупность аппаратных, а теперь и программных и сетевых средств, направленная на обеспечение наблюдения на охраняемой территории, регистрацию событий, формирование информационных сигналов. В сегменте IP-устройств видеоанализ изображения происходит непосредственно на борту камеры.

Важнейшей частью IP-камеры является встроенное программное обеспечение, обычно используется очень сильно урезанная Linux, на базе которой развернут веб-сервер, он отвечает при обращении к видеокамере по IP-адресу. Под веб-сервером здесь имеется в виду программное обеспечение в IP-камере, которое принимает HTTP запросы от клиентов и отвечает на них. Обычно, NVR или VMS находят IP-камеру в сети по MAC-адресу, после этого пользователь может настроить ей статичный IP-адрес. После получения IP-адреса видеокамера становится доступной для получения запросов и отправки видеопотока по сети. Все протоколы, по которым происходит обмен данными между веб-сервером видеокамеры и клиентами, а это HTTP, RTSP, RTP, работают на прикладном уровне сетевой модели TCP/IP. Управляющее работой видеокамер программное обеспечение, так называемая прошивка, разрабатывается и устанавливается производителями. Некоторые производители поддерживают открытые стандарты и позволяют устанавливать свои камеры сторонние прошивки.

Кроме того, угрозы информационной безопасности видеокамеры могут исходить от центрального процессора и программного обеспечения видеонаблюдения, которое не стандартизировано у крупных китайских производителей. Центральный процессор отвечает за весь функционал IP – видеокамеры с помощью операционной системы Linux подобной, включая сетевые интерфейсы WiFi и Ethernet, передачу и обработку аудио и видео потока, поддержание Web-сервера и т.д.

Мировой опыт санкций против уязвимых камер видеонаблюдения

Первый запрет на процессоры с уязвимостями безопасности возник в США. С 2019 года введен запрет, который «распространяется на защищенное телекоммуникационное оборудование, которое может маршрутизировать или перенаправлять трафик пользовательских данных или обеспечивать видимость любых пользовательских данных или пакетов, которые такое оборудование передает или иным образом обрабатывает третьим лицам».

Под запрет попали процессоры HiSilicon компании Huawei. В последующем под санкции попали ZTE, Dahua, Hikvision, Pelco и Honeywell другие производители из Китая использующие уязвимые процессоры HiSilicon. Количество таких производителей может быть еще больше из-за того, что они скрывают, какой чип используют и не указывают его технической документации на изделие. Выявить у таких недобросовестных производителей уязвимость процессора видеокамеры можно только лабораторным путем.

Следующая группа уязвимости связана с программным обеспечением. IP – видеонаблюдение использует программное обеспечение устанавливаемое на видеокамеру, видеорегистратор, сервер и облачное хранилище.

Программное обеспечение IP – видеокамеры называемое «прошивкой» имеет большое количество уязвимостей, которые приводятся на сайте WWW.CVE.ORG и непрерывно добавляются.

 

УЯЗВИМОСТИ КАМЕР ВИДЕОНАБЛЮДЕНИЯ

В открытой печати исследователи придают огласке следующие уязвимости:

  1. Утечка данных пользователей с серверов WizeCam[1], включая адреса электронной почты, имена пользователей, Wi-Fi SSID и многое другое.
  2. Уязвимость IP-видеокамер Bosch[2] — критическая уязвимость, которую однако трудно обнаружить, и для ее использования требуются навыки взлома.
  3. Критическая уязвимость IP-камеры Hikvision[3]. Использование этой уязвимости позволяет злоумышленнику захватить устройство или привести к сбою камеры.
  4. Уязвимость Sony Talos[4]позволяет выполнять команды без учетных данных администратора.
  5. Уязвимости Axis, обнаруженные группой VDOO[5] — предоставляет корневой доступ к видеокамере, однако процесс атаки сложен и требует дополнительных знаний Linux и навыков взлома.
  6. Уязвимости GeoVision[6]основанные на переполнении стека позволяют получить доступ к устройству с рутовыми правами, а также отображение всех учетных данных в виде открытого текста.
  7. Бэкдор IP-видеокамер и регистраторов Dahua[7], позволяющий получить учетные данные пользователя, включая хеши паролей, и использовать эти учетные данные для обхода проверки подлинности.
  8. Уязвимость Hikvision Cloud Security[8], которая позволила злоумышленнику удаленно захватить сервер и получить доступ к конфиденциальным данным клиента.

Таким образом пользователи и организации, желающие обезопасить себя и свою жизнь, и деятельность, устанавливая системы видеонаблюдения — становятся уязвимы и подвергают ее опасности.

Кому это выгодно?

Процессоры и прошивка устанавливается в видеокамеры на производстве, что определяет заказчика такой государственной слежки. Созданные в Китае видеокамеры потенциально опасны не только используемой прошивкой, уязвимостью программного обеспечения серверной части, но и самим процессором.

