Admin/PASSWORD párossal lépsz be?
Akkor a harang érted is szól!
- IT biztonság
- /
- 2019-09-30
Persze, az sem jelent egyértelmű védelmet, ha egyedi azonosítópárosokat alkalmazunk, hiszen itt a SecuriFocus „hasábjain” számos alkalommal adtuk hírül, hogy egy-egy firmware sérülékenység révén miként lehet alaphelyzetbe állítani egy IP CCTV kamerát. Minden esetre szögezzük le, hogy az alapértelemzett beállítások változatlanul hagyása egyértelmű meghívót jelent a hackerek irányába. Persze rendkívül kellemetlen, ha privát / üzleti életünk momentumai jutnak illetéktelen kezekbe, de kialakulóban van, egy újabb fenyegetés: a biometrikus azonosítóadatok ellopása az adott CCTV rendszer / kamera meghackelése révén.
Alapvetés I.: a megapixelek halmozódásának köszönhetően már bőven a 3 megapixeles képalkotás tekinthető átlagosnak, a kamerák tekintetében. Amint írtam, „átlagosnak”, hiszen az 5MP már egyre erőteljesebben terjed, de a 4K is hamarosan teljesen általános lesz. Ha ehhez társul egy legalább „standard” minőségű optika, akkor máris adott egy professzionális eszköz a biometrikus azonosítóink eltulajdonítására. Az igazat megvallva, a mostanra eljutottunk odáig, hogy már a kisebb CCTV gyártók is ügyelnek arra, hogy kameráikra legalább közepes minőségű optikák kerüljenek.
Alapvetés II.: a fentiek alapján egyesek arra a tévkövetkeztetésre juthatnának, hogyha biztonságban szeretnék tudni biometrikus azonosító jellemzőink egy részét, akkor érdemesebb rosszabb minőségű, gyengébb felbontású kamerát vásárolni. Mert ugye, egyszerűbb (értsd: olcsóbb) ez, mint drága védelmi megoldásokkal biztosítani az adott rendszer „érintetlenségét”. Biztos vagyok benne, hogy minden szakmabeli ezt, a probléma egy alapvetően hibás megközelítésnek tekintené. A video-megfigyelőrendszerek alapvető feladat a kiváló minőségű képanyag létrehozása. Mindemellett, valójában csak egy-két biometrikus jellemző ellopását „gátolja” egy rosszabb minőségű kamera.
Alapvetés III.: a megfelelő hatékonyságú mesterséges intelligencia „rendszerek” és az ezeken alapuló képtartalom elemző alkalmazások már nagyon is jelen vannak napjainkban. Az már egy másik kérdés, hogy a hackerek, illetve a munkájuk „eredményének” haszonélvezői milyen mértékben használják ki eme szoftverekben rejlő lehetőségeket.
Egy kerettörténet segítségével talán jobban megvilágítható a probléma. Adott G.I. Kft, melynek tulajdonos-ügyvezetője, elsősorban biztonsági szempontokat figyelembe véve, egy CCTV rendszer beszerzése mellett döntött. A Kft. nem túl nagy, de számos nagy bank számára teljesít különböző szolgáltatásokat. A rendszer kivitelezését a HAT Bt-re bízta, aki azt profin végre is hajtotta. A „pénz nem számít” alapon 5MP-es és 4K-s kamerák kerültek ki. Főleg a folyosókat, valamint be-/kijáratokat figyelik úgy, hogy egy kamerát arra képterületre „fókuszáltak”, ahol a be- és kilépők arca látható (jelentős valószínűséggel). Mivel az ügyvezető gyakran van távol az irodától, kérte, hogy a rendszert távolról is elérhesse. a HAT Bt. szakemberei természetesen a megváltoztatták az alapértelmezett felhasználónév / jelszó párost. Ennél lényegesen többet nem tettek, hiszen ők a video-megfigyelőrendszer telepítéséért voltak felelősek. Ámbátor anyagi nehézséget nem jelentett volna a cégnek, de külön kiberbiztonsági megoldásokat nem iktattak rendszerbe, valamint nem kérték a HAT Bt által felkínált rendszeres karbantartási szolgáltatást.
