Pozor na bezpečnostní kamery, říkají experti. Výzkum odhalil díry v zabezpečení

Prakticky ihned je začaly oťukávat automatické snahy hackerů. První kamera padla už v této fázi.

Po několika hodinách už se hackeři snažili najít cestu přes porty do všech pěti kamer. Některá skenování hledala ty nejočividnější díry v bezpečnosti, mnoho jich šlo ale konkrétně po portech běžně využívaných pro DVR systémy.

Za čtyřiadvacet hodin byla další dvě zařízení kompletně pod nadvládou útočníků. Umožnila jim vstup do interní sítě, nahrávání škodlivého kódu a přístup k interním datům.

A jedna kamera útoky hackerů nezvládla vůbec a přestala úplně fungovat.

Firma Cloudview, která tyto výsledky nedávno publikovala ve svém reportu, není sice zdaleka nestranným soudcem, protože sama nabízí (prý jediné bezpečné) sledovací služby v rámci cloudu. Jejich poznatky jsou ale pro širší IT komunitu přesto zajímavé.

Poukázali totiž na skutečný problém, který si mnohé firmy ani neuvědomují. Systém, který si pořídí na svou ochranu, může paradoxně usnadnit případným hackerům práci. A opravdu se mnoho takových útočníků po internetu pohybuje a nechává své automatické nástroje hledat zranitelné, z internetu přístupné cíle. Přestože je to možná překvapivé, mnoho takových zařízení je kvůli špatným postupům opravdu dostupných z širšího internetu.

Jedná se tedy o ještě další vektor útoku, kterým mohou hackeři napadat počítače jednotlivců a firem. Hanba přitom padá na prvek, který se bezpečností honosí už ve svém názvu.

Kamery krvácejí kvůli přesměrování portů

Podle výzkumníků mají tyto zabezpečovací systémy několik významných děr, které z nich dělají skvělé kandidáty pro útok hackerů. Chyby v bezpečnosti nalezli u DVR systému i samotných IP kamer.

Slabé stránky byly podle odborníků v tom, jak tato zařízení komunikují po síti, konkrétně v přesměrování portů a využívání dynamické DNS, ale také v nedostatečně updatovaném firmwaru výrobce (někdy dodávaným rovnou i se zadními vrátky pro budoucí přístup) nebo prostě špatném kódu.

Výzkumníci hledali slabiny u více než patnácti DVR zařízení a ve všech nějaké našli. Některé z nich byly banální, jiné vážné – neomezený přístup do paměti, vystavení možnosti SQL injection útoku nebo třeba přednastavené administrátorské účty. Systémy DVR jsou výkonem prakticky stejné jako malý webový server. Úroveň zabezpečení je ale řádově horší.

„Většina testovaných zařízení byla prolomena za méně než hodinu.“

Nejedná se přitom o jediný zdroj z poslední doby, který na tyto bezpečnostní díry upozorňuje. O podobně špatných výsledcích sledovacích zařízení psali o něco dříve například také lidé z britské bezpečnostní firmy Pen Test Partners.

A co dál? Odstřihněte kamery od sítě

Jak tedy ideálně postupovat?

Řešení nejsou příliš jednoduchá, v zásadě lze ale mnoha hrozbám předejít tím, že kamerové systémy budou firmy považovat prostě za další citlivé počítačové systémy a podle toho s nimi budou zacházet. Na starost je dostanou IT oddělení, budou procházet pravidelným testováním a jejich zabezpečení bude promyšleno předem, ne až po prvním hackerském útoku.

Sledovací systémy by ideálně neměly být za žádných okolností dostupné z vnější sítě, měly by být uzavřenou sítí. Odtud nakonec pramení jejich anglický název CCTV – první dvě písmena zastupují slova „closed circuit“, tedy uzavřený okruh. Pokud je vnější přístup přece jen nutný, musí ho IT oddělení opravdu pečlivě zabezpečit. Jedná se o živá zařízení, která potřebují pravidelné patche, updaty, monitorování IT lidmi a třeba i penetrační testování. Jen tak si můžete být jistí, že sledovací systémy slouží pro vaši firmu a ne proti ní.