Pracuję w branży od piętnastu lat. Przez ten czas zrobiłem ponad osiemset instalacji – od małych sklepów po duże magazyny i biurowce. I za każdym razem, gdy przychodzę do klienta, który miał już kogoś przed mną, sprawdzam to samo: hasło do rejestratora i kamer. W dziewięciu przypadkach na dziesięć jest to admin/admin, admin/12345 albo – co jeszcze gorsze – pole hasła jest zupełnie puste.
To nie jest drobne niedopatrzenie. To otwarte drzwi do całej sieci.
Skąd się biorą domyślne hasła?
Producenci kamer IP i rejestratorów NVR/DVR ustawiają domyślne dane logowania na etapie produkcji – żeby instalator mógł szybko uruchomić urządzenie. Problem w tym, że wielu instalatorów na tym poprzestaje. Kamera działa, obraz jest – i tyle. Hasło zostaje takie, jakie było w pudełku.
Hikvision przez lata używał admin/12345. Dahua – admin/admin. Starsze modele Axis – root/pass. Te dane są publicznie dostępne w instrukcjach obsługi, na forach i w bazach takich jak publicznych bazach domyślnych haseł. Każdy może je sprawdzić w ciągu trzydziestu sekund.
Co może zrobić atakujący mając dostęp do kamery?
Więcej niż myślisz. Przejęcie kamery to nie tylko podgląd obrazu. Nowoczesne kamery IP to pełnoprawne komputery z systemem Linux, procesorem i dostępem do sieci. Atakujący może:
- podglądać obraz na żywo i nagrania historyczne,
- wyłączyć nagrywanie lub nadpisać materiał dowodowy,
- użyć kamery jako punktu wejścia do reszty sieci firmowej,
- włączyć kamerę do botnetu (tak działał słynny botnet Mirai – przejął setki tysięcy kamer na całym świecie i wywołał jeden z największych ataków DDoS w historii),
- zainstalować oprogramowanie szpiegujące lub ransomware na urządzeniach w tej samej sieci.
W 2021 roku hakerzy przejęli dostęp do 150 000 kamer firmy Verkada – w szpitalach, więzieniach, szkołach i biurach Tesli. Wszystko przez przejęte konto administracyjne z domyślnymi uprawnieniami.
Jak sprawdzić, czy Twoje kamery są podatne?
Publiczne wyszukiwarki urządzeń podłączonych do internetu potrafią indeksować kamery i rejestratory wystawione bezpośrednio do sieci. Dlatego w audycie sprawdzamy, czy system nie jest widoczny publicznie i czy zdalny dostęp działa przez bezpieczny kanał, np. VPN, mocne hasła i aktualne oprogramowanie.
W ramach audytu możemy sprawdzić lokalną sieć i listę aktywnych urządzeń, żeby wykryć stare kamery, rejestratory lub niepotrzebnie otwarte usługi. Robimy to wyłącznie za zgodą właściciela infrastruktury.
Co zrobić – konkretne kroki
1. Zmień hasło natychmiast po instalacji. Każde urządzenie – kamera, rejestrator, switch PoE – powinno mieć unikalne, silne hasło. Minimum 12 znaków, mieszanka liter, cyfr i znaków specjalnych.
2. Włącz uwierzytelnianie dwuskładnikowe. Nowsze rejestratory Hikvision i Dahua obsługują 2FA przez aplikację mobilną. Warto z tego korzystać, szczególnie przy dostępie zdalnym.
3. Wyłącz nieużywane protokoły. Telnet, UPnP, starsze wersje protokołu RTSP bez szyfrowania – jeśli nie potrzebujesz, wyłącz. Każdy otwarty port to potencjalny wektor ataku.
4. Zaktualizuj firmware. Producenci regularnie wydają poprawki bezpieczeństwa. CVE-2021-36260 – krytyczna luka w kamerach Hikvision pozwalająca na zdalne wykonanie kodu bez logowania – była załatana przez producenta, ale tysiące kamer do dziś chodzi na starym firmware.
5. Oddziel kamery od reszty sieci. O segmentacji sieci przez VLAN piszę w osobnym artykule – to jeden z najważniejszych kroków, który możesz zrobić bez wymiany sprzętu.
6. Wyłącz dostęp z zewnątrz jeśli nie jest potrzebny. Jeśli podgląd zdalny nie jest konieczny, zablokuj dostęp do portu kamery z internetu na poziomie routera. Jeśli jest potrzebny – użyj VPN zamiast otwierać porty bezpośrednio.
Podsumowanie
Zmiana hasła zajmuje trzy minuty. Skutki włamania do systemu monitoringu mogą kosztować firmę dziesiątki tysięcy złotych – nie licząc strat wizerunkowych i prawnych związanych z wyciekiem nagrań. To jedna z tych rzeczy, gdzie stosunek nakładu do efektu jest absolutnie na korzyść działania.
Jeśli nie wiesz, czy Twój system jest odpowiednio zabezpieczony – napisz lub zadzwoń. Audyt bezpieczeństwa instalacji CCTV to coś, co robię regularnie i co potrafi mocno zaskoczyć właścicieli firm przekonanych, że wszystko jest w porządku.