Сетевые устройства наступают. За последние несколько лет они стали функциональнее, понятнее и уже окружают рядового пользователя плотным кольцом. Сопротивление бесполезно? Пожалуй, да. Однако, по мнению ряда бывалых экспертов, IP-технике предстоит пройти еще немалый путь, чтобы сравниться с традиционным аналоговым "железом" по самому критичному показателю -- надежности. Самое важное на этом пути -- накопление опыта эксплуатации, что в охранной технике неотделимо от оперативной работы. Но уже полученные результаты говорят о том, что вместе с сетевыми устройствами линию обороны систем физической охраны теснит и принципиально новый враг -- хакер.

Выгляните в окно. Ваше авто на месте? Значит, на эту марку пока нет заказов...
(Из криминального фольклора)

Лет пять назад один из ведущих (по объемам реализации оборудования) производителей сетевых камер допустил грубую ошибку -- утечку технической информации. Такого рода промахи периодически случаются во многих крупных компаниях -- однако на этот раз достоянием общественности стала информация о том, что в "удостоенных призов" камерах используется веб-сервер с открытым кодом. Разработчик сервера поддерживает на своем веб-сайте форум, где в открытом доступе обсуждаются достоинства, недостатки, баги, глюки и источники нестабильности работы софта. Использовав одну из ошибок, оказалось возможным снять с удаленной камеры парольную защиту. Дальше, надеемся, объяснять не нужно -- "удостоенная призов" оказывается в полной власти хакера. Мотивация производителя проста: сэкономить на собственных разработках. Однако последствия подобного решения могут привести к катастрофе -- как виртуальной, так и физической. Подобным образом "вломиться" в аналоговые камеры не удастся -- для этого как минимум надо быть в непосредственной близости к объекту, пробовать физически перехватить видеосигнал, рисковать здоровьем. Сетевую камеру можно "хакнуть" откуда угодно. Было бы намерение. Весь ужас ситуации в том, что удостоенных хакерского внимания камер выпущено огромное количество.

Компании из крупной азиатской страны тоже пробуют выпускать камеры -- хитро подметив один из основных признаков европейской цивилизации начала XXI века: стремление купить подешевле. Инвазия "желтого" продукта на рынок привела к необходимости считаться с его наличием -- и один из крупных российских вендоров ПО по системам безопасности рискнул интегрировать хорошо продающуюся камеру "оттуда". Инсталляторы поначалу обрадовались такому шагу навстречу. Однако через пару месяцев техподдержку нашего вендора буквально заспамили обращениями: камеры зависали как минимум раз в день. Некоторые достаточно было перезагрузить отключением питания, некоторым помогала кнопка Reset. Остальные впадали в кому. Результат -- появление в документации на ПО сноски: "Данная модель поддерживается, но для применения в охранных системах не рекомендуется". То есть, как в анекдоте-загадке советских времен -- "жужжит, порхает, а в ж... не попадает".

Попасть по указанному адресу -- в переносном, понятное дело, смысле -- можно и имея проверенное временем и эксплуатацией сетевое "железо". Кривой софт на сервере или клиентской машине тоже способен помочь камере выйти из строя -- с подобным явлением часто сталкиваются специалисты при организации удаленного доступа к изображениям, источниками которых являются IP-камеры. Когда по причинам сбоев сети камеры "отваливаются" от системы, не всякое ПО способно это понять и простить. Результаты -- работающий в автономном режиме сервер, пустой видеоархив, нервы, мат. И это в лучшем случае. Если на охраняемый объект никто за время бездействия системы не позарился.

Беглый обзор компонентов систем IP-видеонаблюдения показал: при наличии злого либо профинансированного извне умысла вывести из строя сетевую камеру вполне возможно. Учитывая традиционную неготовность выводимых на рынок моделей к эксплуатации -- о чем свидетельствует распространенная в IT-сфере практика обновления прошивок вдогонку к уже выпущенному и проданному в красивой коробке изделию -- профессиональные злоумышленники могут потирать руки. Будет где порезвиться.

