Это может показаться банальностью, но до сих пор мы периодически встречаем на объектах открытые всем желающим камеры без пароля или с паролем вида "12345".
На эту тему несколько лет назад по случился «технологический конфуз». Группа товарищей, которых даже нельзя назвать хакерами, просто технически подкованные ребята, написали скрипт, который перебирал IP-адреса Интернета и по ответу устройств определял: но том конце – камера, того или иного популярного бренда. Следующим шагом скрипт пробовал обратиться к камере с логином и паролем, принятыми у данного производителя по умолчанию. Например, у Hikvision это admin/ 12345, у ACTi это Admin / 123456, Vivotec – root / <пусто> и т.д. В результате, была собрана база из тысяч камер, которые были доступны с паролями по умолчанию любому желающему через Интернет. Некоторые из камер были установлены не только в офисах, магазинах и прочих публичных местах, но и в частных домах, коттеджах, квартирах…
После данного прецедента компания Hikvision, чьих устройств в списке оказалось немало, изменила подход к вопросу авторизации на камерах. Теперь все новые камеры не имеют пароля по умолчанию вовсе. При первом включении необходимо задать пароль и активировать камеру. Таким образом, не поменять пароль на камере просто невозможно. Нужно отметить, что некоторые бренды, такие как, например, Axis использовали такую схему задолго до этого, и поэтому никогда не попадали в такие скандальные ситуации.
Итак, первый рубеж защиты - это надежный пароль. И на камере, и на регистраторе, а если вы используете облачный сервис, то и на аккаунте этого сервиса. Это может показаться банальностью, но до сих пор мы периодически встречаем на объектах открытые всем желающим камеры без пароля или с паролем вида "12345".
Нужно ли устанавливать пароль на каждой камере, если доступ извне открыт только к серверу (регистратору)? Наше мнение – нужно (тем более что большинство популярных камер просто не позволят этого не сделать). Это будет дополнительным рубежом защиты на случай, если злоумышленник получит доступ к настройкам межсетевого экрана или, например, заказчик по какой-то причине заменит роутер и на новом устройстве не будет корректно настроена фильтрация.
ОК, пароль мы сменили. Является ли это достаточным? Тут будет не лишним проверить нет ли, нет ли у данной конкретной модели камеры известных дыр безопасности. Нам известны случаи, когда несмотря на установленный пароль, камера отдавала видеопоток по протоколу RTSP без авторизации вовсе. В уже далеком прошлом эту брешь мы находили и в моделях вполне серьезных брендов (например, ACTi). Теперь же большинство производителей исправило эту проблему и строка rtsp запроса выглядит примерно так: rtsp://login:password@192.168.0.64:554/Streaming/Channels/101
– не передав логин и пароль к видеопотоку не подключиться. Однако некоторое дешевое оборудование no-name производителей до сих пор грешит подобными дырами.
Также полезно протестировать – как камера реагирует на многократный ввод неправильного пароля. У ряда производителей после нескольких попыток камера блокирует удаленный доступ, который разблокируется либо после перезагрузки, либо через какое-то достаточно продолжительное время. Это исключит возможность подбора пароля и усложнит атаки типа «отказ в обслуживании» когда камера зависает в попытке обработать ежесекундные обращения с неверным паролем.
Больше защиты!
Можно эффективно и относительно недорого повысить защищенность ваших видеопотоков (да и не только их, а любой информации) организовав VPN подключение.VPN - Virtual Private Network или виртуальная частная сеть – удобное решение, когда нужно организовать безопасный доступ к внутренним ресурсам извне. Для этого у вас дома (или ином месте где установлена система видеонаблюдения) устанавливается роутер или межсетевой экран, с поддержкой работы в качестве VPN-сервера. Мы предпочитаем устройства Zyxel ZyWall, однако на рынке представлено немало и других достойных устройств.
Благодаря VPN, между вашим рабочим ПК, ноутбуком, смартфоном и домашней сетью устанавливается надежно зашифрованный «тоннель» для данных, и вы можете работать с ними так, как будто находитесь в домашней сети. Кроме того, межсетевые экраны Zyxel ZyWall в отличие от традиционных домашних роутеров, имеют множество полезных функций: резервирование соединений и их балансировка, фильтрация трафика, защита от атак и даже предотвращение атак по аномалиям трафика.
