10262 Снимка: Булфото

Вече повече от седмица нови данни относно хода на разследването за изтеклите в интернет записи от салони за красота и от столичен гинекологичен кабинет няма. Собствениците на обектите заявиха, че според тях камерите са били компрометирани вследствие на хакерска атака. Властите, от своя страна, също изтъкнаха подобна версия, отбелязвайки, че видеоматериалите са разпространени от чуждестранен IP адрес - от страна извън Европейския съюз. По думите на разследващите достъпът до стотици от изтеклите файлове - снимки и клипове, към момента е ограничен и "потребители нямат възможност да заплащат суми, да ги гледат, свалят и разпространяват последващо".

Колко лесно е обаче да бъде хакната една охранителна камера, каква всъщност е анатомията на пробив при видеонаблюдението, има ли начин да разберем, че устройството ни е компрометирано, оставят ли следи киберпрестъпниците и как да защитим личното ни пространство, офиса ни и интернет мрежата ни - обяснява в специално интервю за Dir.bg експертът по киберсигурност Красимир Трайков.

Той е специалист с всеобхватен поглед върху киберсигурността, обединяващ техническото изпълнение със стратегическите бизнес цели. На базата на опита си като Compliance Specialist и настоящата си роля на Security Awareness Trainer, той успешно трансформира теоретичните политики в работещи практики. Като носител на престижния сертификат SANS Security Awareness Professional неговата философия е, че ефективната защита не се крие в документацията, а в изграждането на устойчива култура на сигурност и реални действия. Според него киберсигурността не е абстрактно понятие или скъпа корпоративна политика, а лична отговорност, която всеки от нас трябва да изгради. Красимир Трайков беше и един от лекторите в панела "Бъдещето, което се оформя: възможности и заплахи. Киберсигурност и конвергентни технологии" в петото издание на организирания от Dir.bg форум Green Transition, като още тогава засегна темата за незащитените камери.

киберспециалистът Красимир Трайков по време на дискусия от петото издание на Green Transition Forum Снимка: Булфото

Собствениците на салоните за красота и на гинекологичния кабинет твърдят, че са жертви на злонамерена хакерска атака. Каква всъщност е анатомията на един пробив при видеонаблюдението? Какви са уязвимостите, които могат да направят една камера лесна плячка за хакерите?

Когато някой каже "станахме жертва на хакерска атака", хората си представят нещо като филм - един човек в тъмна стая, който "пробива" системи. В реалността при камерите обикновено е много по-прозаично. Пробивът почти винаги започва с това, че устройството е видимо и достъпно от интернет и някой го намира. След това идва най-лесната част: вход през слабости, които са масови. Фабрични пароли (admin) или много слаби пароли (от 1 до 8 например), административен панел, който е оставен отворен към мрежата, или фърмуер, който не е обновяван.

Камерите всъщност са компютри, но хората ги третират като уреди и ги забравят. Ако добавим и удобните функции като тези, които ни позволяват да гледаме навсякъде от телефона си - там често има настройки, които при грешна конфигурация правят достъпа прекалено лесен. Така анатомията става проста: намират устройството, пробват най-често срещаните врати, влизат, стигат до предаването на живо или записите и после материалът се изнася и публикува.

Трябва ли хакерът да пробие цялата мрежа на даден обект, или самите камери, ако са свързани с интернет, са "отворени врати"?

Не е задължително да се пробива цялата мрежа. Ако камерата или записите са директно достъпни от интернет, това е като да оставиш входната врата отключена - нападателят въобще не се интересува какво има в останалите стаи. В много случаи целта е точно видеото, така че ако той стигне до камерата директно, приключва. Разбира се, има и втори сценарий - да пробият мрежата по друг начин и после да стигнат до камерите отвътре, но истината е, че масово при такива случаи причината е, че някой е осигурил удобен дистанционен достъп и това е станало слабата точка.

Съществуват търсачки, които индексират незащитени устройства. Възможно ли е тези кадри да не са откраднати от конкретен хакер, а просто да са били свободно достъпни за всеки с малко повече технически познания?

Да, напълно възможно e, но за този конкретен случай личното ми мнение е, че не е така. Видео предаването може да се случи доста лесно понякога. В света на киберсигурността съществуват специализирани търсачки (като Shodan или Censys), които са нещо като Google за устройства. Те сканират целия интернет 24/7.

Всеки дори с много базови познания може да влезе там и да напише филтър: "Всички камери в София, България, без парола". В този сценарий "хакерът" не е нужно да разбива и да разбира от нищо повече. Той просто минава и събира това, което е като оставено на улицата. Това превръща воайорството от сложно престъпление в детска игра, достъпна за всеки любопитен човек с достъп до правилните сайтове.

Властите съобщиха, че видеата са качени в интернет от чуждестранен IP адрес. Може ли IP адресът да е манипулиран така, че да изглежда, че атаката идва от Китай например, а всъщност хакерът да се намира в съседния квартал?

В интернет IP адресът е като адреса на подателя върху пощенски плик - всеки може да напише, каквото си поиска там. Хакерите почти никога не атакуват от собствения си домашен интернет. Те използват дигитална маскировка. Най-често това става чрез VPN услуги, които пренасочват трафика през сървъри в други държави, или чрез т.нар. ботнети - мрежи от вече заразени компютри на невинни хора. Хакерът може да седи в кафене в центъра на София, да прекара връзката си през сървър в Бразилия, после през Китай и накрая да удари целта. За разследващите изглежда, че атаката идва от Китай, но това е просто "димна завеса". Затова, когато чуете "чуждестранен IP", не бива автоматично да правите заключение "значи е чужденец". Това е отправна точка за разследване, не е окончателен отговор.

