Chcę opisać konkretny scenariusz ataku na system monitoringu – nie po to żeby straszyć, ale żeby pokazać jak prosto to działa i co można zrobić żeby się przed tym bronić. Wszystkie techniki, które opisuję, są publicznie znane i używane przez badaczy bezpieczeństwa. Opisuję je z perspektywy obrony.
Krok 1 – Rekonesans: Shodan
Atakujący nie zaczyna od konkretnej firmy. Zaczyna od szukania łatwych celów. Narzędziem numer jeden jest Shodan – wyszukiwarka urządzeń IoT podłączonych do internetu. Shodan cały czas skanuje internet i indeksuje urządzenia według banerów, nagłówków HTTP i odpowiedzi na porty.
Wpisz w Shodan: przykładowe zapytanie techniczne. Zobaczysz setki polskich rejestratorów Hikvision wystawionych bezpośrednio na internet, z interfejsem webowym dostępnym bez VPN. Część z nich odpowie na domyślne hasło w ciągu trzydziestu sekund.
Krok 2 – Identyfikacja wersji firmware
Gdy atakujący znajdzie urządzenie, sprawdza wersję firmware. Strona logowania rejestratora często ujawnia model i wersję oprogramowania nawet bez logowania – w nagłówkach HTTP lub w kodzie HTML strony logowania.
Mając model i wersję, atakujący sprawdza publiczne bazy CVE (Common Vulnerabilities and Exposures). CVE-2021-36260 – krytyczna luka w kamerach Hikvision – pozwalała na zdalne wykonanie dowolnego kodu bez żadnego logowania, przez specjalnie spreparowane żądanie HTTP. Luka była oceniona na 9.8/10 w skali CVSS. Dotknęła dziesiątki modeli. Patch wyszedł – ale tysiące urządzeń nadal działa na starym firmware.
Krok 3 – Wejście do systemu
Mając działający exploit lub domyślne hasło, atakujący loguje się do rejestratora. Co widzi? Pełny podgląd wszystkich kamer, nagrania historyczne, konfigurację sieci – w tym adresy IP innych urządzeń w tej samej sieci.
Rejestrator działa na Linuksie. Jeśli exploit pozwala na wykonanie kodu, atakujący może uruchomić powłokę systemową i zacząć eksplorować resztę sieci. Jeśli kamery są w tej samej sieci co komputery firmowe – nic go nie zatrzymuje przed próbą dostępu do serwera plików, bazy danych czy stacji roboczych.
Krok 4 – Utrzymanie dostępu i cele
Cele atakującego mogą być różne:
- Szpiegostwo przemysłowe – podgląd produkcji, magazynu, biura zarządu
- Wymuszenie – grożenie ujawnieniem nagrań (pracownicy, klienci) lub zaszyfrowaniem systemu
- Sabotaż – usunięcie nagrań jako dowodów lub wyłączenie monitoringu przed fizycznym włamaniem
- Botnet – użycie przejętych kamer do ataków DDoS na inne cele
Jak się bronić – konkretna lista
Nie wystawiaj rejestratora bezpośrednio na internet. Jeśli potrzebujesz zdalnego dostępu, użyj VPN. WireGuard na MikroTiku lub pfSense to konfiguracja na dwie godziny, która eliminuje największy wektor ataku.
Zaktualizuj firmware. Sprawdź wersję firmware swoich kamer i rejestratorów na stronie producenta. Hikvision i Dahua regularnie wydają aktualizacje bezpieczeństwa. Wiele luk – w tym CVE-2021-36260 – jest od dawna załatana, ale tylko na urządzeniach z aktualnym oprogramowaniem.
Zmień domyślne hasła. Każde urządzenie – kamera, rejestrator, switch – powinno mieć unikalne silne hasło. Minimum 12 znaków.
Segmentuj sieć. Kamery w osobnym VLAN-ie nie mają dostępu do reszty sieci. Nawet przejęte urządzenie jest izolowane. Szczegóły opisuję w artykule o VLAN-ach.
Wyłącz zbędne protokoły. Telnet, UPnP, starszy RTSP bez uwierzytelniania – jeśli nie używasz, wyłącz. Każdy aktywny protokół to potencjalny cel.
Monitoruj logi. Nieudane próby logowania, połączenia z nieznanych adresów IP, zmiany konfiguracji o 3 w nocy – to sygnały, które powinny uruchomić alarm. Nowoczesne rejestratory zapisują logi zdarzeń – warto je regularnie przeglądać.
Podsumowanie
Atak na system CCTV nie jest zaawansowaną operacją hakerską wymagającą lat doświadczenia. Dla kogoś znającego narzędzia i mającego Shodan pod ręką, przejęcie niezabezpieczonego rejestratora zajmuje minuty. Obrona jest prostsza niż atak – i zdecydowanie tańsza niż skutki włamania.