Milyen problémák léphetnek fel? Példának okáért az, hogy 1 évvel a rendszer átadása után kiderül (mondjuk), hogy az egyébként jelentős gyártótól származó kamerák és az NVR firmware-e biztonsági rést rejt magában, melynek segítségével egy közepesen képzett hacker könnyedén bejuthat kamerák menedzsment felületére, hozzáférhet az élőképhez és a rögzített (video és hang) adatokhoz. Ámbátor a gyártó viszonylag gyorsan bocsátott ki frissítést a problémára, mivel nem volt karbantartási szerződésük, és a HAT Bt. figyelmeztető emaile is elkallódott kibertér egy távoli bugyrában, sem a sérülékenységről, sem annak kijavítási lehetőségéről nem szereztek tudomást. Ellenben egy konkurens cég felfigyelt úgy a sérülékenységre, mint arra, hogy ezt ki is aknázhatná. Ezért megbízott egy „szakértőt” a „projekt” kivitelezésére. Eddig az alaptörténet.
Milyen adatokat szerezhetett meg a „szakértő”? Kezdjük, az egyszerűbbekkel. Mivel minden bejáratot kamera figyel, valamennyi munkavállaló, illetve a céget meglátogató személyek arcképét megszerezhette. Egy leheletnyit (ma még) a sci-fi kategóriába tartozik, de nem lehetetlen, hogy akár a ki-/belépő személyek íriszét is kinyerhette. Amennyiben a G.I.-nél, vagy partnereinél működik arc- / íriszazonosításon alapuló belső biztonsági rendszer és/vagy a cég (ill. ügyfelei) kulcspozícióban lévő munkatársai arc- / íriszazonosítással is feloldhatják telefonjaikat, máris felbecsülhetetlen értékű információhoz jutott úgy a versenytárs, mint a „szakértő”. Ráadás képpen, az utóbbi játékos még számos további érintettnek értékesítheti a kinyert adatokat. Jogosan érkezhet a felvetés, hogy amennyiben nem ismerjük az adott arc- / íriszazonosító rendszer megfelelő paramétereit, nem sokra megyünk a kinyert adatokkal. Fogadjuk el, hogy egy bizonyos érdekeltségi (értsd: lehetséges profit) szint felett ez nem okoz problémát. Plusz, bár a gyártók állítják az ellenkezőjét, több mobiltelefon arcfelismerője átverhető egy jobb minőségű nyomtatott képpel. Ennek kiküszöbölésén dolgoznak ezerrel a gyártók.
Arról már ne is beszéljünk, mikor valaki egy laza, viccesnek vélt mozdulattal a kamera felé int. Ilyenkor eszembe jut Ursula von der Leyen közel 5 éves esete, mikor egy sajtótájékoztatón egy „hacker” lefotózta a kezét, majd közzé tette a Miniszterasszony – a fotó alapján elkészített - ujjlenyomatát. Egy nagyfelbontású, „bezoomolt” kamerába integető személy ujjlenyomatát megszerezni nem olyan nagy ördöngösség. Ez alapján egy szilikon rátétet készíteni, majd egy azonosítónál felhasználni (akár a kiszemelt áldozat telefonját feloldandó) nem atomfizika.
Ha már tovább-értékesítésről is szó esett, a helyszínen megforduló valamennyi személy mozgásmintáját megszerezheti a hacker a megfelelő szoftver segítségével és ezt is értékesítheti, bár ez már nem feltétlenül a versenytársakat érdekelheti, de fogadjuk el, hogy léteznek olyan vállalkozások, melyek örömmel fogadnak ilyen adatokat is.
Összegezve
Az informatika és a biztonságtechnika célú megoldások jelenlegi technológiai fejlettsége mellett kitágult a világ, de a lehetséges veszélyforrások száma is gyarapodott. Mikor a védelem kerül szóba, olyan szempontokat is figyelembe kell vennünk, melyek felett még 5 éve is átsiklottunk, mert megtehettük, mivel az akkor technológia nem tette szükségessé, hogy erre is odafigyeljünk. Az az idő már elmúlt, ha nem figyelünk, nem kevés veszteség érhet minket és ügyfeleinket.
Szerző: OVSZ