We will hack you

Пафос, с которым подавалась маркетологами IP-революция, до сих пор вызывает целую гамму разнообразных чувств. От воодушевления до настороженности и желания сбить спесь с "айтишников". Даже если системы физической охраны перейдут в ведение компьютерных служб компаний, это вовсе не означает, что вопросы безопасности сами собой решатся по загрузке волшебного командного файла. Случайно зависший сервер здесь способен обернуться потерями в живой силе, технике и финансах. А намеренно подвешенный -- уже почти гарантия серьезных проблем.

В этой серии опытов у нас появился привлеченный сообщник. Назовем его Мистер Х. Кстати, Х -- это не Икс. Это сокращение от слова "Хакер". Однако черную маску на лице нашего коллеги и партнера по ряду проектов мы пообещали сохранить. Скажем одно -- уровень его знаний и опыта позволяет редакции бессовестно использовать его в наших собственных проектах в качестве разработчика устройств, технического консультанта и носителя истины в предпоследней инстанции. Бессовестно -- потому, что далеко не все наши проекты приносят прибыль в денежном исчислении. Х тратит на них свое дорогущее время...

Около года назад Х позвонил в редакцию и вежливо поинтересовался, интересна ли нашей газете тема тестирования оборудования. Да, -- ответили ему, -- но только не с проплаченным заранее результатом. Чтобы не врать читателям во имя продвижения продукции заказчика -- тем более что из подобных публикаций "торчат уши", и они подрывают доверие адресата к средствам массовой информации вообще. О'кей, -- раздалось в трубке, -- есть предмет для встречи.

Вот что выяснилось в личном общении: работая с IP-видеосистемами, Х обнаружил, что некоторые из них надежно выполняют свои функции только лишь при работе в относительно комфортной для них сетевой среде. Как только сетевое окружение проявляет некоторую "недружелюбность", у систем в целом и отдельных устройств появляются провалы "зрения", "памяти" и т.п. И он задался вопросом: а что произойдет, если среда "озвереет" окончательно? И Х решил осуществить намеренную бомбардировку видеоохранной IP-сети провоцирующими сбои цифровыми данными. "На то и щука..."

А "караси", похоже, действительно дремлют. По нашему общему убеждению, надежность, скажем, охранного видеосервера должна быть такой, чтобы прибор можно было спокойно замуровать в стену в отдаленном уголке объекта и забыть, где именно. Такой аппарат должен уметь очень быстро восстанавливаться после аварий сети. Без необходимости нажатия на потайные кнопки или закачки каких-то сторонних приложений. Кстати, у серверов и камер "едет крыша" не только от банального перегрева "железа", установленного под потолком над батареей отопления в едва проветриваемом помещении. Софтовая часть тоже зачастую пишется исходя из идеальных условий эксплуатации -- однако известно, что высоконагруженный процессор современной IP-камеры весьма легко программным путем превратить в небольшую сковородку.

Периодически обмениваясь мнениями и новостями по теме, мы пришли к идее создания чего-то наподобие робота-хакера. Прибора, который автоматически проверял бы и камеры с серверами, и системы в целом на устойчивость к определенному набору внешних воздействий, производимых по сети. Можно спорить о содержании тестов, об их порядке и объемах. Но то, что вещь будет востребована, сомнений не вызвало. У нас загорелись безумным огнем глаза и зачесались руки. Мешала лишь проклятая текучка.
Вернулись к идее лишь в начале 2008-го, когда Х, наконец, удалось систематизировать накопленные образцы пакетов данных для "обстрела" систем. Кстати, к этому моменту мы окончательно убедились, что большинство ведущих мировых вендоров оборудования включили в свои линейки IP-камеры.

Интервью с человеком в маске

Security News: Объясни, пожалуйста, зачем нужны эти тесты.

Х: Думаю, что инсталляторам такие тесты нужны просто позарез. Сейчас они осваивают работу с IP-оборудованием практически вслепую -- а оно, в отличие от "аналога", нуждается в специальных мерах защиты. Многие рискуют "попасть на деньги" -- если в договоре на монтаж системы окажется заложена ответственность интегратора за степень безопасности, обеспечиваемую системой. Или сильно подпортить себе репутацию, если оборудование перестанет выполнять свои функции в полном объеме. Простите за банальность, но инсталлятор должен быть уверен в надежности всего, что он оставляет работать на объекте своего клиента.

SN: Но ведь не обязательно же на отдельном конкретном объекте начнутся отказы?

Х: Все, что теоретически может зависнуть -- виснет. Это один из постулатов системного администрирования. То есть собранная предварительно до установки на объекте система (а так делают далеко не все!) может и не рухнуть. А на объекте -- запросто.

SN: А можно поподробнее? Чем может быть вызвана такая разница в поведении систем в офисе инсталлятора и на объекте? Погодой? Расположением звезд?

Х: Работоспособность системы напрямую зависит от архитектуры зданий и сооружений, от взаимного воздействия установленного в здании оборудования и конкретно -- от конфигурации кабельной обвязки и расположения коммуникационных каналов. От качества самих кабелей, которое определяет уровень помех при передаче данных. От того, есть ли еще какая-либо нагрузка на сеть, кроме трансляции видеопотоков. Человеческий фактор, опять же. Живой юзер способен испортить всё (почти шутка). В общем, на реальных объектах инсталлятора всегда ждут разнообразные сюрпризы....

SN: А мы, стало быть, дадим возможность устраивать плановые "сюрпризы"? Эдакие учsения, максимально приближенные к боевой обстановке?

Х: Да. Чтобы обозначить границы применимости охранного сетевого оборудования. Посмотреть, как "железо" реагирует на попытки хакерского вторжения. Мы будем пробовать сбить устройства с толку. Все камеры, к примеру, ведут себя в экстремальных условиях по-разному -- это известно из опыта. Очень правильно было бы при инсталляции вообще скрывать типы установленных камер и серверов -- помимо взлома кодов, хакеру предстоит еще и угадать, куда, собственно, следует "ломиться". А у нас принято выставлять шильдики наружу. Чтобы щеголять перед партнерами и клиентами. Умные вредители именно так и будут срисовывать объекты.

SN: Ну, надеюсь, до этого не успеет дойти. Мы должны успеть систематизировать угрозы и определить, как выкручиваться из самых разных ситуаций.

Х: Да, звучит заманчиво... но у нас -- я говорю за всю мировую отрасль в целом -- пока недостаточно знаний и опыта в области обеспечения безопасной работы IP-видеосистем. Во-первых, крайне необходимо распространить опыт обеспечения безопасности IT-сетей на системы IP-видеонаблюдения. Во-вторых, нужен прибор, который имитировал бы максимально широкий спектр вредных воздействий на камеры. Такой прибор позволил бы инсталляторам и конечникам оценивать возможные последствия несанкционированного проникновения в их сети. И, что самое важное, заранее отрабатывать меры противодействия.

SN: Но ведь сбои в офисных сетях происходят и без всяких воздействий на них, "сами по себе"!

Х: Да, практически в любой офисной сети сбои случаются. Они, конечно, нежелательны, но в общем некритичны. То есть, если связи нет 10-15 минут, системного администратора за это премии не лишат. Но если к той же сетке подцеплены IP-камеры и клиент рассчитывает, что они будут обеспечивать нормальную охрану, -- отключение сети даже на минуту может вылезти боком. Потому не исключено, что намеренно атаковать сетевые системы видеонаблюдения будут, и не раз.

SN: То есть речь идет об имитации нападения на всю сеть? Или на отдельные ее компоненты?

Х: "Нападение" производилось на отдельные компоненты сети. Однако интерес представляла не только реакция "подопытных" устройств, но и то, как воспримут атаку все прочие участники сети -- как программные, так и аппаратные. В качестве компонентов системы использовались сетевые камеры Axis и D-Link, видеосервер Aviosys, а также ПО SecuritySpy для IP-видеонаблюдения на аппаратной платформе Macintosh. В качестве клиентских мест использовались два компьютера -- под Windows и Mac OS.

SN: Поясни, в чем заключается само "нападение"?

Х: Это "обстрел" сети специально подготовленными пакетами данных. На каждой из конфигураций произведено по два вида тестов -- одиночного и продолжительного воздействия. Эксперимент проводился в локальной сети. Выходить в Интернет пока не рискуем, поскольку упомянутые пакеты, даже если они пройдут сквозь провайдерские фильтры, могут быть приняты за настоящую, а не учебную вирусную атаку. Потом хлопот не оберешься...

SN: "Специально подготовленные пакеты данных" -- это что-то общеизвестное?

