«Пространство для эксплойта», – почему китайские прошивки IP-камер могут угрожать информационной безопасности
Наша компания занимается разработкой камер видеонаблюдения как на уровне Hardware, так и Software. Так получилось, что для работы нашим специалистам требуется регулярно «препарировать» чужое оборудование.
Не так давно, во время реверс-инжиниринга одной из таких камер наши специалисты наткнулись на подозрительную активность внутри прошивки. Если обычно Linux, который используется в камерах, это удобная и открытая для программистов система, то в случае с камерами из Китайской Народной Республики появляется несколько нюансов.
В изучаемом образце прошивки оказалось немало «улучшений», которые и породили первые подозрения.
В частности, модификации скрывали часть происходящих в камере процессов. Само по себе это не зазорно – мало ли, какие технические улучшения программисты хотели скрыть от промышленных шпионов.
Другое дело, что скрыть всё у них не получилось. Все-таки камера работает в сети, и подозрительная сетевая активность стала первой зацепкой наших инженеров. После подключения напрямую к системе отладки камеры оказалось, что после подсоединения Ethernet-кабеля устройство начинает сбрасывать кэш куда-то «наружу». Если простыми словами – drop cache позволял камере высылать какую-то информацию из камеры в неизвестном направлении.
Пытаясь обнаружить, куда именно камера пересылала информацию, наши специалисты нашли сразу две позиции, потенциально пригодных для эксплойта или взлома.
Первая – это работающий сетевой протокол PPP. Такие используются для организации связи между двумя узлами в распределенной сети, причем с использованием аутентификации, сжатия и шифрования. В зашифрованном виде из камеры могут отправляться данные о ее состоянии, скриншоты или иная информация, к которой устройство нашло доступ. Установить реципиента в распределенной сети практически невозможно, так что неизвестно, кому именно поступают данные. Таких последовательных зашифрованных соединений может быть множество.
Вторая была обнаружена уже после подключения к камере по протоколу Telnet. Наши программисты сообщили, что китайская прошивка при включении IP-видеокамеры создает не одну сеть, а две. Первая – «белая» – будет видна владельцу и установщику устройства. В частности, через IP-адрес этой сети пользователь подключается к WEB-интерфейсу камеры, камера использует его при соединении с ПК и видеорегистраторами.
Вторая сеть – «серая» – остается для пользователей скрытой. Для чего она камере, будет знать только создатель прошивки. Впрочем, данные об IP-адресе второй сети определить удалось. Этот диапазон IP-адресов принадлежит провайдеру DoD Network Information Center, расположенному в США. Некоторые сайты по проверке информации об IP выдают ссылку на сайт организации AS: chinatelecom.com.cn.
На прямой вопрос, зачем необходима вторая сеть, один из китайских производителей ответил, что "ее используют для массовой настройки камер на заводе". Однако, вызывает подозрение тот факт, что после заводской настройки дополнительный сетевой интерфейс не был удален. Из-за этого, получив к нему доступ, злоумышленник потенциально может получить данные с камеры или скриптами внести изменения в прошивку.
С учетом частых сообщений в СМИ о том, что TikTok или китайские производители электроники «сливают» информацию в Китай, очередной обнаруженный эксплойт – не новость. Однако, никогда не лишним будет иметь в виду эти особенности системы. И если вам не хочется, чтобы информацию с ваших камер внимательно изучали за рубежом:
1. Используйте управляемые коммутаторы, которые позволят закрыть камерам доступ к подозрительным портам.
2. Организуйте для видеокамер сети без доступа в Интернет.
3. Используйте видеокамеры с защищенными прошивками и модули криптозащиты для устройств.