С появлением IP-видеокамер наблюдения и выходом их в сеть Интернет возникла достаточно серьезная угроза взлома систем видеонаблюдения. Сегодня миллионы цифровых видеокамер самых разных производителей открыты для злоумышленников.

Вызвано это, прежде всего тем, что многие производители оборудования для видеонаблюдения не заботятся о защите видеокамер. Они экономят буквально на всем — работе программистов, комплектующих, прошивке и т.д.  Дешевые камеры с ограниченным функционалом и возможностями, но самое главное, с громадными брешами в механизмах безопасности — стали повседневностью.

Системы видеонаблюдения, призванные обеспечивать безопасность, сами стали небезопасными. Не обновляются прошивки видеокамер в noname устройствах, легко взламываются сайты производителей, содержащие пароли к сотням и тысячам видеокмер. Даже после смены после смены дефолтного пароля, то есть пароля, установленного по умолчанию произодителем оборудования, система не становится безопасной.

Что еще хуже, сам производитель может заложить бэкдор. Например про вводе одного единственного пароля он открывает доступ к просмотру видео и системным настройкам всех камер данного производителя. А это, тысячи и тысячи видеокамер, которые совершенно незащищены от взлома.

Проблема в том, что производители стремятся сэкономить на всём, отчего остаются уязвимости в прошивке и железе, что даже доступ по протоколу ONVIF со сложным паролем не защищает систему наблюдения от взлома.

Сегодня десятки тысяч камер и видеорегистраторов регулярно взламываются из-за использования заданных по умолчанию паролей. Списки заводских логинов и паролей к камерам видеонаблюдения легко найти в Интернете. И если приобретя систему наблюдения, вы не сменили параметры авторизации, знайте, ваша система наблюдения уже взломана и используется злоумышленниками в своих целях, которые к вашим задачам не имеют никакого отношения.

Еще одна проблема — отсутствие автоматического обновления.  Обычные владельцы видеокамер редко будут вручную скачивать новую прошивку и обновлять ее для своих видеокамер. Старые же прошивки наверняка уже не защищены. К тому же их поддержка прекращается.

Дешевые камеры которые не обновляются вообще никогда, часто имеют уязвимость Heartbleed. А это значит, что камеры можно легко использовать для шпионажа, подглядывания или трансляции любого аудио через камеру, как это часто практикуют взломщики видеокамер.

Хуже, когда видеокамеры  становятся частью ботнетов. Достаточно вспомнить историю со взломом камер Xiongmai, из-за чего произошла очень мощная DDOS-атака на такие крупные сайты, как Google, Netflix,  Twitter и Spotify.

Еще одна проблема связана с переадресацией портов. Проброс портов позволяет получить настраиваемый доступ к камере в вашей локальной сети, но, увы, он также открывает возможность для взлома. Например поисковик Shodan при наборе определенного запроса, покажет около 50 тысяч уязвимых устройств видеонаблюдения, к которым можно получить доступ через сеть.

Существует и уязвимость, которая позволяет легко извлекать нешифрованное видео из локальных дисков различных DVR. Это можно сделать всего лишь благодаря коротокого в одну строчку эксплойта.

 

Огромное число камер, DVR, NVR, VMS, не шифруют канал даже по SSL. Использование таких устройств грозит проблемами похуже, чем полный отказ от https.

Значительно упрощает взлом доступ к RTSP-ссылке камеры. А таких ссылок в Интернете пруд пруди. Но что самое страшное — информация об открытых камерах или камерах с известными паролями широко распространена в соцсетях, а роликов со взломанных камер на YouTube сегодня тысячи.

Таким образом можно с печалью констатировать, системы видеонаблюдения, призванные обеспечивать безопасность, сами по себе опасны. Их используют для шпионажа, взломов сайтов компания, майнинга криптовалюты, шантажа и т.д.

Можно ли исправить эту ситуацию? В целом — нет, но вот свою систему видеонаблюдения Вы можете надежно защитить.

Во-первых, при покупки оборудования для видеонаблюдения сразу же смените пароль и логин авторизации.

Во-вторых, следите за обновлением прошивок для оборудования и вовремя меняйте их.

В-третьих, если возможно, закройте доступ к интернету в своей системе безопасности.

В-четвертых, если в интернет все же доступ есть, озаботьтесь тем, чтобы система использовала, как минимум, IDS / IPS для дополнительной защиты. Еще лучше поместить систему видеонаблюдения в физически отдельную сеть или использовать VLAN.

В-пятых, не покупайте оборудование неизвестных или малоизвестных фирм.

В-шестых, используйте TLS-шифрование не только для видео в облаке, но и для потоков с камер при хранении на жестком диске.

В-седьмых, используйте облачные сервисы видеонаблюдения, которые не подвержены уязвимостям.

Вот простые правила, которым надо следовать, чтобы защитить от взлома свою систему видеонаблюдения. Помните, хакеры не дремлют и постоянно ищут все новые пути обхода защиты. Поэтому оставайтесь всегда в курсе того, как можно защитить камеры видеонаблюдения от все новых и новых угроз.