BezpieczeństwoHakowanie inteligentnego monitoringu > redakcja Opublikowane 28 listopada 20180 0 149 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Obława, którą każdy z nas śledzi na ekranach – wiemy, gdzie nasz antybohater się znajduje, widzimy go dzięki kamerom monitoringu miejskiego (zarówno z kamer wewnętrznych i zewnętrznych), poprzez prywatny stream przechodniów, czy z urządzeń zamontowanych w autach i transporcie publicznym. Więcej, my tę obławę nie tylko obserwujemy, uczestniczymy w jej transmisji, nadajemy, rejestrujemy, udostępniamy dalej. Sieć takiego organicznego monitoringu, złożona z systemów publicznych i prywatnych kamer oraz kompatybilnych sensorów oplata „złego” i pozwala ograniczyć jego pole manewru; dane z detekcji twarzy, sylwetki, ruchu i głosu już docierają do policji, a przy każdej możliwej okazji, z głośników wysyłany jest do zbiega komunikat ostrzegawczy. Finał tej historii możemy dopisać sami.Ale historia z monitoringiem wizyjnym w roli głównej wcale nie musi kończyć się happy end’em, zwłaszcza jeśli uwzględnimy odwróconą, wcale nie niemożliwą, logikę zdarzeń. Wyobraźmy sobie, że ktoś wykorzystuje sieć dozoru do elektronicznej obserwacji, a może i dyskredytacji, osób prywatnych lub publicznych, o konkretnym statusie zawodowym lub politycznym; albo, że w sposób nielegalny przejmuje kontrolę nad systemem monitoringu na lotnisku, dworcach, bądź w obiektach rządowych, lub nawet wojskowych. Co więcej, wraz z przejęciem tej kontroli – uzyskano też dostęp do baz danych wrażliwych. Niemożliwe? Bynajmniej! Im bardziej będziemy rozwijać świat IoT, tym więcej ryzyka łamania systemów bezpieczeństwa. W Polsce coraz wyraźniej widać popularność idei smart city, w tym temat inteligentnego monitoringu. To cieszy, wydaje się jednak, że ciągle mało w tej rodzimej debacie akcentu na zagrożenia; zwłaszcza hakowanie dozoru wideo nie znalazło w niej jeszcze należnej uwagi, a temat staje się niezmiernie ważny, również z tego względu, że w Europie, także w Polsce, na rynku pojawia się coraz więcej rozwiązań z dalekiej Azji.Czym jest i dlaczego warto mówić o hakowaniu monitoringu oraz sposobach walki z tym procederem, jak w ogóle w praktyce dbać o cyberbezpieczeństwo systemów dozoru w kontekście smart city? Na te pytania spróbują odpowiedzieć eksperci Axis Communications.Bezpieczeństwo smart cityInteligentne miasto to przestrzeń, w której nowoczesne technologie wspierają rozwiązania infrastrukturalne, ale także samą dystrybucję usług publicznych, w takim stopniu, aby ułatwić życie mieszkańcom. Istotą funkcjonalności smart city są przede wszystkim – integracja, komplementarność, automatyzacja i bezpieczeństwo systemów, poprzez które następuje wymiana danych, czy to odnośnie indywidualnych rozliczeń czy zakupów, użytkowania transportu publicznego i prywatnego, mapowania lokalizacji, ułatwień dla niepełnosprawnych, dostępu do informacji publicznej, rozrywki itd. Od strony technicznej, smart city opiera się oczywiście na dostępie do, lub posiadaniu, konkretnych urządzeń (np. telewizor, smartfon, kamera, czujnik) oraz na zaawansowanych systemach informatycznych, m.in. sztucznej inteligencji, rozwiązaniach uczenia maszynowego i analizy big data, wymagających ciągłego doskonalenia i testowania.Ze względu na wagę rejestrowanych, przetwarzanych i przesyłanych danych smart city – jako swoisty mega-system ICT – jest istotnie wrażliwe na wszelkiego typu ingerencje fizyczne, ale zwłaszcza na cyberataki. Jak wynika z badań (m.in. Wi-Sun Alliance; Fundacja Bezpieczna Cyberprzestrzeń) – w Szwecji, Danii, Wielkiej Brytanii, USA, czy Polsce – inwestycje w IoT są coraz bardziej popularne, uważane za potrzebne lub niezbędne dla wdrażania rozwiązań inteligentnego miasta. W praktyce wiele z projektów nie może jednak wyjść z fazy opracowywania lub testu z uwagi na brak gwarancji wystarczającego bezpieczeństwa, co wynika bądź to z wad i nieścisłości projektowych (niejednokrotnie wymarzona aplikacja zlecającego zderza się z rzeczywistością ograniczeń infrastrukturalnych), bądź z niedoskonałego