Приветствую вас друзья, сегодня мы расскажем и даже покажем на нашем Youtube канале как подменить изображение с видеокамеры на наш видеоряд с медиа-сервера. Это не руководство для начинающих пакостников и основным посылом этой статьи желание показать основные правила организации безопасности на объекте, чтобы избежать подобных действий.
Начнем
Данную атаку будем осуществлять путем подмены изображения с IP видеокамеры на наш видеоряд предварительно записанный на медиа-сервер. Вместо видеокамеры будем транслировать мультик про Винни Пуха ))) Что способствует реализации данного способа атаки на объект и мораль оставим на последок, а пока что рассмотрим необходимые условия, которые предполагаем злоумышленник добился:
- Получил доступ в вашу локальную сеть или сегмент сети в которой установленна система видеонаблюдения
- Просканировал широковещательный домен в котором находится, выяснил наименование видеокамер, видеорегистраторов (серверов)
- Просканировал на открытые порты интересующее оборудование и проанализировал какими возможнотями обладает программное обеспечение для противодействия атакам
- Одним из способов которые мы рассмотрим ниже получил пару логин пароль к видеорегистратору или серверу системы видеонаблюдения
И так злоумышленник получил доступ к вашему регистратору системы видеонаблюдения, он мог бы просто потушить регистратор по удаленке, остановить запись, изменить время или удалить IP видеокамеры но для такого проделанного объема работ это глупо, быстро выявляется и устраняется !!! А вот подменить видеоряд с одной из видеокамер, например предварительно записав на свой медиа-сервер архив с той же камеры однодневной давности, быстро выявить будет сложно а урон для организации от такого способа компраментирования системы видеонаблюдения может быть огромным.
Медиа Сервер
В качетсве медиасервера будем использовать VLC медиа плеер запущенный на нашем компьютере. Добавим в него мультик про Винни Пуха и будем транслировать наш мультик по протоколу RTSP по стандартному порту 554 и с путем / на весь широковещательный домен нашей системы видеонаблюдения. Детально на каждом моменте мы останавливаться не будем дабы не показывать плохой пример для начинающих пакастников !!! Структурная схема нашей атаки показанна на рисунке ниже.
Давайте коротко поговорим о протоколе RTSP
Протокол RTSP используется для установления сессии передачи медиапотока и управления медиапотоком. Протокол RTSP является протоколом прикладного уровня. Транскрипция обращения к потоку похожа на HTTP и имеет слудующий вид:
rtsp://логин:пароль(но необязательно)@IP адресс или доменное имя://554 (порт)/ путь указанный к медиа потоку
Как вы можете увидеть на картинке ниже для того чтобы медиапток посыпалсы от клиента к серверу, они сначала обмениваются сообщениями:
- OPTIONS запрашиваем авторизацию и авторизуемся на стороне сервера
- DESCRIBE далее узнаем что по указанной ссылке сервер в качестве которого в данном случае выступает IP видеокмера нам может предоставить. В нашем случае сервер сообщает что по данной ссылке он нам может передать два трека по одному бежит видео поток, по другому аудио поток.
- SETUP по каждой сессии для аудио и видео дорожки устанавливаем отдельное соединение, определяем порты по которым медиаданные будут передаваться. Сам же поток посыпится по другому протоколу RTP.
- PLAY после согласования всех параметров начинаем передачу медиа потока
- TEARDOWN после того как нам надоело, обрываем канал передачи данных
Предположим наш IP регистратор в системе видеонаблюдения имеет IP адресс 192.168.0.200 / 24, а адресс атакующего компьютера 192.168.0.22 / 24. Тогда ссылка для доступа к нашему мультику про виннипуха будет rtsp://192.168.0.22:554/. Проверить работает ли наш медиа поток можно на том же компьютере с которого осуществляем атаку, открыв еще один VLC плеер и вбив в качестве ссылки rtsp://127.0.0.1:554/. Хорошо, медиа сервер готов.
Настройка скомпроментированного регистратора видеонаблюдения
Теперь нам нужно поймать и выкинуть наш поток на регистраторе системы видеонаблюдения. К слову добавить устройство по RTSP потоку можно на NVR (IP видеорегистраторах) и большинстве серверов видеонаблюдения, но в большинстве случаев нельзя на DVR регистраторах, которые работают с CVBS, AHD, TVI, CVI, SD-HDI потоками, поэтому рассматриваем один из возможных способов атаки.
В качестве новой камеры системы видеонаблюдения добавляем нашу RTSP ссылку. После этого подмешанный нами медиа поток в системе видеонаблюдения появится как отдельная камера.
Все это мы это показали на нашем Youtube канале
А теперь друзья давайте рассмотрим как будет действовать злоумышленник в подобных случаях и как мы можем защищаться от него. Представим, что наш объект это большой дом и пройдемся от входной двери в этом доме до каждой комнаты, подумаем как можно усилить наш дом.
