Стандартні паролі на IP-камерах - найбільша діра в безпеці, яку я бачу в клієнтах

Я працюю в галузі п'ятнадцять років. За цей час я зробив понад вісім сотень інсталяцій – від невеликих магазинів до великих складів та офісних будівель. І кожного разу, коли я приходжу до клієнта, у якого вже хтось був до мене, я перевіряю одне й те саме: пароль до реєстратора та камер. У дев'яти випадках із десяти так admin/admin, admin/12345 або – ще гірше – поле пароля абсолютно порожнє.

Це не дрібний недолік. Це відкриті двері для всієї мережі.

Звідки беруться паролі за замовчуванням?

Виробники IP-камер і реєстраторів NVR/DVR встановлюють дані для входу за замовчуванням на етапі виробництва, щоб інсталятор міг швидко запустити пристрій. Проблема в тому, що багато інсталяторів зупиняються на цьому. Камера працює, зображення є – і все. Пароль залишається таким же, як і в полі.

Він роками користується Hikvision admin/12345. Dahua – admin/admin. Starsze modele Axis – root/pass. Ці дані є загальнодоступними в посібниках користувача, на форумах і в базах даних, таких як публічні бази даних паролів за замовчуванням. Будь-хто може перевірити їх протягом тридцяти секунд.

Що може зробити зловмисник з доступом до камери?

Більше, ніж ви думаєте. Отримання камери – це не просто перегляд зображення. Сучасний IP камери це повноцінні комп'ютери з Linux, процесором і доступом до мережі. Зловмисник може:

• переглядати живі зображення та історичні записи,
• вимкнути запис або перезаписати докази,
• використовувати камеру як точку входу до решти мережі компанії,
• включити камеру в ботнет (так працював знаменитий ботнет Mirai - він захопив сотні тисяч камер по всьому світу і спричинив одну з найбільших DDoS-атак в історії),
• інсталювати шпигунське програмне забезпечення або програми-вимагачі на пристрої в одній мережі.

У 2021 році хакери отримали доступ до 150 тисяч камер Verkada – у лікарнях, в’язницях, школах та офісах Tesla. Все через викрадений обліковий запис адміністратора з дозволами за замовчуванням.

Як перевірити, чи ваші камери вразливі

Загальнодоступні пошукові системи для пристроїв, підключених до Інтернету, можуть індексувати камери та рекордери, підключені безпосередньо до мережі. Таким чином, під час аудиту ми перевіряємо, чи система не видима для громадськості та чи працює віддалений доступ через захищений канал, напр. VPN, надійні паролі та оновлене програмне забезпечення.

У рамках аудиту ми можемо перевірити локальну мережу та список активних пристроїв, щоб виявити старі камери, рекордери чи непотрібно відкриті служби. Робимо це лише за згодою власника інфраструктури.

Що робити – конкретні кроки

1. Змініть пароль відразу після встановлення. Кожен пристрій – камера, рекордер, комутатор PoE – повинен мати унікальний надійний пароль. Мінімум 12 символів, поєднання літер, цифр і спеціальних символів.

2. Увімкніть двофакторну аутентифікацію. Нові відеореєстратори Hikvision і Dahua підтримують 2FA через мобільний додаток. Це варто використовувати, особливо при віддаленому доступі.

3. Вимкніть невикористовувані протоколи. Telnet, UPnP, старіші версії RTSP без шифрування - якщо він вам не потрібен, вимкніть його. Кожен відкритий порт є потенційним вектором атаки.

4. Zaktualizuj firmware. Виробники регулярно випускають патчі безпеки. CVE-2021-36260 — критична вразливість у камерах Hikvision, що дозволяє віддалено виконувати код без входу в систему — була виправлена ​​виробником, але тисячі камер досі працюють на старій прошивці.

5. Відокремте камери від решти мережі. Про сегментацію мережі через VLAN я пишу в окремій статті - це один з найважливіших кроків, який можна зробити без заміни обладнання.

6. Вимкніть зовнішній доступ, якщо він не потрібен. Якщо віддалений перегляд не потрібен, заблокуйте доступ до порту камери з Інтернету на рівні роутера. Якщо вам це потрібно, використовуйте VPN замість того, щоб відкривати порти безпосередньо.

Podsumowanie

Зміна пароля займає три хвилини. Наслідки злому системи моніторингу можуть коштувати компанії десятки тисяч злотих - не враховуючи іміджеві та юридичні збитки, пов'язані з витоком записів. Це одна з тих речей, де співвідношення зусиль і ефекту абсолютно на користь дії.

Якщо ви не знаєте, чи належним чином захищена ваша система, пишіть або телефонуйте. Аудит безпеки систем відеоспостереження — це те, що я роблю регулярно, і це може дуже здивувати власників бізнесу, які вважають, що все в порядку.