Полный IP-здец. Новое воплощение системы «Безопасный город» приглашает хакеров позабавиться

25.11.2012

С 1 апреля 2012 года в Москве должна была вступить в силу новая схема организации видеонаблюдения. На дворе ноябрь, то есть схема формально давно уже вступила в действие. Простите, ещё раз: схема чего? Организации видеонаблюдения? Назвать это счастье «организацией» язык не поворачивается: мешает знание целого ряда подробностей. Нам удалось выяснить, как возникла эта система, как она функционирует в реальной жизни и насколько легко её, бедняжку, обрушить — при наличии злого умысла или просто желания побаловаться. От публикации всех известных нам фактов и соображений редакция решила воздержаться: простите за пафос, но мы не можем ставить под удар безопасность мегаполиса Москва. Мы коренным образом заинтересованы в том, чтобы уровень безопасности жизни в столице был на должной высоте. Как минимум, соответствовал бы уже понесённым бюджетным затратам. Мы здесь живём и работаем, наивно полагая, что за наши налоги можем претендовать на хоть какую-то защищённость.

Собеседник не нервничает, но всё же несколько напряжён. Скорее всего, это застарелое раздражение. Назвать настоящее имя, компанию и должность не можем: это условие, при котором он согласился на публикацию данных. Давайте назовём собеседника, скажем, Антоном. Антон последовательно излагает структуру системы безопасности городского масштаба, мы пробуем рисовать на листе А4 схемы. Для начала пытаемся представить себе предыдущую версию «Безопасного города» на примере отдельно взятого округа — ЦАО. В районах ЦАО существовали инфраструктуры, называемые РОСПД — районные опорные сети передачи данных. Это оптоволоконная кабельная обвязка с соответствующим «фаршем» в виде коммутаторов и другого оборудования.

Сети РОСПД в районах развёртывались в середине «нулевых». По задумке архитекторов, районные сети не должны были иметь связи между собой, а также, естественно, и выхода во внешний мир. Это не позволяло потенциальному злоумышленнику, получив доступ к оборудованию одной районной сети, натворить дел в масштабах всей Москвы.

Итак, волокно лежит, шкафы с оборудованием стоят и даже заперты на ключ. Однако лишь посвящённым известно, что, к примеру, в Центральном административном округе сеть оказалась бесхозной: заказчик её по каким-то причинам не принял и на баланс не взял. Работы по строительству районных сетей выполнял целый список подрядчиков, а в качестве координатора выступила организация А. Что произошло между А и департаментом информационных технологий мэрии, мы выяснять не стали: в принципе, это не касается сути вопроса. Однако с 2009 года районные сети оказались брошенными на произвол судьбы. Организации, которые занимались видеонаблюдением, выполняли процедуры обслуживания РОСПД в своих интересах. Антон образно сравнивает: это вроде как автомобилист засыпает ямку на дороге, по которой ездит каждый день. Воспользовавшись паузой, показываем схему: так? Ответ: ну, как-то так. Только есть дополнение: оборудование РОСПД физически размещается (а заодно и кушает электричество) в объединённых диспетчерских — вместе с дежурными слесарями и электриками.

Все прелести советского периода: бабулька-дежурная, ключ под расписку в журнале и никакой ответственности ни с чьей стороны. В синем рабочем комбинезоне и с ящиком инструментов в руках можно спокойно протопать мимо вахтёрши, подобрать ключ, открыть дверцу и что-нибудь испортить. Или, наоборот, улучшить: подключить WiFi-рутер и получить дистанционный доступ к сетевому оборудованию. Чтобы каждый раз к бабке не ходить.

Старая схема (до 1 апреля 2012 года)
Старая схема (до 1 апреля 2012 года)

Прежняя модель отношений с подрядчиками в СОБГ — системе обеспечения безопасности города — сводилась к доставке видеопотоков на так называемый «верхний уровень», где видео (предположительно) просматривалось, анализировалось, а затем принимались соответствующие решения по реагированию. При этом вся аппаратная часть системы находилась в собственности города, за исключением «ни к кому не пришитых» сетей РОСПД. Таким образом, в каждом округе имелись свои подрядчики, на совести и бюджете которых было обслуживание сетей и обеспечение «картинки». Вопросы логической безопасности сетей решались также подрядчиками, и заказчик был вправе потребовать принятия мер защиты от несанкционированного доступа.

