Danas se sve više videonadzornih kamera temelji na IP tehnologiji. Ipak, šira primjena IP kamera nosi nove rizike, od kojih su najveći cyber napadi i prijetnje. Kompanija Trend Micro je izvijestila da je u samo prvih pet mjeseci 2019. godine blokirano pet miliona pokušaja cyber napada na IP kamere. U tekstu ćemo analizirati šta se može poduzeti kako bi videonadzorni sistemi korisnika bili zaštićeni
Izvor: a&s International
E-mail: redakcija@asadria.com

S rastom svijesti o sigurnosti kamera proizvođači su počeli ugrađivati razne funkcije u svoje uređaje kako bi im podigli otpornost na cyber napade. Ipak, oni ne mogu sami obavljati ovaj posao: kameru moraju pravilno instalirati, pokrenuti i održavati i integratori i krajnji korisnici. S obzirom na to da sve više kamera koristi IP tehnologije, njihova sigurnost je dobila ključnu ulogu u sve umreženijem svijetu. Kako bi osigurali da su krajnji korisnici zaštićeni na najbolji način, proizvođači kamera ulažu velike napore da uređaje učine otpornijim na cyber napade.

Vodič za odabir najsigurnijih
Videonadzor se, još od prve pojave IP kamera na tržištu krajem 90-ih, neprestano kreće ka primjeni te tehnologije zbog većeg kvaliteta, bolje integracije i podrške pametnim funkcijama. Zahvaljujući tim prednostima, potražnja za IP kamerama se neprestano povećava. Ipak, one se u mreži ponašaju poput ostalih umreženih uređaja i mogu biti podjednako osjetljive na prijetnje i cyber napade. “Zahvaljujući brzom širenju uređaja za internet stvari (IoT), na mreži je više povezanih sistema nego ikad prije”, kaže Sara Chaput, direktorica marketinga za kritičnu infrastrukturu u kompaniji FLIR Systems, i dodaje da hakeri iskorištavaju slabe lozinke na IoT uređajima za ostvarivanje pristupa mreži i time su ugrožene i sigurnosne kamere.

Napadi kojima su IP kamere podložne uključuju, između ostalog, napade grubom silom (brute force) i preko posrednika (man-in-the-middle) i uskraćivanjem resursa (DoS). Važno je napomenuti da broj napada raste iz dana u dan i da postaju sve sofisticiraniji. “Raznolikost cyber napada ubrzano raste i oni postaju sve jači, prije svega zbog upotrebe vještačke inteligencije, koja dovodi do toga da zlonamjerni softver (malver) može pouzdano skenirati mrežu i tražiti slabe tačke. “Zbog eksponencijalnog rasta broja umreženih uređaja i količine pratećih podataka, od kojih su neki vrlo osjetljivi, mogućnost hakiranja ovih sistema postaje sve veća i, prije svega, profitabilnija”, kaže Thomas Lausten, izvršni direktor kompanije MOBOTIX. Osim toga, pandemija koronavirusa hakerima nudi još više poticaja da napadaju IP kamere krajnjih korisnika, jer su sada kancelarije često prazne, a IT osoblje manje dostupno. “Cyber napadi su ojačali jer hakeri žele iskoristiti pandemiju i rad na daljinu. Uz veliki broj ljudi koji rade na daljinu, hakeri se nadaju da će ovi napadi proći neopaženo”, kaže Aaron Saks, direktor za proizvode i tehničke usluge u kompaniji Hanwha Techwin America.

Šta proizvođači poduzimaju
Kako cyber napadi postaju sve rašireniji i sofisticiraniji, koncept tzv. osiguranja sigurnosnog uređaja dobija na popularnosti. “Mnogi vodeći zapadni i evropski proizvođači ulažu mnogo u istraživanje i razvoj cyber sigurnosti i uvode nove mjere za jačanje otpornosti na takve napade. Kompanije koje se bave sigurnošću izvode testove otpornosti na napade, uklanjaju sumnjive račune i fabrički zadane lozinke, uvode softver za nadgledanje mreže i primjenjuju cjelovitu enkripciju pomoću zaštićenih TLS veza”, kaže Chaput. U međuvremenu, sve je više dobavljača koji na nivou uređaja primjenjuju odbrambene mjere utemeljene na konceptu “sigurnosti ugrađene u dizajn”. Osnovni cilj je učiniti kameru što otpornijom na virtuelne upade. “Sve u svemu, cilj je učiniti kameru dovoljno teškom preprekom da haker na kraju odluči da odustane od nje i potraži lakšu metu za napad”, kaže Saks. U vezi s tim, navodimo neke od mjera koje proizvođači kamera uvode kako bi ih zaštitili od napada.

