- Regisztráció

IP kamerák elleni kibertámadás esélyének minimalizálása

2023.01.13.

 
 
     
 

Hanwha Techwin IP kamerák kiberbiztonsága
 

IP kamerák kiberbiztonsági fenyegetettségének minimalizálása

Komoly veszélyt rejt magában ha rosszindulatú személyek, a különösen védett területeken lévő kamerák élő- vagy rögzített képeihez hozzáférhetnek. Számos professzionális kameragyártó úgy válaszolt erre a fenyegetésre, hogy megszüntette a termékek alapértelmezett jelszavait, vagy nem engedte egymást követő számok vagy betűk használatát a jelszavakban. A támadók azonban folyamatosan újabb módokat keresnek az adatokhoz való hozzáféréshez, például hátsó kapukon (back door) keresztül.
Függetlenül attól, hogy amatőrök kihívásból, vagy profik haszonszerzési szándékkal próbálják-e feltörni a videómegfigyelő-rendszereket, a végfelhasználónak létfontosságú, hogy bizalmas adatai biztonságban maradjanak.
Ez igaz a kisvállalkozásokra is, akik a vagyontárgyaik, épületeik, dolgozóik védelmére használják ezeket a rendszereket. És igaz ez a stratégiai fontosságú felhasználásoknál is, mint amilyenek a repülőterek, bankok, kormányzati szervek, katonai és katasztrófavédelmi szolgálatok.
 
A kiberbiztonságot is figyelembe véve tervezve

A felelősségteljes biztonsági kameragyártóknak megfelelő képzetséggel rendelkező szoftvermérnökökre van szükségük, hogy az új sérülékenységek felbukkanásakor, mihamarabb megjelentessék a szükséges firmware frissítéseket. A Hanwha Techwin Security Computer Engineering Response Teamje (S-CERT, Biztonsági Számítógépes Vészhelyzetelhárító Csoport) a Wisenet termékek és megoldások lehetséges biztonsági sérülékenyégeinek megszűntetésével foglalkozik. A csoport tagjait egyénileg választották ki az alapján, hogy rendelkeznek-e kellő tapasztalattal, hogy azonosítsák, elemezzék, gyorsan és hatékonyan elhárítsák a kiberbiztonsági veszélyeket.

A kameragyártóknak független kiberbiztonsági tesztelő ügynökségek szolgáltatását is javasolt igénybe venniük, hogy segítsenek nekik megtalálni a termékeik biztonsági sérülékenységeit. Azonban, mint más területeken is, jobb a megelőzés, mint az utólagos javítás. Ezért a Hanwha Techwin legújabb kamerái olyan lapkakészletet használnak, amelyeket úgy terveztek, hogy minimalizálják a nem engedélyezett hozzáférést és a rossz szándékú firmware-ek feltelepítésének kockázatát.     
Bár a gyártók nem tudják 100%-osan garantálni, hogy a termékeiket sohasem fogják meghackelni, az újgenerációs lapkakészletek számos olyan technológiát használnak, amelyek jelentősen növelik azoknak a kameráknak a kiberbiztonsági megbízhatóságát, amelyekbe beépítésére kerülnek.

Szakkifejezések magyarázatai

A következő technológiák egy része új és kifejezetten a kibertámadások megakadályozására fejlesztették ki, míg mások eredetileg csak hatékonyabbá kívánták tenni a lapkakészleteket, de a kamerák kiberbiztonságát is javítják. Ezek a technológiák szinte mindig csak rövidítésként jellenek meg, vagy olyan néven említik a dokumentumokban, adatlapokon vagy az Interneten, amiből nem nyilvánvaló, hogy mire is szolgálnak.
Ezért az alábbiakban közöljük a leggyakoribb kifejezések magyarázatát. 

Anti-Hardware Clone (Hardver klónozás elleni védelem)
Az anti-hardware clone funkció megakadályozza a lapkakészlet lemásolását. A szellemi tulajdon védelmén túl ez biztosítja, hogy a gyártó logójával ellátott lapka eredeti, ezáltal nem vagyunk kitéve annak a kockázatnak, hogy egy ártalmas szoftvert tartalmazó klónozott eszköz segítségével érzékeny adatokat, például jelszavakat próbálnak ellopni.  

Crypto Acceleration (Titkosítás gyorsítás)
A videomegfigyelő megoldások esetében titkosítás gyorsítás alatt azt értjük, hogy a kamera lapkakészlete komplex matematikai számításokat végez az adatok titkosítására és dekódolására. Ez a nagyon számításigényes folyamat a processzor erőforrásainak nagy részét lefoglalhatja. Olyan lapkakészlet használata, amelyik rendelkezik dedikált titkosítás gyorsító processzorral, amely biztosítja, hogy a titkosítás/dekódolás hatékonyan történjen, anélkül, hogy erőforrást vonna el a kamera más funkcióitól. 