Принимались ли они? Точных данных у нас нет, да, собственно, это и не так важно: с системой происходили вещи более интересные и масштабные. Наверняка вы хорошо помните скандал с «мульками», когда на мониторы в центрах реагирования выводилась картинка, имитирующая изображение с камер. Газета Security News, поставив вопрос о несостоятельности проекта «Безопасный город Москва», предсказала этот кризис месяцев за девять до сенсации. Скандал вызвал достаточно бурную реакцию властей. Помимо ряда уголовных дел, судьбу которых мы не отслеживали в силу отсутствия интереса, были приняты и кое-какие меры «системного» характера. Кавычки здесь не лишние, сейчас всё станет ясно.

В новой модели системы обеспечения безопасности столицы отношения с подрядчиками строятся по сервисному принципу. Единый центр хранения и обработки данных (ЕЦХД), расположенный на улице Нижегородской, 32, принимает от сторонних организаций видеопотоки, не задавая лишних вопросов об их происхождении. Главное, чтобы были соблюдены минимальные технические требования: рекомендуемое разрешение не менее 4CIF 704 x 576, компрессия не более 30% или параметр качества, аналогичный показателю «Хорошее», 25 кадров в секунду и ещё кое-какие показатели для правильной стыковки с сетью ЕЦХД. Остальное — камеры, серверы, каналы связи и уход за всем этим хозяйством — город с себя попросту сбросил. С первого апреля 2012 года полностью прекращены работы по тендерам прежнего образца, и старая система перестала обслуживаться.

Но это не значит, что старую инфраструктуру перестали использовать, и кормившиеся на ней организации и персонажи остались не у дел. В ЦАО одному из функционеров прежнего «Безопасного города» пришла в голову гениальная идея: а что если продаться новым подрядчикам вместе с сетями РОСПД? Они наверняка не в курсе того, что «волоконка» не имеет формального владельца и нормального обслуживания. Новым подрядчиком, выигравшим тендер по округу, оказалась компания МГТС. Не особенно вникнув в технические тонкости предложенного варианта, подрядчик понадеялся на порядочность функционера. И никакого технического аудита, судя по всему, не провёл. Зато спешно приступили к монтажу системы — довели сеть до каждого дома, установили камеры и кодеры. Картинка потекла в ЕЦХД, счётчик завертелся, все заинтересованные стороны успокоились.

Новая схема (с 1 апреля 2012 года)
Новая схема (с 1 апреля 2012 года)

Показываем Антону схему: так? Ответ: в принципе, да. Но обратите внимание, что РОСПД в такой конфигурации имеют непосредственный выход в сеть подрядчика. То есть районные сети перестали быть замкнутыми, и потому вся система в принципе требует принятия серьёзных мер по защите информации. Ну конечно же, требуются, это вполне логично, — наивно полагает ведущая отраслевая газета. Фиг там, — парирует собеседник.

Мы не стали заключать пари, поскольку Антон «в теме». Действительно, кому в этой цепочке есть дело до защиты данных, если требований такого рода не содержится в контрактных условиях? Внимание, — лицо собеседника становится торжественно-мрачным, — выдрав сетевой шнур из подъездной камеры и воткнув его в ноутбук, вы можете убедиться, что сеть прекрасно видна. Более того — сервер DHCP выделит вам динамический IP. При пусконаладке, возможно, это и удобно, однако в работающей системе статический IP-адрес является ещё одной степенью защиты: злоумышленнику придётся его подбирать либо узнавать заранее, а это не всегда просто даётся. Количество узлов сети, которые становятся доступными при подключении к подъездной камере, вы сможете подсчитать сами — исходя из маски подсети 255.254.0.0. Для бывалого айтишника это школьная задачка. Мы на всякий случай переспрашиваем: наверное, там всё же защищённое соединение, VPN какой-нибудь? Оказалось, нет. Из подъезда замечательно видна и сеть подрядчика, и серверы обслуживаемого им ЕЦХД. Запустив сканер портов, можно через пару сигарет отвести душу по полной. Скорее всего, через сетку МГТС видны и соседние корпоративные сети. Ага, вот и они… ну, и так далее.

Нам, людям простым и приземлённым, всё ещё по инерции кажется, что сёрфинг по сетям — это хакерская забава из какого-нибудь фантастического сериала. На самом деле всё уже давно изменилось, и специалисты по взлому сетей решают отнюдь не досуговые вопросы.

