Уязвимы по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа

В заголовке нет ни игры словами, ни преувеличения. Масштабы вскрывшейся проблемы ужасают. Пользуясь лишь общедоступными сетевыми сервисами, сотрудник Security News получил полный доступ к видеорегистратору, стоящему в магазине на соседней улице — не составляло никакого труда не только смотреть видео, но, при желании, стереть архив или вообще выключить камеры. К теме сетевой безопасности видеонаблюдения нас вернул любопытный пресс-релиз. С него и начнем.

Исследовательская лаборатория Gotham Digital Science выпустила новый модуль для своего программного пакета Metasploit Framework. Дополнение под названием cctv_dvr_login предназначено для эффективного подбора паролей к цифровым видеорегистраторам от нескольких производителей — MicroDigital, HIVISION, CTRing, а также от существенного количества других вендоров, продающих OEM-оборудование под собственными марками. Этот инструмент аудита сетевой безопасности разработчик называет оксюмороном "интеллектуальный брутфорсер". Термин brute force ("грубая сила") применяется к методу несанкционированного доступа путем автоматического перебора большого числа паролей, обычно по словарю.

С видеорегистраторами, про которые идет речь, можно работать через клиентское приложение для Windows, мобильное приложение или браузерный интерфейс на основе ActiveX-элемента (эта технология поддерживается только браузером Internet Explorer). Именно авторизацию через ActiveX и эмулирует разработка от Gotham. В блоге лаборатории подробно описан процесс обратного инженеринга: с помощью программы Wireshark аналитики "разобрали" пакеты, которыми обменивается ActiveX-клиент и сервер регистратора. Сначала исследователям бросилось в глаза, что ответ сервера при простом несовпадении пароля отличается от данных, возвращаемых в том случае, когда логина не существует. Ага, задача упрощается. А зная, как формируется пакет с запросом и как должен выглядеть искомый результат, уже не составляет никакого труда написать брутфорсер.

Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения

Не будет честным сказать, что регистраторы оказались дырявыми, как дуршлаги. C камерами TRENDNet ситуация была иной — там была обнаружена именно "дырка", уязвимость катастрофических масштабов. А здесь разработчиков можно упрекнуть лишь в том, что они не предусмотрели защиту от быстрого перебора паролей. Иначе говоря, не сделали функцию автоматической блокировки дальнейших попыток входа после нескольких неправильно введенных комбинаций.

Авторизация через ActiveX используется довольно редко — видимо, лаборатория выполняла аудит конкретного продукта. Гораздо чаще логин и пароль надо вводить или в вебформу, или в диалоговое окно браузера — тогда авторизация выполняется стандартными средствами протокола HTTP. Брутфорсеры для HTTP существуют давно. Подбор параметров авторизации перебором — довольно обыденная сторона информационных технологий...

Гораздо важнее другая информация, вскрывшаяся во время этого исследования.

У хакеров есть свой Google

Шокирующий факт состоит в том, что в подавляющем большинстве случаев перебора-то и не требуется. В пресс-релизе от Gotham Digital Science утверждается, что в 70% видеорегистраторов, видимых из внешней сети, для доступа к веб-интерфейсу используется пароль по умолчанию. То есть тот пароль, который стоял сразу после покупки устройства. Он же указан в руководстве пользователя. Неправдоподобно? Такие цифры у отраслевого профессионала вызывают острый дискомфорт в районе копчика. Нет, этого не может быть — просто лаборатория Gotham Digital Science наводит страху, так рекламируя свои услуги по аудиту безопасности!

Проверить факт оказалось несложно — в редакции Security News решили потратить несколько часов на свое мини-исследование. После печальной истории с TRENDNet мы знаем о сервисе ShodanHQ — поисковике, умеющем находить служебные IP-устройства по характерным HTTP-заголовкам. Вуаля! Перед нами IP-адреса видеорегистраторов разных моделей. Примеры запросов приводить будет совсем уж неэтично, они и так подбираются очень просто. И действительно, в приблизительно 70% случаев на видеорегистраторах стоял пароль по умолчанию — "admin" для логина "admin". А пару раз подошел другой, но тоже очень простой — "12345". Такое вот доказательство жизнеспособности идеи с брутфорс-атакой.

Практическое значение этой проблемы огромно. Редактор Security News ограничил географию поиска своим родным городом с населением в полмиллиона человек. По двум запросам нашлось около десятка видеорегистраторов, и ко всем (!) подошел стандартный пароль. И это только навскидку — экспериментируя с запросами, можно было бы найти больше устройств. В двух случаях системы видеонаблюдения были установлены в магазинах, интерьер которых оказался редактору знаком. А один из них вообще оказался на соседней улице.

