22 września 2022 roku grupa Anonymous włamała się do ponad dwóch tysięcy kamer podłączonych do sieci w Iranie. Kamery zainstalowane były na posterunkach policji, ulicach, w sklepach i domach. Hashtag #OpIran zyskał globalną popularność na platformie wkrótce po opublikowaniu wideo, ponieważ użytkownicy wzywali do solidarności z protestującymi przeciwko śmierci Amini – 22-letniej kobiety, która zmarła po tym, jak została zatrzymana przez krajową policję moralności, po postawieniu zarzutów o naruszenie surowego islamskiego kodeksu ubioru poprzez noszenie zbyt luźnej chusty na głowie. Jej śmierć wywołała protesty w miastach w całym Iranie, a niektóre kobiety publicznie zdejmowały i paliły obowiązkowe chusty.

Cyberbezpieczeństwo jest ważną kwestią dla firm i organizacji reprezentujących każdy sektor, o każdej wielkości i w każdej lokalizacji. I choć nikt nie zaprzeczy, że jest ono ważne, najczęściej jest jednym z pierwszych punktów, które są odsuwane na dalszy plan w budżecie. Wraz ze wzrostem ilości urządzeń podłączonych do Internetu rośnie prawdopodobieństwo naruszeń bezpieczeństwa.

Starsze systemy nadzoru (wizyjne, kontroli dostępu czy sygnalizacji włamania i napadu) nie były podłączone do Internetu lub dostępne zdalnie. Wraz z ewolucją technologiczną ewoluowały centrale alarmowe, kamery przemysłowe i czujki. Podłączenie ich do globalnej sieci zwiększyło możliwości ochrony, wygodną obsługę i opcję integracji z innymi systemami a użycie chmury obliczeniowej sprawiło iż przechowywanie danych stało się bardziej elastyczne. Obecnie większość tradycyjnych systemów CCTV oraz SSWiN jest bezpośrednio podłączona do Internetu w celu uzyskania zdalnego dostępu, wsparcia i konserwacji lub jest podłączona do sieci lokalnej, która z kolei jest połączona z Internetem. Paradoksalnie systemy, które powinny zapewniać bezpieczeństwo organizacji mogą stać się przyczyną ataku lub wycieku danych. Atakujący wiedzą, że zabezpieczenia dla urządzeń tego typu są często poważnie niedostateczne i nadal biorą sobie za cel te podatne na ataki urządzenia.

Niedawno badacze z firmy Fortinet zauważyli, że botnet² Mirai zaczął wykorzystywać lukę (CVE-2021-36260) na którą podatne są urządzenia chińskiego producenta, jednego z głównych graczy na światowym rynku kamer monitorujących. Botnet Mirai w październiku 2016 zaatakował GitHub, Twitter, Reddit, Netflix, Airbnb, CNN, Spotify i wiele innych portali, które nagle przestały być osiągalne. Na usługodawcę chmurowego OVH skierowano atak o sile 1Tbps, badacze twierdzą, iż główną rodziną urządzeń służących do tego ataku były właśnie kamery CCTV.

Za pomocą wyszukiwarki shodan autor tego artykułu zbadał liczbę urządzeń dostępnych bezpośrednio w Intrenecie: na świecie było dostępnych 4 311 407 urządzeń chińskiego producenta, z czego 33 223 w Polsce, urządzeń bez zmienionego domyślnego hasła odnaleziono 181 386, odpowiednio urządzeń innego znanego producenta z otwartym portem do zarzadzania na świecie odnaleziono 1 093 826 a w Polsce 26 372. Podobnego rozpoznania można dokonać również za pomocą wyszukiwarki Google – wystarczy wpisać w pole wyszukiwania ciąg intext: ”Hikvision” inurl:”login.asp”. Wyszukiwarka shodan znajduje także 131 urządzeń ETHM-1 Satela dostępnych przez Internet.

W 2021 roku Consumer Reports³ potwierdził, że cztery z badanych 13 wideodomofonów posiadały luki bezpieczeństwa, narażając ich właścicieli na włamania i wycieki danych osobowych, w tym adresów e-mail i haseł Wi-Fi.

Skaner do rozpoznawania urządzeń przemysłowych, systemów sterowania i Internetu Rzeczy o nazwie ꓘamerka-GUI w Polsce wskazuje na ponad 2,5 tys. urządzeń posiadających podatności dostępnych przez Internet, (na całym świecie ponad 121 tyś, w USA prawie 60 tys., w Niemczech ok 15 tyś), urządzenia te komunikują się przez protokoły MQTT, BACnet, ModBus, Tridium Niagara (automatyka budynków), a nawet DICOM (urządzenia medyczne).

Najczęstszą przyczyną naruszeń cyberbezpieczeństwa jest błąd ludzki lub luka w procedurze. Błędy te mogą być przypadkowe lub celowe, ale kluczowym jest, aby regularnie szkolić personel w zakresie prawidłowego korzystania z urządzeń w sieci. Słabe, wielokrotnie używane lub rzadko zmieniane hasła to jedna z najczęstszych słabości, jakie powtarzają się w przypadku cyberataków. Im więcej urządzeń znajduje się w sieci, tym większe są szanse na wystąpienie cyberataku.

Najważniejszym sposobem ochrony systemów bezpieczeństwa przed zagrożeniami cybernetycznymi jest proaktywna obsługa. Zarządzanie cyklem życia urządzeń powinno być priorytetem, co oznacza, że starsze urządzenia powinny być wymieniane na nowsze modele zgodnie z zaleceniami producenta. Oprogramowanie na wszystkich urządzeniach powinno być również na bieżąco zaktualizowane poprawkami publikowanymi przez producenta. Dodatkowo należy śledzić biuletyny bezpieczeństwa, gdzie publikowane są podatności zarejesrtowane przez organizacje zajmują ce się bezpieczeństwem informatycznym. Kolejną ważną kwestią bezpieczeństwa jest edukacja wszystkich pracowników, którzy powinni znać dobre praktyki branżowe.

Garść dobrych praktyk:

1. Budowanie świadomości bezpieczeństwa – jeśli nie jesteśmy świadomi potencjalnych podatności cybernetycznych, zagrożeń i problemów, nie będziemy robić nic, aby im zapobiec. Dostawcy zabezpieczeń mogą wspierać bezpieczeństwo, przekazując ważne informacje o znanych podatnościach klientom i partnerom, gdy tylko je odkryją.
2. Zmiana domyślnych haseł – na pierwszy rzut oka to bardzo oczywista kwestia, jednakże jeden z raportów magazynu CSO Online alarmował, iż na jednym tylko portalu hackerskim odnaleziono ponad 73 tyś zaindeksowanych lokalizacji internetowych, które prowadziły do rejestratorów i kamer z domyślnymi nazwami użytkownika i domyślnymi hasłami. Niektórzy instalatorzy w ogóle nie zmieniają hasła i pozostawiają to samo domyślne hasło dla wszystkich kamer. Dobrą praktyką jest dla kamer dostępnych przez sieć publiczną ustalić różne silne hasła dla każdej z kamer. W sieci lokalnej – to samo silne hasło dla wszystkich kamer.
3. Polityka haseł – w wielu środowiskach, hasło roota lub hasło administratora jest współdzielone przez wszystkich administratorów, co zwiększa ryzyko bezpieczeństwa. Rotacja pracowników, czy to poprzez odejścia, czy zmianę obowiązków może stworzyć nieoczekiwane problemy w bezpieczeństwie. Warto ustalać konta indywidualne, które w każdej chwili mogą być blokowane. Należy także upewnić się, że każdy użytkownik ma uprawnienia tylko do zasobów i funkcji, których potrzebuje do wykonywania swojej pracy. Hasło głównego administratora (root) powinno mieć odpowiednią złożoność, nie powinno być użytkowane na co dzień i np. zdeponowane w bezpiecznym miejscu w razie sytuacji awaryjnych. Po jego użyciu warto wygenerować nowe. Konta typu „gość” lub „anonim” powinny być wyłączone.
4. Zarządzanie cyklem życia urządzeń. Proaktywna konserwacja to najlepszy sposób na zapewnienie bardziej stabilnego i bezpiecznego systemu, dlatego zawsze należy instalować aktualizacje, gdy producent je udostępnia. Urządzenia DVR, NVR czy VMS najczęściej pracują na systemie operacyjnym Linux lub Windows – warto sprawdzić który to system i w jakiej wersji, by potem śledzić i monitorować znane luki w tych systemach, a następnie upewnić się, że system operacyjny ma aktualne poprawki bezpieczeństwa. Dodatkowo warto mieć świadomość o obecności dodatkowych modułów zainstalowanych na urządzeniu (np. serwer internetowy Microsoft IIS, lub Apache, silniki bazodanowe, biblioteki kompresujące materiał wideo), aby posiadać wiedze, które luki i podatności będą miały dodatkowo wpływ na bezpieczeństwo.
5. Aktualizacja oprogramowania układowego (firmware) – prócz aktualizacji oprogramowania serwerów, rejestratorów lub macierzy należy także aktualizować oprogramowanie układowe kamer bądź urządzeń. Wiele urządzeń posiada możliwość sprawdzenia dostępnych poprawek i aktualizacji zabezpieczeń. Warto sprawdzić poprawność pracy urządzenia po aktualizacji na jednym wybranym urządzeniu zanim zaktualizujemy ich dużą ilość. Przy większych instalacjach warto posiadać środowisko testowe do sprawdzania nowych wersji oprogramowania lub różnych wariantów ustawień.
6. Blokowanie ruchu sieciowego. Większość użytkowników końcowych wymaga zdalnego dostępu do kamer przemysłowych. Funkcja ta jest zwykle realizowana przez wystawienie rejestratora DVR, NVR lub VMS do sieci Internetowej. Urządzenia bezpośrednio dostępne przez Internet są zwykle skanowane ponad 10 000 razy dziennie. W idealnym przypadku nie należy podłączać swojego niezabezpieczonego urządzenia do Internetu. Jeśli jednak jest to konieczne powinno się otworzyć jak najmniej portów i wykorzystać firewall nowej generacji, który analizuje ruch sieciowy blokując nieprawidłowy ruch, oraz ataki typu „brute force”, warto także otworzyć ruch na serwery z określonej puli adresowej – IP Filter.
7. Budowanie sieci dla systemów bezpieczeństwa i wizyjnych (SECURITY) jako odseparowanej od głównej sieci organizacji (DATA). Jeśli sieci te będą połączone bezpośrednio możemy otworzyć wejście dla hackerów, którzy zaatakują jedną z sieci, inną kwestią jest duże prawdopodobieństwo wykorzystania podatności rejestratorów czy kamer (dla których łaty pojawiają się znacznie rzadziej niż do systemów operacyjnych działających na komputerach). W idealnym przypadku warto umieścić urządzenia bezpieczeństwa w galwanicznie odseparowanej sieci. Akceptowaną, dobrą praktyką jest umieszczenie systemów bezpieczeństwa oraz środowiska IT w odrębnych sieciach wirtualnych VLAN.
8. Szyfrowane połączenia – zaskakująco duża liczba rejestratorów DVR/NVR/VMS pozwala na połączenia, które nie są szyfrowane za pomocą protokołu SSL lub jego odpowiednika. Powoduje to możliwość przejęcia hasła a także potencjalne naruszenie prywatności i podsłuch.
9. Szyfrowany zapis na dyskach – podobnie jak przy połączeniach sieciowych przejęcie jednego z dysków w rejestratorze naraża organizację na utratę prywatności – materiał wideo powinien być zaszyfrowany, zarówno gdy jest przechowywany na dysku, jak i gdy jest przekazywany. 
10. Bezpieczeństwo fizyczne – należy zabezpieczyć szafy, kable i pomieszczenia, w których znajdują się rejestratory DVR/NVR/VMS, przełączniki sieciowe oraz serwery i macierze dyskowe do przechowywania obrazu. Należy zapewnić bezpieczną kontrolę dostępu do pomieszczenia oraz w tym monitoring wideo.
11. Wyłączenie zbędnych, niebezpiecznych protokołów sieciowych – w małych firmach lub sieciach domowych w których zainstalowano proste routery typu SOHO (Small Office Home Office) należy wyłączyć usługę UPNP, która automatycznie przekierowuje porty w routerze lub modemie. Jeżeli system automatycznie przekieruje porty, a hasło pozostanie domyślne, możem dojść do zalogowania się do urządzenia przez intruza. Warto także wyłączyć usługę P2P umożliwiającą zdalne łączenie się poprzez chmurę producenta. Jeżeli nie korzystamy z protokołu SNMP należy go wyłączyć, jeśli jednak przydatny jest on do monitorowania stanu urządzeń należy ustalić wartość „community” na RO – tylko do odczytu. Ze względów bezpieczeństwa nie należy stosować protokołu SNMP do konfigurowania urządzeń.
12. Kontrola zdarzeń i potencjalnych incydentów – należy okresowo, nie tylko gdy podejrzewamy, że ktoś uzyskał nieautoryzowany dostęp do systemu, kontrolować dzienniki systemowe. Logi pokażą, które adresy IP zostały użyte do zalogowania się do systemu i do jakich usług bądź zasobów uzyskano dostęp.

Naruszenia danych i włamania do sieci komputerowych stają się coraz większym problemem również w systemach bezpieczeństwa, gdyż coraz częściej systemy te przyłączamy do globalnej sieci Internet. Systemy bezpieczeństwa będą coraz częściej stawały się celem hackerów tak bezpośrednio jak i pośrednio jako brama do sieci organizacji. W celu zapewnienia cyberbezpieczeństwa swojej organizacji, konieczne jest podjęcie działań tak organizacyjnych jak i technicznych. Ważne jest określenie i stosowanie dobrych praktyk oraz polityki bezpieczeństwa a także staranna analiza ryzyka, a co za tym idzie inwentaryzacja zasobów, ustalenie potencjalnych zagrożeń oraz określenie podatności. Później konieczne jest rzetelne wdrożenie systemu bezpieczeństwa i stała, okresowa jego konserwacja.

mjr Grzegorz Data
specjalista ds. informatyki i łączności
OISW w Rzeszowie

1 https://www.spiceworks.com/it-security/data-security/news/teslaand-cloudflare-among-victims-of-verkada-security-breach/  [dostęp 2 marca 2023 r.]
2 Botnet to sieć urządzeń i komputerów zainfekowanych złośliwym oprogramowaniem, która pozwala hakerowi na zdalną kontrolę nad maszynami w celu wysyłania spamu, rozprzestrzeniania wirusów lub przeprowadzania ataków DDoS bez wiedzy i zgody faktycznych właścicieli.
3 https://www.consumerreports.org/digital-security/video-doorbellshome-security-cameras-vulnerable-to-hacking-a4667188201/  [dostęp 2 marca 2023 r.]