Статьи рынка безопасности

События

  • форум 12/02/2019

    ТБ Форум 2019г Москва

  • вебинар 20/12/2018

    Элеста

  • выставка 19/03/2019

    Securika Moscow 2019г. Москва

Кибербезопаность в видеонаблюдении: ботнет, DDоS и биткоины

  • 03.05.2018
  • 360

Security is a process, not a product
«Безопасность – это процесс, а не продукт»
Bruce Schnier

Распространенность IP-видеокамер и цели взлома

В статье «А вы уверены, что видео с вашей квартиры смотрите только вы?» (ТЗ № 5-2017) рассматривалась тема взлома IP-видеокамер с целью получения несанкционированного видео с нее и вывода из строя из хулиганских соображений. Но ваша IP-камера или NVR могут рассматриваться злоумышленниками не как цель, а как ресурс для других задач, например, такой «хайповой» темы, как майнинг биткоинов или организация дальнейшей атаки на другие ресурсы.

Согласно данным компании IHS, в 2014 г. в мире было более 245 млн видеокамер при темпах роста примерно в 13,7%. Получается, что на сегодняшний день в мире более 360 млн видеокамер, применяемых в безопасности. Из них примерно 20% подключены к интернету, что дает 72 млн потенциальных целей для атаки или довольно объемного ресурса для осуществления дальнейших атак.

В частности, IP-видеокамера как еще один из элементов IoT (интернета вещей) включает в себя Unux компьютер, при этом довольно мощный и достаточно широко распространенный в силу нескольких факторов:

  1. Упрощение систем видеонаблюдения и повышение гибкости с развитием облачных и p2p технологий с доступом через мобильные устройства.
  2. Снижение средней цены на IP-камеру с $500 в 2010 г. до $130 в 2015-м, а не сегодня опустившейся ниже $80.
  3. Широкое внедрение видеонаблюдения не только в промышленности, но и в общественной безопасности, малом бизнесе и частном секторе отчасти как следствие снижения цены.

То есть в мире сегодня появилось огромное количество автономных компьютеров, значительная часть из которых подключена к интернету. При этом можно выделить три потенциальных последствия реализации угрозы взлома вашей IP-камеры:

  1. Во-первых, злоумышленник может получить доступ к той информации, которую записывает камера, и получать изображения и конфиденциальную информацию о компании или частной жизни, не обнаруживая себя.
  2. Во-вторых, IP-камера может быть взломана для того, чтобы транслировать поддельную картинку либо в нужное время вообще перестать передавать видео в систему безопасности.
  3. В-третьих, она может быть взломана для нанесения вреда третьим лицам, так как и другие IoT-устройства, IP-камеры уязвимы перед специальными вредоносными программами.

Третий пункт фактически описывает идею более изощренного способа использования ваших ресурсов. Даже в том случае, если ваша личная жизнь (изображение с видеокамеры) злоумышленнику не интересна, вы все равно в зоне риска. Вероятной целью может являться не видео, а программно-аппаратные ресурсы вашей IP-камеры или NVR, которые с помощью некоторых инструментов превращаются в средство для дальнейших атак или монетизации или еще каких-то, как правило, противоправных действий (например, для атаки на сайт сторонней компании).

Зачем нужен захват контроля над IP-камерой?

Как вы вероятно помните из статьи «А вы уверены, что видео с вашей квартиры смотрите только вы?» (ТЗ № 5-2017), один из вариантов использования вашей IP-камеры злоумышленниками – создание ботнет-сети. Предлагаю рассмотреть эту тему подробнее, чтобы понять, как это работает и зачем оно нужно злоумышленникам, – это поможет вам понять, какие действия необходимо предпринять, чтобы обезопаситься. Для начала определимся с терминами.

Ботнет (англ. botnet, произошло от слов robot и network) – сеть, состоящая из некоторого количества компьютеров с запущенными ботами. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Обычно используются для нелегальной или неодобряемой деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DoS- и DDoS-атаки).

Иллюстрация идеи ботнета

Рисунок 1. Иллюстрация идеи ботнета

Итак, что такое ботнет, мы понимаем, что такое рассылка спама и подбор паролей – вполне очевидно даже обывателю, а что же такое DоS- и DDоS-атака?

DoS (Denial of Service – отказ в обслуживании) – хакерская атака на вычислительную систему с целью довести ее до отказа, т. е. создать такие условия, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ затруднен. Отказ «вражеской» системы может быть и шагом к овладению этой системой (если в нештатной ситуации ПО выдает какую-либо критическую информацию, например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, например, остановка транзакций или блокирование страницы оплаты услуг провайдера и меры по уходу от атаки ощутимо бьют цель по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищенной крупной компании или правительственной организации.

Кибербезопаность в видеонаблюдении: ботнет, DDOS и биткоины

Основные методы DDоS-атак

Как правило, реализация идет по какому-либо из трех известных методов организации DDоS-атаки.

  1. По полосе пропускания – этот вид атаки подразумевает, что на веб-сайт направляется большое количество запросов по протоколам HTTP и, таким образом, полностью заполняет его пропускную способность, вызывая при этом отказ в обслуживании обычных посетителей данного интернет-ресурса.
  2. На основе протокола сервера – такой вид атаки направлен на конкретные сервисы сервера. Может выполняться с помощью интернет-протоколов. Часто такие атаки называют SYN-флуд, смысл которых в отсылке на веб-сервер большого количества SYN-запросов, на которые сервер должен ответить запросом ASK. Из-за большого количества таких запросов сервер часто не справляется с обработкой большого объема данных и «падает», т. е. выходит из строя.
  3. На основе ошибок конкретного веб-сайта – этот вид атаки является самым сложным в плане исполнения и применяется, как правило, высокопрофессиональными хакерами. Суть его состоит в том, что на сайте-жертве находятся уязвимости, используя которые создается высокая нагрузка на сервер и он получает отказ в обслуживании.

Как же хакеры организовывают такого рода атаки? Разберемся по шагам.

Создание «бойца» ботнета – подконтрольного хоста

Для того чтобы провести DDоS-атаку, необходимо создать ботнет с помощью заражения устройства. Именно для этого и нужно подобрать пароль к IoT-устройству, как, например, игровой приставке, умному принтеру, вашей IP-камере или NVR. При этом тип устройства нужен злоумышленниками только для того, чтобы получить инструмент для дальнейшей атаки. Попробуем понять, как это происходит.

Для получения контроля над IP-видеокамерой нужно знать как минимум два пункта для входа: IP-адрес и логин/пароль учетной записи. Однако на практике IP-адреса вряд ли можно назвать секретом. Они легко обнаруживаются сканерами сети, к тому же камеры откликаются на запросы поисковых роботов. При этом даже с настроенным логином и паролем доступ к камере зачастую можно получить по прямой ссылке типа /index.htm и после этого изменить логин/пароль без авторизации.

Итак, сначала нужно найти эти самые IP-видеокамеры или NVR, сделать это можно либо спецзапросами в популярных поисковиках или в специальных поисковиках для IoT.

После того как вы нашли потенциальную жертву, необходимо получить доступ, обычно применяются несколько вариантов:

  1. Недоработка производителя – на IP-камере вообще не установлен пароль, некоторые производители допускают и такое использование их оборудования.
  2. Халатность – пользователь просто не сменил заводской логин и пароль. Это самый распространенный вариант захвата контроля над устройством.
  3. Использование уязвимости прошивки IP-видеоустройства – этот метод связан с тем, что большинство IP-видеокамер имеют на борту «дырявый» веб-сервер GoAhead.

Следующий этап после получения контроля над устройством – внедрение программного кода, чтобы удаленно управлять этим хостом. После повторения этой последовательности действий N количество раз вы получаете ваш личный ботнет, состоящий из N устройств подконтрольных вам.

Конечно, необходимо понимать, что все методики и ресурсы представлены здесь только в ознакомительных целях, ни в коем случае не являются руководством к действию и служат исключительно для лучшего понимания методологии процесса атаки и возможности выстроить качественную защиту от подобного нападения.

Крупнейшая ботнет-сеть, созданная на практике

В сентябре 2016 г. после публикации статьи о группировках, продающих услуги ботнетов для осуществления DDoS-атак, сайт журналиста Брайана Кребса (Brian Krebs) стал жертвой DDoS- атаки, трафик которой на пике достиг 665 Гб/с, это одна из самых мощных известных DDoS-атак. Сайт пришлось на некоторое время закрыть. Как выяснилось позже, атака была осуществлена ботнетом из зараженных IP-видеокамер, являющихся подмножеством интернета вещей. В октябре того же года злоумышленники опубликовали исходные тексты использованного вредоносного ПО, известного теперь под названием Mirai.

Исследования показали, что по состоянию на 23 сентября, когда атака достигла пика интенсивности, в интернете можно было найти более 560 000 устройств, уязвимых к атакам с целью создания ботнета.

Далее, уже через месяц, по данным ESSET NOD32, заметная часть глобальной сети интернет несколько часов работала с перебоями. У многих пользователей наблюдались проблемы с доступом к самым известным сервисам загрузки и просмотра видео и социальной сети. Возникает вопрос: кем была реализована столь масштабная DDoS-атака и на кого была направлена? Одним из первых информацию об инциденте опубликовал опять же журналист Брайан Кребс, указав, что причиной столь масштабного сбоя послужила DDoS-атака на известную американскую компанию Dyn, которая предоставляет DNS-сервис для ключевых американских организаций. Позже специалисты выяснили, что DDoS-атака была организована с использованием того же самого крупнейшего ботнета Mirai.

Карта расположения скомпрометированных устройств, которые участвовали в DDoS-атаке (данные Incapsula). Ответственность взяли на себя группы хакеров Anonimous и New World Hackers.

Рисунок 2. Карта расположения скомпрометированных устройств, которые участвовали в DDoS-атаке (данные Incapsula). Ответственность взяли на себя группы хакеров Anonimous и New World Hackers.

Зачем нужно DDоSить?

Зачем, в принципе, нужна DDоS-атака? DDоS-атаки являются одним из самых эффективных и популярных методов недобросовестной конкуренции. Например, перед праздниками и в зависимости от времени года DDоS-атакам подвергаются различные сферы онлайн-бизнеса. Осенью и весной атакам подвергаются интернет-магазины по продаже шин, 14 февраля и 8 Марта – цветочные магазины.

А периоды избирательных кампаний и выборов для организаторов DDоS-атак становится золотым временем. В такие периоды атакам подвергаются новостные и политические ресурсы.

Кибербезопаность в видеонаблюдении: ботнет, DDOS и биткоины

Киберпреступники, которые проводят DDoS-атаки, всегда ставят своей целью обрушить атакуемый сайт. При этом они используют ботнет-сеть, которая может объединять в своем составе сетевые серверы, настольные компьютеры и другие устройства, подключенные к интернету. Они всегда ищут для этого легкодоступные объекты, обычно настольные компьютеры, к которым им удастся получить доступ, и затем атакуют вас.

В некоторых случаях атакующие используют комбинированные виды атаки для того, чтобы с высокой степенью вероятности преодолеть возможную защиту потенциальной жертвы.

Как защититься от кибератак? Несколько простых рекомендаций для обычных пользователей:

  1. Даже в случае таких низкоуровневых устройств, как IP-видеокамеры, всегда нужно менять заводские логины и пароли доступа, также менять стандартные порты доступа. Хотя у нас пока не известны случаи заражения вредоносными программами сети из умных холодильников, но за годы наблюдений попадались ботнеты на основе интернета вещей. Камеры наблюдения – одни из самых популярных устройств и часто становятся средством атак.
  2. Конечно же, логины/пароли для разных ваших сервисов и устройств должны отличаться и не быть простейшими типа «12345» или «QWERTY».
  3. Настроить хотя бы штатные средства любого домашнего маршрутизатора, а именно фильтрацию внешних подключений по MAC адресу, тот же самый логин и пароль, чтобы ограничить доступ «из/вне» к вашей внутренней сети.
  4. Своевременно обновлять прошивки как сетевых устройств, так и имеющегося у вас оборудования. Ведь при обнаружении уязвимостей производители, как правило, довольно оперативно реализуют новые прошивки с устраненной уязвимостью.

Кибербезопаность в видеонаблюдении: ботнет, DDOS и биткоины

Вместо заключения

Надеюсь, что данная статья позволит лучше понять методологию злоумышленников, а также высветит важность даже простейших мер безопасности, также как и угроз, которые несут подключенные к сети устройства с заводскими паролями. Даже в тот момент, когда я пишу эту статью, параллельно читаю о еще одной DDoS-атаке из интернета вещей, в этот раз от ботнета на основе домашних NAS-серверов. Да, ваш NAS, обеспечивающий вас фильмами через torrent-сети, параллельно вполне может участвовать во взломе сервера Министерства обороны или еще каких-нибудь нехороших действиях без вашего ведома. И да, вы угадали, их тоже взломали через прямой перебор паролей со словарем.

Впервые компания Incapsula сообщила о начале тренда на взлом интернет-камер еще в марте 2014 г. Тогда выяснилось, что активность ботнетов внутри наблюдаемой компанией сети за год выросла на 240%. Интересно, что мотивы атак остались неизвестны. Не удалось ничего узнать и о самих злоумышленниках, совершивших атаку.

Эксперты по информационной безопасности призывают интеграторов и конечных пользователей начать относиться к киберзащите камер видеонаблюдения более серьезно. Там, где это возможно, нужно изолировать камеры от интернета. В любом случае следует, по меньшей мере, менять пароли для доступа к камерам, убирая те, которые изначально установлены производителем, – это из разряда must do.

Поделиться:

Медиаканал агентства
Маркетинговое агентство рынка безопасности - AdvSecurity.ru
Все права защищены
© ООО АДВ Секьюрити, 2003—2018
Яндекс.Метрика
Метрика cайта: новости: 6880 (+1) | компании: 514 | бренды: 406 | статьи:  

О проекте / Контакты / Политика конфиденциальности и защиты информации

Techportal.ru в соц. сетях