Namų vartojimo vaizdo stebėjimo kamerų saugumo tyrimas nustatė kibernetinio saugumo rizikas

2020-10-09

Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) atliko įvairių gamintojų Lietuvoje tiekiamų namų vartojimo vaizdo stebėjimo kamerų kibernetinio saugumo vertinimą, pratęsiantį š. m. gegužę NKSC publikuoto tyrimo tematiką.  Atlikus tyrimus nustatyta, kad naujai tirtų kamerų programinės įrangos pažeidžiamumų problemos, lyginant su anksčiau tirtais gaminiais, išlieka nepakitusios ir kelia grėsmę įrenginių saugumui. Tyrime naudota gamintojų „Hikvision“ (Kinija), „Dahua“ (Kinija), „Xiaomi“ (Kinija), „TP-Link“(Kinija) ir „Axis Communications“(Švedija) produkcija, skirta namų vartojimo rinkai. 

NKSC atliko didelės apimties kompleksinį namų vartojimo vaizdo stebėjimo kamerų saugumo tyrimą, kuris apėmė kamerų programinės ir aparatinės įrangos analizę, atliktas lyginamasis gaminių vertinimas. Lyginant su ankstesniame tyrime nagrinėtomis kameromis, naujai tirtos „Hikvision“ ir „Dahua“ kameros turi labai artimus arba praktiškai identiškus technologinius sprendimus. Tyrimo metu nustatyta, kad naujai tirtų kamerų programinės įrangos pažeidžiamumų problemos, lyginant su ankščiau tirtais gaminiais, išlieka nepakitusios ir kelia grėsmę vartotojų duomenų saugumui. Atlikus „Hikvision DS-2CD2183G0-IU“ vertinimą, nustatyti 11 kameroje įdiegtų programinių paketų, turinčių 95-is saugumo pažeidžiamumus, iš kurių 32-jų pažeidžiamumų grėsmės balas didesnis negu 6,5 (iš 10 galimų). „Axis Communications“ kameros standartinėje (jau įdiegtoje) programinėje įrangoje nustatyti 53 pažeidžiamumai. Nustatyti pažeidžiamumai gali sudaryti galimybes piktavaliams realizuoti kibernetines atakas, kameros informacijos perėmimą nuotoliniu būdu, žalingo kodo įvykdymą, taip pat nustatyta, kad kamera yra paveiki atkirtimo nuo paslaugos DoS (angl. Denial of Service) atakoms.

„Axis Communications“ gamintojo kamerose veikia programinės įrangos atnaujinimo funkcija, kuri vartotojui sudaro galimybę įdiegti 2019 metų programinės įrangos versiją (v 9.3.0), neturinčią žinomų pažeidžiamumų. Tirtoje „Hikvision“ kameroje programinės įrangos automatinio atnaujinimo funkcionalumo aktyvuoti nepavyko, jis neveikė. „Dahua IPC-HFW 1230S-0280B-S1“ kameros programinės įrangos naujinių gamintojo puslapyje rasti nepavyko.

Tirtose „Axis Communications“, „Hikvision“ ir „Dahua“ kamerose nustatyta sisteminė saugumo problema, kai naudojama 1999 m. sukurta riboto patikimumo suvestinės prieigos vartotojų autentifikavimo technologija (angl. HTTP Digest access autentication). Naudojant šį autentifikavimo mechanizmą, vartotojui jungiantis prie kameros, jo slaptažodžio reikšmė gali būti perimta, slaptažodis dekoduotas ir panaudotas neteisėtam prisijungimui.

Atkreipiame dėmesį, kad nagrinėtos kitų Kinijos gamintojų „Xiaomi“ ir „TP-Link“ kameros yra valdomos debesų kompiuterijos (angl. Cloud computing) pagrindu, naudojant specialią gamintojo mobiliąją aplikaciją. Šių kamerų audiovizualinė ir valdymo informacija keliauja interneto tinklu per nutolusius trečiųjų šalių serverius. Iš to kyla papildomos kibernetinio saugumo rizikos, kadangi vartotojas negali iki galo kontroliuoti, kur ir kaip keliauja kameros vaizdo srautas ar kameros valdymo komandos. Interneto šaltiniuose randama informacijos, kad vartotojai, esant tam tikroms sąlygoms, galėjo matyti svetimų kamerų vaizdinę informaciją.

Lyginant Kinijoje suprojektuotus įrenginius su Švedijoje sukurta kamera pastebėta, kad Kinijos kūrėjai stengiasi kuo daugiau funkcionalumo realizuoti patys, taiko mažai žinomus, uždarus sprendimus. Kinijos produktų gamintojai kryptingai riboja vartotojo prieigą prie kameros, draudžia SSH ir (ar) Telnet paslaugų pasiekiamumą, minimizuoja vartotojo prieinamą funkcionalumą prisijungus prie įrenginio. Šaltiniuose ši tendencija stebima nuo 2017 metų, kai spaudoje pradėta viešinti informacija apie „Hikvision“ ir „Dahua“ saugumo spragas.

NKSC pažymi, kad rinkoje egzistuoja didelė įvairias saugumo charakteristikas turinčių gaminių pasiūla, ir visais atvejais rekomenduoja vykdyti realaus laiko kamerų prievadų aktyvumo ir formuojamų kreipinių auditą, blokuoti perteklines užklausas ar srautus, naudoti ugniasienes su konkrečiam kameros modeliui verifikuotomis prieigos instrukcijomis (angl. White-list). Specialiomis priemonėmis užtikrinti kameros kuriamų srautų (audiovizualinio turinio ir tarnybinio trakto) šifravimą iki informacijos priėmimo įrenginio. Kamerų saugumo kontrolę galima atlikti atskiru specializuotu aparatiniu saugumo priedėliu, prie kameros prijungtu Ethernet sąsaja, neturinčiu įtakos kameros pagrindiniam funkcionalumui. Saugumo priedėlio funkcija – realiame laike užtikrinti prieigos kontrolę, kreipinių stebėseną, anomalijų aptikimą, kameros srauto šifravimą, specializuoto kamerų tinklo realizaciją.

Namų vartojimo vaizdo stebėjimo kamerų kibernetinio saugumo vertinimą rasite čia.

Visi pranešimai