Исследование

Голливудский сценарий: незащищенные системы видеонаблюдения

Впервые исследование было представлено на конференции DefCon 2014. Отчет о нем опубликован в рамках поддержки «Лабораторией Касперского» проекта Securing Smart Cities (защита «умных» городов) – глобальной некоммерческой инициативы, цель которой состоит в решении уже существующих и будущих проблем в области IT-безопасности «умных» городов совместными усилиями компаний, правительств, средств массовой информации, некоммерческих инициатив и отдельных людей по всему миру.

В подготовке этого отчета принимал участие Томас Кинзи (Tomas Kinsey) из компании Exigent Systems Inc.

Как-то раз поздним вечером мы с коллегой решили забраться в фонтан в центре города. Вдруг раздался голос с небес: «ПОЖАЛУЙСТА, ПОКИНЬТЕ ФОНТАН». Мы в изумлении озирались по сторонам, пока не заметили на окружающих фонарных столбах несколько «нацеленных» на нас камер с громкоговорителями. Тогда мы впервые почувствовали, что за всеми нами пристально следят, и решили разобраться, как работают системы видеонаблюдения.

Не секрет, что полиция и государственные органы разных стран уже много лет внимательно наблюдают за своими гражданами с помощью камер слежения, установленных в городах повсюду. Сегодня большинство из нас воспринимает это как компромисс: мы в какой-то степени жертвуем своим правом на неприкосновенность частной жизни ради более эффективной защиты от преступников и террористов. Однако при этом мы ожидаем, что с данными частного характера (в данном случае полученными при видеонаблюдении за нами в общественных местах) будут обращаться ответственно, защищая их от утечки, чтобы наблюдение не принесло больше вреда, чем пользы.

При проведении исследования мы обнаружили, что во многих городах инфраструктура камер видеонаблюдения основана на беспроводных технологиях, а не на проводных соединениях, как в прежние времена. Это позволяет городским властям экономить время и средства.

К сожалению, проблема в том, что современные беспроводные технологии не обеспечивают должного уровня безопасности. Для нас, как специалистов в области информационной безопасности, очевидно, что обработка данных подобным способом может сделать их уязвимыми для целого ряда атак.

Мы стали выяснять, обеспечена ли при реализации этих систем безопасность наших данных, или злоумышленники могут легко манипулировать данными в своих интересах. Несмотря на то что беспроводные технологии сами по себе могут быть уязвимы, существует много дополнительных возможностей существенно повысить уровень безопасности. В идеале защита должна быть многоуровневой: в том случае, если хакеру удастся преодолеть один барьер, дальше он должен столкнуться с еще более сложной задачей. Однако это был не наш случай.

Исследование

В начале нашего исследования мы ездили по городу и смотрели, как установлено оборудование. Во время этой поездки мы обнаружили первый признак того, что местные власти не продумали как следует размещение своего оборудования и не предприняли достаточных усилий для обеспечения безопасности.

Голливудский сценарий: незащищенные системы видеонаблюдения работают против вас

На изображении видно, что система видеонаблюдения установлена весьма небрежным способом: блоки, используемые для обработки данных, не скрыты от посторонних глаз, на некоторых из них легко различить название и модель оборудования, что позволяет идентифицировать устройства и получить всю необходимую информацию о них.

Почему так важно скрывать маркировку используемого оборудования? Объясню на примере. Если необходимо обеспечить защиту сервера и не допустить его взлома злоумышленниками, важно, чтобы выполняемый на нем код не был общедоступным. Почему? Получив этот код в свое распоряжение, специалист может подвергнуть его реверс-инжинирингу с целью поиска ошибок и уязвимостей. Как правило, уязвимость невозможно обнаружить, не имея доступа к коду, реализующему сервис. Именно поэтому такая, казалось бы, незначительная ошибка, как нескрытая маркировка устройства может привести к серьезным последствиям.

Вернемся к системе камер видеонаблюдения. Если бы хакер захотел взломать защиту беспроводной сети этих систем (не выходящую за рамки стандартной для беспроводных сетей защиты WEP или WPA), то на этом этапе он смог бы увидеть только неизвестные протоколы, заголовки и пакеты данных, передаваемые по беспроводной сети, без указания системы, к которой они относятся. В нашем исследовании мы изначально не имели представления о том, какое ПО сгенерировало эти пакеты, поскольку это была система, созданная на заказ. Не имея доступа к исполняемому коду, было бы почти невозможно осуществить реверс-инжиниринг используемого протокола – а это фактически является единственным способом как следует изучить сеть. Стало понятно, что нам будет очень непросто решить поставленную задачу.

