Когда камеры наблюдения больше похожи на шпиона, чем на защитника, то у Вас будут проблемы. Камеры представляют собой палку о двух концах, а веб-камеры тому прекрасный пример. С одной стороны, они позволяют людям оставаться на связи со своими близкими и друзьями, а также они помогают компаниям проводить встречи независимо от расстояния между участниками. Но, с другой стороны, даже Марк Цукерберг закрывает камеру своего ноутбука по соображениям безопасности для того, чтобы за ним нельзя было шпионить. В этом случае опасность кажется очевидной, но не только камеры на наших ноутбуках могут представлять определенный риск.
Многие компании используют системы видеонаблюдения, а камеры наблюдения играют ключевую роль в таких системах. Наблюдение за территорией, окружающей здание компании, позволяет предотвратить кражу, а также выявить потенциальных нарушителей – это важно для каждой организации. Тем не менее, сеть камер видеонаблюдения может также стать угрозой, если хакер сумеет найти уязвимости в ней.
Именно это и было показано в недавнем исследовании, выполненном группой венгерских специалистов, которые нашли различные уязвимости в камерах тайваньского производителя AVTECH. Эти недостатки могут нести в себе множество рисков для компаний, которые доверяют безопасность своего бизнеса устройствам этого производителя, если они подключены к Интернету.
Безопасность, шаг за шагом
Во-первых, облако, к которому подключены эти камеры для синхронизации данных, не используют HTTPS-протокол для защиты передачи данных. Как результат, любой кибер-преступник сумел бы получить доступ к видео с этих CCTV -камер, причем видеоматериалы могут быть скачены без необходимости вводить имя пользователя и пароль.
Таким образом, хакер с необходимым знаниями может получить изображения, снятые корпоративной системой видеонаблюдения, и использовать эту информацию для осуществления более опасных действий. Например, хакеры могут использовать эту информацию для того, чтобы установить точное месторасположение сотрудников безопасности в любое время, выяснить, имеются ли в здании сотрудники или оно пустое, и даже использовать камеры для просмотра паролей и конфиденциальных данных.
В дополнении к серьезности этих недостатков, больше всего удивляет то, что AVTECH не дал каких-либо разъяснений по поводу обнаруженных уязвимостей или потенциальных ошибок. Очевидно, что любая организация, которая использует системы видеонаблюдения, должна доверять как таким системам, так и ее производителям и поставщикам, но в данном случае это, похоже, невозможно.
Конечно, любая система видеонаблюдения может иметь свои недостатки, но существуют определенные шаги, которые необходимо предпринимать, чтобы снизить риски для предприятия: не подключайте устройства видеонаблюдения к Интернету и всегда следите за обновлениями прошивки у Ваших устройств.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.