Журнал ТЗ № 2 2018 |
  бюро находок  
  Где искать        
наши издания
наши анонсы






2018
№ 2
статьи



Журнал ТЗ № 2 2018



Раздел: Стоп-кадр
Тема: CCTV (системы видеонаблюдения)
Автор: Руслан ШАРИФУЛЛИН, специалист направления «Физическая безопасность»

Кибербезопаность в видеонаблюдении: ботнет, DDOS и биткоины

Security is a process, not a product
«Безопасность – это процесс, а не продукт»

Bruce Schnier
Распространенность IP-видеокамер и цели взлома

В статье «А вы уверены, что видео с вашей квартиры смотрите только вы?» (ТЗ № 5-2017) рассматривалась тема взлома IP-видеокамер с целью получения несанкционированного видео с нее и вывода из строя из хулиганских соображений. Но ваша IP-камера или NVR могут рассматриваться злоумышленниками не как цель, а как ресурс для других задач, например, такой «хайповой» темы, как майнинг биткоинов или организация дальнейшей атаки на другие ресурсы.

Согласно данным компании IHS, в 2014 г. в мире было более 245 млн видеокамер при темпах роста примерно в 13,7%. Получается, что на сегодняшний день в мире более 360 млн видеокамер, применяемых в безопасности. Из них примерно 20% подключены к интернету, что дает 72 млн потенциальных целей для атаки или довольно объемного ресурса для осуществления дальнейших атак.

В частности, IP-видеокамера как еще один из элементов IoT (интернета вещей) включает в себя Unux компьютер, при этом довольно мощный и достаточно широко распространенный в силу нескольких факторов:

1. Упрощение систем видеонаблюдения и повышение гибкости с развитием облачных и p2p технологий с доступом через мобильные устройства.

2. Снижение средней цены на IP-камеру с 0 в 2010 г. до 0 в 2015-м, а не сегодня опустившейся ниже .

3. Широкое внедрение видеонаблюдения не только в промышленности, но и в общественной безопасности, малом бизнесе и частном секторе отчасти как следствие снижения цены.

То есть в мире сегодня появилось огромное количество автономных компьютеров, значительная часть из которых подключена к интернету. При этом можно выделить три потенциальных последствия реализации угрозы взлома вашей IP-камеры:

1. Во-первых, злоумышленник может получить доступ к той информации, которую записывает камера, и получать изображения и конфиденциальную информацию о компании или частной жизни, не обнаруживая себя. 2. Во-вторых, IP-камера может быть взломана для того, чтобы транслировать поддельную картинку либо в нужное время вообще перестать передавать видео в систему безопасности. 3. В-третьих, она может быть взломана для нанесения вреда третьим лицам, так как и другие IoT-устройства, IP-камеры уязвимы перед специальными вредоносными программами.

Третий пункт фактически описывает идею более изощренного способа использования ваших ресурсов. Даже в том случае, если ваша личная жизнь (изображение с видеокамеры) злоумышленнику не интересна, вы все равно в зоне риска. Вероятной целью может являться не видео, а программно-аппаратные ресурсы вашей IP-камеры или NVR, которые с помощью некоторых инструментов превращаются в средство для дальнейших атак или монетизации или еще каких-то, как правило, противоправных действий (например, для атаки на сайт сторонней компании).

Зачем нужен захват контроля над IP-камерой?

Как вы вероятно помните из статьи «А вы уверены, что видео с вашей квартиры смотрите только вы?» (ТЗ № 5-2017), один из вариантов использования вашей IP-камеры злоумышленниками – создание ботнет-сети. Предлагаю рассмотреть эту тему подробнее, чтобы понять, как это работает и зачем оно нужно злоумышленникам, – это поможет вам понять, какие действия необходимо предпринять, чтобы обезопаситься. Для начала определимся с терминами.

Ботнет (англ. botnet, произошло от слов robot и network) – сеть, состоящая из некоторого количества компьютеров с запущенными ботами. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Обычно используются для нелегальной или неодобряемой деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DoS и DDoS атаки).

Итак, что такое ботнет, мы понимаем, что такое рассылка спама и подбор паролей – вполне очевидно даже обывателю, а что же такое DOS и DDOS атака?



Рисунок 1. Иллюстрация идеи ботнета

DoS (Denial of Service – отказ в обслуживании) – хакерская атака на вычислительную систему с целью довести ее до отказа, т. е. создать такие условия, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ затруднен. Отказ «вражеской» системы может быть и шагом к овладению этой системой (если в нештатной ситуации ПО выдает какую-либо критическую информацию, например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, например, остановка транзакций или блокирование страницы оплаты услуг провайдера и меры по уходу от атаки ощутимо бьют цель по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищенной крупной компании или правительственной организации.

Основные методы DDOS-атак

Как правило, реализация идет по какому-либо из трех известных методов организации DDOS-атаки.

1. По полосе пропускания – этот вид атаки подразумевает, что на веб-сайт направляется большое количество запросов по протоколам HTTP и, таким образом, полностью заполняет его пропускную способность, вызывая при этом отказ в обслуживании обычных посетителей данного интернет-ресурса.

2. На основе протокола сервера – такой вид атаки направлен на конкретные сервисы сервера. Может выполняться с помощью интернет-протоколов. Часто такие атаки называют SYN-флуд, смысл которых в отсылке на веб-сервер большого количества SYN-запросов, на которые сервер должен ответить запросом ASK. Из-за большого количества таких запросов сервер часто не справляется с обработкой большого объема данных и «падает», т. е. выходит из строя.

3. На основе ошибок конкретного веб-сайта этот вид атаки является самым сложным в плане исполнения и применяется, как правило, высокопрофессиональными хакерами. Суть его состоит в том, что на сайте-жертве находятся уязвимости, используя которые создается высокая нагрузка на сервер и он получает отказ в обслуживании.

Как же хакеры организовывают такого рода атаки? Разберемся по шагам.

Создание «бойца» ботнета – подконтрольного хоста

Для того чтобы провести DDOS-атаку, необходимо создать ботнет с помощью заражения устройства. Именно для этого и нужно подобрать пароль к IoT-устройству, как, например, игровой приставке, умному принтеру, вашей IP-камере или NVR. При этом тип устройства нужен злоумышленниками только для того, чтобы получить инструмент для дальнейшей атаки. Попробуем понять, как это происходит.

Для получения контроля над IP-видеокамерой нужно знать как минимум два пункта для входа: IP-адрес и логин/пароль учетной записи. Однако на практике IP-адреса вряд ли можно назвать секретом. Они легко обнаруживаются сканерами сети, к тому же камеры откликаются на запросы поисковых роботов. При этом даже с настроенным логином и паролем доступ к камере зачастую можно получить по прямой ссылке типа /index.htm и после этого изменить логин/пароль без авторизации.

Итак, сначала нужно найти эти самые IP-видеокамеры или NVR, сделать это можно либо спецзапросами в популярных поисковиках или в специальных поисковиках для IoT.

После того как вы нашли потенциальную жертву, необходимо получить доступ, обычно применяются несколько вариантов:

1. Недоработка производителя – на IP-камере вообще не установлен пароль, некоторые производители допускают и такое использование их оборудования.

2. Халатность – пользователь просто не сменил заводской логин и пароль. Это самый распространенный вариант захвата контроля над устройством.

3. Использование уязвимости прошивки IP-видеоустройства.

Следующий этап после получения контроля над устройством – внедрение программного кода, чтобы удаленно управлять этим хостом.

Конечно, необходимо понимать, что все методики и ресурсы представлены здесь только в ознакомительных целях, ни в коем случае не являются руководством к действию и служат исключительно для лучшего понимания методологии процесса атаки и возможности выстроить качественную защиту от подобного нападения.

Крупнейшая ботнет-сеть, созданная на практике

В сентябре 2016 г. после публикации статьи о группировках, продающих услуги ботнетов для осуществления DDoS-атак, сайт журналиста Брайана Кребса (Brian Krebs) стал жертвой DDoS-атаки, трафик которой на пике достиг 665 Гб/с, это одна из самых мощных известных DDoS-атак. Сайт пришлось на некоторое время закрыть. Как выяснилось позже, атака была осуществлена ботнетом из зараженных IP-видеокамер, являющихся подмножеством интернета вещей. В октябре того же года злоумышленники опубликовали исходные тексты использованного вредоносного ПО, известного теперь под названием Mirai.

Исследования показали, что по состоянию на 23 сентября, когда атака достигла пика интенсивности, в интернете можно было найти более 560 000 устройств, уязвимых к атакам с целью создания ботнета.

Далее, уже через месяц, по данным ESSET NOD32, заметная часть глобальной сети интернет несколько часов работала с перебоями. У многих пользователей наблюдались проблемы с доступом к самым известным сервисам загрузки и просмотра видео и социальной сети. Возникает вопрос: кем была реализована столь масштабная DDoS-атака и на кого была направлена? Одним из первых информацию об инциденте опубликовал опять же журналист Брайан Кребс, указав, что причиной столь масштабного сбоя послужила DDoS-атака на известную американскую компанию Dyn, которая предоставляет DNS-сервис для ключевых американских организаций. Позже специалисты выяснили, что DDoS-атака была организована с использованием того же самого крупнейшего ботнета Mirai.



Рисунок 2. Карта расположения скомпрометированных устройств, которые участвовали в DDoS-атаке (данные Incapsula)

Ответственность взяли на себя группы хакеров Anonimus и New World Hackers.

Зачем нужно DDOSить?

