Как человек, проводящий испытания на проникновения, которого нанимали для
пробивания цифровых крепостей компаний из списка Fortune 1000, Кевин Финистер
взламывал электронные сейфы, оборудование для геологической съемки и многократно
- отопительные, вентиляционные системы и системы кондиционирования воздуха.
Но один из наиболее необычных взломов произошел во время недавнего
тестирования уровня безопасности американского муниципального органа управления.
После сканирования нескольких IP–адресов, используемых городским отделением
полиции, он вскоре обнаружил, что они напрямую связаны с Linux-устройствами,
находящимися в полицейских автомобилях. Используя немного больше, чем FTP и
telnet-команды, он подключился к автомобильному цифровому видеорегистратору,
применяемому для записи и показа аудио и видео.
Он был шокирован появившейся в результате проникновения прямой трансляцией на
своем экране.
"Это был офицер полиции, едущий в своем транспорте в середине дня", - сообщил
Финистер, который является главой консультационной фирмы Digital Munition. "Он
очевидно пытался отреагировать на инцидент или просто ехал по своим делам, и я
мог наблюдать все это в режиме реального времени".
Отчет, который Финистер опубликовал во вторник, подчеркивает недооцениваемые
риски, привносимые с технологиями, разработанными, чтобы предоставлять властям
поминутное "уведомление" о чрезвычайных ситуациях, за которые отвечают
полицейские. В то время как аудио и видео в режиме реального времени, полученное
с машин, часто обеспечивает полицейское начальство решающей информацией о том,
что случилось во время остановок для проверки, устройства часто делают сведения
доступными для любого, кто подключен к интернету.
Во время своего испытания Финистер смог не только получить прямую трансляцию
с двух отдельных камер, установленных на автомобиле, но также установить
контроль над жестким диском DVR (видеорегистратора). Используя пароли по
умолчанию, которые были жестко прописаны в FTP-сервере DVR и описаны в
руководстве пользователя, он мог загружать, скачивать и, удалять файлы, в
которых хранилось видео, отснятое в течение месяца.
Возможность для гражданского населения тайно шпионить за полицейскими,
отвечающими на вызовы, может иметь серьезные последствия для безопасности. Более
того, возможность неуполномоченным лицам просмотра и изменения видео,
хранящегося в полицейских автомобилях, может спровоцировать возбуждение
уголовного дела, где в качестве доказательств будут использоваться DVR.
Полицейский автомобиль, в который Фенистерру удалось проникнуть, был оснащен
прибором передачи, известным как Rocket и производится он компанией Utility Inc.
Отделение полиции использовало устройство для связи лэптопов, DVR и других
устройств, находящихся в автомобиле, с городскими компьютерными системами. Но
никому в городе неизвестно, что Rocket делает эти внутренние ресурсы доступными
через IP-адреса для любого подключившегося.
На самом деле, когда Финистер впервые натолкнулся на адреса, он понятия не
имел, что за ними стоит. Nmap показал, что на устройстве используется устаревшая
версия Linux, которая оставляет открытыми порты, используемые для некоторых
сервисов, включая FTP и Telnet. Финистер отметил, что ИТ-администраторы понятия
не имели, что устройство Rocket, которое использовало сотовую связь,
предоставляемую компанией Verizon Wireless, делало общедоступными их внутренние
ресурсы.
"Если ты используешь сотовую связь для обеспечения работы сервисов,
применяемых для закрытых операций, необходимо убедиться, что ты в закрытой
сети", - сказал Финистер. "Я не думаю, что каждый знает, что сервисы открыты
нараспашку при использовании услуг Verizon".
Усугубляло ненадежность использование в автомобиле видео-регистратора
MDVR.3xx , который продается на различных сайтах, включая Safetyvision.com,
Americanbusvideo.com и Eagleeyetech.com. Руководство для устройства, которую
Финистер нашел через Google, сообщило ему, что паролем для FTP-сервера DVR
является слово "pass". Что более удивительно: оказалось, что в telnet-сервере
устройства имеется уязвимость, которая позволила ему войти в сервис даже без
пароля.
Финистер сообщил, что он связался со службой поддержки Utility и рассказал,
что Rocket выставляет напоказ DVR и возможно данные других устройств.
Работник техподдержки сказал Финистеру, что это невозможно, после чего
испытатель заявил, что он оставит все дальнейшие попытки довести до сведения
компания все возможные уязвимости в их продуктах.
Притом, что DVR продаются, по меньшей мере, на 6 сайтах, Финистер отметил,
что он не смог найти нужного человека, с которым можно было бы связаться по
вопросу наличия login bypass уязвимостей в DVR устройстве.
По мнению Финистера, данный эпизод доказывает, что ни одна компания не
совершает достаточных действий, чтобы помочь клиентам надежно защитить свои
устройства.
"Если посмотреть на формулировку, представленную на сайте Utility или DVR,
можно заметить большое расхождение между тем, что предлагается и тем, что в
действительности получает пользователь", - сказал Финистер, который указал на
такие моменты, как восхваление компанией безопасности устройства. "В
действительности я вполне уверен, что моя способность внедрятся в ваши
видеорегистрторы, использовать дефолтные пароли и удалять данные, вероятно, не
очень хорошая вещь".