Попробуем прикинуть потенциальный сценарий или варианты злонамеренного поведения. Для начала немного технических подробностей. В новой системе видеонаблюдения камеры делятся на несколько категорий, к примеру, ММС, устанавливаемые в местах массового скопления людей. Это управляемые поворотные камеры с зум-объективами, как правило, производства Cisco. Оставим в стороне вопросы качества картинки и попробуем, стоя в подъезде и держа на ладони нетбук, посмотреть через веб-интерфейс камеры на какую-нибудь площадь. Обнаружить камеру и подобрать порт удалось сравнительно быстро, а доступ к видеопотокам оказался по чьей-то любезности открытым. Никаких паролей. Управлять PTZ, признаемся, не пробовали. Просто забыли от волнения. Пока пытаемся подключиться по SSH, подбирая простенькие цифровые пароли, Антон комментирует: «Кстати, отследить, откуда подключаемся, никто не сможет. Пароли к коммутаторам остались у инсталляторов, у которых заказчик так и не принял РОСПД».

Действительно, раз уж систему никто не принимал, значит, и пароли доступа к сетевому оборудованию никому не передавались. Вполне возможно, что их ещё можно как-то востребовать, выкупить или выпросить даром у обиженных исполнителей. Но заниматься этим опять-таки некому. Поскольку таблицы коммутаторов надёжно защищены от пользователей системы, вычислить точку злонамеренного доступа было бы очень сложно. А оперативно сделать это — вообще никак. Для сравнения: провайдеры Интернет локализуют пользователя в течение нескольких минут.

Камерный пароль оказался действительно простецким. К тому же, как утверждает наш собеседник, он одинаков для всех камер категории ММС (а их по Москве как минимум несколько сотен). Мы влезли в камеру как root — линуксоиды знают, что это означает: с аппаратом можно вытворять всё, что угодно. Вот, например, если вбить с командной строки if down eth0, то отключится сетевой интерфейс. Это означает, что камера немедленно «отвалится» от сети. Чтобы вернуть видеопоток в линию передачи данных и вернуть его на вход ЕЦХД (то есть снова запустить счётчик), необходимо физически перезапустить камеру, отключив и снова включив питание. Соблазн нажать Enter перевесили соображения безопасности: а вдруг в камере сохраняются логи? Антон успокаивает: логи отключены из соображений экономии памяти.

При этом камера представляет собой полноценную Linux-машину без каких-либо ограничений на операции с файлами. То есть можно поставить свой софт, соорудить собственный сервер, включить в ботнет и «валить» веб-ресурсы противника DDOS-атаками. Шпионаж, агрессия, хулиганство — не вопрос. Можно, к примеру, загрузить в камеру код, который отключал бы по графику или в случайном порядке все остальные камеры. В результате техслужбы провайдеров будут метаться по городу, чтобы перезапустить «железо», поскольку на это время ЕЦХД остаётся ни с чем, что, соответственно, отразится на показаниях счётчика. А вдруг на площади митинг в это время соберётся?!

Собственно, лёгкость доступа к сети создаёт угрозы и посерьёзнее, чем шалости оппозиции. Сегодня вовсю обсуждается вопрос о том, что инфраструктуры, замыкающиеся на ЕЦХД, могут быть использованы для передачи информации в интересах городских служб. В частности, по словам Антона, уже существует проект передачи сигналов управления светофорами. Представляете, насколько просто будет дестабилизировать дорожное движение в городе! А если хакеры перекроют воду или запустят в реверсивном режиме канализацию? Можете дать волю фантазии или выпить валерьянки. А мы на этом решили захлопнуть нетбук: стемнело, граждане начали возвращаться с работы, и «светиться» в подъезде больше не хотелось.

Вроде бы обычный скромненький ключик от стандартного шкафа Rittal. На деле же это ключ от города. Повернул, подключился — и вытворяй с Москвой всё, что придёт в голову.
Вроде бы обычный скромненький ключик от стандартного шкафа Rittal.
На деле же это ключ от города. Повернул, подключился — и вытворяй с Москвой всё, что придёт в голову.

Доехав до редакции, присели и основательно задумались. Паранойя догнала и нас: вспоминали сюжеты из фантастики, офисные рутеры с логином и паролем admin, универсальные ключи от шкафов Rittal, сами шкафы в подвалах и на чердаках — как правило, без присмотра, с отключёнными датчиками температуры и открытия дверцы. Физические и айтишные угрозы стали складываться в один большой кошмар. Антон вспоминал детали, кошмар обрастал организационной составляющей. А мы пытались сообразить, что с этим всем можно сделать, пока широкие круги общественности не прознали, насколько дырява оборона нерезинового суперпупермегаполиса, нафаршированного ценностями и высокотехнологичным оборудованием.

