Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Bezpieczeństwo inteligentnych systemów dozorowych

Printer Friendly and PDF

Wyobraźmy sobie, że jest rok 2022. Więzień zbiega z policyjnego konwoju. Próbuje ukryć się w wąskiej uliczce, ale dostrzega go lokalny patrol. Wbiega więc na główną arterię, schodzi do metra, ale zostaje rozpoznany przez ochronę, zmienia plan i udaje się do pobliskiego sklepu, a stamtąd, przez zaplecze, dociera na parking, gdzie kradnie auto, po czym ucieka dalej. Policyjne syreny są co raz głośniejsze. Rozpoczyna się szaleńczy pościg i obława.

Obławę można śledzić na ekranach. Wiadomo, gdzie nasz antybohater się znajduje, gdyż widać go dzięki kamerom służącym do monitoringu miejskiego, a także urządzeniom zamontowanym w prywatnych autach i pojazdach służących do transportu publicznego. Sieć złożona z systemów publicznych, prywatnych kamer oraz kompatybilnych sensorów oplata „złego” i ogranicza jego pole manewru. Dane z systemów detekcji twarzy oraz analizy sylwetki, ruchu i głosu docierają do policji, a z głośników dobywa się skierowany do zbiega komunikat ostrzegawczy.

Historia z wizyjnym systemem dozorowym w roli głównej wcale nie musi kończyć się happy endem, zwłaszcza jeśli zdobycze techniki zostaną użyte w złym celu. Wyobraźmy sobie, że ktoś wykorzystuje taki system do śledzenia i zdyskredytowania innego człowieka z przyczyn zawodowych lub politycznych. Ktoś może próbować przejąć kontrolę nad systemem bezpieczeństwa, w porcie lotniczym, a nawet w obiekcie rządowym czy wojskowym. Przejęcie kontroli może ponadto skutkować uzyskaniem dostępu do bazy danych o szczególnym znaczeniu. Niemożliwe? Bynajmniej! Im bardziej będziemy rozwijać świat IoT, tym większe będzie ryzyko łamania zabezpieczeń. W Polsce coraz wyraźniej widać popularność koncepcji tzw. inteligentnego miasta, w tym inteligentnego nadzoru wizyjnego. To cieszy, jednak zdaje się, że ciągle zbyt słabo rozpoznaje się zagrożenia, zwłaszcza problem możliwości włamania się do wizyjnego systemu dozorowego.

Bezpieczeństwo inteligentnego miasta

Inteligentne miasto to przestrzeń, w której infrastruktura bazuje na najnowszych osiągnięciach techniki. Chodzi także o świadczenie usług publicznych w takim stopniu, aby ułatwić życie mieszkańcom. Do istoty funkcjonowania inteligentnego miasta należy integracja, komplementarność, automatyzacja i bezpieczeństwo systemów, za pośrednictwem których dokonywana jest wymiana danych – np. podczas indywidualnych rozliczeń, zakupów, użytkowania publicznych i prywatnych środków transportu, sprawdzania lokalizacji, korzystania z ułatwień dla niepełnosprawnych, dostępu do informacji i źródeł rozrywki. Potrzebny jest dostęp do konkretnych urządzeń, np. telewizorów, smartfonów, kamer i czujników. Wykorzystuje się wymagające ciągłego doskonalenia i testowania zaawansowane systemy informatyczne, sztuczną inteligencję, uczenie się przez maszyny lub systemy (ang. machine learning), analizę dużych zasobów danych (ang. big data).

Ze względu na ważność rejestrowanych, przetwarzanych i przesyłanych danych systemy informatyczne będące elementami inteligentnego miasta trzeba szczególnie chronić przed ingerencjami fizycznymi i cyberatakami. Jak wynika z badań przeprowadzonych m.in. przez Wi-Sun Alliance i Fundację Bezpieczna Cyberprzestrzeń w Szwecji, Danii, Wielkiej Brytanii, USA, a także w Polsce, inwestowanie w IoT jest coraz bardziej popularne i uważane za potrzebne do wdrażania rozwiązań charakterystycznych dla inteligentnego miasta. Mimo to w praktyce wiele projektów nie doczekuje się realizacji z powodu ich wadliwości, niezapewnienia dostatecznego poziomu bezpieczeństwa, ograniczeń infrastrukturalnych, zastanych uwarunkowań prawnych i administracyjnych, nienadążania przez niektóre instytucje za postępem w dziedzinie techniki, niewystarczających kompetencji użytkownika końcowego.