Мы поняли, что модули шифрования не были настроены и по сети передавались незашифрованные данные #SmartCitySecurity

Tweet

Получив доступ к такому же оборудованию, мы обнаружили, что, несмотря на слабую конфигурацию, проблема была вовсе не в оборудовании, выбранном департаментом полиции. В действительности, сеть с ячеистой структурой оказалась весьма сложным, но продуманным решением, в состав которого были включены модули, предназначенные для дополнительной защиты соединений, помимо стандартной защиты беспроводного соединения с внешней сетью. Нужен был только знающий специалист, который смог бы грамотно осуществить развертывание этой технологии и правильно настроить систему. К сожалению, изучив большое число пакетов данных, мы довольно быстро поняли, что эти модули шифрования не были настроены и вообще не использовались. Незашифрованные текстовые данные передавались по сети и были доступны любому, кто получил к ней доступ. Поскольку шифрование вообще не применялось, проблема расшифровки данных не стояла, и поэтому нам было достаточно просто воссоздать используемое ПО, чтобы получить возможность манипулировать данными, обрабатываемыми с его помощью.

Краткое описание принципов работы ячеистой сети при передаче потоков видеоданных поможет проиллюстрировать, что нам удалось выяснить относительно возможностей манипулирования системой. В обычной Wi-Fi сети каждое устройство, как правило, подключено к маршрутизатору, выступающему в качестве центрального узла. При отправке данных в другую часть сети они посылаются на соответствующий адрес через маршрутизатор, который обеспечивает их доставку на другое подключенное к сети устройство. При малых расстояниях такая схема эффективна, но чтобы передавать данные на большие расстояния, наша сеть c видеокамерами использует топологию и протокол, на которых мы не будем останавливаться в этой статье.

Стандартная топология домашней беспроводной сети. В качестве клиентов могут выступать любые устройства, подключенные к интернету.

Стандартная топология домашней беспроводной сети. В качестве клиентов могут выступать любые устройства, подключенные к интернету

Злоумышленник представляется пользователю маршрутизатором, а маршрутизатору –пользователем и перехватывает трафик, передаваемый между пользователем и веб-сервером

Злоумышленник представляется пользователю маршрутизатором, а маршрутизатору –пользователем и перехватывает трафик, передаваемый между пользователем и веб-сервером

В целом, подключившись к любой беспроводной сети (например, домашней), любой пользователь может проводить атаки класса man-in-the-middle, используя такие методы, как отравление ARP-кэша (ARP poisoning). Фактически пользователь получает возможность изменять любые данные, передаваемые через маршрутизатор. Однако из-за особенностей программного обеспечения, применяемого для создания ячеистых сетей, в своем стандартном (vanilla) варианте этот метод не будет эффективным. Дело в том, что в зоне прямой видимости каждого узла в сети с ячеистой топологией находятся только некоторые из многочисленных узлов сети. Для того чтобы передать пакет на устройство, не находящееся в пределах прямой видимости, этот пакет должен проделать путь от отправной точки через несколько узлов и в конце концов добраться до пункта назначения. В системе производителя оборудования применен алгоритм поиска пути для обеспечения максимально эффективной передачи данных и поиска самых надежных маршрутов, ведущих к получателю. Этот алгоритм очень похож на тот, что обычно используется в видеоиграх для прокладывания маршрута, по которому персонаж должен пройти, чтобы, обойдя все препятствия, попасть в конечный пункт.

Алгоритм поиска пути прокладывает маршруты передвижения персонажей, основываясь на таких переменных, как сложность рельефа

Алгоритм поиска пути прокладывает маршруты передвижения персонажей, основываясь на таких переменных, как сложность рельефа

Алгоритм поиска пути, используемый в системе видеонаблюдения, использует несколько переменных, самые важные из которых – сила сигнала между соседними узлами, а также число узлов, через которые проходит пакет на пути к конечному пункту.

Пакет исходит из узла А, проходит через узлы В и С и, наконец, достигает пункта назначения (условный полицейский участок). При этом другие пакеты проходят по совершенно иному пути. Следовательно, не существует места, где могут быть перехвачены и прослушаны все пакеты.

