Im bardziej będziemy rozwijać świat IoT, tym więcej ryzyka łamania systemów bezpieczeństwa. W Polsce coraz wyraźniej widać popularność idei smart city, w tym temat inteligentnego monitoringu. To cieszy, wydaje się jednak, że ciągle mało w tej rodzimej debacie akcentu na zagrożenia; zwłaszcza nielegalne przejmowanie dozoru wideo nie znalazło w niej jeszcze należnej uwagi, a temat staje się niezmiernie ważny, również z tego względu, że w Europie, także w Polsce, na rynku pojawia się coraz więcej rozwiązań z dalekiej Azji. Czym jest i dlaczego warto mówić o hakowaniu monitoringu oraz sposobach walki z tym procederem, jak w ogóle w praktyce dbać o cyberbezpieczeństwo systemów dozoru w kontekście smart city?

Kontrola nad monitoringiem

Jednym z kluczowych obszarów podatnych na cyberzagrożenia są usługi i działania wykorzystujące technologie komunikacji bezprzewodowej, np. kamery sieciowe i wszelkiego typu smart-sensory, oparte m.in. na wiązkach laserowych i IR, stosowane w szeroko pojętym sektorze handlowym, logistycznym, transportowym, ale też przy infrastrukturze krytycznej i w ochronie obwodowej instytucji rządowych, czy należących do służb mundurowych; przy obiektach i obszarach związanych z usługami komunalnymi, przestrzeniach strategicznych z punktu widzenia bezpieczeństwa publicznego: w obrębie obiektów użyteczności publicznej, portów pasażerskich i handlowych, oczyszczalni ścieków, magazynów LNG, czy elektrowni lub ciepłowni.

Systemy dozoru, oparte na zminiaturyzowanych modułach, wyposażone w dodatkowe czujniki, są jak komputery, z tą kluczową różnicą, że ich dodatkową funkcją jest wychwytywanie określonych danych. Ogólnie ujmując, kontrola nad monitoringiem to kontrola nad danymi o nas samych, włączając kluczową daną – czyli nasz wizerunek i konteksty, w jakich się on pojawia. Dane te nie powinny dostać się w niepowołane ręce i firmy oferujące powyższe systemy muszą gwarantować odpowiednie zabezpieczenia. Trzeba podkreślić, że wszędzie tam, gdzie mamy do czynienia z mniej lub bardziej rozbudowanym systemem obserwacji opartym na sieciowych kamerach i czujnikach, istnieje potrzeba magazynowania tych danych w serwerach i chmurach. I one również wymagają specjalnej ochrony. Słabe algorytmy szyfrujące, bądź niewystarczająca świadomość zagrożeń na poziomie administratora mogą być dotkliwie wykorzystane przez hakera, którego ostatecznych intencji możemy nigdy nie poznać. Kamera może posłużyć jako urządzenie szpiegujące. Nie bez przyczyny administracja amerykańska zakazała swoim urzędnikom użytkowania urządzeń niektórych chińskich producentów. 

Scenariusze zagrożeń można wreszcie rozbudować o cyberataki na system sterowania ruchem miejskim, detekcji numerów rejestracyjnych aut i poboru opłat, systemu oświetlenia ulic i przystanków; wyobraźmy sobie również manipulację przy systemach dostępu biometrycznego, alarmowania zanieczyszczeń powietrza, czy detekcji temperatury lub deszczu. Dodajmy do tego ataki na kamery multisensoryczne, czy czujniki w ogóle, służące ochronie dziedzictwa przyrodniczego lub kulturowego, bądź wykorzystywane w inteligentnych urządzeniach gospodarstwa domowego. Wszystkie te nielegalne działania mogą wywoływać określoną aktywność, niepokój, bądź po prostu chaos. Niepożądana ingerencja w systemy obserwacji może prowadzić również do intensyfikacji fałszywych alarmów i w konsekwencji paraliżu służb ratunkowych, ale może być też elementem tzw. wojny hybrydowej. Dlatego też, na oba scenariusze – punktową ingerencję, lub skomasowany atak –państwa muszą być przygotowane. Przy czym świadomość tych zagrożeń powinny mieć nie tylko wyspecjalizowane służby, ale też każdy podmiot, zaangażowany w obrót gospodarczy, rejestrację i przetwarzanie danych (nie zapominając o RODO).

Ataki przejmujące w praktyce

O aktach skutecznego przejęcia kontroli nad monitoringiem miejskim nie pisze się często, bo i nie jest to powód do chwały, tym bardziej, że w niektórych przypadkach – o czym opinia publiczna mogła się dowiedzieć dopiero po dłuższym czasie – cyberataki dotyczyły istotnych obszarów bezpieczeństwa wewnętrznego. Ataki złośliwego oprogramowania powodują z reguły zmiany w ustawieniach obrazowania i kalibracji sceny, w zawartości lub właściwościach danego pliku, a także w ustawieniach karty sieciowej. Niektóre mogą prowadzić do chwilowego zatamowania lub przekierowania jakiegoś kanału informacji, inne w skutkach mogą prowadzić do większych szkód. Oczywiście, są też zaaranżowane crash-testy i hakowanie „służebne”, o których wiemy nieco więcej.