środowiska instytucjonalnego, które nie nadąża za technologią (uwarunkowania prawne i administracyjne), lub z kompetencji cyfrowych użytkownika końcowego, czy – wreszcie – z „kreatywności” i zasobów strony atakującej.Na bezpieczeństwo inteligentnego miasta należy więc patrzeć wielowarstwowo. Jego hakowanie może odbywać się na poziomie czynnika ludzkiego (jednostki operacyjnej i kontrolującej), na poziomie hardware’u oraz software’u. W tej szerokiej perspektywie możemy dopiero wyobrazić sobie rodzaje ryzyk i zagrożeń.Kontrola nad monitoringiem – dlaczego ma znaczenie?Jednym z kluczowych obszarów podatnych na cyberzagrożenia są usługi i działania wykorzystujące technologie komunikacji bezprzewodowej, np. kamery sieciowe i wszelkiego typu smart-sensory, oparte m.in. na wiązkach laserowych i IR, stosowane w szeroko pojętym sektorze handlowym, logistycznym, transportowym, ale też przy infrastrukturze krytycznej i w ochronie obwodowej instytucji rządowych, czy należących do służb mundurowych; przy obiektach i obszarach związanych z usługami komunalnymi, przestrzeniach strategicznych z punktu widzenia bezpieczeństwa publicznego: w obrębie obiektów użyteczności publicznej, portów pasażerskich i handlowych, oczyszczalni ścieków, magazynów LNG, czy elektrowni lub ciepłowni. Systemy dozoru, oparte na zminiaturyzowanych modułach, wyposażone w dodatkowe czujniki, są jak komputery, z tą kluczową różnicą, że ich dodatkową funkcją jest wychwytywanie określonych danych. Ogólnie ujmując, kontrola nad monitoringiem to kontrola nad danymi o nas samych, włączając kluczową daną – czyli nasz wizerunek i konteksty, w jakich się on pojawia. Dane te nie powinny dostać się w niepowołane ręce i firmy oferujące powyższe systemy muszą gwarantować odpowiednie zabezpieczenia. Trzeba podkreślić, że wszędzie tam, gdzie mamy do czynienia z mniej lub bardziej rozbudowanym systemem obserwacji opartym na sieciowych kamerach i czujnikach, istnieje potrzeba magazynowania tych danych w serwerach i chmurach. I one również wymagają specjalnej ochrony. Słabe algorytmy szyfrujące, bądź niewystarczająca świadomość zagrożeń na poziomie administratora mogą być dotkliwie wykorzystane przez hakera, którego ostatecznych intencji możemy nigdy nie poznać. Kamera może posłużyć jako urządzenie szpiegujące. Nie bez przyczyny administracja amerykańska zakazała swoim urzędnikom użytkowania urządzeń niektórych chińskich producentów.Scenariusze zagrożeń można wreszcie rozbudować o cyberataki na system sterowania ruchem miejskim, detekcji numerów rejestracyjnych aut i poboru opłat, systemu oświetlenia ulic i przystanków; wyobraźmy sobie również manipulację przy systemach dostępu biometrycznego, alarmowania zanieczyszczeń powietrza, czy detekcji temperatury lub deszczu. Dodajmy do tego ataki na kamery multisensoryczne, czy czujniki w ogóle, służące ochronie dziedzictwa przyrodniczego lub kulturowego, bądź wykorzystywane w inteligentnych urządzeniach gospodarstwa domowego. Wszystkie te nielegalne działania mogą wywoływać określoną aktywność, niepokój, bądź po prostu chaos. Niepożądana ingerencja w systemy obserwacji może prowadzić również do intensyfikacji fałszywych alarmów i w konsekwencji paraliżu służb ratunkowych, ale może być też elementem tzw. wojny hybrydowej. Dlatego też, na oba scenariusze – punktową ingerencję, lub skomasowany atak –państwa muszą być przygotowane. Przy czym świadomość tych zagrożeń powinny mieć nie tylko wyspecjalizowane służby, ale też każdy podmiot, zaangażowany w obrót gospodarczy, rejestrację i przetwarzanie danych (nie zapominając o RODO).Hakowanie w praktyceO aktach skutecznego przejęcia kontroli nad monitoringiem miejskim nie pisze się często, bo i nie jest to powód do chwały, tym bardziej, że w niektórych przypadkach – o czym opinia publiczna mogła się dowiedzieć dopiero po dłuższym czasie – cyberataki dotyczyły istotnych obszarów bezpieczeństwa wewnętrznego. Ataki złośliwego oprogramowania powodują z reguły zmiany w ustawieniach obrazowania i kalibracji sceny, w zawartości lub właściwościach danego pliku, a