Маршрутизатор
Для нас в качестве входной двери в цифровом мире выступает маршрутизатор. Именно поэтому очень важно соблюдать следующие моменты:
- Если есть торчащие наружу порты свести их к минимуму
- Использовать нестандартные порты и ставить ловушки на стандартные порты
- А лучше использовать VPN тунели с IPSec
- Правильная настройка FireWall
- Регулярное обновление последней стабильной прошивки
- Используйте проверенные, стабильные маршрутизаторы
- Закрывайте на маршрутизатор все уязвимые способы доступа
- Связка логин пароль администратора должна быть крайне сложной
Мы это пишем не безосновательно и в дальнейшем я планирую снять видео как ломается маршрутизатор микротик.
Коммутаторы
Теперь представим, что мы попали в наш дом. В качестве межкомнатных дверей выступают коммутаторы и если коммутаторы неуправляемые - двери слабые. Представьте что у нас сеть построенна на неуправляемых коммутаторах и вся наша сетевая инфраструктура скомкана как один большой мешок с мусором: сотрудники всех уровней доступа, гости, система безопасности, телефония.
Если злоумышленник заразит один из компьютеров сотрудника, допустим через рассылку почтовых сообщений с вредоносным кодом, даже при грамотно настроенном маршрутезаторе через зараженный компьютер злоумышленник попадает в вашу сеть и так как она не сегментирована имеет доступ к любому ее уголку.
Что мы можем сделать у себя внутри дома:
- На клиентских компьютерах соблюдения политики безопасности выстроенной администратором системы
- На клиентских компьютерах антивирус и файервол обязательны
- Сегментировать локальную сеть с помощью управляемых коммутаторов
- На управляемых коммутаторах выстраивать дополнительные рубежи защиты на уровне L2
Камеры системы видеонаблюдения
Вот злоумышленник шастал, шастал по нашему дому и пришел в комнату с нашей системой видеонаблюдения. Давайте предположим его дальнейшие действия. Просканировав и изучив оборудование злоумышленник уже знает с чем работает. Узнает какие порты на оборудование открыты и планирует дальнейшую атаку на систему видеонаблюдения. Самым простым вариантом является попытка перебора наиболее известных паролей которые используются для систем видеонаблюдения, как не прискорбно это доволнь часто срабатывает.
Далее если открыты самые уязвимые порты для атаки например 23 телнет можно осуществить атаку брутфорсом через этот порт или если камера обладает не сложной формой авторизации и нету защиты от перебора паролей атаковать камеру по 80 порту. Если камеры хорошо защищены злоумышленник будет искать в системе видеонаблюдения старую камеру или камеру со старой прошивкой. Если получается на уязвимой камере осуществить атаку как довольно часто бывает, пароль подойдет ко всей системе видеонаблюдения в целом.
Если попытка перебора паролей не работает злоумышленник ищет существующие известные уязвимости по этому железу или зная оборудование разбирает его прошивку которую можно скачать в свободном доступе, разбирает на уровне ядра, ищет уязвимости.
В отдельных видосах на нашем канале планируем показать как осуществляется атака брутфорсом на камеру видеонаблюдения. Проанализируем форму запроса которая отправляется при авторизации, подделаем ее написав простенькую программу на питоне. А пока давайте подумаем как нам от таких злодеев защититься !!!
- Постепенно выводить из системы видеонаблюдения старые видеокамеры
- Периодически обновлять прошивки в которых содержатся правки касательно системы безопасности и устранении уязвимостей в камерах
- Использовать нестандартные порты
- Если вы не подключаетесь к камере видеонаблюдения через облако, отключить эту функцию, не указывать шлюз или указать неверный
- Камера как отдельный элемент системы безопасности не должна слать запросы наружу самостоятельно
- Сложная связка логин / пароль
- Включить настройку IP камеры по https если такая возможность в камере присутствует
- Отключить все неиспользуемые сервисы, если ONVIF не используется отключить
- На всем оборудование не должны быть одинаковые пароли
Решение для дома
Все вышерассмотренные варианты подойдут для организации, но что же делать обычному пользователю у которого установлена одна IP видеокамера или регистратор подключенный через облако. Опять же используя облачный сервис вы должны понимать, что вовлекли в вашу систему видеонаблюдения третью сторону и от этого никуда не деться. А повысить безопасность системы можно следующим образом:
Опять же сложная связка логин / пароль на оборудование
Обновление прошивок на оборудование
Использование нестандартных портов
Так как у вас оборудование имеет доступ в интернет к облаку, стоит просканировать его на открытые порты, выявить какие порты используются для облака, все остальные запросы оборудования системы видеонаблюдения наружу можно блокировать на маршрутизаторе
Опять же тушим все неиспользуемые сервисы, по возможности включаем поддержку https и работаем с ним
Подведем итог друзья:
Именно комплексным подходом на каждом рассмотренном уровне в нашем доме мы сможем избежать вот таких Винни Пухов, Пяточков и пчел которые на халяву решили полакомиться нашим медом. Поэтому подойдите к этому вопросу должным образом, не наплевательски, а лучше поручите эту работу специалистам !!!
8 (861) 204 - 77 - 01 