Кибербезопасность для систем видеонаблюдения: угрозы и риски

С ростом числа устройств интернета вещей, к которым уже относятся и некоторые чайники, телевизоры, холодильники, не говоря уже о сетевых камерах видеонаблюдения и регистраторах, растет к ним и интерес злоумышленников, т.к. не все, что подключается к глобальной сети, имеет достаточный уровень защищенности. Это делает работу хакера еще проще и «дешевле». Если раньше мы активно защищали антивирусами компьютеры, то сегодня это становится актуально и для таких изделий, число которых растет весьма значительными темпами.

Наиболее заметным событием прошедших лет, которое объединило кибербезопасность и видеонаблюдение, стало появление ботнета Mirai. В 2016 году он очень громко заявил о себе.

Вероятно, многие из нас накопили солидный багаж знаний и опыта в сфере обеспечения физической безопасности, но IT-термины могут быть не всем столь близки и понятны. Давайте разберемся с тем, что такое ботнет.

Что такое ботнет?

Ботнет состоит из двух слов: robot и network. Робот живущий в сети, то есть в устройствах Интернета вещей. Для чего он нужен? Чаще всего для организации DDoS-атак.

DDoS (от англ. distributed denial of service) – распределенный отказ в обслуживании. Целевым «компьютером», то есть жертвой, может являться какая-либо компания, правительственная организация, чьи бизнес-процессы связаны с IT-инфраструктурой.

Особенностью ботнета Mirai стало то, что им были заражены более 100 тысяч камер видеонаблюдения и видеорегистраторов. То есть устройства, предназначенные для обеспечения безопасности стали сами представлять угрозу. Первыми жертвами рекордных за последние годы кибератак стал сайт исследователя информационной безопасности, затем крупный DNS провайдер в США. Из-за этого на протяжении нескольких часов такие сервисы, как Amazon, Paypal, Facebook и прочие, оказались недоступны для пользователей или столкнулись с серьезными проблемами. Чтобы заразиться ботнетом, может быть достаточно и нескольких минут доступа слабозащищенного устройства в сеть интернет.

Зачастую сами пользователи и системные интеграторы оставляют пароли по умолчанию или, чтобы легко было запомнить, делают их простыми. Ботнет Mirai использовал специальные сканеры сети, позволяющие проверить наиболее популярные связки логин/пароль и преодолеть «защиту». Среди простых паролей и паролей по умолчанию самой опасной связкой стала: логин - root / пароль - xc3511. Данная связка являлась «вшитой» учетной записью в устройства одного из крупных OEM поставщиков устройств видеонаблюдения.

Ботнет Mirai

«Вшитые» логин и пароль – это незадекларированная встроенная учетная запись с правами администратора, о которой пользователь и не знает, которую самостоятельно нельзя удалить или изменить.

В IT среде такие «учётки» называют бэкдор (backdoor) – черный ход в прошивке изделия. Они относятся к уязвимостям, поскольку нарушают базовые правила киберзащиты. Хотя их наличие производители могут пытаться оправдать как некие услуги поддержки пользователей, но лучшие практики в защите информации наличие таких учетных записей исключают.

К лучшим практикам нельзя отнести и дальнейшие действия: после того, как проблема стала широко известна, вместо устранения в свежих версиях прошивки данной уязвимости, были придуманы сложные пароли на каждый день в году для той же учетной записи. Спустя некоторое время этот список стал доступен публично в сети интернет. Как вы понимаете, нужна лишь небольшая модификация кода ботнета и устройства вновь могут быть подвержены заражениям.

Для «хозяина» таких устройств наличие ботнета практически незаметно, лишь в момент совершения атак исходящий трафик с устройств возрастает. Но помимо использования устройств в DDoS-атаках могут быть и другие угрозы. Среди недавних примеров можно выделить массовый сброс паролей на устройствах видеонаблюдения, сброс на заводские настройки, вывод странных надписей в оверлей камер и другие. Полутораминутный ролик с полноценной инструкцией о создании нового пользователя с правами администратора можно найти в интернете.

Общаясь с дистрибьюторами и системными интеграторами, я слышу, что уже многих это коснулось. Как можно оценить ущерб? В известном мне примере пароли были изменены и на поворотных камерах, которые за счет высокого оптического приближения обычно низко не устанавливаются. Соответственно, чтобы вернуть их к нормальной работе, потребовался вызов подъемника и специалиста, который имеет допуск к работам на определенной высоте.