Jednym z ciekawszych przypadków udanego, kontrolowanego hackingu jest właśnie badanie Vasiliosa Hioureasa oraz Thomasa Kinsey'a, które ujawniło, że sieci, które mają chronić przed przestępcami i terrorystami, mogą stać się niebezpiecznym narzędziem. Wykazali oni, że w jednym z monitoringów miejskich nie było stosowane żadne szyfrowanie, mimo tego, że urządzenia posiadały odpowiednie funkcje. W dość prosty sposób stworzyli własną wersję oprogramowania, które umożliwiło pełną kontrolę nad kamerami, dzięki czemu byli w stanie przechwycić obraz z każdego miejsca, manipulować nim, zamieniać rzeczywiste filmy na fałszywe. Mechanika ataku polegała – najogólniej – na wykorzystaniu podatności sieci-siatki (mesh) na takie ataki jak ARP (gdy użytkownik podszywa się pod jeden z węzłów rout’ujących, przesyłając pakiety, następnie zmienia dane wysyłane do i z routera). Takie „okłamywanie” innych węzłów oznacza, że atakujący „mówi” użytkownikowi, że jest routerem, a routerowi, że jest użytkownikiem; w ten sposób atakujący uzyskiwał bezpośrednie pole widzenia np. posterunku policji, a imitując węzeł sprawiał, że kamery ustawione w pobliżu rzeczywiście zaczęły przesyłać swoje pakiety bezpośrednio do niego. Konfiguracja ta umożliwia tzw. atak man-in-the-middle znany z niektórych gier strategicznych. 

W tym scenariuszu możemy wyobrazić sobie jakąś grupę przestępczą, która poprzez zhakowany system najpierw zobrazuje fikcyjne przestępstwo lub zdarzenie wymagające pilnej interwencji, następnie przekona policję i inne służby, że ma ono miejsce w określonym miejscu i spowoduje wysłanie grupy operacyjnej w ten rejon. W tym samym momencie powstaje okazja do popełnienia przestępstwa w innej części miasta, w której faktycznie potrzebna interwencja z konieczności zostanie opóźniona, albo wręcz niedokonana. To scenariusz rodem z Hollywood, ale wcale nie musi być fikcją. 

Znane są również inne kontrolowane ataki na systemy monitoringu, przeprowadzane niekiedy przez specjalistów z Polski w ramach audytów bezpieczeństwa. Dzięki przysłowiowej jednej linijce kodu, w 2017 roku zhakowano kamery w stopniu pozwalającym nagrywanie audio i video, a nawet na dostęp do nagrań. Co ciekawe była to dość popularna kamera jednej z japońskich firm, wykorzystywana m.in. w więzieniach, ale także przez nowojorską policję, czy FBI. W przypadku innej kamery, przeznaczonej do miejskiej obserwacji zewnętrznej i wewnętrznej, ale poprzez nieuwierzytelnione zapytanie HTTP udało się np. zrzucić zawartość pamięci i uzyskać dane logowania administratora. Popularny staje się również google hacking, finalnie pozwalający na dostęp do streamu z kamer publicznych lub prywatnych (w przedsiębiorstwach lub w domach) poprzez testowanie domyślnego hasła producenta kamer. W Internecie można znaleźć wiele przykładów takiego prostego łamania zabezpieczeń, bazującego na niedostatecznej wyobraźni użytkownika.

Jak się bronić?

Nie ma potrzeby przywoływać tu działań leżących w domenie samych producentów i projektantów, security deweloperów, itd. (systematyczne badania nad potencjalnymi i dokonanymi atakami, pod kątem projektowania odpowiednich łat i upgrade’ów to podstawa). Z perspektywy bezpieczeństwa systemów monitoringu wskażmy na kilka ogólnych technik zapobiegania i „profilaktyki”, zarówno na poziomie technologicznym jak i operacyjnym.

Po pierwsze, jedną z podstawowych metod, jakimi należy się posługiwać jest odpowiednie planowanie i rozdzielanie uprawnień w systemie dozoru. Niby rzecz oczywista, ale nie zawsze przywiązuje się do niej właściwą uwagę.

Po drugie, jakość urządzenia, oprogramowania i powiązanych zabezpieczeń. Mowa tu przede wszystkimo odpowiednich algorytmach szyfrujących, procedurach logowania i potwierdzania tożsamości, procedurach zmiany haseł i uprawnień; a także o funkcjach kodowania obrazu, które umożliwiają zamazywanie sylwetek i twarzy ludzkich na określonym poziomie dostępu, uwzględniając również potrzeby służb.

Po trzecie – systematyczne aktualizowanie zabezpieczeń, a także stosowanie zaleceń. Z cyberatakami jest jak z grypą. Ciągle powstają nowe mutacje i żadna szczepionka nie jest w pełni skuteczna. Każdy producent kamer powinien jasno alarmować o podatnościach na ataki cyfrowe, a także informować, co przy danym zagrożeniu zrobić. 

Zauważalny jest jednak problem po stronie użytkownika końcowego – większości ataków można by uniknąć, gdyby na etapie konfiguracji zastosowano dobre praktyki. 

Tą krótką analizę warto zakończyć dwoma wnioskami generalnymi. Ograniczanie cyberzagrożeń musi być szczególnie ważne w zarządzaniu bezpieczeństwem w dziedzinach i sektorach strategicznych. Tym bardziej, że domena cyberbezpieczeństwa monitoringu sięga obecnie nawet poziomu geopolityki i geostrategii. Dlatego należy dbać o bezpieczeństwo systemów monitoringu służących nie tylko w obserwacji ruchu drogowego, lub kolejowego; ale też tych składających się na dozór obiektów rządowych, przedsiębiorstw i instytucji strategicznych dla bezpieczeństwa państwa i społeczeństwa. 

Źródło: Axis