Таким образом, минимально подготовленному злоумышленнику не составит труда найти знакомый объект. Супермаркет у дома не привлекает? Если поискать, то найдутся ювелирные магазины и обменные пункты. Теперь ничего не стоит детально изучить распорядок работы, а "к выходу на дело" и вовсе отключить видеонаблюдение.

Система, призванная обеспечивать безопасность, не снижает риски. Наоборот, она их существенно увеличивает. Исследования по криминалистике показали, что мотивом для преступления часто служит всего лишь удобная возможность. Не кажется ли вам, что такой регистратор с паролем по умолчанию — это магнит, провоцирующий преступника? Ты не простой уголовник, ты чувствуешь себя героем фильма "Пароль: рыба-меч" или профессором Мориарти из современного британского римейка.

Сложно сказать, есть ли что подороже среди этой бижутерии.
Но найти специализированный ювелирный магазин — это всего лишь вопрос времени.

Беглое сравнение выборок IP-адресов подтвердило, что эти зияющие 70% справедливы и для России, для Европы, и для США. И все же, в чем причина такой массовой беспечности? Некоторое объяснение дает сама Gotham.

Во-первых, многие собственники работают с видеорегистраторами только через локальные терминалы и о функции удаленного мониторинга просто не знают. Сама доступность устройства из Интернета тоже может быть сюрпризом для владельца. Наконец, может быть распространенным заблуждение о том, что IP-адрес — это нечто вроде пароля, и злоумышленник не сможет получить доступ к системе, потому что не знает IP-адреса. Глупее всего переваливать вину с повальной безграмотности на технологию.

Очевидный, но необходимый ликбез

В подавляющем большинстве случаев, причина проблемы — в кривых руках и безграничной беспечности администраторов и инсталляторов. Нет поводов для паранойи. Следуя тривиальным советам от редакции Security News, вы надежно обезопасите свою систему видеонаблюдения. Если вы хоть чуть-чуть разбираетесь в сетях, то смело нажмите на кнопку "Назад" — нам самим неловко переписывать эти банальности.

1. Читайте инструкции. Мы существуем в мире интуитивных интерфейсов, и привычка педантично изучать лежащую в коробке брошюру жива, кажется, только в поколении наших дедушек и бабушек. Но если бы все владельцы регистраторов читали руководства пользователя, эту статью бы не пришлось писать.
2. Всегда меняйте стандартный пароль! Даже если устройство пока что не подключено к внешней сети, потом кто-нибудь может подсоединить его к Интернету. Используйте сложные пароли — длинные, с большими и маленькими буквами и цифрами. На подбор такого пароля у самой мощной системы уйдут десятилетия. Применяйте генераторы паролей. Эти программы генерируют устойчивые к брутфорсу строки, которые, однако, несложно запомнить. Если вы инсталлятор, не оставляйте смену стандартного пароля пользователю. Не будьте наивны, он не станет утруждать себя этим.
3. Используйте "белые листы". Практически любое сетевое устройство (и любой вебсервер) позволяет ограничить доступ по диапазону IP. Откройте его только для адресов из тех мест, откуда вы будете работать с веб-интерфейсом. В "телекоме" это повсеместная практика. Например, в подъезде у автора стоит Ethernet-коммутатор провайдера. Узнать его IP-адрес с помощью команды tracert ничего не стоит. Но открыть интерфейс в браузере не получается — он доступен только из офиса провайдера.
4. Узнайте, есть ли в вашем оборудовании известные уязвимости. Поищите в "Гугле" модель вашего устройства со словом vulnerability. Скорее всего, вы найдете что-нибудь про XSS-атаки. Это не повод для паники. Скорее всего это лишь значит, что вы, уже имея доступ к веб-интерфейсу устройства, сможете выполнить на странице произвольный javascript-код. Большинство XSS-"уязвимостей" не заслуживают вашего интереса. Но бывают и другие, по-настоящему серьезные дыры. Например, если в описании есть термин "SQL-инъекция", стоит обратить внимание. Иногда в азиатских OEM-продуктах попадаются вопиющие недоделки — такие, как открытая консоль суперпользователя. Если уязвимости нашлись, на сайте производителя стоит поискать патч, решающий проблему.

Менять пароли и искать информацию об уязвимостях лучше всего во время годового аудита системы, вместе с проверкой исправности и положения камер. А вот безопасность полностью сетевых систем — это уже другая, отдельная тема.