Modul za šifriranje i pouzdanu platformu
Kamera treba šifrirati podatke u mirovanju, kao i tzv. podatke u pokretu (video i podaci o korisničkom imenu i lozinki koji se prenose). Da bi se to postiglo, potreban je skup javnih i privatnih ključeva, pri čemu se privatni koriste za dešifriranje kodiranih poruka i njih treba zaštititi na nivou uređaja. U tu svrhu, sve više IP kamera posjeduje takozvani modul pouzdane platforme koji čuva privatni ključ, čime se osigurava da isti ostane u sigurnom okruženju, koliko god se uljez trudio da dođe do njega. “Pobrinut ćemo se da podaci budu šifrirani na rubu mreže (kada ih kamera zabilježi), kao i da tokom prijenosa i u mirovanju. Kriptografski ključevi za šifriranje pohranjeni su u modulu pouzdane platforme”, kaže Roel Smolenaers, stručnjak za marketing i komunikacije u kompaniji Bosch Building Technologies.

Sigurno pokretanje
Poznato je da hakeri i napadači ubacuju zlonamjerni softver u kamere. Sigurno pokretanje je mehanizam kod kojeg se kamera pokreće isključivo sa sigurnim ili ovlaštenim firmverom, uključujući ažuriranja firmvera ili zakrpe koje potvrđuje proizvođač. Kamere sve češće imaju funkciju sigurnog pokretanja kako bi se spriječilo njihovo kvarenje. “Hakeri ne mare za kameru, oni samo žele pristup mreži. Ako se osigura da se cijeli sistem pokreće sigurno prije komunikacije s nekim drugim dijelom sistema, moguće je spriječiti prekid procesa pokretanja koji se može zloupotrijebiti. Nudimo sigurnu rutinu pokretanja koja pruža zaštitu od osoba koje pokušavaju učitati vlastiti softver. Ako to kamera prepozna, ona se neće pokrenuti jer može prepoznati da je nešto promijenjeno. Ovo je ključna prednost posjedovanja vlastitog centra za sigurnosne operacije i koncepta sigurnosti ugrađenog u dizajn”, ističe Smolenaers.

Upozorenja i izvještavanje
U slučaju narušavanja sigurnosti ili sumnjivih aktivnosti kamera odgovarajući alati trebaju odmah upozoriti korisnika na incident i ponude mu izvještaj o tome šta se dogodilo. “Nudimo neposredno upravljanje alarmom za cyber sigurnost pomoću kojeg kamera može poslati obavijest o događaju čim bude napadnuta, kao i alarmirati krajnjeg korisnika u situaciji kada je uređaj ugrožen. Naš korisniku prilagođeni VAST2 softver povezan je s kamerama i pomoću njega možete dobiti izvještaj o ugrožavanju sigurnosti putem interaktivne kontrolne ploče za praćenje cyber napada u stvarnom vremenu. Softver za upravljanje pomaže korisnicima da lako prepoznaju standardne tipove cyber napada i poduzmu dalje korake. Tu je i mogućnost filtriranja evidencija o napadima prema različitim kriterijima”, kaže Saks.

