Видео: Ð§ÐµÑ ÐºÐ°Ñ Ð ÐµÐ·Ð³Ð¸Ð½ÐºÐ° Ð ÐµÐ²Ñ Ñ ÐºÐ° ÐºÐ»Ð°Ñ Ñ Ð½Ð¾ Ñ Ð°Ð½Ñ Ñ ÐµÑ ! (Ноябрь 2024)
Это стандартная сцена в большинстве ограблений фильмов. Преступная команда должна пройти через зону, которая покрыта камерами безопасности, чтобы они взломали систему безопасности, чтобы камера показала пустой коридор. Презентация конференции Black Hat продемонстрировала, насколько невероятно просто взломать современную камеру безопасности, подключенную к Интернету. По правде говоря, если у вас есть камеры видеонаблюдения в вашем офисе или бизнесе, этот взлом - наименьшее из ваших беспокойств. Хакер вполне может получить полный доступ к сети через ваши камеры. Эй, разве они не должны были обеспечить тебе лучшую безопасность?
Я тебя вижу
Ведущий Крейг Хеффнер (Craig Heffner) - исследователь уязвимостей в Tactical Network Solutions, но у него была другая работа. «В новостях много говорилось о том, что я работал в трехбуквенном агентстве», - сказал Хеффнер. «Некоторые утверждали, что эта презентация основана на работе, которую я сделал для АНБ. Это привело к некоторым интересным звонкам от моего бывшего работодателя». Хеффнер пояснил, что все исследования этой презентации были выполнены для его нынешнего работодателя, а не для АНБ.
Хеффнер оценивал камеры от D-Link, Linksys, Cisco, IQInvision и 3SVision. Не вдаваясь в кровавые подробности низкого уровня, он в каждом случае находил способ выполнять произвольные команды удаленно. «Я назвал это подвигом Рона Бургундии, - сказал Хеффнер. «Он просто запускает все, что вы ему дадите, и отправит вам ответ». В некоторых случаях он обнаружил, что учетные данные администратора были жестко запрограммированы в прошивке. «Проблема с секретными жестко заданными паролями и секретными бэкдорами, - говорит Хеффнер, - в том, что они не остаются в секрете».
В итоге Хеффнер получил доступ на корневом уровне к каждой камере. Он отметил, что существует огромное повторное использование кода между собственными моделями компании, а также между компаниями, поэтому эти уязвимости охватывают множество камер. А поскольку микропрограммное обеспечение редко обновляется, уязвимости, появившиеся несколько лет назад, все еще подвержены уязвимости.
Становится хуже
Хеффнер отметил, что большинство камер наблюдения подключены к офисной сети. «Я в вашей сети, я могу видеть вас и я root», - сказал он. «Неплохая позиция! У меня есть контроль корневого уровня машины на базе Linux внутри вашей сети».
«Но давайте сделаем шаг назад», - продолжил Хеффнер. «Что я могу сделать с самой камерой? Я могу изменить видеопоток, классический голливудский хак». Он закончил реальной демонстрацией, установив камеру, чтобы защитить бутылку пива на столе спикера. С камерой на месте, он запустил эксплойт, который изменил представление администратора, чтобы показать бутылку, в целости и сохранности, пока он «украл» бутылку. Участникам понравилось.
Небезопасная камера?
«Большинство этих ошибок являются эпически тривиальными», - заключил Хеффнер. «Большинство камер сообщают вам номер модели, даже если вы не аутентифицированы. Я могу найти модель в Google, загрузить прошивку и начать анализировать ее, даже не покупая устройство». Фактически, Хеффнер разработал все эти атаки строго путем анализа встроенного программного обеспечения, прежде чем когда-либо тестировать на реальной камере.
На вопрос, нашел ли он камеры видеонаблюдения, которые он не может взломать, Хеффнер ответил «нет». «Их так много, но мне нужно было бы хотя бы двухчасовой разговор».
Веб-сайт Shodan позволяет легко искать камеры, которые видны онлайн. Если у вас есть камеры видеонаблюдения в вашем офисе или на заводе, ваши видеопотоки могут быть уже широко открыты. Даже если это не так, очень вероятно, что хакер сможет взять под контроль видео-канал. В частности, если вы используете камеры любого из упомянутых поставщиков, вам нужно внимательно просмотреть презентацию Хеффнера, поскольку она содержит полную информацию, которая позволит любому взломать уязвимые камеры. Здесь на карту поставлено нечто большее, чем беспокоиться о том, что Дэнни Оушен может скрыть ваши камеры для ограбления.