Весь ужас в том, что формально претензий к проекту никаких: подрядчики есть, контракты оформлены, антикоррупционные экспертизы проведены. Перед прессой бодро отчитались. Пара отраслевых экспертов поворчала на доступных им ресурсах: мол, архитектурная хромота новой конфигурации «Безопасного города» — на самом деле «подстава» для подрядчиков. Год назад, когда инфраструктура хоть как-то, хотя и по-партизански, но обслуживалась, ещё возможно было решать вопросы через департамент информационных технологий мэрии. Сейчас ДИТ никак не заинтересован в технической составляющей системы: «Картинку давай, не даёшь — других наймём». Найдутся и другие, можете не сомневаться. Но с подобной организацией отношений провайдер бросит все силы на физическую защиту камер — в основном от хищений и вандализма, чтобы не рисковать своей собственностью. Логическая безопасность в условиях контракта не фигурирует? Значит, можно ею не париться вовсе.

ОПЕЧАТКА ПО ФРЕЙДУ

Приложение к постановлению Правительства Москвы от 7 февраля 2012 г. № 24 ПП

8. Функционирование ЕЦХД осуществляется путем использования сервисно ориентированной архитектуры, представляющей собой совокупность устройств сопряжения с сетью передачи (шлюзов) в целях обеспечения обмена информации и программно аппаратных комплексов, обеспечивающих обработку, хранение и визуализацию информации, построенных по общепринятым стандартам с использованием единых технологических решений и стандартов, единых классификаторов и описаний структур данных.

Выдержка из установочных документов Единого центра хранения и обработки данных. Обратите внимание на выражение: «в целях обеспечения обмена информациИ». Обычно в сетях происходит «обмен информациЕЙ. В этой — обмен информациИ на деньги. Счётчик, сами знаете, крутится только в одну сторону.

Случайно ли возникла такая ситуация? Специалисты утверждают, что для организаций госсектора — кроме разве что спецслужб и силовиков — такой подход характерен. В подвёрстке вы сможете убедиться, насколько всё печально в сети столичных учреждений здравоохранения. Честно сказать, мы основательно устали от проявлений традиционного отечественного идиотизма. А в очередной раз притвориться, что всё в порядке, не позволяет профессиональная совесть. Надеемся, что нас услышат те, от кого зависит решение вопроса. Не услышат — будем действовать по-другому, но результата добьёмся. Вполне вероятно, что укрепление логической и организационной безопасности третьего поколения системы «Безопасный город» влетит московскому бюджету в копеечку-другую. Надеемся, что хотя бы часть этих денег пойдёт на оплату услуг специалистов по компьютерной безопасности. Что именно предстоит сделать? Готового рецепта нет, надо детально разбираться в технической и организационной стороне вопроса. Не дожидаясь, пока многомиллионную систему «сделает» хакер с двухсотдолларовым нетбуком.

Редакционный эксперимент

Вдохновившись подвигами неустрашимых хакеров из берлинского Chaos Computer Club, мы решились на небольшой полевой тест. Раздобыв из независимых источников данные о местонахождении нескольких шкафов с оборудованием РОСПД, представители Security News попробовали получить к ним физический доступ, не предъявляя никаких документов или разрешений. Идея простая: если это удастся нам, значит, не составит проблемы и для серьёзного злоумышленника.

Мы готовились топтаться по Москве как минимум полный рабочий день. Однако уже в третьем по счёту месте был, как говорят учёные, «получен положительный результат». Очаровав диспетчершу легендой о проверке технического состояния белого шкафчика, мы получили доступ к «серверной». За покосившейся дверью обнаружилась кухня для гастарбайтеров. В углу под потолком висел заветный шкафчик, ключ подошёл без проблем. В сеть лезть не стали, просто сделали пару снимков и ушли.

Шкаф с оборудованием РОСПД
Шкаф с оборудованием РОСПД. Ключ вставлен, замок открыт!

Охраннику сказали «спасибо». Наверное, теперь пора ещё и извиниться, и заодно перед диcпетчершей. В конце концов, их никто не инструктировал по поводу бесхозной сети.