Obavezna promjena fabrički zadane lozinke
Većina slučajeva hakiranja kamera dešava se zbog korištenja fabrički zadanih lozinki, koje se lako mogu pronaći na internetu. Podsjećanje korisnika da promijeni standardnu lozinku tako postaje ključna funkcija za IP kamere. “Podsjećanje instalatera na odabir složene lozinke prije nego što se kamera konfiguriše je odličan način zaštite uređaja od upotrebe fabričkih lozinki. Na Hanwhinim kamerama se ne koriste nesigurne lozinke. One moraju dobiti jedinstvenu lozinku prije nego što ih se uopće može konfigurisati”, napominje Saks. Neki pokušavaju dobiti pristup kameri koristeći napade grubom silom ili višestrukim unošenjem lozinke, uz nadu da će jedna od njih biti tačna. Kamera bi, dakle, trebala imati mehanizam koji je štiti i od ovih napada. “Teško je zaustaviti hakerske napade ako koristimo samo tradicionalne mjere kao što su promjena lozinke ili nadogradnja firmvera. Mi sada našem sistemu IP videonadzora omogućavamo da proaktivno reaguje na cyber napade i upade u svakom trenutku. Uz ugrađeni Trend Microv softver za zaštitu od upada, VIVOTEK-ove kamere i mrežni snimači mogu automatski prepoznati napade grubom silom. Višeslojna zaštita koju nudi Trend Micro IoT Security za kamere i videosnimače uključuje prepoznavanje napada grubom silom, otkrivanje upada i prevenciju, i pomaže u kreiranju robusnog štita za sistem videonadzora”, kaže Chang.

Važnost procesa
Važno je znati da tehnologija u kameri sama po sebi nije dovoljna. Proizvođač mora pomoći sistem-integratoru i krajnjem korisniku da razviju postupak u okviru kojeg se IP kamera može pravilno postaviti, konfigurisati, kontrolisati i održavati. “Zaštita IP sistema videonadzora odgovornost je ne samo proizvođača već i krajnjih korisnika. Tržištu i korisnicima potrebno je više edukacije kako bi shvatili koliko je važna cyber sigurnost i kako trebaju reagovati u slučaju da njihov uređaj bude napadnut. Edukacija krajnjih korisnika uključuje davanje smjernica o potrebi čestih promjena lozinke, korištenja uputa za pravilno postavljanje sistema i ažuriranja na najnoviju verziju firmvera. To su tri glavna koraka u procesu zaštite nadzornih kamera”, kaže Chang. “Implementacija procesa nudi garanciju uspjeha. Najbolji integratori s kojima ulazimo u partnerstva imaju obavezu da se pobrinu da inžinjerski timovi prouče proizvođačke vodiče za jačanje otpornosti sistema, tehničke knjige i druge smjernice kako bi razvili vlastite korporativne standarde procesa”, kaže Saks.

Uloga integratora i krajnjeg korisnika
Krajnji korisnici se u svakoj situaciji trebaju upoznati barem s osnovama ove problematike. “Kupac, odnosno korisnik trebao bi osigurati pokretanje najnovijeg firmvera na uređajima u svim situacijama. Oni se moraju pobrinuti i da ovi uređaji ne postanu laka meta zbog korištenja nešifrirane mrežne komunikacije. Trebalo bi što više ograničiti pristup kamerama. U tu svrhu preporučuje se upotreba Digest autorizacije s jakom lozinkom i IP kontrolom pristupa kamerama”, kaže Lausten. “Najvažnija stvar je promjena načina razmišljanja. Iako to na prvu zvuči nelogično, najsigurniji uređaj je umreženi uređaj. Mi kao industrija moramo prihvatiti činjenicu da kamere moraju biti povezane kako bi se omogućilo automatsko i bežično ažuriranje firmvera. Ovo je najbolja zaštita od cyber kriminala, jer zakrpe za firmver uključuju i najnovije odbrambene mehanizme od cyber napada”, kaže Smolenaers.