Создание бэкдоров в видеокамерах китайскими производителями преследуется цель получения закрытой информации и организации слежки не только за своими гражданами, но гражданами других свободных стран. Уязвимость прошивки позволяет создавать «теневую сеть», и по этой сети получать потоковую видео-аудио информацию, название и пароль сети, персональные данные, а также отключить дистанционно видеокамеру, и возможно – всю систему безопасности.

На объекте критической инфраструктуры видеокамерой системы безопасности с «китайской прошивкой» управляет иностранный разведчик – шпион и в каждый момент может отключить ее.

В значительной степени на рынке видеонаблюдения представлена продукция китайского производителя – компании Hikvision. По данным рейтинга Security TOP-50 проекта asmag, совокупный доход компании за 2020 год составил порядка 63,50 млрд юаней. Интересные факты инвестирования этой госкомпании: в 2020 году Hikvision инвестировала в разработку новых технологий и решений 6,38 млрд юаней. В течение последних нескольких лет компания постепенно увеличивает долю инвестиций в R&D в общем объеме капиталовложений: 7,62% в 2017 году, 8,99% в 2018, 9,51% в 2019 и 10,04% в 2020 году.

В России видеокамеры брендов Hikvision и HiWatch (дочерний бренд Hikvision) широко представлены на объектах критически значимой инфраструктуры – в том числе, в аэропортах, на метрополитене, в контуре безопасности крупных добывающих и перерабатывающих предприятий, на ключевых объектах энергетической системы России.

При этом на сайте ФСТЭК опубликовано следующее заключение:  «Уязвимость встроенного веб-сервера микропрограммного обеспечения IP-камер Hikvision, позволяющая нарушителю выполнить произвольные команды. Уязвимость встроенного веб-сервера микропрограммного обеспечения IP-камер Hikvision связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды»[9].

Как заказчикам видеонаблюдения обезопасить себя

Прошивка иностранных видеокамер однозначно требует первостепенной замены на этапе приемки перед первым включением в сеть, чтобы на корню исключить возможность слежки иностранными производителями. Видеокамера с иностранной прошивкой – 100% канал утечки информации. Такой же подход необходимо распространить и для камер с сомнительным псевдо-российским производством. Для этого отраслевым объединениям, ассоциациям и консорциумам, необходимо взять на себя инициативу по ужесточению процедуры аудита заявителей на получение сертификатов соответствия о российском происхождении камер видеонаблюдения и кандидатов на включение в реестр российской радиоэлектронной продукции Минпромторга.

Снизить риски появления на рынке «заряженных» устройств поможет закрепление в качестве обязательной меры контроля процессора видеокамеры, исследования его не декларированных возможностей и программного обеспечения, с последующей выдачей заключения о допустимости продаж таких камер на российском рынке. Здесь будут также полезны дополнительные испытания и сертификация устройств в целом, отдельных электронных компонентов в их составе, реинжиниринг программного обеспечения или предоставление открытых исходных кодов, проведение совместных исследований. И возможно, создание классификатора надежности оборудования по принципу балльной системы.

[1] https://forums.wyzecam.com/t/updated-02-13-20-data-leak-12-26-2019/79046

[2] https://psirt.bosch.com/security-advisories/BOSCH-2018-1202.html

[3] https://seclists.org/fulldisclosure/2017/Sep/23

[4] https://blog.talosintelligence.com/2018/07/sony-ipela-vulnerability-spotlight-multiple.html

[5] https://www.vdoo.com/blog/vdoo-discovers-significant-vulnerabilities-in-axis-cameras

[6] https://github.com/mcw0/PoC/blob/master/Geovision IP Camera Multiple Remote Command Execution — Multiple Stack Overflow — Double free — Unauthorized Access.txt

[7] https://us-cert.cisa.gov/ics/advisories/ICSA-17-124-02

[8] https://securityrussia.com/blog/bad-hikvision.html

[9] BDU:2021-05455: Уязвимость встроенного веб-сервера микропрограммного обеспечения IP-камер Hikvision, позволяющая нарушителю выполнить произвольные команды https://bdu.fstec.ru/vul/2021-05455

  Больше новостей и обсуждений в Telegram-канале журнала RUБЕЖ

Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

Яндекс.Директ

RUБЕЖ в vk RUБЕЖ на youtube RUБЕЖ в telegram+ RUБЕЖ-RSS

Контакты

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Свидетельство о регистрации ФС77-78638 от 10 июля 2020г

выдано Федеральной службой по надзору в сфере связи,

информационных технологий и массовых коммуникаций.

Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

total time: 0.2680 s
queries: 184 (0.0212 s)
memory: 6 144 kb
source: database
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.