Единственный недостаток – в отличие от простых маршрутизаторов, такие устройства стоят ощутимо дороже.
А можно выключить?
Кому-то это может показаться паранойей, но нередко заказчик просит предусмотреть механизм быстрого и удобного отключения камер. В идеале – автоматически по факту присутствия хозяев дома.Если речь идет о загородном доме или даче, имеет смысл отключать не все камеры. Например, камеры, наблюдающие за периметром, могут работать круглосуточно. Камеры, расположенные внутри участка или дома отключаются когда хозяева дома из соображений приватности. Каким образом это может быть реализовано?
- Самый простой но и самый неудобный способ – физически выключать систему (или ее часть) выдергиванием из розетки или переключением выключателя. Камеры обесточиваются, и хозяева не испытывают дискомфорта «а вдруг кто подключится». Важно только не забывать включать и выключать систему.
- Можно предложить более интересные решения. Если на объекте используется современное и продвинутое ПО видеонаблюдения, становится возможным сформировать кнопку включения/выключения камер в мобильном приложении. Таким образом можно отключать систему со смартфона в т.ч. и удаленно.
- Если дом оснащен/оснащается системой охранной сигнализации – задача упрощается. Большинство таких систем могут оповещать внешние устройства о своем состоянии (на охране или отключено) и не составляет большого труда реализовать отключение системы видеонаблюдения при снятии объекта с охраны.
- Можно интегрироваться с системой “Умный дом”, если таковая имеется, или с отдельными и недорогими компонентами умного дома. Согласитесь, было бы здорово придя домой сказать «привет, я дома» и отключить тем самым систему видеонаблюдения. Однако на данным момент такие решения работают не совсем правильно – ключевую фразу может произнести любой, и система будет отключена.
- Весьма интересным, хотя и достаточно сложным, является вариант автоматического включения / отключения системы видеоконтроля на основе факта наличия смартфонов хозяев в зоне действия Wi-Fi или Bluetooth сети. Такой подход позволяет забыть о необходимости что-то включать и выключать. Пришли домой – камеры отключились
Резюме
Если вы уже установили систему видеонаблюдения и вас беспокоят угрозы, озвученные выше, проведите минимальную проверку защищенности системы:- Убедитесь, что на регистраторе установлен достаточно сложный пароль, а не «12345»
- Если в вашей системе используются IP камеры – также проверьте, что надежный пароль установлен и на них
- Вбейте в поисковой системе (гугл, яндекс - не важно) название модели регистратора или IP-камеры + «RTSP URL». Например: «DS-7104NI RTSP URL». Наверняка вы найдете информацию о том как выглядит адрес видеопотока вашего устройства. Если он имеет вид типа rtsp://admin:12345@192.168.1.11:554/ISAPI/Streaming/Channels/101, где admin - логин, а 12345 – пароль – то все в порядке. Если строка имеет вид, например, rtsp://192.168.1.11:554/live_st1 - это повод задуматься. Это означает, что несмотря та то, что в вэб-интерфейсе камеры или регистратора пароль установлен, видеопоток можно получить и без пароля.
- Воспользуйтесь сервисом portscaner.ru (не обязательно этим, есть и другие подобные) – проверьте открыт ли на вашем IP адресе порт 554 для доступа извне. Сочетание пунктов 3 и 4 может означать, что камера отдает видеопоток без пароля и этот поток доступен извне через интернет :(
- Иногда полезно поискать на сайте securitylab.ru или просто в интернете по поисковому запросу «название модели + уязвимости». Впрочем, тут нужно обращать внимание на дату обнаружения проблемы. Информация может быть довольно старой, и в новых версиях прошивки проблема уже отсутствует.
Если же вы только задумываетесь о системе видеонаблюдения, то обратившись к нашим специалистам вы можете быть уверены в том, что все основные требования к защите от взлома будут удовлетворены «по умолчанию». Дополнительно же мы предложим настройку VPN-тоннеля или автоматического отключения камер когда вы дома.