Х: Скорее, нестандартная комбинация стандартных пакетов. Или стандартные пакеты данных с намеренно внесенными легкими искажениями. Есть и комбинации пакетов, которые остаются незамеченными для ряда программ-фильтров, осуществляющих сетевой мониторинг. В любом случае, здесь можно говорить об определенном ноу-хау, однако работа над "боеприпасами" все еще продолжается.

Чем, что и как удалось испортить

Источник тестовых сигналов мы решили по уже сложившейся традиции окрестить NetCamCrasher. Он представляет собой аппаратное сетевое устройство, в которое зашит специализированный авторский софт. Управляется оно через встроенный USB-порт с персонального компьютера. На данном этапе до красивого и удобного интерфейса просто не дошли руки, и IP-адреса "целей" вводятся в NetCamCrasher вручную. Есть понимание того, что при реальном нападении злоумышленник каким-то образом сможет их раздобыть.

В принципе, адреса устройств, присутствующих в сети, могут быть определены извне техническим путем -- с помощью внедрения в сеть охраняемого объекта дополнительных устройств или вредоносных программ. Но практика показывает, что в нашей стране куда более эффективно (и дешево!) можно использовать человеческий фактор. Подкуп, шантаж либо угрозы работникам служб безопасности -- сюжеты такого содержания уже фигурируют даже в телесериалах.

Установки всех камер перед тестированием были настроены на максимально возможные частоту кадров (скорость) и пиксельное разрешение. Сами испытания повторялись по нескольку раз (если быть точными, от 5 до 12), в таблицах приведены усредненные результаты, а случайные отклонения -- опущены.

Замеченные неисправности и способы их устранения

Несмотря на относительную простоту эксперимента, достичь цели удалось. Уязвимости найдены, вызов брошен. Вера в рекламу -- ту самую, где "у вас уже все есть" -- пошатнулась: все возможности для взлома системы безопасности действительно есть. А вот как этого избежать -- об этом пусть думают производители "железа" и ПО. Все способы вредоносных воздействий через сеть предугадать невозможно. Но необходимо защититься хотя бы от каких-то известных, регламентированных угроз -- это будет уже определенность. Почти уверенность, что объект является в определенной степени защищенным хотя бы "от дурака" (как автомобиль сигнализацией). Принципиально похожим образом подходят к вопросам безопасности и в отрасли IT. У "айтишников", возможно, несколько облегченные относительно наших требования к безопасности (во всяком случае, нет такого жесткого ограничения на временную неработоспособность сети), однако ими уже накоплен огромный опыт защиты своего "хозяйства" от разного рода атак. Вот в этой точке и будет происходить конвергенция физической и логической безопасности, разговоры о которой в последнее время стали почему-то затихать.

В ходе опытов немало удивил разброс реакции тестируемых компонентов -- явно сказывается разница в аппаратном обеспечении и встроенном софте. Немного разочаровала легкость, с которой "ложились" камеры при интенсивном воздействии. Это наводит на мысли, что вероятность подобных атак на камеры производитель не учел. И потому надеяться на то, что "конструкция выдержит", не приходится. Однако "оглушить" более дорогие камеры Axis оказалось несколько сложнее: все-таки сказался опыт, накопленный за то время, что компания занимается выпуском сетевого оборудования для систем безопасности. Порадовала относительной стабильностью редко применяющаяся в охранной технике аппаратная платформа Macintosh -- по всей видимости, сказывается Unix-овое происхождение "родной" операционной системы Mac OS. Раздосадовала брешь в системе собственной безопасности сервера Aviosys. А сколько еще будет открытий...

Сетевые камеры Axis 207 и Axis 210
		Удаленное рабочее место на ПК Операционная система: MS Windows Клиентское ПО: браузер IE
Тест	Реакция
RapidFireCrash	Low	Заметно упали частота и равномерность отображения кадров.
	Medium
	High	Изображение зависло. Время восстановления нормальной работы после прекращения воздействия составило от 10 до15 секунд.
ConnectionCrash	Соединение с камерой прервано. При просмотре изображения через веб-браузер связь восстанавливалась через 10-15 секунд после "выстрела".

