Количество камер видеонаблюдения, установленных в наших городах, стремительно растет. Улучшаются технологии мониторинга и видеоаналитики, качество видео, снятое в любое время суток, способы подключения к камерам и возможности удаленного видеоконтроля.

Но одно стоит на месте. Качество защиты систем видеонаблюдения от взлома. Уязвимостей столько, что для хакеров и других злоумышленников ничего не стоит взломать вашу систему и начать контролировать вашу систему безопасности.

Вся беда в том, что современные системы видеомониторинга имею подключению к Интернету. Если же камеры подключены к сети, значит, в них присутствует сетевой стек TCP/IP со всеми присущими ему уязвимостями.

Ситуацию усугубляет появление у камер со встроенным искусственным интеллектом, осуществляюшим видеоаналититку, причём не важно, встроен ИИ в саму камеру или работает в дата-центре, в который передаются видеоданные. Уязвимое устройство в любом случае станет источником проблем, причём чем выше интеллект системы, тем больше разнообразнее эти проблемы.

Несмотря на то, что камеры видеонаблюдения становятся более совершенными технически, их программная начинка оставляет желать лучшего. Допускаемые разработчиками ПО для видеонаблюдения ошибки многочисленны и приводят к самым разным уязвимостям систем видеонаблюдения.

Это и несанкционированное исполнение команд, и ошибки получения доступа root, и привилегированный доступ к устройствам с возможность использования уязвимости для атак, и возможность войти в систему без пароля или используя заводской логин и пароль.

Перечислять все проблемы безопасности самих систем видеобезопасности не хватит и дня. Беда в том, что производители оборудования видеонаблюдения для получения прибыли стараются экономит на всем. Ведь стоимость аппаратной части камер значительно меньше, чем затраты на разработку прошивки или программного обеспечения. Результатом компании стремятся сэкономить принимая решения, которые отнюдь не повышают безопасность систем видеонаблюдения.

К таки решениям можно отнести:

  • необновляемые прошивки или прошивки без автоматического обновления,
  • возможность получить доступ к веб-интерфейсу камеры путём многократных попыток ввести неправильный пароль или нажатия кнопки «Отмена»,
  • открытый доступ ко всем камерам с сайта производителя,
  • неотключаемая заводская сервисная учётная запись со стандартным паролем или без него,
  • возможность несанкционированного изменения настроек даже при включённой авторизации и запрете анонимного доступа,
  • отсутствие шифрования видеопотока и/или передача учётных данных в открытом виде,
  • использование уязвимого веб-сервера GoAhead,
  • тиражирование уязвимых прошивок,
  • уязвимости устройств для хранения видео, что позволяет внедрять вирусы в ПО.
Но даже если производители оборудования для видеонаблюдения исправят эти и другие проблемы, ошибки со стороны пользователей никуда не денутся. Так и останется:
  • использование заводских паролей по умолчанию, и нежелание, незнание или лень их изменить;
  • отключение шифрования или VPN, если камера позволяет его использовать;
  • отключение автоматического обновления прошивки камеры;
  • забывчивость или халатность администратора, не обновляющего прошивку устройства, которое не делает это автоматически.
К сожалению многие владельцы цифровых систем видеонаблюдения считают, что никто не узнает о их системе и не попытается взломать ее. Но это далеко не так. Сегодня существует множество инструментов, которые позволяют автоматизировать поиск доступных через интернет камер.
Мы не будем перечислять их по этическим соображениям, отметим лишь, что достаточно в поисковике Google набрать определенные запросы, можно легко получить доступ к вашим камерам через Интернет.
Преступники пользуются этим, осуществляя взлом систем тех организаций или компаний, которые могут принести им финансовую выгоду. С помощью ваших систем видеонаблюдения преступники легко могут создать ботнет, и с помощь вашего оборудования осуществлять рассылку спама, проксирование трафика, DDoS атаки и даже осуществлять майнинг криптовалюты, убивая видеокарты ваших регистраторов, компьютеров или видеосерверов.
Захват контроля над системой видеонаблюдения даёт злоумышленникам возможность наблюдать за частной жизнью людей, среди которых могут быть государственные деятели и просто известные личности. Публикация видео с их участием способна вызвать скандал и нанести ущерб репутации владельца, а значит, угроза обнародования ­— серьёзный мотив для требования выкупа.
То же самое касается и охраняемых объектов, когда неподвластная вам система видеомониторинга будет работать на преступников, что позволит им легко проникнуть в ваш офис, склад, магазин, предприятие и т.д.
Они легко могут подменять видеопоток на камерах на свои кадры, где все якобы спокойно и никакого проникновения нет. По сути хакеры могут:

  • перехватить поток и подменить видеоданные,
  • перехватить поток и подменить метаданные,
  • взломать сервер распознавания лиц, автмобильных номеров и т.д. и фальсифицировать изображения в эталонной базе,
  • взломать камеру и модифицировать её софт, либо изменить настройки.
Можно ли защититься от всего этого. Разумеется да. Для этого нужно:
 
Обновлять прошивки

Устаревшие прошивки с большой вероятностью содержат уязвимости, которыми могут воспользоваться хакеры, чтобы перехватить управление камерой или внедриться на хранилище видеоданных.

Включать шифрование

Шифрование трафика между камерой и сервером защищает от MiTM-атак и перехвата учётных данных

Включать OSD

Если ваши камеры не справляются с шифрованием, включите на них постановку даты и времени на видеозапись. Тогда подменить картинку станет труднее.

Фильтровать IP

Ограничьте диапазон адресов, с которых можно подключиться к вашей системе видеонаблюдения. «Белые» списки и ACL ограничат свободу действий для злоумышленников.

Изменить пароли по умолчанию

Это должно быть первым действием при установке новых камер или монтаже системы.

Включить обязательную авторизацию

Даже если кажется, что на этапе настройки отсутствие авторизации упростит работу, включите её сразу.

Откажитесь от просмотра видео через интернет

Подумайте, действительно ли вам требуется доступ к камерам видеонаблюдения через интернет. Если нет — то достаточно, чтобы они работали внутри локальной сети. Это убережет вашу систему видеонаблюдения от многих проблем.