Image Scrambling (Képtitkosítás)
A kamera telepítési helye, a megtekintés és rögzítés helyszínei között mindig van lehetőség arra, hogy egy kiberbűnöző bejusson a hálózatba és hozzáférjen az esetleg bizalmas videófelvételekhez vagy adatokhoz. Az image scrambling olyan videótitkosítás, ami véletlenszerű módon átrendezi a képek pixeleit, így azt nem tudja megtekinteni olyan személy, aki illetéktelenül jutott be a hálózatba.  

Secure JTAG (Biztonságos szervizport)
A JTAG portok olyan interfészek, amit az eszközök programozására, tesztelésére és debugolására használnak. Azonban a kiberbűnözők ezen keresztül átvehetik az eszközök feletti irányítást és a firmwaret is lecserélhetik egy ártó firmwarere. Ez megelőzhető, ha a JTAG porton titkosításikulcs-alapú hitelesítést alkalmaznak, amihez csak a gyártó, engedéllyel rendelkező munkatársainak van hozzáférése.

Secure UART (Biztonságos univerzális aszinkron adóvevő)
Az UART portok soros interfészek, amik jobbára a kamerák debugolására szolgálnak. Adminisztrátor szintű hozzáférést tesznek lehetővé a kamerához, ezért célpontot jelentenek a hackereknek, hogy a port segítsével megkíséreljenek hozzáférni érzékeny adatokhoz, például jelszavakhoz.
A hackerek a kamera firmarejéhez is hozzáférhetnek a porton keresztül és megpróbálhatják visszafejteni azt, sérülékenységeket keresve az eszköz kommunikációs protokolljaiban. Az UART port korlátozott és biztonságos hozzáférésével a debugolás biztonságosan kivitelezhető anélkül, hogy biztonsági rést nyitnánk a kiberbűnözőknek.

OTP ROM (One Time Programmable Read Only Memory)
Egyszer programozható, csak olvasható memória. Az OTP ROM meggátolja az érzékeny adatokat módosítását, mint amilyenek a titkosítási kulcsok, amelyeket a bootolási folyamathoz és a JTAG port titkosítására használnak. Ez szavatolja a titkosítási kulcsok eredetiségét, amelyeket a bootolási folyamat során és a JTAG port védelmére használnak.

Secure Boot Verification (Biztonságos bootolás ellenőrzés)
A biztonságos bootolás egy extra biztonsági szintet jelent azáltal, hogy izolálja a kamera operációs rendszerének részeit, így azok védve vannak. A kamera a teljes bootolási folyamatot befejezi mielőtt elkezdene kommunikálni a rendszer bármely más részével, ez megakadályozza, hogy bárki megakassza a bootolás folyamtát. A támadók kihasználhatnák, ha kívülről meg tudnák állítani a bootolási folyamatot.
 
Véletlenszám generátor
A számítógépeket úgy tervezték, hogy pontosan megjósolható adatokat adjanak és ezért nem igazán alkalmasak valódi véletlenszámok generálására, amikre a jó titkosításhoz szükség lenne.
A dedikált véletlenszám generátor ezt a problémát megoldja, mivel fizikai elven generál, valódi véletlenszámokat.

Secure OS (Biztonságos OS)
Célszerű külön operációs rendszert (Secure OS) használni a titkosításra és dekódolásra, valamint a kamerában futó appok ellenőrzésére (hogy nem módosították-e őket), így csökkentve a kamera fő operációs rendszerének leterheltségét. Külön Linuxalapú API szükséges a Secure OS eléréséhez, enélkül nincs lehetőség a beállítások módosítására a kamerán kívülről. Ezért a fontos, tárolt információk kezelését mindig a Secure OS végzi.

A biztonsági kameragyártó piacon erős a verseny, így számtalan gyártó közül válaszhatunk. Így a tanácsadóknak, rendszertervezőknek és rendszerintegrátoroknak lehetőségük van arra, hogy csak olyan gyártók termékeinek használatát javasolják, akik a termék tervezési és gyártási folyamataiban a legjobb gyakorlatot alkalmazzák. Ezt a törekvést a legjobban az mutatja meg, hogy a kameráik a legtöbb, ha nem az összes fenti funkcióval és technológiával rendelkeznek.

     
 
     
További információkért, konkrét ajánlatért kérjük,
CCTV terméktámogató kollégáinkat keresse:


Tóth István:  +36 30 791-3335  
toth.istvan@modernalarm.hu

Waldmann Tamás:
+36 30 791-3336 waldmann.tamas@modernalarm.hu
 
 
     
Modern Alarm Kft.
1134 Budapest, Kassák Lajos u. 61.
Tel.: +36 1 237-1915