Pagrindinės kibernetinės grėsmės IP kameroms ir būdai, kaip jų išvengti

Kibernetinės grėsmės vaizdo stebėjimo įrangai yra nuolatinė problema, su kuria susiduria galutiniai naudotojai. Tiesą sakant, kibernetinis saugumas nuolat priskiriamas prie svarbiausių IP stebėjimo tendencijų. Šiame pranešime aptariamos kai kurios svarbiausios grėsmės, ką dėl jų daro gamintojai ir ką galutiniai naudotojai turėtų daryti, kad apsaugotų savo įrangą.
 
Nereikia nė sakyti, kad kibernetinės grėsmės IP kameroms yra realios ir nuolatinės. 2016 m. IP kameros ir NVR buvo naudojamos kaip botai, kad būtų vykdomos atsisakymo aptarnauti atakos prieš interneto valdymo bendrovę, dėl kurių buvo sustabdytos įvairios svarbios interneto svetainės. Nuo to laiko netrūksta pranešimų apie virusais užkrėstas IP kameras ir įsilaužimus į kūdikių kameras.
 
Nors kibernetinio saugumo problemos kelia galvos skausmą vaizdo stebėjimo sistemų naudotojams, šiame daiktų interneto amžiuje jos tikrai nėra naujiena. "Bet kuris prie tinklo prijungtas įrenginys gali būti pažeidžiamas kibernetinės atakos: nešiojamasis kompiuteris, mobilusis telefonas, išmanusis garsiakalbis, automobilis ar tinklo vaizdo stebėjimo kamera. Tikslas - padaryti taip, kad išnaudoti įrenginį būtų taip sudėtinga ir užimtų tiek laiko, kad grėsmės sukėlėjas ieškotų lengvesnių taikinių kitur", - sakė Shawnas Keatingas, "Axis Communications" vyresnysis kibernetinio saugumo konsultantas.
 
"Iš esmės šiandien IP kameros iš esmės niekuo nesiskiria nuo kitų tinklo dalyvių, todėl joms vienodai gresia visi įmanomi atakų scenarijai. Mes laikome savo pareiga užtikrinti, kad mūsų produktai, o kartu ir klientai būtų kuo geriau apsaugoti nuo tokio pobūdžio atakų", - sakė Hartmutas Sprave'as, "MOBOTIX" techninis direktorius.

 
Kai kurių dažniausiai pasitaikančių atakų sąrašas

Taigi, kokios yra kai kurios dažniausios kibernetinės atakos prieš IP kameras? Jos aptariamos toliau.

Kenkėjiška programinė įranga
 
Kenkėjiška programinė įranga - tai programinė įranga, tyčia sukurta taip, kad sutrikdytų daiktų interneto įrenginio ir tinklo, kuriame jis yra, veiklą. "Kenkėjiškai programinei įrangai įdiegti reikalinga tinklo prieiga prie kameros, todėl neleidžiant tiesioginės prieigos prie interneto, galima sumažinti galimų grėsmės dalyvių skaičių. Tada, laikantis pagrindinių apsaugos procedūrų, pavyzdžiui, nustačius stiprius slaptažodžius ir išjungus nenaudojamas paslaugas, tampa labai sunku gauti prieigą prie fotoaparato su root lygio privilegijomis, reikalingomis kenkėjiškai programinei įrangai į fotoaparatą įdiegti", - sakė Keatingas.

Išpirkos reikalaujanti programinė įranga
 
Išpirkos reikalaujanti programinė įranga - tai kenkėjiška programinė įranga, kuria siekiama užblokuoti įrenginius, kol bus sumokėta išpirka. "Šiuo atveju svertas yra atimta prieiga prie slaptų duomenų daiktų interneto įrenginiuose ir potencialiai itin svarbaus daiktų interneto įrenginio gedimas. Todėl IP kamerų atveju poveikis priklauso nuo numatyto naudojimo būdo ir nuo to, ar yra integruota saugykla, o jei taip, kokie duomenys joje saugomi decentralizuotai", - sakė Sprave.
 
Paslaugų atmetimo atakos
 
Paslaugų atsisakymo ataka įvykdoma užtvindant tikslinį kompiuterį ar tinklą srautu, kol jis negali reaguoti arba tiesiog sugenda, užkirsdamas kelią teisėtų naudotojų prieigai. DoS atakos organizacijai gali kainuoti ir laiko, ir pinigų, nes jos ištekliai ir paslaugos tampa neprieinamos. IP kameros gali būti naudojamos kaip grėsmės vektoriai DoS atakoms vykdyti, kaip 2016 m. incidentų atveju.
 