Стоимость репутации в глазах своего заказчика оценить еще сложнее. Но в любом случае, чтобы сохранить заказчика, приходится или идти на уступки и вкладываться в возврат системы к рабочему состоянию, либо, вероятно, жертвовать им. Вряд ли в случае наличия подобных инцидентов заказчик вернется вновь за подобным решением.

С точки зрения заказчика ущерб может быть еще более непредсказуемым. С одной стороны, целью атаки может быть не система видеонаблюдения, а то, что находится «за ней» - то есть другие подсистемы предприятия, с другой - камеры могут не «увидеть», а регистраторы не записать что-то важное. Так, в январе 2017 года, в городе Вашингтон в преддверии инаугурации избранного президента, около 70% серверов видеонаблюдения не работали на протяжении 3-4 дней. Чтобы вернуть доступ, на экранах мониторов всплывало сообщение с требованием об оплате.

Таким образом, нельзя исключать, что устройство может заразиться несколькими вирусами одновременно, например, ботнет + троян. Такая связка может представлять еще большую угрозу.

Закон о кибербезопасности России

Закон о кибербезопасности

Закон о кибербезопасности России довольно активно обсуждался последние годы и требовал обновления. Так, 26 июля 2017 г. был принят Федеральный закон № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».

С 1 января 2018 года вступает в силу новая Статья 274.1. Главы 28 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».

Статья включает пять частей:

1.Создание, распространение и (или) использование компьютерных вредоносных программ;
2.Неправомерный доступ к охраняемой компьютерной информации;
3.Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации;
4.Части 1-3 по предварительному сговору;
5.Части 1-4, повлекшие тяжкие последствия.

Из вышеперечисленного рекомендую дополнительно ознакомиться с комментариями юристов к части третей, которая больше затрагивает не злоумышленников, а интеграторов и конечных потребителей. Тут еще раз важно подчеркнуть понимание того, какое звено в цепи самое слабое и подумать о способах повышения этой защиты.

К примеру, в США после атак на DNS-провайдера и отключения большой части интернета, всерьез озаботились отсутствием какой-либо безопасности в устройствах интернета вещей. Был разработан Акт «ALB17666» о повышении киберзащиты устройств интернета вещей, который должен ужесточить требования к закупаемым для госпредприятий компьютерам, роутерам, сетевых камерам.

Разрабатываемый стандарт будет включать набор требований к поставляемым устройствам, включая:

1. Отсутствие вшитых логинов и паролей в устройствах;
2. Гарантии отсутствия известных уязвимостей в изделиях на момент продажи;
3. Обновление встроенного ПО, которое должно включать эффективный механизм аутентификации, содержащей цифровую подпись и исключающий возможность несанкционированного обновления;
4. Устройство должно использовать только стандартные протоколы взаимодействия и шифрования.

А пока данный акт не был принят, многие компании из списка Fortune500 и государственные закупщики уже исключили из списка своих поставщиков тех производителей, чье оборудование было подвержено массовым хакерским атакам или массово использовалось в DDoS-атаках.

Компания Axis уделяет большое внимание кибербезопасности.

Мы делаем все возможное для снижения рисков возникновения киберугроз. Нашу программу мы назвали «Партнеры в безопасности». Однако, обеспечение безопасности сети, ее устройств и сервисов требует активного участия каждого звена одной цепи, в том числе вовлечение конечного потребителя.

Перед тем как рассмотреть детали, важно понимать, что риск есть всегда. Нет 100% защищенного устройства. Взломать можно все что угодно, вопрос лишь во времени и затраченных ресурсах. Но есть возможность снизить риски и повысить защищенность. Само же понятие «риск» можно описать как вероятность негативного воздействия от какой-либо угрозы. Для эффективного управления рисками следует рационально оценивать потенциальные угрозы и возможный ущерб.

Компания Axis уделяет большое внимание кибербезопасности.

«Здоровая» киберсреда складывается из трех важных составляющих: используемые технологии, процессы и пользователи. Разработанная нами программа, включает три уровня обеспечения защиты:

1.Управление безопасностью
2.Управление уязвимостями
3.Обучение и сотрудничество

Основной задачей уровня «Управление безопасностью» является помощь интеграторам и конечным потребителям в применении необходимых средств для повышения защищенности. Руководство по усилению защиты или «харденинг». Он состоит из опубликованного документа, покрывающего интересы и потребности предприятий разного масштаба с конкретными шагами и рекомендациями по усилению защиты.

Кроме того, данный уровень включает программные инструменты для эффективного управления.

Один из таких – служебное ПО Axis Camera Management, бесплатное ПО с одним из самых продвинутых наборов функций на рынке.

