Уязвимы по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа

В заголовке нет ни игры словами, ни преувеличения. Масштабы вскрывшейся проблемы ужасают. Пользуясь лишь общедоступными сетевыми сервисами, сотрудник Security News получил полный доступ к видеорегистратору, стоящему в магазине на соседней улице — не составляло никакого труда не только смотреть видео, но, при желании, стереть архив или вообще выключить камеры. К теме сетевой безопасности видеонаблюдения нас вернул любопытный пресс-релиз. С него и начнем.

Исследовательская лаборатория Gotham Digital Science выпустила новый модуль для своего программного пакета Metasploit Framework. Дополнение под названием cctv_dvr_login предназначено для эффективного подбора паролей к цифровым видеорегистраторам от нескольких производителей — MicroDigital, HIVISION, CTRing, а также от существенного количества других вендоров, продающих OEM-оборудование под собственными марками. Этот инструмент аудита сетевой безопасности разработчик называет оксюмороном "интеллектуальный брутфорсер". Термин brute force ("грубая сила") применяется к методу несанкционированного доступа путем автоматического перебора большого числа паролей, обычно по словарю.

С видеорегистраторами, про которые идет речь, можно работать через клиентское приложение для Windows, мобильное приложение или браузерный интерфейс на основе ActiveX-элемента (эта технология поддерживается только браузером Internet Explorer). Именно авторизацию через ActiveX и эмулирует разработка от Gotham. В блоге лаборатории подробно описан процесс обратного инженеринга: с помощью программы Wireshark аналитики "разобрали" пакеты, которыми обменивается ActiveX-клиент и сервер регистратора. Сначала исследователям бросилось в глаза, что ответ сервера при простом несовпадении пароля отличается от данных, возвращаемых в том случае, когда логина не существует. Ага, задача упрощается. А зная, как формируется пакет с запросом и как должен выглядеть искомый результат, уже не составляет никакого труда написать брутфорсер.

Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения

Не будет честным сказать, что регистраторы оказались дырявыми, как дуршлаги. C камерами TRENDNet ситуация была иной — там была обнаружена именно "дырка", уязвимость катастрофических масштабов. А здесь разработчиков можно упрекнуть лишь в том, что они не предусмотрели защиту от быстрого перебора паролей. Иначе говоря, не сделали функцию автоматической блокировки дальнейших попыток входа после нескольких неправильно введенных комбинаций.

Авторизация через ActiveX используется довольно редко — видимо, лаборатория выполняла аудит конкретного продукта. Гораздо чаще логин и пароль надо вводить или в вебформу, или в диалоговое окно браузера — тогда авторизация выполняется стандартными средствами протокола HTTP. Брутфорсеры для HTTP существуют давно. Подбор параметров авторизации перебором — довольно обыденная сторона информационных технологий...

Гораздо важнее другая информация, вскрывшаяся во время этого исследования.

У хакеров есть свой Google

Шокирующий факт состоит в том, что в подавляющем большинстве случаев перебора-то и не требуется. В пресс-релизе от Gotham Digital Science утверждается, что в 70% видеорегистраторов, видимых из внешней сети, для доступа к веб-интерфейсу используется пароль по умолчанию. То есть тот пароль, который стоял сразу после покупки устройства. Он же указан в руководстве пользователя. Неправдоподобно? Такие цифры у отраслевого профессионала вызывают острый дискомфорт в районе копчика. Нет, этого не может быть — просто лаборатория Gotham Digital Science наводит страху, так рекламируя свои услуги по аудиту безопасности!

Проверить факт оказалось несложно — в редакции Security News решили потратить несколько часов на свое мини-исследование. После печальной истории с TRENDNet мы знаем о сервисе ShodanHQ — поисковике, умеющем находить служебные IP-устройства по характерным HTTP-заголовкам. Вуаля! Перед нами IP-адреса видеорегистраторов разных моделей. Примеры запросов приводить будет совсем уж неэтично, они и так подбираются очень просто. И действительно, в приблизительно 70% случаев на видеорегистраторах стоял пароль по умолчанию — "admin" для логина "admin". А пару раз подошел другой, но тоже очень простой — "12345". Такое вот доказательство жизнеспособности идеи с брутфорс-атакой.

Практическое значение этой проблемы огромно. Редактор Security News ограничил географию поиска своим родным городом с населением в полмиллиона человек. По двум запросам нашлось около десятка видеорегистраторов, и ко всем (!) подошел стандартный пароль. И это только навскидку — экспериментируя с запросами, можно было бы найти больше устройств. В двух случаях системы видеонаблюдения были установлены в магазинах, интерьер которых оказался редактору знаком. А один из них вообще оказался на соседней улице.

Таким образом, минимально подготовленному злоумышленнику не составит труда найти знакомый объект. Супермаркет у дома не привлекает? Если поискать, то найдутся ювелирные магазины и обменные пункты. Теперь ничего не стоит детально изучить распорядок работы, а "к выходу на дело" и вовсе отключить видеонаблюдение.

Система, призванная обеспечивать безопасность, не снижает риски. Наоборот, она их существенно увеличивает. Исследования по криминалистике показали, что мотивом для преступления часто служит всего лишь удобная возможность. Не кажется ли вам, что такой регистратор с паролем по умолчанию — это магнит, провоцирующий преступника? Ты не простой уголовник, ты чувствуешь себя героем фильма "Пароль: рыба-меч" или профессором Мориарти из современного британского римейка.

Сложно сказать, есть ли что подороже среди этой бижутерии.
Но найти специализированный ювелирный магазин — это всего лишь вопрос времени.

...