<< Vissza IP kamerák elleni kibertámadás esélyének minimalizálása 2023.01.13. Hanwha Techwin IP kamerák kiberbiztonsága IP kamerák kiberbiztonsági fenyegetettségének minimalizálása Komoly veszélyt rejt magában ha rosszindulatú személyek, a különösen védett területeken lévő kamerák élő- vagy rögzített képeihez hozzáférhetnek. Számos professzionális kameragyártó úgy válaszolt erre a fenyegetésre, hogy megszüntette a termékek alapértelmezett jelszavait, vagy nem engedte egymást követő számok vagy betűk használatát a jelszavakban. A támadók azonban folyamatosan újabb módokat keresnek az adatokhoz való hozzáféréshez, például hátsó kapukon (back door) keresztül. Függetlenül attól, hogy amatőrök kihívásból, vagy profik haszonszerzési szándékkal próbálják-e feltörni a videómegfigyelő-rendszereket, a végfelhasználónak létfontosságú, hogy bizalmas adatai biztonságban maradjanak. Ez igaz a kisvállalkozásokra is, akik a vagyontárgyaik, épületeik, dolgozóik védelmére használják ezeket a rendszereket. És igaz ez a stratégiai fontosságú felhasználásoknál is, mint amilyenek a repülőterek, bankok, kormányzati szervek, katonai és katasztrófavédelmi szolgálatok. A kiberbiztonságot is figyelembe véve tervezve A felelősségteljes biztonsági kameragyártóknak megfelelő képzetséggel rendelkező szoftvermérnökökre van szükségük, hogy az új sérülékenységek felbukkanásakor, mihamarabb megjelentessék a szükséges firmware frissítéseket. A Hanwha Techwin Security Computer Engineering Response Teamje (S-CERT, Biztonsági Számítógépes Vészhelyzetelhárító Csoport) a Wisenet termékek és megoldások lehetséges biztonsági sérülékenyégeinek megszűntetésével foglalkozik. A csoport tagjait egyénileg választották ki az alapján, hogy rendelkeznek-e kellő tapasztalattal, hogy azonosítsák, elemezzék, gyorsan és hatékonyan elhárítsák a kiberbiztonsági veszélyeket. A kameragyártóknak független kiberbiztonsági tesztelő ügynökségek szolgáltatását is javasolt igénybe venniük, hogy segítsenek nekik megtalálni a termékeik biztonsági sérülékenységeit. Azonban, mint más területeken is, jobb a megelőzés, mint az utólagos javítás. Ezért a Hanwha Techwin legújabb kamerái olyan lapkakészletet használnak, amelyeket úgy terveztek, hogy minimalizálják a nem engedélyezett hozzáférést és a rossz szándékú firmware-ek feltelepítésének kockázatát. Bár a gyártók nem tudják 100%-osan garantálni, hogy a termékeiket sohasem fogják meghackelni, az újgenerációs lapkakészletek számos olyan technológiát használnak, amelyek jelentősen növelik azoknak a kameráknak a kiberbiztonsági megbízhatóságát, amelyekbe beépítésére kerülnek. Szakkifejezések magyarázatai A következő technológiák egy része új és kifejezetten a kibertámadások megakadályozására fejlesztették ki, míg mások eredetileg csak hatékonyabbá kívánták tenni a lapkakészleteket, de a kamerák kiberbiztonságát is javítják. Ezek a technológiák szinte mindig csak rövidítésként jellenek meg, vagy olyan néven említik a dokumentumokban, adatlapokon vagy az Interneten, amiből nem nyilvánvaló, hogy mire is szolgálnak. Ezért az alábbiakban közöljük a leggyakoribb kifejezések magyarázatát. Anti-Hardware Clone (Hardver klónozás elleni védelem) Az anti-hardware clone funkció megakadályozza a lapkakészlet lemásolását. A szellemi tulajdon védelmén túl ez biztosítja, hogy a gyártó logójával ellátott lapka eredeti, ezáltal nem vagyunk kitéve annak a kockázatnak, hogy egy ártalmas szoftvert tartalmazó klónozott eszköz segítségével érzékeny adatokat, például jelszavakat próbálnak ellopni. Crypto Acceleration (Titkosítás gyorsítás) A videomegfigyelő megoldások esetében titkosítás gyorsítás alatt azt értjük, hogy a kamera lapkakészlete komplex matematikai számításokat végez az adatok titkosítására és dekódolására. Ez a nagyon számításigényes folyamat a processzor erőforrásainak nagy részét lefoglalhatja. Olyan lapkakészlet használata, amelyik rendelkezik dedikált titkosítás gyorsító processzorral, amely biztosítja, hogy a titkosítás/dekódolás