także w ustawieniach karty sieciowej. Niektóre mogą prowadzić do chwilowego zatamowania lub przekierowania jakiegoś kanału informacji, inne w skutkach mogą prowadzić do większych szkód. Oczywiście, są też zaaranżowane crash-testy i hakowanie „służebne”, o których wiemy nieco więcej.Jednym z ciekawszych przypadków udanego, kontrolowanego hackingu jest właśnie badanie Vasiliosa Hioureasa oraz Thomasa Kinsey’a, które ujawniło, że sieci, które mają chronić przed przestępcami i terrorystami, mogą stać się niebezpiecznym narzędziem. Wykazali oni, że w jednym z monitoringów miejskich nie było stosowane żadne szyfrowanie, mimo tego, że urządzenia posiadały odpowiednie funkcje. W dość prosty sposób stworzyli własną wersję oprogramowania, które umożliwiło pełną kontrolę nad kamerami, dzięki czemu byli w stanie przechwycić obraz z każdego miejsca, manipulować nim, zamieniać rzeczywiste filmy na fałszywe. Mechanika ataku polegała – najogólniej – na wykorzystaniu podatności sieci-siatki (mesh) na takie ataki jak ARP (gdy użytkownik podszywa się pod jeden z węzłów rout’ujących, przesyłając pakiety, następnie zmienia dane wysyłane do i z routera). Takie „okłamywanie” innych węzłów oznacza, że atakujący „mówi” użytkownikowi, że jest routerem, a routerowi, że jest użytkownikiem; w ten sposób atakujący uzyskiwał bezpośrednie pole widzenia np. posterunku policji, a imitując węzeł sprawiał, że kamery ustawione w pobliżu rzeczywiście zaczęły przesyłać swoje pakiety bezpośrednio do niego. Konfiguracja ta umożliwia tzw. atak man-in-the-middle znany z niektórych gier strategicznych.W tym scenariuszu możemy wyobrazić sobie jakąś grupę przestępczą, która poprzez zhakowany system najpierw zobrazuje fikcyjne przestępstwo lub zdarzenie wymagające pilnej interwencji, następnie przekona policję i inne służby, że ma ono miejsce w określonym miejscu i spowoduje wysłanie grupy operacyjnej w ten rejon. W tym samym momencie powstaje okazja do popełnienia przestępstwa w innej części miasta, w której faktycznie potrzebna interwencja z konieczności zostanie opóźniona, albo wręcz niedokonana. To scenariusz rodem z Hollywood, ale wcale nie musi być fikcją.Znane są również inne kontrolowane ataki na systemy monitoringu, przeprowadzane niekiedy przez specjalistów z Polski w ramach audytów bezpieczeństwa. Dzięki przysłowiowej jednej linijce kodu, w 2017 roku zhakowano kamery w stopniu pozwalającym nagrywanie audio i video, a nawet na dostęp do nagrań. Co ciekawe była to dość popularna kamera jednej z japońskich firm, wykorzystywana m.in. w więzieniach, ale także przez nowojorską policję, czy FBI. W przypadku innej kamery, przeznaczonej do miejskiej obserwacji zewnętrznej i wewnętrznej, ale poprzez nieuwierzytelnione zapytanie HTTP udało się np. zrzucić zawartość pamięci i uzyskać dane logowania administratora. Popularny staje się również google hacking, finalnie pozwalający na dostęp do streamu z kamer publicznych lub prywatnych (w przedsiębiorstwach lub w domach) poprzez testowanie domyślnego hasła producenta kamer. W Internecie można znaleźć wiele przykładów takiego prostego łamania zabezpieczeń, bazującego na niedostatecznej wyobraźni użytkownika.Jeden z poważniejszych aktów hakowania monitoringu, bo o kryminalnej charakterystyce, miał miejsce w Waszyngtonie, gdy dwójka rumuńskich hakerów opanowała większość zewnętrznych kamer obserwacyjnych stołecznej policji. Przejęli oni kontrolę nad 123 z 187 kamer używanych przez MPDC na cztery dni, od 9 do 12 stycznia 2017 r. Motywem działania tych osób podobno nie było użycie kamer w celach inwigilacji lub aktu terroryzmu. Według śledczych usiłowano jedynie użyć podłączonych do Internetu systemów (komputer plus kamery), aby w sposób masowy rozsiać ransomware, wyłudzający pieniądze.Pamiętajmy też, że rozwiązania z obszaru inteligentnego monitoringu stosowane są w wielu innych urządzeniach przynależnych do IoT. Jak dowodzą audytorzy, np. podczas pokazów na Def Con, możemy być – jakkolwiek to zabrzmi – szpiegowani przez lodówki, czy odkurzacze. Jeden z ostatnich przykładów przejęcia