Удаленное рабочее место на Мас Mini с камерами Axis
		Удаленное рабочее место на ПК Операционная система: Mac OS X Клиентское ПО: пакет SecuritySpy, веб-браузер Safari
Тест	Реакция
RapidFireCrash	Low	Видеопоток передается без изменений.
	Medium
	High	В веб-браузере происходит немедленное зависание видеопотока форматов JPEG и MPEG-4. В ПО SecuritySpy до момента зависания проходит от 30 до 40 секунд. Восстановление нормальной работы происходит через 30 сек. после прекращения воздействия.
ConnectionCrash	В веб-браузере видеопоток JPEG завис, при переключении на формат MPEG-4 продолжил работу.

Поворотная сетевая камера D-Link DCS-6620
		Удаленное рабочее место на ПК Операционная система: MS Windows Клиентское ПО: браузер IE
Тест	Реакция
RapidFireCrash	Low	Видеопоток зависает, передача данных возобновляется только при завершении воздействия.
	Medium
	High	Камера самопроизвольно перезагружается в течение 5...7 секунд. После отключения воздействия переходит в позицию по умолчанию (при отсутствии таковой -- в центральное положение). При прерывании воздействия до момента перезапуска видеопоток сразу же восстанавливается. При более длительном воздействии восстановления видеопотока не происходит вообще.
ConnectionCrash	Соединение с выбранным ПК прерывается. Восстановить его перезапуском браузера или клиентской программы не удается -- только полная перезагрузка ПК. С другими компьютерами этой же сети камера продолжает работать в обычном режиме.

Видеосервер Aviosys 9100B*
		Рабочее место на базе ПК (2 вида) Операционная система: Windows/ Mac OS X Клиентское ПО: браузер IE/ Safari * Несмотря на относительную устойчивость аппарата к "обстрелу", у видеосервера обнаружилась весьма интересная особенность. Обойдя с помощью UDP-пакета его парольную защиту, удалось без труда установить этому устройству произвольный IP-адрес. Это вполне под силу хакеру со средним уровнем подготовки.
Тест	Реакция
RapidFireCrash	Low	Видеопоток передается без изменений.
	Medium	Неравномерность видеопотока становится заметной на глаз.
	High	Скорость видеопотока падает до 3...10 кадров в секунду при значительной неравномерности.
ConnectionCrash	Видеопоток останавливается. Восстановить удается повторным вызовом адреса в браузере.

Волшебный NetCamCrasher

Вот, собственно, и вызрело у нас техническое задание на коммерческую версию прибора. Предназначен он будет, как предлагал в своем интервью Х, для инсталляторов и относительно крупных конечных потребителей. С помощью "робо-хакера" можно будет проверять системы, группы и отдельные единицы оборудования на устойчивость к некоему обновляемому набору агрессивных по отношению к системе действий. Прошивки с вариантами тестов будут обновляться весь срок жизни прибора. Здесь этот прием более чем оправдан: появление новых угроз естественным образом требует изменения содержания тестов -- сравните, как это работает на примере обновлений антивирусного ПО. Возможна и поставка индивидуальных прошивок -- под нужды конкретного заказчика.

Вопрос безопасности применения прибора нуждается в дополнительной проверке. На первом этапе ни одно из протестированных устройств не получило никаких повреждений, которые помешали бы восстановить его работоспособность при полной перезагрузке. То есть, потерь в живой силе и технике -- никаких. Однако гарантийные обязательства на прибор придется разрабатывать в сотрудничестве с опытным юристом: полной гарантии того, что из камеры изготовителя Y не повалит в ходе проверки дым, производитель NetCamCrasher'а дать не сможет...

...Впрочем, до этого момента необходимо сделать ряд куда более принципиальных вещей. Например, обеспечить более широкий, чем описанный нами выше, спектр агрессивных воздействий на сетевые устройства. Методика тестирования также будет усовершенствована, разработаны тесты для групп оборудования и системного ПО. В общем, работы невпроворот.

Но текучку, кажется, мы уже почти разгребли. А усилий и времени на доведение аппарата до ума -- совсем не жалко.

Анатолий Ермаченко, Андрей Коломыйцев, при активном участии Х
Security News

P.S. Предварительные заказы на устройство NetCamCrasher пока не принимаются. Идеи, пожелания и соображения, как всегда, приветствуются.