Редакция принципиально не раскрывает конкретный адрес: если уж принимать меры защиты оборудования и сети, то делать это надо комплексно и повсеместно. Пока не произошла какая-нибудь серьёзная пакость. Если реакции не последует, повторим эксперимент через полгода. Прогнозировать результат не будем: в жизни всегда есть место чудесам.

Алло, Безопасный? Привет, это Здоровый!

Этого собеседника мы также пообещали не выдавать. Игорь имеет непосредственное отношение к другому мегапроекту — строительству общей компьютерной сети, связывающей между собой московские поликлиники. ЛВС на местах делали заново, «по уму», на базе структурированной кабельной системы — СКС. Правда, по утверждению эксперта, вся «структурированность» свелась к тому, что от исполнителей жёстко требовали соблюдать требования… к маркировке кабелей. Работы по прокладке чаще всего ведутся в дневное время: не все руководители поликлинник разрешают проводить работы во внеурочное время, чтобы не оставлять посторонним людям ключи от кабинетов. В результате по кабелям в процессе монтажа вовсю топчутся пациенты и персонал. То есть витая пара приходит в физическую негодность ещё до момента подключения оборудования. Ладно, это, в конце концов, вопрос технический. Мы продолжали напирать на главное: так как всё же обстоит дело с защитой от несанкционированного доступа? Оказалось, что новая сеть находится в ведении департамента информатизации Минздрава и генерального подрядчика — телекоммуникационной корпорации КОМКОР.

С точки зрения обеспечения безопасности данных, поликлиники являются объектами I категории: здесь хранятся персональные данные, страховая информация, сведения о состоянии здоровья пациентов. Последние, попав в соответствующие руки, могут приобрести немалую ценность: от шантажа и вымогательства до разного рода бизнес-прогнозов. Первая категория — с точки зрения инсталляции дело серьёзное. На локальных машинах не должно быть, к примеру, портов USB и беспроводного подключения WiFi. По периметру зданий должны устанавливаться устройства подавления радиосигнала, сама сеть выполняется экранированным кабелем, кроссы и патч-панели должны быть соответствующим образом сертифицированы.

Игорь утверждает, что в реальных инсталляциях ничего подобного нет. С точки зрения IT, сеть также сляпана наспех. Например, никак не отслеживаются МАС-адреса. В сеть можно без проблем влезть, вытащив кабель RJ-45 из любого служебного компьютера или, что ещё проще, подключившись собственным кабелем к сетевой розетке в холле или коридоре. Поскольку сеть имеет централизованную архитектуру, информационные киоски в поликлиниках напрямую подключаются к центральному информационному серверу. Локальные серверы, возможно, будут и вовсе упразднены — судя по заявлению советника руководителя Департамента информационных технологий: «Москва переходит на сервисную модель информатизации, мы перестали покупать коммутаторы и криптошлюзы, мы покупаем услугу на рабочем месте».

Однако в погоне за снижением общей стоимости владения о надлежащей защите, судя по всему, просто забыли. Как и в случае с МГТС и районными сетями в ЦАО, централизованная сеть медучреждений имеет выход в общую сеть КОМКОР. Компания это крупная и опытная, и, естественно, в поликлиниках были установлены криптошлюзы. Но эти устройства способны защитить информацию от перехвата вне пределов поликлинники и центра обработки данных (ЦОД). Если действовать изнутри медучреждения, то вся московская сеть становится практически открытой.

Игорь уверен, что серьёзному злоумышленнику не составит труда подключить к сети точку доступа WiFi и делать свои дела, сидя в автомобиле под окном. Медики вряд ли обратят внимание на какую-то коробочку под потолком. Сисадмины всё же научили основную массу юзеров простому правилу: если всё работает исправно, лучше ничего не трогать. Собеседник вспоминает интересную подробность: оказывается, спецполиклиники для спортсменов также подключены к общей «дырявой» сетке. Пошарив по картотеке, можно неплохо заработать на тотализаторе, правда?

Мы снова недоумеваем: неужели так всё запущено? Игорь считает, что проблема здесь в заказчике: не поставлена задача обеспечения безопасности и не выделены на это соразмерные средства. И, кстати, несанкционированный доступ к сети в этой системе вполне возможно отфиксировать. Но вот предотвратить — никак. Учитывая, что информация уходит на сторону за считанные секунды, знание о том, к какому именно узлу физически подключился хакер, чаще всего оказывается бесполезным.


Возврат к списку

 Подписаться на RSS-канал