smart-odkurzacza pewnej koreańskiej firmy uświadamia nam, że mimo rozmaitych zabezpieczeń sprzętowych, softwareowych i sieciowych ciągle należy je doskonalić. Zwłaszcza, że poprzez jedno usieciowione „smart-coś”, atakujący może dotrzeć do innych urządzeń, w tym ważnych dla użytkownika danych. Badania pokazują, że w coraz większej liczbie inteligentnych urządzeń RTV-AGD z wbudowanymi kamerami, mikrofonami i czujnikami można znaleźć luki w zabezpieczeniach. Przerażające jest to, że mogą one zostać wykorzystane nie tylko do niewykrywalnych naruszeń prywatności, ale też do nieinwazyjnego szpiegowania, czy niewidocznych przestępstw o charakterze wirtualnym, ale i fizycznym. Jaką naukę możemy wynieść z tych i innych przypadków? Przede wszystkim otrzymujemy wiedzę o istotnych brakach w konkretnych systemach. Po drugie, zyskujemy dane do opracowania scenariuszy możliwych zdarzeń, bądź co bądź uniwersalnych. W konsekwencji – po trzecie – możemy lepiej projektować, planować i wdrażać środki zapobiegania i obrony.Jak się bronić?Nie ma potrzeby przywoływać tu działań leżących w domenie samych producentów i projektantów, security developerów itd. (systematyczne badania nad potencjalnymi i dokonanymi atakami, pod kątem projektowania odpowiednich łat i upgrade’ów to podstawa). Z perspektywy bezpieczeństwa systemów monitoringu wskażmy na kilka ogólnych technik zapobiegania i „profilaktyki”, zarówno na poziomie technologicznym jak i operacyjnym.Po pierwsze, jedną z podstawowych metod, jakimi należy się posługiwać jest odpowiednie planowanie i rozdzielanie uprawnień w systemie dozoru. Niby rzecz oczywista, ale nie zawsze przywiązuje się do niej właściwą uwagę. Axis zawsze uwrażliwia, aby zakres i zasady autoryzacji odpowiadały stanowiskom i kompetencjom.Po drugie, jakość urządzenia, oprogramowania i powiązanych zabezpieczeń. Mowa tu przede wszystkim o odpowiednich algorytmach szyfrujących, procedurach logowania i potwierdzania tożsamości, procedurach zmiany haseł i uprawnień; a także o funkcjach kodowania obrazu, które umożliwiają zamazywanie sylwetek i twarzy ludzkich na określonym poziomie dostępu, uwzględniając również potrzeby służb.Po trzecie – systematyczne aktualizowanie zabezpieczeń, a także stosowanie zaleceń i instruktarzy. Z cyberatakami jest jak z grypą. Ciągle powstają nowe mutacje i żadna szczepionka nie jest w pełni skuteczna. Każdy producent kamer powinien jasno alarmować o podatnościach na ataki cyfrowe, a także informować, co przy danym zagrożeniu zrobić. Axis od lat spełnia tą powinność, ale nie jest to normą u wszystkich dostawców na rynku.Zauważalny jest jednak problem po stronie użytkownika końcowego – większości ataków można by uniknąć, gdyby na etapie konfiguracji zastosowano dobre praktyki. W tym kontekście warto wspomnieć np. o „Axis Hardening guide”, czyli zasadach i procedurach, które należy zastosować podczas wdrożenia, aby uodpornić system na cyberataki.Tą krótką analizę warto zakończyć dwoma wnioskami generalnymi. Ograniczanie cyberzagrożeń musi być szczególnie ważne w zarządzaniu bezpieczeństwem w dziedzinach i sektorach strategicznych. Tym bardziej, że domena cyberbezpieczeństwa monitoringu sięga obecnie nawet poziomu geopolityki i geostrategii. Dlatego należy dbać o bezpieczeństwo systemów monitoringu służących nie tylko w obserwacji ruchu drogowego, lub kolejowego; ale też tych składających się na dozór obiektów rządowych, przedsiębiorstw i instytucji strategicznych dla bezpieczeństwa państwa i społeczeństwa.Wracając do popularyzacji idei i technologii smart-city, trzeba podkreślić, że skoro zależy nam na inteligentnym mieście, nie zapominajmy o inteligencji… własnej. Nic nam po wygodniejszym podróżowaniu i zakupach, wspieraniu energooszczędności, optymalizacji finansów, wspieraniu inicjatyw antysmogowych z użyciem high-smart-tech, jeśli zapomnimy o potencjalnych cyberzagrożeniach i nie wyciągniemy wniosków z tych ataków, które mamy za sobą. Niewiele ostatecznie da nam kolejna „mądra” aplikacja w pracy lub domu, jeśli pozostaniemy na etapie autoryzacji admin-admin.