Savjeti za korisnike
Zaštita IP kamera od cyber napada i danas je složen problem jer nivo zaštite kamera na tržištu može varirati. Čak i ako su naizgled sigurne, zaštita od prijetnji i cyber napada i dalje predstavlja multidisciplinarni zadatak koji uključuje više aktera.
Jasno je da se sigurnosne kamere sve više temelje na IP-u, a direktna posljedica toga su cyber napadi i druge vrste prijetnji mrežnim kamerama koje se ponašaju poput svakog drugog uređaja na mreži. “Sa CCTV sistemima povezanim na IP infrastrukturu zajedno s pratećim uređajima mreže su u opasnosti od hakiranja, posebno one zastarjele. Uređaji ostaju povezani s internetom s fabrički zadanim akreditivima. U jednom slučaju napadači su razvili softver koji je pretraživao internet tražeći ranjive uređaje. Nakon toga su preuzeli kontrolu nad njima pomoću vlastitog zlonamjernog softvera”, kaže Vinayak Sane, operativni direktor kompanije Elmark Engineers. “IP kamere, kao i drugi IoT uređaji, češće su priključene na javni internet i, nažalost, mnogi od tih uređaja nisu zaštićeni od vanjskog pristupa. Drugi problem je činjenica da dobavljači i dalje dizajniraju sisteme uz pretpostavku da će biti povezani s bezopasnom mrežom kojom upravljaju prijateljski raspoloženi korisnici. I danas su uobičajeni problemi kao što su loša kontrola pristupa, tajni stražnji ulazi u uređaje, protokoli iz kućne radinosti koji su osjetljivi na napade, nezaštićeni osjetljivi podaci itd.”, kaže Rodney Thayer, inžinjer za konvergenciju u kompaniji Smithee Solutions.
Narušavanje sigurnosti doista može dovesti do katastrofalnih posljedica. “Traženjem web-kamera koje koriste ranjive protokole za streaming i nemaju autorizaciju pomoću lozinke napadači u video feed mogu ubaciti snimke bilo čega, od privatnih soba za sastanke do dječijih spavaćih soba”, kaže Stephen Mak, zamjenik direktora prodaje za SPARK za Azijsko-pacifičku regiju u kompaniji BlackBerry, i zaključuje da zbog toga cyber kriminalci imaju više potencijalnih ciljeva nego ikad i mogu nanijeti znatno veću štetu od prisluškivanja.

Napadi u praksi
“Nekoliko dana prije inauguracije američkog predsjednika Donalda Trumpa hakeri su ransomverom napali uređaje za pohranu za 123 policijske IP kamere na području distrikta Washington, zbog čega su te lokacije ostale bez nadzora. Ovo nije prvi put da su IP kamere izložene velikim napadima. Više od 60 kamera napadnuto je u Japanu”, navode Luke Bencie, direktor kompanije Security Management International i njegov kolega i saradnik Zachary Smith. Kako napadi postaju raznovrsniji i složeniji, poželjno je da korisnik ima barem osnovno znanje o onim najčešćim. “To uključuje zlonamjerni ili softver koji izvodi zlonamjerne aktivnosti na ciljnom uređaju ili mreži. Tu su i napadi putem posrednika, u kojima se napadač ubacuje u poziciju između pošiljaoca i primaoca, te napad uskraćivanjem resursa, npr. web-stranice, što uzrokuje pad sistema zbog preopterećenja potražnje”, kaže Sanjay Kumar, predsjednik Odbora za ljudske resurse u Željeznicama Indije.

“Uobičajeni napadi i dalje uključuju pokušaje probijanja lozinke grubom silom budući da se neki proizvođači i integratori ne pridržavaju najboljih praksi kada su lozinke u pitanju. Mnoge kamere se postavljaju s vezama u otvorenom prostoru (naprimjer, preko http-a i porta 80, za razliku od https veze posredstvom 443 ili drugog porta koji koristi protokol za sigurnost prijenosa podataka (TLS). I danas se za napade koriste zlonamjerni softveri i otvoreni portovi (naprimjer, telnet) za prijavu na druge uređaje na tzv. ravnim mrežama”, kaže Salvatore D’Agostino, direktor IDmachinesa.