Пакет исходит из узла А, проходит через узлы В и С и, наконец, достигает пункта назначения (условный полицейский участок). При этом другие пакеты проходят по совершенно иному пути. Следовательно, не существует места, где могут быть перехвачены и прослушаны все пакеты

Соврав другим узлам, что у нас есть прямая линия с полицией, мы заставили видеокамеры передавать свои пакеты нам

Tweet

Именно этим мы и воспользовались. Сообщив другим узлам ложную информацию – что условный полицейский участок находится у нас в зоне прямой видимости и что мы будем выступать в роли узла сети, передавая пакеты другим узлам, мы добились того, что видеокамеры, установленные поблизости, действительно начали передавать нам напрямую свои пакеты из-за реализации алгоритма А*. При таком подходе может быть реализован сценарий классической атаки man-in-the-middle, причем в данном случае может быть обеспечен очень широкий охват видеопотоков. Хорошую аналогию здесь можно провести с показанной на скриншоте выше игрой Starcraft: если построить мост через озеро, то все персонажи будут следовать этим путем, а не обходить озеро по берегу.

Что в итоге?

Мы не занимаемся хакерством – мы только хотели создать концептуальный образец, демонстрирующий возможность подобной атаки, показать, что уязвимость существует, и, наконец, привлечь внимание органов власти к недоработке, которую необходимо исправить. Именно поэтому наше исследование проводилось с использованием нашей собственной лабораторной установки, имитирующей системы, которые имелись в распоряжении полиции, и никоим образом не нарушило работу их сети.

Как мы часто видим в голливудских фильмах, если хакеры хотят воспользоваться в криминальных целях проблемами (например, такими, которые мы наглядно продемонстрировали своим исследованием), нельзя исключать никакие, даже самые опасные сценарии развития событий. Имея возможность осуществлять атаки класса man-in-the-middle, нацеленные на данные с видеокамер, злоумышленники легко сделают следующий шаг – заменят реальные видеопотоки на предварительно отснятый видеоматериал. При таком сценарии банда киберпреступников может заставить департамент полиции поверить, что в каком-то районе города совершается преступление. Преступники дождутся, пока туда будут отправлены наряды полиции, и совершат преступление в другом районе, где полицейских не будет. Это только один из возможных способов использования этих систем, при котором камеры видеонаблюдения фактически помогают преступникам, позволяя им действовать гораздо эффективнее, чем если бы этих камер вообще не было. К сожалению, это не просто голливудский сценарий. Мы успешно смоделировали эту ситуацию в нашей лаборатории на оборудовнии, подобном тому, что использует полиция.

Осуществляя MitM-атаки на камеры, злоумышленники могут заменить реальные данные на свое видео #SmartCitySecurity

Tweet

Мы доверяем компетентным органам право доступа к данным, касающимся нашей частной жизни. Однако когда эти органы не выделяют время и ресурсы, необходимые для ответственного обращения с нашими данными, то было бы лучше, если бы подобные технологии вообще не использовались. К счастью, после того как мы указали им на существующие проблемы, власти городов, в которых мы проводили свое исследование, выразили свою озабоченность этим вопросом и впоследствии приняли меры к повышению уровня безопасности.

Неприятная правда состоит в том, что в наши дни все вокруг взаимосвязано: при повсеместном внедрении новых технологий в процессе модернизации старых результатом неизбежно становится появление новых уязвимостей. Помимо систем видеонаблюдения, работу которых мы сегодня анализировали, существует и будет существовать множество других систем, уязвимых для атак. Идет гонка на опережение: «хорошие парни» должны успевать проверять безопасность новых систем, чтобы «плохие парни» не смогли использовать слабые места в этих системах в своих преступных целях. Наша задача – продолжать прилагать свои силы, чтобы делать мир безопаснее.

Выводы

Чтобы обеспечить достаточный уровень безопасности сети с ячеистой топологией, необходимо учитывать следующие факторы:

  • Несмотря на то что защита WPA потенциально может быть взломана, использование WPA c надежным паролем – минимальное требование, позволяющее системе не стать легкой мишенью злоумышленников.
  • Такие меры, как использование скрытых идентификаторов беспроводных сетей (SSID) и фильтрация МАС-адресов, также позволяют отсеять неопытных хакеров.
  • Убедитесь, что все этикетки на оборудовании скрыты, чтобы усложнить жизнь злоумышленникам, не имеющим доступа к инсайдерской информации.
  • Применяйте шифрование с открытым ключом для защиты видеоданных. Это позволит практически исключить манипулирование такими данными со стороны киберпреступников.

Голливудский сценарий: незащищенные системы видеонаблюдения

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике