Статьи

Система міського відеоспостереження вразлива до атак Man-in-the-Middle

Урядові організації та правоохоронні органи все частіше покладаються на мережі відеоспостереження, які дозволяють із зручністю і невеликими витратами стежити за щільно населеними міськими територіями. Наприклад, в Лондоні на кожні 11 жителів припадає по камері спостереження . Урядові організації та правоохоронні органи все частіше покладаються на мережі відеоспостереження, які дозволяють із зручністю і невеликими витратами стежити за щільно населеними міськими територіями

Навряд чи хтось здивується тому факту, що багато хто з цих камер, як в Лондоні, так і в будь-яких інших містах, об'єднані в мережу через бездротове підключення. І це бездротове з'єднання далеко не завжди безпечно. В результаті, замість того щоб служити інструментом для запобігання злочинів , Камери можуть бути використані для їх здійснення. Злочинці можуть не тільки пасивно стежити за тим, що потрапляє в поле зору камер (хоча і це вже неприємно), але і підміняти записи або повністю виводити систему з ладу.

Василіос Хіуріос, експерт «Лабораторії Касперського», розповів історію про те, як одного разу він забрався на великий фонтан у громадському місці і тут же почув голос з гучномовця, який порадив йому негайно з цього фонтану злізти. Зрозуміло, спостерігач, якому належав цей голос, користувався камерою, для того щоб бачити те, що відбувається. Цей епізод надихнув Василіос на дослідження безпеки міських мереж відеоспостереження .

Для початку Хіуріос пройшовся по якомусь не названому в дослідженні місту і оглянув обладнання, використане в мережі поліцейського відеоспостереження. Здебільшого виявлене ним обладнання виглядало як на знімку нижче:

Здебільшого виявлене ним обладнання виглядало як на знімку нижче:

На багатьох з встановлених пристроїв залишалися наклейки з ім'ям компанії-виробника і назвою моделі (в розмитою частини вищенаведеного знімка якраз знаходиться одна з таких наклейок). Завдяки цій безпечності Василіос і його колезі Томасу Кінсі з Exigent Systems було нескладно відтворити подібну мережу в лабораторних умовах. Все, що їм було потрібно, - це пошукати в Інтернеті специфікації обладнання, використаного в системі відеоспостереження, знайти відомі уразливості і експлойти для них. Після цього вони були готові до злому системи.

Варто уточнити, що наші експерти не зламували справжню мережу відеоспостереження, вони лише проаналізували обладнання та комунікаційні протоколи і побудували модель мережі

Варто уточнити, що наші експерти не зламували справжню мережу відеоспостереження, вони лише проаналізували обладнання та комунікаційні протоколи і побудували модель мережі. Однак що вони все-таки зробили з реальною мережею - це подивилися на передані мережею дані і виявили, що вони передаються без шифрування. Так що перехоплювати їх і отримувати відеопотік з будь-якої з камер міг хто завгодно.

Гарна новина полягає в тому, що обладнання, яке було встановлено в мережі відеоспостереження, було оснащено цілком пристойним інструментарієм забезпечення безпеки. Погана новина - цей інструментарій не використовувався через неправильну настройки обладнання.

У домашніх мережах всі мережеві пристрої підключаються до Інтернету і спілкуються один з одним через роутер. Будь-яке з підключених пристроїв потенційно може обдурити все сусідні, перетворившись цим самим роутером, - і після цього перехоплювати всі йдуть через нього дані або навіть змінювати їх. Такий метод атаки називається «Людина посередині», або man-in-the-middle .

Мережа, в яку були об'єднані камери відеоспостереження, була влаштована трохи складніше, ніж домашня мережа, оскільки вона була адаптована для передачі потоку даних на дуже великі расстоянія.Еслі говорити простими словами, дані в цій мережі передавалися від кожної окремо взятої камери через ланцюжок вузлів, і ці ланцюжки сходилися в єдиний центр - поліцейський відділок.

Кожен з вузлів, оснащених камерами, був налаштований таким чином, щоб передавати дані тому із сусідніх, з яким було найпростіше зв'язатися. Таким чином дані завжди проходили за оптимальним маршрутом.

Хіуріос і Кінсі змогли побудувати підроблений вузол, який був побудований у в ланцюжок в якості останньої ланки - прямо на шляху даних в поліцейську дільницю. Таким чином вони змогли здійснити атаку методом «людина посередині» і перехоплювати всі дані, що йдуть від всіх справжніх камер. Або модифікувати ці дані будь-яких цікавлять їх способом.

Один з варіантів використання даної атаки може бути таким: в потрібний момент відеопотік від однієї з камер замінюється на підроблений, в якому показується, що в даному місці прямо зараз відбувається інцидент, що вимагає участі поліції. Поліцейські їдуть на хибний виклик, а в цей час даний злочин скоюється зовсім в іншому місці.

Зрозуміло, є і більш прості варіанти. Скажімо, злочинці можуть використовувати мережу для спостереження за певними людьми або підмінити відеопотік і видавати замість відео в реальному часі вчорашню запис, на якій нічого не відбувається.

Дослідники вже зв'язалися з відповідальними за дану мережу відеоспостереження та працюють з ними разом над усуненням проблем з безпекою. Тим, хто займається розгортанням подібних систем, ми хочемо порадити не нехтувати питаннями безпеки. Не забувайте видаляти з обладнання наклейки виробника, щоб його не так легко було впізнати. І обов'язково включайте надійне шифрування, особливо при використанні бездротового підключення.

Новости

Как создать фото из видео
Кризис заставляет искать дополнительные источники дохода. Одним из таких источников может стать торговля на валютном рынке Форекс. Но чтобы не потерять свои деньги необходимо работать с надежным брокером.

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал

Как оформить диск малыш от рождения до года из фото и видео
Оформить диск "Малыш от рождения до года" из фото и видео можно совершенно разными способами! Кто-то для достижения данной цели идет на шоу-таланты, кто-то пользуется услугами профессионалов, а кто-то

Как создать видео без программ
Реклама - это один из видов деятельности, который помогает людям продвигать свои товары или услуги. Одним из таких видов рекламы является - раздача листовок или более современное название "флаеров". Раздача

Финансовые новости мира
Вернуться в раздел Профессия экономист Экономисты востребованы в компаниях, где требуется контролировать расходы, правильно рассчитывать средства, где необходим постоянный анализ экономической деятельности

Транспортное средство закон
Пункт 1.5. ПДД гласит: «Участники дорожного движения должны действовать таким образом, чтобы не создавать опасности для движения и не причинять вреда», а в пункте 1.2. указано: «Участник дорожного движения»

Квест кімната дніпро
Законопроект о запрете посещения квестов детьми младше 14 лет прокомментировал один из самых популярных в России квест-агрегаторов. Поправки в городской закон о мерах по предупреждению причинения вреда

Труба в изоляции Valsir Pexal
На сегодняшний день имеется масса самых разных отделочных материалов, которые можно использовать, как внутри, так и снаружи помещения в качестве декоративного элемента, однако большинство из них имеет

Роллы
От того, как и чем мы питаемся зависит очень многое. Это и самочувствие и внешность и общее состояние здоровья. Несмотря на широкое предложение, вопросы правильного и вкусного питания стоят очень остро.

Дешевая доставка суши
Суши можно не только запивать, но и заедать: хорошо с суши сочетаются тэмпура (обжаренные в специальном кляре ломтики овощей, грибы или морепродукты), а также мисо-суп (суп, заправленный бобовой пастой).