Koliko su moderne kamere zaista sigurne?
Mnogi proizvođači IP kamera navode da su svojim proizvodima dodali razne sigurnosne funkcije kako bi ih učinili sigurnim. No, je li to zaista tako? Prema konsultantima i integratorima, situacija se popravlja u posljednjih nekoliko godina, ali u mnogim slučajevima sigurnost kamere i dalje je izazov koje treba riješiti. “Mnoge IP kamere još imaju brojne slabe tačke koje napadači mogu iskoristiti. One uključuju fabričke lozinke, nepotrebne protokole, usluge i portove te ranjivosti povezane s firmverom”, kaže Brian Lipscomb, PSP menadžer za usluge cyber sigurnosti u kompaniji Convergint. Problemi sa cyber sigurnošću povezanom s kamerama često imaju veze s vremenom potrebnim za izbacivanje proizvoda na tržište i pritiskom konkurencije na proizvođača, u kombinaciji s nedostatkom svijesti kod korisnika. “Mislim da većina IP kamera nije potpuno zaštićena od cyber napada. Ako pogledate proizvođače u segmentu interneta stvari, kod njih imate dvije stvari koje su vrlo problematične. Prvo, oni su pod pritiskom da skrate vrijeme do lansiranja proizvoda na tržište. Moraju pobijediti konkurente ili u isto vrijeme izaći sa svojim rješenjem. Drugo, suočavaju se i s ograničenjima troškova. Iako se potrošači često uznemire čitajući o riziku po sigurnosne kamere, kupci tih proizvoda sigurnost rijetko smatraju važnim faktorom prilikom nabavke. Oni obično gledaju cijenu, a ponekad i performanse i recenzije proizvoda”, kaže Kumar.

Treba napomenuti i da se sigurnost kamera razlikuje od brenda do brenda. “Ako ljudi svoju privatnost i web-sigurnost shvataju ozbiljno, onda je odgovor potvrdan i većina IP kamera na tržištu je uglavnom zaštićena. To, međutim, ne znači da su sve kamere jednake. Brendovi koji nude dvofaktorsku autorizaciju, ali i WPA2-AES i SSL šifriranje općenito su sigurniji od onih koji ne nude ove funkcije. Najsigurnija kamera nudi šifriranje i 2FA”, kažu Bencie i Smith.

Ne radi se samo o kamerama
Važno je napomenuti da kamere ne mogu samostalno utjecati na sigurnost nekog objekta krajnjeg korisnika. Čak i najzaštićenija kamera može dovesti do ugrožavanja sigurnosti ako nije pravilno instalirana, aktivirana i održavana. “Iako većina proizvođača sada od korisnika traži postavljanje nove lozinke i administratorske akreditive prilikom instalacije, preduzeća, gradovi i državne institucije sa starijom opremom nikada ne ažuriraju lozinke. Time potencijalno ugrožavaju ostale ključne podatke i sisteme na njihovoj mreži. Nažalost, naše istraživanje je ponovo ukazalo na čestu praksu ignorisanja lozinki, čime se u opasnost dovode sigurnost i privatnost ljudi. Dovoljna je samo jedna kamera sa zastarjelim firmverom ili starom lozinkom da napadač dobije prostor da ugrozi cijelu mrežu”, kaže Sane. Održavanje videonadzornog sistema u objektu krajnjeg korisnika složen je proces koji uključuje više učesnika. Kvalitetan program za cyber sigurnost mora pokriti sve stavke koje mogu utjecati na IP kameru, u rasponu od softvera i mrežne infrastrukture do instalacije, adekvatne ventilacije i redovnog ažuriranja i održavanja softvera i hardvera kamere. “Svaki uređaj je ranjiv kada ga tek aktivirate i sve dok kamera ima pristup internetu, morate se prema njemu odnositi kao prema svakoj drugoj komponenti mreže”, kaže Joseph Saracino, predsjednik i direktor kompanije Cino. “Neki proizvođači ugrađuju sigurnosne funkcije u svoje uređaje, ali je i dalje važno da integratori pomognu krajnjim korisnicima da svoju osnovnu zaštitu podignu na viši standard”, kaže Lipscomb i dodaje da odjeli za IT podršku često zanemaruju starije modele kamera koje rade sa zastarjelim firmverom i verzijama koje su ranjive jer nisu zakrpljene.

Kako prepoznati napadnutu kameru?
Korisnik mora s vremena na vrijeme provjeravati da li se njegova kamera našla na udaru napadača. Srećom, postoje pokazatelji koji ukazuju na to. “Ako uređaj ima funkciju dvosmjerne komunikacije, možete pratiti njegov zvuk. Sumnjiv zvuk može značiti da se uređaju pristupa daljinski. Također, treba pratiti aktivne LED indikatore koji upozoravaju na to da kamera aktivno snima i da joj se pristupa”, kažu Bencie i Smith. “Ako opazite da kamera prati vaše kretanje, postoji velika vjerovatnoća da je hakirana. Kad neko hakira PTZ kameru ili monitor za bebe i preuzme kontrolu nad njima, mogu se sami okretati ili usmjeravati prema nestandardnim pozicijama. Neophodan korak je i provjera jesu li sigurnosne postavke promijenjene i je li lozinka promijenjena u odnosu na fabrički zadanu. Osoba koja hakira vašu sigurnosnu kameru može ostaviti i podatke o postavkama. Neki ambiciozni hakeri čak i pretvaraju nazive u kamerama u lažne poruke o potrebi nadogradnje firmvera i tako pokazuju svoj hakerski talent”, kaže Kumar.

