Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Czy telewizja przemysłowa jest narażona na cyberataki?

Tagi:

Badanie zostało po raz pierwszy zaprezentowane na konferencji DefCon 2014. Jego publikacja stanowiła wkład Kaspersky Lab do bazy wiedzy Securing Smart Cities – globalnej inicjatywy non profit, której celem jest rozwiązywanie obecnych i przyszłych problemów związanych z cyberbezpieczeństwem inteligentnych miast.  

Współautorem tego raportu jest Thomas Kinsey z Exigent Systems Inc.

Pewnego razu w późnych godzinach nocnych wpadłem z kolegą na pomysł, aby wdrapać się na publiczną fontannę w centrum miasta. Nagle usłyszeliśmy jakiś głos w oddali, który ryknął jakby z nieba: „PROSZĘ ZEJŚĆ Z FONTANNY”. Byliśmy zdumieni, dopóki nie zauważyliśmy kilku wyposażonych w głośniki kamer, które były zamontowane na lampach ulicznych i wymierzone w naszym kierunku. Nigdy nie czuliśmy się tak inwigilowani, dlatego postanowiliśmy przyjrzeć się, w jaki sposób działają te systemy.   

Nie jest żadną nowością, że policja i rządy od lat monitorują obywateli przy pomocy kamer bezpieczeństwa zamontowanych w różnych miastach. Dzisiaj większość z nas traktuje to jako kompromis, na jaki jesteśmy skłonni pójść, poświęcając część swojej prywatności w nadziei, że zapewni nam to bezpieczeństwo przed zagrożeniami związanymi z przestępcami i terrorystami. Jednocześnie oczekujemy, że nasze prywatne dane, w tym wypadku nagrania filmowe dotyczące życia publicznego, będą traktowane w sposób odpowiedzialny i bezpieczny, tak aby w ostatecznym rozrachunku tego rodzaju monitoring nie wyrządził więcej złego niż dobrego.

W przeprowadzonym przez nas niedawno badaniu odkryliśmy, że wiele miast wykorzystuje w swoich kamerach oraz infrastrukturze bezpieczeństwa technologię bezprzewodową w miejsce rozpowszechnionej w przeszłości technologii przewodowej. Ta zmiana wymaga od władz miast większych nakładów czasu i pieniędzy.

Niestety, problem polega na tym, że obecnie technologia bezprzewodowa nie jest tak bezpieczna jak powinna być. Jako osoby świadome kwestii związanych z bezpieczeństwem natychmiast zauważyliśmy, że przetwarzanie danych w ten sposób może umożliwić wiele ataków. Zaczęliśmy więc sprawdzać, czy systemy te zostały zaimplementowane w sposób gwarantujący bezpieczne przetwarzanie naszych danych, czy też dane te mogą być łatwo manipulowane w szkodliwych celach.

Chociaż technologia bezprzewodowa jest potencjalnie podatna na ataki, istnieje wiele dodatkowych usprawnień, które można zaimplementować, aby zwiększyć poziom bezpieczeństwa. Idealnym rozwiązaniem byłoby wiele poziomów bezpieczeństwa. W ten sposób jeśli atakujący pokona jedną przeszkodę, będzie czekało go kolejne, większe wyzwanie. W badanym przypadku tak jednak nie było.

Badanie

Badanie rozpoczęliśmy na poziomie fizycznym: udaliśmy się do różnych miejsc w mieście, sprawdzając, w jaki sposób został zainstalowany sprzęt. Tak oto znaleźliśmy pierwszy dowód na to, że miasto nie przemyślało w wystarczającym stopniu ani nie włożyło wystarczającego wysiłku w obsługę własnych systemów.

cctv_01_auto.jpg
System bezpieczeństwa monitoringu

Jak pokazuje powyższe zdjęcie, system bezpieczeństwa został zainstalowany niestarannie. Urządzenia, które będą zawierać nasze dane, w ogóle nie zostały zamaskowane - na niektórych z nich wyraźnie było widać nazwę i model sprzętu, które były niezbędne do zidentyfikowania urządzeń i rozpoczęcia badania.

Dlaczego zabezpieczenie oznaczenia wykorzystywanego sprzętu jest tak ważne? Poniżej przykład ilustrujący, dlaczego brak takiego zabezpieczenia jest poważnym uchybieniem. W przypadku serwera wymagającego zabezpieczenia, w celu uniemożliwienia wykorzystania go należy przede wszystkim nie udostępniać publicznie danych binarnych z serwera. Wynika to z tego, że jeśli takie dane dostaną się w ręce badacza, mogą zostać poddane inżynierii wstecznej oraz zbadane pod kątem znalezienia błędów i luk w zabezpieczeniach. Rzadko zdarza się, że luka może zostać wykryta bez możliwości zbadania kodu implementującego usługę. Dlatego też niezakrycie oznaczenia urządzenia, pozornie niewielki błąd, w rzeczywistości wywołuje poważne skutki.

Wracając do sieci kamer: gdyby atakujący chciał złamać zabezpieczenia bezprzewodowe tych systemów (które wykorzystują jedynie standardowe zabezpieczenia bezprzewodowe WEP lub WPA), mógłby na tym etapie zobaczyć tylko nieznane protokoły, nagłówki oraz pakiety bezprzewodowe bez możliwości zidentyfikowania, do jakich systemów należą. Na początku analizy nie mieliśmy pojęcia, jakie oprogramowanie generowało te pakiety, ponieważ był to system autorski. Bez wglądu w kod rozpracowanie wykorzystywanego protokołu byłoby praktycznie niemożliwe, ponieważ jest to w rzeczywistości jedyny sposób na właściwe zbadanie sieci. W tym momencie utknęliśmy w ślepej uliczce.

Po uzyskaniu sprzętu zdaliśmy sobie sprawę, że chociaż instalacja dokonana przez policję była słaba, wybrany sprzęt tak naprawdę nie stanowił żadnego problemu pod względem bezpieczeństwa. Węzły w sieci z infrastrukturą mesh stanowiły w rzeczywistości bardzo złożone i dobrze wykonane rozwiązanie, które zawierało wbudowane moduły zabezpieczające komunikację. Niezbędna była jedynie osoba z wystarczającą wiedzą, która mogłaby zaimplementować tę technologię i zapewnić jej właściwą konfigurację. Niestety po zbadaniu wielu pakietów szybko zdaliśmy sobie sprawę, że te moduły szyfrowania nie zostały skonfigurowane i w ogóle nie są stosowane. Przez sieć przesyłane były dane w postaci czystego tekstu, w wyniku czego dowolny obserwator mógł „przyłączyć się”. Nie było żadnego szyfrowania do złamania i wystarczyło stworzyć własną wersję tego oprogramowania, aby manipulować przesyłanymi danymi.

Krótkie porównanie działania sieci z infrastrukturą mesh w zakresie przesyłania materiałów wideo pomoże wyjaśnić, czego dokładnie dowiedzieliśmy się, aby dokonać manipulacji systemem. W tradycyjnej sieci Wi-Fi każde urządzenie jest połączone z routerem, który pełni rolę punktu centralnego. Aby przesłać fragment danych do innej części sieci, dane te są przesyłane na odpowiedni adres, podróżując za pośrednictwem routera do podłączonego urządzenia. Takie rozwiązanie sprawdza się w przypadku niewielkiej odległości, jednak w celu zapewnienia komunikacji na dużym dystansie w sieci kamer wykorzystano topologię i protokół, których nazw nie wymienimy w tym artykule.

 

cctv_02_auto.png
Tradycyjna topologia domowej sieci bezprzewodowej. Klientami mogą być dowolne urządzenia połączone z internetem.

 cctv_03_auto.png

Atakujący "mówi" użytkownikowi, że jest routerem, a routerowi, że jest użytkownikiem; w ten sposób może przechwytywać wszystkie informacje

Zwykle, będąc w dowolnej sieci bezprzewodowej – na przykład bezprzewodowej sieci domowej – każdy, kto jest połączony z siecią może przeprowadzać regularne ataki man-in-the-middle poprzez wykorzystywanie takich metod jak zatrucie ARP. W ten sposób użytkownik może zmienić wszelkie dane wysyłane do i z routera. Jednak ze względu na charakter oprogramowania mesh ta standardowa metoda nie byłaby tu szczególnie przydatna, gdyby została zastosowana w formie niezmodyfikowanej. Zasadniczo, każdy węzeł w sieci z infrastrukturą siatki może posiadać bezpośrednie pole widzenia obejmujące jedynie kilka z wielu węzłów, jakie istnieją w sieci. Aby pakiet został wysłany do urządzenia, które znajduje się poza zasięgiem, taki pakiet musi przebyć drogę z początkowego punktu poprzez kilka innych węzłów, aby ostatecznie dotrzeć do węzła docelowego. System producenta sprzętu implementuje algorytm znajdowania ścieżki w celu wydajnego przetransportowania danych oraz znalezienia najodpowiedniejszej trasy do celu. Algorytm ten bardzo przypomina ten powszechnie wykorzystywany w grach wideo w celu określenia ścieżki, jaką obierze postać, aby dotrzeć do celu, omijając przeszkody.

cctv_04_auto.png 

Algorytm znajdowania ścieżki identyfikuje trasy, jakimi mają podążać postacie, w oparciu o zmienne, takie jak trudne ukształtowanie terenu

Algorytm znajdowania ścieżki stosowany dla kamer opiera się na wielu zmiennych, jednak najważniejsza jest siła sygnału pomiędzy jednym węzłem a kolejnym oraz liczba węzłów, przez które przechodzi, aby dotrzeć do celu.

Właśnie to wykorzystaliśmy. „Okłamaliśmy” inne węzły, wmawiając im, że posiadamy bezpośrednie pole widzenia posterunku policji i zachowywaliśmy się jak węzeł (przesyłając pakiety), a kamery ustawione w pobliżu rzeczywiście zaczęły przesyłać swoje pakiety bezpośrednio do nas. Taka konfiguracja umożliwia klasyczny scenariusz ataku man-in-the-middle, tym razem jednak na bardzo szeroki zakres materiałów wideo. Trafną analogią z powyższą grą RTS byłoby budowanie mostu przez jezioro, tak aby wszystkie postacie wybrały tę drogę zamiast iść brzegiem jeziora.

cctv_05_auto.png 

Pakiet ma swój początek w Węźle A i podróżuje przez węzły B i C, aby ostatecznie dotrzeć do celu (posterunek policji); tymczasem wszystkie inne węzły obierają całkowicie inną ścieżkę, przez co nie mogą zostać przechwycone

Nie jesteśmy cyberprzestępcami - chcieliśmy po prostu stworzyć „proof of concept”, aby udowodnić, że tego rodzaju atak jest możliwy, ujawnić istnienie luki w zabezpieczeniach i w efekcie uświadomić władzom ten słaby punkt, który należy wyeliminować. Z tego względu nasze badanie zostało przeprowadzone na naszej prywatnej infrastrukturze laboratoryjnej, odtwarzającej systemy stosowane przez policję, i w żaden sposób nie zaszkodziło jej sieci.

Gdyby hakerzy mający przestępcze zamiary wykorzystali ujawnione przez nas problemy, co często widzimy w filmach hollywoodzkich, wiele groźnych scenariuszy mogłoby zostać urzeczywistnionych. Od możliwości przeprowadzenia ataków typu man-in-the-middle na dane wideo jest już tylko krok do podmiany rzeczywistych materiałów wideo nagranymi wcześniej filmami. W tym scenariuszu gang cyberprzestępczy może spowodować, że policja będzie przekonana, że przestępstwo ma miejsce w jednej części miasta i będzie czekała, aż zostaną tam wysłane posiłki. W ten sposób powstaje okazja do popełnienia przestępstwa w innym rejonie miasta, gdzie nie ma żadnych posiłków. Jest to po prostu jeden ze sposobów, w jaki ktoś mógłby wykorzystać te systemy, aby skuteczniej popełniać przestępstwa. Niestety, nie jest to jedynie scenariusz filmu z Hollywood. Z powodzeniem udało nam się odtworzyć tę funkcjonalność w naszym laboratorium. 

Mamy zaufanie do odpowiednich władz, dając im dostęp do naszych prywatnych danych, jednak gdy te same władze nie wykorzystują niezbędnego czasu i zasobów, aby obsługiwać te dane w sposób odpowiedzialny, lepiej w ogóle zrezygnować z tej technologii. Na szczęście po tym jak uświadomiliśmy im ten problem, władze miasta wyraziły zaniepokojenie i od tej pory podjęły działania, aby zwiększyć poziom bezpieczeństwa.

Niestety dzisiaj wszystko jest połączone z Siecią i w miarę jak implementowana jest nowa technologia w celu zmodernizowania starszej, nieuchronnie identyfikowane są nowe luki w zabezpieczeniach. Trwa wyścig, w którym „ci dobrzy” badają bezpieczeństwo, zanim „ci źli” będą mogli wykorzystać luki do szkodliwych celów. Naszym zadaniem jest nie ustawać w wysiłkach, walczyć o to, aby świat był bezpieczniejszym miejscem.

Wnioski        

Aby sieć w infrastrukturze siatki posiadała odpowiedni poziom ochrony należy wziąć pod uwagę następujące czynniki:

  • Mimo że wciąż może zostać potencjalnie złamany, algorytm WPA z mocnym hasłem to minimalne wymaganie, aby system nie stanowił łatwego celu.
  • Przed niewprawnymi hakerami ochroni również ukrycie SSID sieci oraz filtrowanie adresów MAC.
  • Należy upewnić się, że wszystkie nalepki na sprzęcie są osłonięte, aby odstraszyć atakujących, którzy nie posiadają wewnętrznych informacji.
  • Zabezpieczenie danych wideo przy użyciu kryptografii wykorzystującej klucz publiczny uniemożliwi manipulowanie informacjami.