hatékonyan történjen, anélkül, hogy erőforrást vonna el a kamera más funkcióitól. Image Scrambling (Képtitkosítás) A kamera telepítési helye, a megtekintés és rögzítés helyszínei között mindig van lehetőség arra, hogy egy kiberbűnöző bejusson a hálózatba és hozzáférjen az esetleg bizalmas videófelvételekhez vagy adatokhoz. Az image scrambling olyan videótitkosítás, ami véletlenszerű módon átrendezi a képek pixeleit, így azt nem tudja megtekinteni olyan személy, aki illetéktelenül jutott be a hálózatba. Secure JTAG (Biztonságos szervizport) A JTAG portok olyan interfészek, amit az eszközök programozására, tesztelésére és debugolására használnak. Azonban a kiberbűnözők ezen keresztül átvehetik az eszközök feletti irányítást és a firmwaret is lecserélhetik egy ártó firmwarere. Ez megelőzhető, ha a JTAG porton titkosításikulcs-alapú hitelesítést alkalmaznak, amihez csak a gyártó, engedéllyel rendelkező munkatársainak van hozzáférése. Secure UART (Biztonságos univerzális aszinkron adóvevő) Az UART portok soros interfészek, amik jobbára a kamerák debugolására szolgálnak. Adminisztrátor szintű hozzáférést tesznek lehetővé a kamerához, ezért célpontot jelentenek a hackereknek, hogy a port segítsével megkíséreljenek hozzáférni érzékeny adatokhoz, például jelszavakhoz. A hackerek a kamera firmarejéhez is hozzáférhetnek a porton keresztül és megpróbálhatják visszafejteni azt, sérülékenységeket keresve az eszköz kommunikációs protokolljaiban. Az UART port korlátozott és biztonságos hozzáférésével a debugolás biztonságosan kivitelezhető anélkül, hogy biztonsági rést nyitnánk a kiberbűnözőknek. OTP ROM (One Time Programmable Read Only Memory) Egyszer programozható, csak olvasható memória. Az OTP ROM meggátolja az érzékeny adatokat módosítását, mint amilyenek a titkosítási kulcsok, amelyeket a bootolási folyamathoz és a JTAG port titkosítására használnak. Ez szavatolja a titkosítási kulcsok eredetiségét, amelyeket a bootolási folyamat során és a JTAG port védelmére használnak. Secure Boot Verification (Biztonságos bootolás ellenőrzés) A biztonságos bootolás egy extra biztonsági szintet jelent azáltal, hogy izolálja a kamera operációs rendszerének részeit, így azok védve vannak. A kamera a teljes bootolási folyamatot befejezi mielőtt elkezdene kommunikálni a rendszer bármely más részével, ez megakadályozza, hogy bárki megakassza a bootolás folyamtát. A támadók kihasználhatnák, ha kívülről meg tudnák állítani a bootolási folyamatot. Véletlenszám generátor A számítógépeket úgy tervezték, hogy pontosan megjósolható adatokat adjanak és ezért nem igazán alkalmasak valódi véletlenszámok generálására, amikre a jó titkosításhoz szükség lenne. A dedikált véletlenszám generátor ezt a problémát megoldja, mivel fizikai elven generál, valódi véletlenszámokat. Secure OS (Biztonságos OS) Célszerű külön operációs rendszert (Secure OS) használni a titkosításra és dekódolásra, valamint a kamerában futó appok ellenőrzésére (hogy nem módosították-e őket), így csökkentve a kamera fő operációs rendszerének leterheltségét. Külön Linuxalapú API szükséges a Secure OS eléréséhez, enélkül nincs lehetőség a beállítások módosítására a kamerán kívülről. Ezért a fontos, tárolt információk kezelését mindig a Secure OS végzi. A biztonsági kameragyártó piacon erős a verseny, így számtalan gyártó közül válaszhatunk. Így a tanácsadóknak, rendszertervezőknek és rendszerintegrátoroknak lehetőségük van arra, hogy csak olyan gyártók termékeinek használatát javasolják, akik a termék tervezési és gyártási folyamataiban a legjobb gyakorlatot alkalmazzák. Ezt a törekvést a legjobban az mutatja meg, hogy a kameráik a legtöbb, ha nem az összes fenti funkcióval és technológiával rendelkeznek. További információkért, konkrét ajánlatért kérjük, CCTV terméktámogató kollégáinkat keresse: Tóth István: +36 30 791-3335 toth.istvan@modernalarm.hu Waldmann Tamás: +36 30 791-3336 waldmann.tamas@modernalarm.hu Modern Alarm Kft. 1134 Budapest, Kassák Lajos u. 61. Tel.: +36 1 237-1915