Šta krajnji korisnici moraju poduzeti?
Evo nekoliko savjeta šta krajnji korisnik može poduzeti da adekvatno zaštiti videonadzorni sistem. Prvo, kupite kvalitetnu kameru od pouzdanog proizvođača. Kontrola zaštite kamere započinje kupovinom ispravnog modela. Prva mjera koju bi svako trebao poduzeti kako bi provjerio je li kamera zaštićena je utvrditi da li se može efikasno zaštititi. Jeftine, loše izrađene ili zastarjele IP kamere nemaju sigurnosne karakteristike koje krase one više klase koje se redovno ažuriraju.

“Prije kupovine povezanog uređaja morate obaviti obavezno istraživanje. Provjerite koje mjere je proizvođač poduzeo kako bi zaštitio podatke na njegovom uređaju. Koliko često će ih ažurirati i koje su sigurnosne mjere dostupne odmah nakon kupovine”, kaže Mak. “Organizirajte postupak instalacije tako da on podrazumijeva zaštitu IP kamere tokom postavljanja. Provjerite da li proizvođač ima vodič za jačanje njene otpornosti. Kad god je moguće, provjerite jesu li IP kamere temeljito provjerene na isti način kao i svaki drugi mrežni uređaj. Zatražite od IT osoblja da pokrene najbolje alate za mrežnu sigurnost i testira sigurnost IP kamere. Provjerite da li dobavljački lanac vašeg proizvođača uključuje i cyber zaštitu i raspitajte se kako se provjerava kvalitet uređaja. Provjerite standardne izvore informacija o IT sigurnosti kako biste utvrdili da li se vaš proizvođač povezuje s isporukom sumnjivih proizvoda”, kaže Thayer.

Veza preko žice, lozinka, firmver
Nakon nabavke kamere korisnik bi trebao pokušati osigurati povezivanje putem žice kako bi spriječio daljinsko hakiranje uređaja. “Korisnici bi trebali pokušati povezati IP kameru putem Etherneta umjesto preko Wi-Fi/5G tehnologije. Ako to nije moguće, to ne znači da će kamera biti nezaštićena, nego da korisnik jednostavno treba poduzeti dodatne korake kako bi se zaštitio od napada”, kažu Bencie i Smith. Iako se ovo pitanje iznova ponavlja, krajnjeg korisnika ipak treba podsjetiti da promijeni fabrički zadane postavke. “Promijenite zadane lozinke u one koje imaju više od 14 znakova i udovoljavaju kriterijima potrebne složenosti. Redovno ih mijenjajte”, kaže Lipscomb. “Promijenite fabrički zadane konfiguracije na kamerama i svim uređajima povezanim s internetom, jer se fabrički zadane lozinke mogu pronaći na mreži. Koristite snažne i jedinstvene lozinke ili pristupne fraze zajedno s dvofaktorskom autorizacijom”, kaže Saracino. Tokom rada korisnik treba onemogućiti nepotrebne portove, protokole i usluge. Isto tako, treba redovno provjeravati postavke uređaja kako bi se uvijek mogao preuzeti najnoviji firmver i instalirati na uređaj. “Redovno ažurirajte sve. Čak i kod proizvođača koji redovno izbacuju sigurnosne zakrpe, one se ponekad ne preuzimaju automatski. Budite u toku s ažuriranjem firmvera i hitnih zakrpi za sigurnosne slabosti”, kaže Mak. Na kraju, tu su i smjernice i reference za zaštitu mrežnih uređaja koje krajnji korisnici mogu iskoristiti kao, npr., publikacija američkog Nacionalnog instituta za standarde i tehnologiju (NIST) o cyber sigurnosti itd.