Я хочу описати конкретний сценарій атаки на систему моніторингу - не для того, щоб вас налякати, а щоб показати, як це просто працює і що можна зробити, щоб від нього захиститися. Усі методи, які я описую, загальновідомі та використовуються дослідниками безпеки. Я описую їх з точки зору захисту.

Krok 1 – Rekonesans: Shodan

Зловмисник не починає з конкретної компанії. Він починає з пошуку легких цілей. Інструмент номер один Shodan – пошукова система пристроїв IoT, підключених до Інтернету. Shodan постійно сканує Інтернет і індексує пристрої за допомогою банерів, HTTP-заголовків і відповідей портів.

Wpisz w Shodan: przykładowe zapytanie techniczne. Ви побачите сотні польських рекордерів Hikvision, доступних безпосередньо до Інтернету, з веб-інтерфейсом, доступним без VPN. Деякі з них відповідатимуть на пароль за замовчуванням протягом тридцяти секунд.

Krok 2 – Identyfikacja wersji firmware

Коли зловмисник знаходить пристрій, він перевіряє версію мікропрограми. Сторінка входу реєстратора часто показує модель і версію програмного забезпечення навіть без входу в систему - у HTTP-заголовках або HTML-коді сторінки входу.

Враховуючи модель і версію, зловмисник перевіряє загальнодоступні бази даних CVE (Common Vulnerabilities and Exposures). CVE-2021-36260 — критична вразливість у камерах Hikvision — дозволяла віддалене виконання коду без будь-якої реєстрації за допомогою спеціально створеного HTTP-запиту. Уразливість була оцінена в 9,8/10 за шкалою CVSS. Це торкнулося десятків моделей. Патч вийшов, але тисячі пристроїв все ще працюють на старій прошивці.

Крок 3 – Вхід в систему

З робочим експлойтом або паролем за замовчуванням зловмисник входить до реєстратора. Що він бачить? Повний перегляд усіх камер, історичних записів, конфігурації мережі, включаючи IP-адреси інших пристроїв у тій же мережі.

Реєстратор працює на Linux. Якщо експлойт дозволяє виконання коду, зловмисник може запустити системну оболонку та почати досліджувати решту мережі. Якщо камери знаходяться в одній мережі з комп’ютерами компанії, ніщо не заважає йому спробувати отримати доступ до файлового сервера, бази даних або робочих станцій.

Крок 4 – Зберігайте доступ і цілі

Цілі зловмисника можуть бути різними:

Промислове шпигунство – попередній перегляд виробництва, складу, офісу управління
Wymuszenie – погрози відкрити записи (співробітників, клієнтів) або зашифрувати систему
Саботаж – видалення записів як доказів або відключення моніторингу перед фізичним проникненням
Botnet – використання захоплених камер для DDoS-атак на інші цілі

Як захиститися – конкретний список

Не піддавайте диктофон безпосередньому впливу Інтернету. Якщо вам потрібен віддалений доступ, використовуйте VPN. WireGuard на MikroTik або pfSense — це двогодинна настройка, яка усуває найбільший вектор атаки.

Zaktualizuj firmware. Перевірте версію мікропрограми своїх камер і рекордерів на веб-сайті виробника. Hikvision і Dahua регулярно випускають оновлення безпеки. Багато вразливостей, включаючи CVE-2021-36260, уже давно виправлено, але лише на пристроях із поточним програмним забезпеченням.

Змінити паролі за замовчуванням. Кожен пристрій – камера, рекордер, комутатор – повинен мати унікальний надійний пароль. Мінімум 12 символів.

Сегментуйте свою мережу. Камери в окремій VLAN не мають доступу до решти мережі. Навіть скомпрометований пристрій ізольовано. Я описую подробиці в статті про VLAN.

Вимкніть непотрібні протоколи. Telnet, UPnP, застарілий RTSP без автентифікації - якщо не використовується, вимкніть. Кожен активний протокол є потенційною мішенню.

Monitoruj logi. Невдалі спроби входу, підключення з невідомих IP-адрес, зміна конфігурації о 3 годині ночі - це сигнали, які повинні викликати тривогу. Сучасні реєстратори зберігають журнали подій - варто їх регулярно переглядати.

Podsumowanie

Атака на систему відеоспостереження не є складною хакерською операцією, яка потребує багаторічного досвіду. Для тих, хто володіє інструментами та має Shodan під рукою, захоплення незахищеного рекордера займає кілька хвилин. Захист легше, ніж напад, і точно дешевше, ніж наслідки злому.