securitywall

01 Feb 2018

Varnostne luknje video nadzornih sistemov

Zakorakali smo v leto 2018 in čas je, da se malo razgovorimo o problematiki, o kateri zadnje mesece toliko beremo: varnost video nadzornih sistemov. V tekstu bom pisal veliko o vzhodnih proizvajalcih. S tem mislim predvsem na Kitajske z okolico in v zadnjem času tudi Indijske proizvajalce.

Cilj video nadzora je nadzor nad situacijo v preteklosti in v danem trenutku. To pomeni, da ko pride do neljubega dogodka, želimo, da video nadzorni sistem deluje, da iskanje dogodka poteka hitro, nemoteno, brez zatikanj slike itn. Pa vendar kljub temu vemo, da niso vsi video nadzorni sistemi enaki. Video sistemi se ločijo predvsem po tem kako so odzivni, kako hitro najdemo željen posnetek in koliko so varni. Varni? Saj so vendar del varnostnega sistema, seveda so varni. Ko omogočite pregledovanje slike na daljavo preko vašega pametnega telefona, potem je odgovor: niso varni. Do neke mere seveda so, ampak vsaka možnost, oddaljenega dostopanja zahteva določeno mero nastavitev, ki je potencialna luknja za dostop napadalcu na daljavo.

Pa boste rekli: kaj mi pa bo napadalec, zakaj ravno jaz? Napadalec je lahko nek srednješolec, ki ima popoldne veliko prostega časa in po internetu izbrska da so določeni sistemi ranljivi in mu omogočajo dostop da lahko pogleda kamere video nadzornega sistema. Ker mu je zanimivo požene program in gre s prijatelji na košarko. Ko se vrne ga čaka spisek naslovov, ki jih je program našel preko interneta. Vmes je tudi naslov vašega snemalnika. Seveda on vas ne pozna, ampak malo za zabavo, vam spremeni nastavitev snemanja in pobriše posnetke. Dejansko je vaš video sistem nekdo napadel (napadel je izraz, za osebo, ki vam nekaj spremeni, ali naredi, brez da vi veste kaj o tem).

Kot kažejo zadnje raziskave, si napadalec lahko zelo enostavno pogleda posnetke vaših kamer, ali pa da spremeni nastavitve snemalnika, BREZ GESLA! prav ste prebrali. To se je dokazalo na več proizvajalcih iz vzhoda. Spodaj prilagam linke, kjer si lahko preberete več. Večina je v angleščini, tako da če potrebujete prevod, se lahko obrnete na nas in vam bomo pojasnili več o posameznem primeru.

Tukaj naj poudarim: VEDNO NADGRAJUJTE ELEMENTE VIDEO NADZORNEGA SISTEMA, OMREŽNO OPREMO IN RAČUNALNIKE. To je seveda skoraj nemogoče, pa vendar je tudi od posodobitev odvisno koliko bo vaš video nadzorni sistem zaščiten.

Kot cenovno ugodna rešitev in alternativa dražjim (kvalitetnim) video sistemom se pojavljajo imena proizvajalcev iz vzhoda. Glede na izkušnje strank in naših izkušenj lahko povemo, da so omenjeni sistemi počasni, neodzivni in imajo nerazumljiv uporabniški vmesnik, ki je za večino uporabnikov pre-kompliciran. Velikokrat se tudi dogaja, da sistemi uporabljajo nerazumljive količine sistemskih virov in tako upočasnjujejo delovanje celotnega video sistema. Ne dolgo nazaj so bili video-sistemi vzhodnih proizvajalcev izkoriščeni za rudarjenje kripto-valut. Kamere pa so služile kot bot-i, ki so izvajali največji DDOS napad v letu 2017.

Največja slabost hitro rastočega trga, konkurence in potreb po vse več funkcionalnosti, sili proizvajalce, da v zelo kratkem času izdelajo produkt, ki na vzven zgleda primerljiv z sistemi zahodnih proizvajalcev, a se s časom uporabe izkaže za vse prej kot uporabnega ali celo za nevarnega! Za takšno se je v letu 2017 izkazal vzhodni proizvajalec, pri katerem se je ugotovila velika varnostna luknja, ki omogoča vsakomur da se BREZ GESLA prijavi v video sistem in ga upravlja v celoti na daljavo. Kaj pa tak napadalec lahko naredi? Na vseh kamerah nastavitev svetlobe nastavi na ‘nič’. To pomeni da bodo vse kamere delovale, ampak posneta slika pa bo črna. Torej brez svetlobe. S tako nastavitvijo je vaš sistem popolnoma neuporaben, čeprav praktično deluje brezhibno.

Produkti vzhodnih proizvajalcev prihajajo na trg zelo hitro in se hitro tudi menjajo. Nadgradenj ni veliko, ali pa jih je zelo težko najti. Programerji se ukvarjajo z novimi produkti, nimajo pa časa popravljati napak na starih modelih. Tehnična podpora je v ‘polomljeni’ angleščini, seveda če vam uspe najti kakšen kontakt. Če vam uspe koga dobiti, imate težavo, kako mu opisati kaj želite. Iz svoje prakse lahko povem, da tudi ko posnameš določeno težavo na film-ček, ki se nanaša na njihov produkt in jim ga pošlješ, še vedno ne razumejo kaj je narobe. Proizvajalcev je mnogo, le ti pa na svoje izdelke ne dajejo napisa o modelu in proizvajalcu. Tako je še težje najti posodobitve. Lahko bi našteval še in še kako je z vzhodnjaki….. Imajo pa eno prednost: malenkost so cenejši od zahodnjakov, ki pa ne poznajo zgoraj opisanih težav, oziroma se jih lotijo z veliko mero posluha! Ja razlika je samo v tem koliko plačaš.

Mogoče še kot zanimivost, tudi pametni TVji ne zaostajajo veliko. Zanimivi so predvsem tisti ki imajo vgrajeno kamero. Napadalec na daljavo sproži kamero in vas opazuje kaj počnete medtem ko gledate TV. Bolje je, da prelepite kamro, kot da izpulite omrežni kabel. Vsekakor pa so tudi pri TVjih pomembne posodobitve, katere si le posodobite.

Linki na nekaj strani z opisanimi varnostnimi luknjami. Naj povem, da je veliko proizvajalcev, ki samo nalepijo svoje ime podjetja, v ozadju pa je v veliki večini eden teh spodaj naštetih proizvajalcev (OEM):

Dahua hack:

https://security.world/dahua-devices-dangerously-exposed-to-cybersecurity-hack/

https://iotsploit.co/dahua/

https://www.cvedetails.com/vulnerability-list/vendor_id-12853/Dahuasecurity.html

 

HikVision:

https://www.cvedetails.com/vulnerability-list/vendor_id-13150/Hikvision.html

https://www.wired.com/2014/04/hikvision/

 

Izkoriščanje kamer za DDOS napad:

https://www.forbes.com/sites/thomasbrewster/2016/09/25/brian-krebs-overwatch-ovh-smashed-by-largest-ddos-attacks-ever/#11ff728b5899

https://motherboard.vice.com/en_us/article/8q8dab/15-million-connected-cameras-ddos-botnet-brian-krebs

 

Kako vas gledajo napadalci preko vaše pametne televizije:

http://www.telegraph.co.uk/technology/2017/03/08/smart-tv-perfect-way-spy/

http://www.zdnet.com/article/how-to-keep-your-smart-tv-from-spying-on-you/

 

Vsekakor Vam priporočam, da za varnost svojega premoženja porabite malce več sredstev in hkrati poskrbite da so vse naprave posodobljene.