Безопасна ли безопасность?
Устанавливая домой или в офис системы автоматизации, сигнализации, умный дом, видеонаблюдения, и прочие IoT, мы стремимся сделать свою жизнь легче и безопаснее. Как говорится «Мой дом — моя крепость», и действительно, современные электронные системы повышают нашу безопасность, но только лишь от традиционных преступников, от воров, мошенников и бандитов. Но для образованных преступников, называемых хакерами, все эти электронные системы открывают черные ходы.
Для того чтоб противодействовать профессионалам по взлому, необходимо, чтоб проектированием и установкой системы занимался профессионал по безопасности.
Безопасность систем видеонаблюдения
Давайте посмотрим какие есть опасности и как с ними бороться, рассмотрев безопасность систем видеонаблюдения. Казалось бы целью видеонаблюдения является повышение уровня безопасности объекта наблюдения. Но что если преступники получат несанкционированный доступ, к чему это приводит? Обычно это приводит к публикациям видеозаписей в интернете, или к шантажу. Например в офисе шантажировать могут не только руководство, но и значимого сотрудника, вынуждая его совершать действия не в интересах компании.
Но как им это удается?
Вариантов взлома систем видеонаблюдения существует много. Например крайне грустно обстоят дела с паролями к камерам наблюдения. На некоторых камерах пароля попросту нет и автоpизация отсутствует. На других стоит заводской пароль по умолчанию, который легко найти в инструкции к камере, и сотрудники монтажной организации для собственной простоты не меняют его. В интеренете есть сайты, где опубликованы списки самых часто встречающихся логинов и паролей, установленных на разные модели камер.
Так же бывает, что производитель оставил в прошивке камеры служебный вход для сервис-центров. Он остается открытым даже после того, как владелец камеры сменил заводской пароль. В документации его уже не прочтешь, но найти на тематических форумах можно.
Большая проблема и в том, что для сокращения расходов, производители не тратятся на написание своего ПО для камер, а пользуются доступными вариантами с исходным кодом, из интернета, к примеру тот же веб-сервер GoAhead. В нем уже достаточно давно обнаружили несколько уязвимостей, которые производители камер не спешат исправлять.
На сегодняшний день больше миллиoна IP-камер и IP-видеорегистраторов разных производителей позволяют удаленно получить доступ к их настройкам безо всякой авторизации.
Распределенные! Удаленные! Масштабируемые! Облачные! Гибкие! Гомогенные! и прочие маркетинговые лозунги. Это всё действительно нужно? Конечно ДА! но с умом. Современные инновационные технологии открывают новые возможности, но таят и множество опасностей для тех. Октябрь 2016 года показал насколько быстро растет рынок IoT устройств, и к чему это ведет. 150,000 видеокамер были взломаны и использованы на организации DDoS атаки. Устройств с доступом в интернет становится всё больше, а о их безопасности их применения мало кто думает.
Как же бороться?
Всё выключить и забыть… (Это конечно же шутка)
Что советуют производители? Исправлять уязвимости, обновлять прошивки оборудования. Конечно же это необходимо делать, но от будущих проблем и неизвестных производителям уязвимостей это не защитит.
1. Разделяй и властвуй
Необходимо четко понять, а действительно ли нужен вам удаленный доступ ко всем системам? И нужен ли этот доступ из интернета или достаточно локального?
Бытовой пример: Загородный дом, система видеонаблюдения перекрывает периметр дома, чтоб защититься от внешних агрессоров, а так же видеокамеры стоят в самом доме, например, для присмотра за работой няни. В случае нарушения периметра вокруг дома, реагировать необходимо как можно быстрее, и доступ через интернет для оценки ситуации безусловно необходим. Но нужен доступ в интернет к камере, находящейся в гостиной или спальне? Или можно, придя домой, подключиться через локальный Wi-Fi и просмотреть видеоархив за день, чтоб понять работала ли няня или нет? Второй вариант намного безопаснее.
Разграничение прав доступа к IoT системам — это первый шаг повышения безопасности. И многие производители вынуждают пользователей его выполнять, требуя, при первом включении устройства, задать нового пользователя и пароль. А вот про то что устройства нужно изолировать друг от друга, обычно все забывают. VLAN позволяет разделить системы видеонаблюдения на сегменты с разным доступом в/из интернета и изолировать от других домашних систем. Телевизору или блоку управления освещением совсем не обязательно иметь доступ к системам безопасности, как и отделу бухгалтерии в офисе. Того же эффекта можно и с помощью Брендмауэра добиться, если это офис, всё зависит от типа объекта и начальных условий.
2. Режим Эгоист
Итак допустим первый пункт соблюден, и внутри сети абы кто абы куда не ходит. Но нужно же сделать безопасный доступ из интернета?
Производители предлагают следующие варианты:
- Прокинуть нужные порты через маршрутизатор (не всегда работает, зависит от интернет провайдера);
- Подключиться по P2P, через сервера производителя;
Первый вариант, прикрывает более уязвимые порты, и выставляет на всеобщее обозрение порты, которые безопасны (по мнению производителя). Второй вариант, может работать медленно, потому что производитель китайский, и сервера у него там же, например, или по тому что сервера нагружены сильнее допустимого. И оба варианта не защищают от атаки по заводским или слабым паролям.
Поднятие на маршрутизаторе VPN сервера, лишит злоумышленников возможности, перебирать пароли, как и применять любые другие способы атаки. Ведь устройства более им не доступны, для доступа нужен VPN клиент, пароль от него. Хотя этот способ более сложный, ведь VPN клиент нужно будет настраивать на каждом смартфоне, планшете, компьютере.
Стоимость сетевого оборудования, с поддержкой VLAN и VPN, не сильно повысит стоимость всей системы, даже в масштабах квартиры, если выбирать оборудование MikroTik или DLink, например. А вот на людях, понимающих как это всё правильно настроить, сэкономить уже не удастся.