Brute force atakos
 
Brute force atakos metu pakartotinai bandoma atspėti prisijungimo duomenis ar kitą svarbią informaciją. Įsilaužėliai išbando visas įmanomas kombinacijas, tikėdamiesi teisingai atspėti informaciją. Tokiomis atakomis galima lengvai pažeisti IP įrenginius, įskaitant kameras, kuriose naudojami numatytieji slaptažodžiai.
 
"Žmogus viduryje" ataka
 
Žmogaus viduryje ataka - tai kibernetinė ataka, kai užpuolikas slapta atsiduria tarp dviejų šalių, kurios mano, kad tiesiogiai bendrauja tarpusavyje. Užpuolikas taip pat gali keisti dviejų šalių tarpusavio ryšį.

 
Kaip įmonės sprendžia šį klausimą

 
Atsižvelgdami į kibernetinių atakų mastą, IP kamerų pardavėjai stengiasi sustiprinti savo įrenginius, kad jie būtų saugesni.
 
"Axis" įrenginiuose įdiegtos kelios su kibernetiniu saugumu susijusios funkcijos, įskaitant pasirašytą programinę įrangą ir saugų paleidimą, kad būtų išvengta klastojimo ir užtikrintas programinės įrangos vientisumas; tam tikruose įrenginiuose naudojamas patikimos platformos modulis (angl. trusted platform module, TPM), kad būtų saugiai saugomi kameros šifravimo raktai; pagal numatytuosius nustatymus įjungtas HTTPS, kad būtų lengviau nustatyti pirmuosius slaptažodžius šifruotu kanalu", - sakė Keatingas ir pridūrė: "Axis" kameros palaiko "DoS" atakų prevencijos funkciją, kuri kartu yra ir slaptažodžių apsauga naudojant brutalią jėgą. Funkcija leidžia naudotojui nustatyti puslapių ir svetainių užklausų ribą ir laiko intervalą, per kurį ši riba bus pasiekta. Jei riba pasiekiama, ryšio užklausos iš to puslapio ar svetainės atmetamos tam tikrą laiką, kuris pratęsiamas, jei užklausos tęsiasi."

"Daugeliui minėtų atakų naudinga neribota prieiga, netinkama slaptažodžių apsauga, prastai apsaugotos sąsajos ir neužšifruotas tinklo ryšys. MOBOTIX fotoaparatas teikia aktyvią pagalbą, reikalaudamas, kad pradinės sąrankos metu numatytasis slaptažodis būtų pakeistas stipriais, pritaikytais slaptažodžiais. Be to, slaptažodžių autentiškumo nustatymas, IP adreso prieigos kontrolė ir įsilaužimo aptikimas pakartotinių nesėkmingų bandymų prisijungti atveju dar labiau apriboja atakų prieš kamerą galimybes", - sakė Sprave. "Siekdami užtikrinti, kad nesudarytume galimybių įkelti kenkėjišką programinę įrangą, savo įkėlimo ir ryšio sąsajas reguliariai tikriname įsiskverbimo testais, kuriuos atlieka objektyvūs išorės ekspertai. Saugiam duomenų perdavimui mūsų sistemose siūlomi įvairūs saugūs protokolai, leidžiantys naudoti tik šifruotą ryšį neprarandant suderinamumo su trečiųjų šalių sistemomis."

 
Ką taip pat turėtų daryti galutiniai vartotojai

 
Vis dėlto IP kamerų saugumo užtikrinimas yra dvipusis dalykas. Be pardavėjų, naudotojai taip pat turėtų taikyti tam tikrą geriausią praktiką, kad jų įranga būtų gerai apsaugota. Anot Keatingo, ši geriausia praktika apima šiuos dalykus:
 

•     Atradus naujų pažeidžiamumų, atnaujinkite naujausią programinę įrangą;
•     Nustatyti įrenginio slaptažodį;
•     Sukurti vaizdo kliento paskyrą, kad sumažėtų rizika, jog bus pažeistas įrenginio administratoriaus slaptažodis;
•     Sukonfigūruokite tinklo nustatymus;
•     Nustatyti laiką ir datą, kad, pavyzdžiui, sistemos žurnaluose būtų nurodyta tinkama informacija;
•     Naudokite kraštinės saugyklos šifravimą, jei fotoaparatas palaiko SD korteles ir vaizdo įrašai įrašomi į šią saugyklą.

 
Taip pat gali padėti IT saugumo vadovo sudarymas. "Dažnai pastebime, kad IT saugumo temai skiriama per mažai dėmesio, iš dalies ir dėl mažesnių biudžetų, todėl nėra atsakomųjų priemonių prieš jau minėtus gerai žinomus atakų scenarijus. Mes padedame kurti tokias priemones, pateikdami IT saugumo vadovą, kuriame kuo paprasčiau pristatoma saugi mūsų kamerų ir programinės įrangos produktų integracija ir taip maksimaliai sumažinama rizika bei pastangos", - sakė Sprave.