Зачем, в принципе, нужна DDOS-атака? DDOS-атаки являются одним из самых эффективных и популярных методов недобросовестной конкуренции. Например, перед праздниками и в зависимости от времени года DDOS-атакам подвергаются различные сферы онлайн-бизнеса. Осенью и весной атакам подвергаются интернет-магазины по продаже шин, 14 февраля и 8 Марта – цветочные магазины. А периоды избирательных кампаний и выборов для организаторов DDOS-атак становится золотым временем. В такие периоды атакам подвергаются новостные и политические ресурсы.

Киберпреступники, которые проводят DDoS-атаки, всегда ставят своей целью обрушить атакуемый сайт. При этом они используют ботнет-сеть, которая может объединять в своем составе сетевые серверы, настольные компьютеры и другие устройства, подключенные к интернету. Они всегда ищут для этого легкодоступные объекты, обычно настольные компьютеры, к которым им удастся получить доступ, и затем атакуют вас.

В некоторых случаях атакующие используют комбинированные виды атаки для того, чтобы с высокой степенью вероятности преодолеть возможную защиту потенциальной жертвы.

Как защититься от кибератак? Несколько простых рекомендаций для обычных пользователей:

1. Даже в случае таких низкоуровневых устройств, как IP-видеокамеры, всегда нужно менять заводские логины и пароли доступа, также менять стандартные порты доступа. Хотя у нас пока не известны случаи заражения вредоносными программами сети из умных холодильников, но за годы наблюдений попадались ботнеты на основе интернета вещей. Камеры наблюдения – одни из самых популярных устройств и часто становятся средством атак.

2. Конечно же, логины/пароли для разных ваших сервисов и устройств должны отличаться и не быть простейшими типа «12345» или «QWERTY».

3. Настроить хотя бы штатные средства любого домашнего маршрутизатора, а именно фильтрацию внешних подключений по MAC адресу, тот же самый логин и пароль, чтобы ограничить доступ «из/вне» к вашей внутренней сети.

4. Своевременно обновлять прошивки как сетевых устройств, так и имеющегося у вас оборудования. Ведь при обнаружении уязвимостей производители, как правило, довольно оперативно реализуют новые прошивки с устраненной уязвимостью.

Вместо заключения

Надеюсь, что данная статья позволит лучше понять методологию злоумышленников, а также высветит важность даже простейших мер безопасности, также как и угроз, которые несут подключенные к сети устройства с заводскими паролями. Даже в тот момент, когда я пишу эту статью, параллельно читаю о еще одной DDoS-атаке из интернета вещей, в этот раз от ботнета на основе домашних NAS-серверов. Да, ваш NAS, обеспечивающий вас фильмами через torrent-сети, параллельно вполне может участвовать во взломе сервера Министерства обороны или еще каких-нибудь нехороших действиях без вашего ведома. И да, вы угадали, их тоже взломали через прямой перебор паролей со словарем.

Впервые компания Incapsula сообщила о начале тренда на взлом интернет-камер еще в марте 2014 г. Тогда выяснилось, что активность ботнетов внутри наблюдаемой компанией сети за год выросла на 240%. Интересно, что мотивы атак остались неизвестны. Не удалось ничего узнать и о самих злоумышленниках, совершивших атаку.

Эксперты по информационной безопасности призывают интеграторов и конечных пользователей начать относиться к киберзащите камер видеонаблюдения более серьезно. Там, где это возможно, нужно изолировать камеры от интернета. В любом случае следует, по меньшей мере, менять пароли для доступа к камерам, убирая те, которые изначально установлены производителем, – это из разряда must do.

Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru

Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев!
Добавить комментарий или задать вопрос

Правила комментирования статей

Версия для печати

Средняя оценка этой статьи: 0  (голосов: 0)
Ваша оценка:

назад
|

Axis представляет сетевой радар для точного обнаружения вторжений в контролируемых зонах
Компания Axis дополняет свой обширный портфель продукции сетевыми радарами. Радарные датчики вторжения не реагируют на многие распространенные сигналы, которые приводят к ложным срабатываниям, и легко устанавливаются и интегрируются в существующие системы.



Новинка от компании IDIS: 5Мп IP-видеокамера DC-T3533HRX
Тенденции развития индустрии IP-видеонаблюдения демонстрируют погоню производителей за увеличением разрешающей способности видеокамер. При этом часто оказывается так, что озвучиваемые цифры в 4, 9, 12 и даже 20 мегапикселей оказываются несопоставимыми с физическими размерами сенсоров, используемых в этих камерах. Поэтому подобные разрешения реализуются лишь на уровне соответствующих цифр в настройках камеры и не приводят к какому-либо улучшению изображения.



IBM меняет представление о передаче и хранении видео. Впервые на All-over-IP 2017!
Сравните ваш взгляд на интеллектуальное видеонаблюдение с мнением руководителей корпорации IBM на 10-м форуме All-over-IP 2017.



Реклама
Подписка на новости
Имя
E-mail
Анти-спам код
Copyright © 2008 —2017 «Технологии защиты».