бесплатное ПО с одним из самых продвинутых наборов функций на рынке Axis Camera Management

Помимо управления пользователями, обновления встроенного ПО и мониторинга работоспособности, последние версии включают и управление сертификатами 802.1x. Статистика загрузки скачиваний данного ПО – более 6000 раз ежемесячно.

Кроме того, постоянно повышается и степень защищенности самих устройств вместе со свежими версиями встроенного ПО. В следующих версиях прошивки будут появляться требования к минимальной сложности пароля, шифрование логина, предотвращение массовых попыток входа, отключение неиспользуемых служб, обнаружение подделок прошивки и загружаемых на борт устройств видеонаблюдения приложений.

Уровень «Управление уязвимостями». В первую очередь, это более чем 30-летный опыт использования лучших практик в обеспечении безопасности сетевых устройств. Одна из таких практик, это комплексное исследование программного кода перед выпуском продукта на рынок.

В данный раздел относится и процесс выявления и скорого устранения слабых мест во встроенном ПО, а также открытое взаимодействие со всеми участниками канала продаж, в случае обнаружения уязвимостей. Своевременность и открытость производителя могут сыграть решающую роль в снижении рисков на объектах конечных потребителей.

Обучение и сотрудничество - ключевой элемент в кибербезопасности. Это знания, понимание проблем, рисков и возможного ущерба. Способность трезво оценить и предпринять соответствующие меры.

Мы стараемся делиться нашими знаниями и накопленным опытом, привлекать внимание и интерес, повышать «зрелость», зачастую еще аналогового рынка, подготавливая к возможной встрече с новыми угрозами.

Риски и рекомендации

Какие будут рекомендации и советы?

К общим для всех компаний рекомендациям относятся политики учетных записей: необходимо определить, кто должен иметь доступ к системе и на каком уровне. Не нужно оставлять права администратора для обычных пользователей.

Политика паролей – это не только о сложности пароля, но и о том, как эти пароли обновляются с течением времени. Очень важно иметь регламент обновления. Уязвимость в изделии может быть обнаружена в любой момент и нужно избежать хаотичного обновления прошивок, смены паролей, а выполнять все подконтрольно. Следование этим общим рекомендациям уже значительно снижает риски.

Для небольших организаций можно подчеркнуть важность использования кодовых фраз: многие сторонятся сложных паролей из-за опасения их забыть. Простая фраза, переведенная на английский, которую легко запомнить, может вполне использоваться в качестве пароля. Ну например: 1lovemycatMurka. Это уже 15 знаков!

Для предприятий важно определить политики для систем безопасности: кто, к чему может иметь доступ, например, к живому или записанному видео, к управлению пользователями, кто может конфигурировать и оптимизировать настройки, кто занимается поддержанием работоспособности системы и так далее.

Общая рекомендация в данном случае – изолировать систему безопасности и видеонаблюдения от других сетей, использовать виртуальные сети, фильтрацию IP-адресов и другие технологии.

Ну и, конечно же, следование рекомендациям поставщика – использование руководства по усилению защиты.

Для объектов жизнеобеспечения рекомендуется следовать общепринятым стандартам по защите информации. Один из таких — ISO/IEC 27001. Изолируйте критически важные активы, которые не требуют обязательного взаимодействия. Это может касаться и систем/подсистем безопасности. Атака на одну систему не должна влиять и выводить из строя другую. Чем меньше таких точек соприкосновения, тем лучше.

Важно подчеркнуть понимание того, кому мы доверяем, насколько опытен и зрел поставщик элементов любых подсистем в плане кибербезопасности. Есть ли экспертиза, налаженные процессы, нет ли известных уязвимостей, которые не были устранены.

Видеонаблюдение: основные ошибки, повышающие риск взлома.

Итак, еще раз, основные ошибки, повышающие риск взлома:

Для малых предприятий: использование паролей по умолчанию, выведенные в интернет камеры.

Для крупных предприятий: вдобавок к выше написанному — плохая физическая защита, единые учетные записи для оператора и администратора, слабые пароли, одна учетная запись на сервере с полными правами, приложения пользователя на сервере, не изолированная сеть.

Для объектов жизнеобеспечения: плохой аудит поставщиков на кибербезопасность. Потому что кибербезопасность – это не какой-то продукт или характеристика камеры, которые можно купить и «поставить галочку», что он есть. Это целый процесс, который выстраивается не за один день.

Автор: Денис Ляпин, региональный тренер, Россия, СНГ и Восточная Европа