Дори и при използване на VPN и прокси сървъри има ли някакви следи, по които разследващите могат да стигнат до реалния извършител на атаката?

Има. Много хора надценяват колко "невидими" ги правят VPN-ът и прокситата. Разследването рядко се крепи на една следа, то се крепи на съвпадения във времето, на логове, на модели на поведение, на това как е качен материалът, откъде е качен, какви акаунти и устройства са използвани. Понякога най-силната следа е човешката грешка - един път да влезеш без защита, един път да използваш личен имейл, един път да си оставиш отпечатък - и цялата "анонимност" се разпада. Понякога браузърът им издава реалната часова зона, езикови настройки или за части от секундата връзката им прекъсва и разкрива истинското IP. Полицията може да изиска логове (записи) от доставчиците на интернет и VPN услугите (ако има правно сътрудничество между държавите). Освен ако не са използвани анонимизиращи такива.

Ако е лесно да бъде хакната охранителна камера, лесно ли е да бъдат хакнати камерите на телефоните и лаптопите ни?

Не бих ги слагал в една категория. Телефоните и лаптопите по принцип имат по-сериозна защита, по-редовни обновления и доста по-зряла екосистема. Това не значи, че са невъзможни за компрометиране, но е в пъти по-трудно. Ако човек бъде подведен да инсталира зловредно приложение, ако отвори опасен файл, ако попадне на фишинг, ако даде разрешения, които не разбира - тогава и камера на телефон може да бъде използвана за злоупотреба. Разликата е, че при охранителните камери често не се изисква чак толкова социално инженерство - там понякога стига да са оставени с фабрични настройки или с лоша конфигурация и те сами стават достъпни.

Доста често хората оставят камери, за да наблюдават домашните си любимци или децата си от разстояние. За какво трябва да внимаваме при монтирането на такива устройства и как да сме сигурни, че друг няма достъп до тези кадри?

Тук винаги казвам едно и също - домашната камера е прозорец към личния ви живот. Ако я слагате за деца или домашни любимци, трябва да сте два пъти по-внимателни, защото рисковете не са абстрактни - те са интимни. Най-важното е да не разчитате на фабричната настройка "както си работи". Сменяте паролата веднага, правите я силна и уникална, активирате двуфакторна защита, ако има облачен акаунт, и избягвате решения, при които камерата е директно видима от интернет. Ако можете да отделите тези устройства в отделна мрежа - още по-добре. И също - проверявайте кой има достъп. Много хора забравят, че са дали достъп на стар телефон, на бивш партньор, на роднина "само временно" или на техник, който е инсталирал системата.

Заложете на реномирани производители, които поддържат продуктите си. Понякога евтините устройства се много лесно компрометирани. Ако можете, изберете за бебефон, който е без връзка през интернет.

Има ли индикации, които могат да ни подскажат, че устройството ни е компрометирано?

Понякога има, но невинаги. Ако някой просто гледа потока, може и да не остави очевидни следи. За сигнали, които трябва да ви направят впечатление - камерата започва да се рестартира странно, настройките се променят, без вие да сте ги пипали, появяват се непознати устройства или потребители в приложението, виждате логини от необичайни места или имате "дупки" в записите.

Понякога камерата може да се върти, без вие да сте подали команда за това. Понякога може да бъдете и изхвърлени от акаунта си, ако някой е придобил достъп и е премахнал вас. И тук е важно да кажа - ако няма симптоми, това не е доказателство, че всичко е наред. Единствената сигурност идва от добрата настройка и контрола на достъпа, не от усещането "май работи нормално".

Ако днес си купя камера за офиса или дома, кои са задължителните неща, които трябва да направя, преди да я включа в мрежата? И съответно - какво да направя, за да е защитена и интернет мрежата ми?

Какво правя аз: Първо, избирам устройство, което реално се поддържа - да има обновления, да има политика за сигурност, да не е някаква марка, за която след година няма да чуваме или сега за пръв път сме чули. След това още в първите минути правя най-важното - обновявам версията на софтуера и сменям фабричните настройки за достъп. Ако има облачен акаунт, активирам двуфакторна защита, но в повечето случаи избягвам всичко, което се качва в облак. Дори и да не дават директно лесен достъп до злонамерени лица, някои технологични компании в миналото са имали слабости и хакери са успявали да ги пробият, съответно ще могат да достигнат и до нашите записи. Отделно някои компании използват записите за обучаване на изкуствен интелект.

След това гледам да не правя камерата публична - тоест не отварям портове към нея и не разчитам на "лесен достъп отвсякъде", ако това значи, че устройството стои като табела на интернет. Ако ми трябва отдалечен достъп, по-добрият подход е да влизам през защитен канал към мрежата, а не да излагам камерата директно.

И за самата мрежа - рутерът да е обновен, паролата му да е сменена, Wi-Fi да е с добра защита и ако може, камерите да са в отделна мрежа, отделно от лаптопите и работните устройства. Това е разликата между "сложих камера" и "сложих камера сигурно".