Pokonywanie zabezpieczeń systemów inteligentnego miasta może przebiegać na różne sposoby. Atak może być wymierzony w operatora lub nadzorcę, sprzęt i oprogramowanie. Rodzaje zagrożeń są różne.

Konieczność zabezpieczenia systemu monitorującego

Wizyjne systemy dozorowe, w których zastosowane są zminiaturyzowane moduły i które wyposażono w dodatkowe czujniki, są jak komputery, których funkcją jest wychwytywanie określonego rodzaju danych. Należy zabezpieczyć system monitorujący, aby ochronić te dane, a zwłaszcza wizerunki osób i konteksty sytuacyjne, w których się pojawiają. Dane te nie powinny dostać się w niepowołane ręce, więc firmy oferujące systemy dozorowe muszą zagwarantować odpowiednie zabezpieczenia. Trzeba podkreślić, że wszędzie tam, gdzie mamy do czynienia z mniej lub bardziej rozbudowanym systemem obserwacji bazującym na sieciowych kamerach i czujnikach, istnieje potrzeba magazynowania danych w serwerach i chmurach, które również wymagają specjalnej ochrony. Słabe algorytmy szyfrujące bądź niewystarczające uświadamianie sobie zagrożeń przez administratorów mogą wykorzystać hakerzy, których ostatecznych celów możemy nigdy nie poznać. Kamera może posłużyć jako urządzenie szpiegujące. Nie bez przyczyny amerykańska administracja zakazała swoim urzędnikom użytkowania urządzeń niektórych chińskich producentów.

Możliwy jest atak na system sterowania ruchem ulicznym, system służący do rozpoznawania numerów rejestracyjnych i poboru opłat za parkowanie, system oświetlenia ulic i przystanków. Wyobraźmy sobie manipulowanie przy systemach do wykrywania zanieczyszczeń powietrza czy detekcji wzrostu temperatury lub intensywnych opadów deszczu. Dodajmy do tego ataki na kamery wielosensorowe czy czujniki w ogóle, na przykład te, które służą do ochrony przyrody lub dziedzictwa kulturowego, lub są wykorzystywane w inteligentnych urządzeniach gospodarstwa domowego. Niepożądana ingerencja w systemy dozorowe może doprowadzić do zwiększenia liczby fałszywych alarmów i w konsekwencji do paraliżu służb, które muszą na nie reagować. Może ona być też elementem tzw. wojny hybrydowej. Na pojedyncze i skomasowane ataki powinny być przygotowane nie tylko odpowiednie służby, ale także każdy podmiot, który korzysta z systemu, który może być źródłem danych wymagających ochrony.

 

Hakowanie w praktyce

O skutecznych przejęciach kontroli nad monitoringiem miejskim nie pisze się często, gdyż nie jest to powód do chwały – tym bardziej, że w niektórych przypadkach próbowano naruszyć bezpieczeństwo wewnętrzne, co podano do wiadomości dopiero po dłuższym czasie. Ataki złośliwego oprogramowania powodują z reguły zmiany w ustawieniach obrazowania i w kalibracji obserwowanych scen, zmiany zawartości lub właściwości zapisywanych plików, a także modyfikację ustawień kart sieciowych. Niektóre mogą doprowadzić do chwilowego zatamowania lub przekierowania jakiegoś strumienia informacji, inne mogą spowodować większe szkody. Oczywiście aranżowane są też testy i ataki kontrolowane.

Badanie Vasiliosa Hioureasa oraz Thomasa Kinseya ujawniło, że sieci, które mają chronić przed przestępcami i terrorystami, mogą stać się niebezpiecznym narzędziem w ich rękach. Wykazali oni, że w jednym z miejskich systemów monitorowania nie było stosowane żadne szyfrowanie, mimo że urządzenia posiadały odpowiednie funkcje. Hioureas i Kinsey w dość prosty sposób stworzyli własną wersję oprogramowania, które umożliwiło pełną kontrolę nad kamerami, dzięki czemu byli w stanie przechwycić obraz z każdego miejsca, dokonywać manipulacji, zamieniać rzeczywiste nagrania na fałszywe. Mechanika ataku polegała na wykorzystaniu podatności sieci miejskiej na ataki, takie jak ARP, podczas którego użytkownik podszywa się pod jeden z węzłów rutujących, przesyłając pakiety, a następnie zmienia dane wysyłane do rutera i z rutera. W ten sposób atakujący uzyskuje bezpośredni dostęp do strumieni wizyjnych, np. dostępnych na posterunku policji, a dzięki imitowaniu węzła sprawia, że pobliskie kamery przesyłają swoje pakiety danych bezpośrednio do niego. Konfiguracja ta umożliwia tzw. atak man-in-the-middle, znany także z niektórych gier strategicznych. Dzięki zhakowaniu systemu przestępcy mogą zobrazować fikcyjne przestępstwo lub inne zdarzenie wymagające pilnej interwencji i w efekcie skłonić policję lub inne służby do wysłania grupy operacyjnej we wskazane miejsce. Mogą w ten sposób spowodować interwencję w jednym miejscu, by odwrócić uwagę, i dokonać przestępstwa w innym. To scenariusz rodem z Hollywood, ale wcale nie musi być fikcją.

W ramach audytów bezpieczeństwa polscy specjaliści przeprowadzili kontrolowane ataki na wizyjne systemy dozorowe. Dzięki przysłowiowej jednej linijce kodu w 2017 roku zhakowano kamery w stopniu umożliwiającym nagrywanie obrazów i dźwięków na własnych nośnikach, a nawet dostęp do nagrań archiwalnych. Co ciekawe, w systemie zastosowane były popularne kamery jednej z japońskich firm, wykorzystywane m.in. w więzieniach, a także przez nowojorską policję i FBI. W przypadku innych kamer, przeznaczonych do miejskich systemów obserwacyjnych, poprzez nieuwierzytelnione zapytanie HTTP udało się pobrać zawartość pamięci i uzyskać dane potrzebne do zalogowania się jako administrator. Popularny staje się również Google hacking umożliwiający dostęp do strumieni wizyjnych z kamer publicznych lub prywatnych (w przedsiębiorstwach lub w domach) poprzez użycie domyślnego hasła producenta kamer. W Internecie można znaleźć wiele przykładów takiego prostego łamania zabezpieczeń.

Jeden z poważniejszych ataków hakerskich, o charakterze kryminalnym, miał miejsce w Waszyngtonie, gdzie dwójka rumuńskich hakerów opanowała większość zewnętrznych kamer obserwacyjnych stołecznej policji. Przejęli oni kontrolę nad 123 z 187 kamer używanych przez MPDC na cztery dni, od 9 do 12 stycznia 2017 r. Ich celem nie była inwigilacja czy działania terrorystyczne. Według śledczych usiłowali jedynie użyć elementów systemu podłączonych do Internetu by rozprowadzić oprogramowanie szantażujące (ransomware), szyfrujące dane na dyskach użytkowników w celu wyłudzenia okupu za odzyskanie danych.

Rozwiązania z dziedziny inteligentnego monitorowania są możliwe do realizacji za pośrednictwem wielu różnych urządzeń przynależnych do IoT. Jak dowodzą audytorzy, np. podczas pokazów na konferencji DEF CON, możemy być – jakkolwiek to zabrzmi – szpiegowani przez lodówki czy odkurzacze. Przejęcie kontroli nad inteligentnym odkurzaczem pewnej koreańskiej firmy uświadamia nam, że należy ciągle doskonalić zabezpieczenia sprzętowe, programowe i sieciowe. Poprzez jedno połączone z siecią za pośrednictwem inteligentnego urządzenia atakujący może dotrzeć do innych urządzeń i mogą wśród nich być również te, na których przechowywane są ważne dla użytkownika dane, które wymagają szczególnej ochrony. Badania pokazują, że w coraz liczniejszych inteligentnych urządzeniach RTV i AGD z wbudowanymi kamerami, mikrofonami i czujnikami można znaleźć luki w zabezpieczeniach. Mogą one zostać wykorzystane do niewykrywalnych naruszeń prywatności, nieinwazyjnego szpiegowania, niewidocznych przestępstw.

Jak się bronić?

Nie ma potrzeby wymieniać tu poszczególnych działań producentów, projektantów, osób zarządzających bezpieczeństwem itd. Podstawą jest analiza dokonanych i przewidywanie potencjalnych ataków w celu projektowania odpowiednich łat i aktualizacji systemów. Jeśli chodzi o wizyjne systemy dozorowe, można wskazać kilka sposobów zapobiegania naruszeniom, zarówno na poziomie technicznym jak i operacyjnym.

Jedną z podstawowych metod, jakimi należy się posługiwać, jest odpowiednie planowanie i rozdzielanie uprawnień użytkowników systemów. To wydaje się oczywiste, ale w praktyce bywa różnie. Firma Axis Communications zawsze zwraca uwagę na to, że zakres i zasady uwierzytelniania powinny odpowiadać stanowiskom i kompetencjom poszczególnych osób.

Urządzenia, oprogramowanie i powiązane zabezpieczenia powinny być odpowiedniej jakości. Mowa tu przede wszystkim o odpowiednich algorytmach szyfrujących, procedurach logowania się i potwierdzania tożsamości, procedurach zmiany haseł i uprawnień, a także o funkcjach kodowania obrazu, które umożliwiają zamazywanie sylwetek i twarzy ludzkich na określonym poziomie dostępu.

Potrzebne jest systematyczne aktualizowanie zabezpieczeń, a także stosowanie się do zaleceń i instrukcji. Z cyberatakami jest jak z grypą. Ciągle powstają nowe mutacje wirusa i żadna szczepionka nie jest w pełni skuteczna. Każdy producent kamer powinien wyraźnie ostrzegać o możliwości ataku cyfrowego, a także informować o tym, co należy w danym przypadku zrobić. Axis Communications od lat spełnia tę powinność, ale nie wszyscy dostawcy to robią.

Zauważalny jest problem po stronie użytkownika końcowego – większości ataków można by uniknąć, gdyby na etapie konfiguracji zastosowano dobre praktyki. W tym kontekście warto wspomnieć np. o Hardening Guide firmy Axis Communications – tekście, w którym opisano zasady i procedury, których należy przestrzegać podczas wdrożenia, aby uodpornić system na cyberataki.

Tę krótką analizę warto zakończyć dwoma wnioskami generalnymi. Ograniczanie cyberzagrożeń jest szczególnie ważne w zarządzaniu bezpieczeństwem w dziedzinach i sektorach strategicznych. Tym bardziej, że domena cyberbezpieczeństwa monitorowania sięga obecnie nawet poziomu geopolityki i geostrategii. W związku z tym należy dbać o bezpieczeństwo nie tylko systemów służących do obserwacji ruchu drogowego lub kolejowego, ale też systemów dozorujących obiekty rządowe, przedsiębiorstwa i instytucje, które są szczególnie ważne ze względu na bezpieczeństwo państwa i społeczeństwa.

Na zakończenie warto dodać, że jeśli zależy nam na bezpieczeństwie w inteligentnym mieście, sami również musimy działać inteligentnie. Niewiele da nam kolejna „mądra” aplikacja w pracy lub domu, jeśli nie będziemy używać bezpiecznego hasła. Nie będzie możliwa większa wygoda podczas zakupów i w podróży, energooszczędność, optymalizacja finansów czy walka ze smogiem z wykorzystaniem najnowocześniejszych technik, jeżeli zapomnimy o potencjalnych cyberzagrożeniach, odpowiednich zabezpieczeniach i nie wyciągniemy wniosków z ataków, które mamy za sobą.

Axis Communications

 

Zabezpieczenia 1/2019

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony