15 lipca, 2020 / 

Minimalizacja zagrożeń cybernetycznych dla kamer sieciowych

Uri Guterman, szef działu produktów i marketingu, oraz Elaine Moran, inżynier pomocy technicznej i terenowy firmy Hanwha Techwin Europe wspólnie opracowali proste wyjaśnienie terminologii z zakresu cyberbezpieczeństwa nadzoru wizyjnego, które przypomina również, że walka z działaniami hakerów pozostaje najwyższym priorytetem.

 

Od dawna słychać obawy o możliwość uzyskania przez hakerów dostępu do podglądu na żywo lub pobrania zapisanych obrazów zarejestrowanych przez kamery do nadzoru wizyjnego zlokalizowane w chronionych obszarach. Wielu producentów profesjonalnych kamer zareagowało na to zagrożenie, wprowadzając protokoły konfiguracji sieci urządzeń, które nie zezwalają na stosowanie hasła domyślnego lub składającego się z kolejnych liter czy cyfr. Hakerzy będą jednak szukać innych sposobów dostępu do danych, w tym przez tylne wejście („backdoor”).

Niezależnie od tego, czy celem jest popełnienie przestępstwa, złośliwe działanie, czy podjęcie się wyzwania przez hakerów–amatorów, bezpieczeństwo danych użytkowników końcowych ma podstawowe znaczenie. Ma to takie samo zastosowanie do tysięcy małych firm, które zawierzają rozwiązaniom nadzoru wizyjnego bezpieczeństwo swoich zasobów, ludzi i majątku, jak do obiektów o krytyczny znaczeniu, w których stosowane są ścisłe zabezpieczenia, takich jak lotniska, banki, placówki samorządowe, rządowe, wojskowe i ratunkowe.

 

Projektowanie z myślą o cyberbezpieczeństwie

Najbardziej odpowiedzialni producenci kamer do nadzoru wizyjnego powinni rekrutować inżynierów oprogramowania posiadających odpowiednie umiejętności, aby szybko opracowywać aktualizacje firmware’u wraz z pojawianiem się nowych zagrożeń. W firmie Hanwha Techwin na eliminowaniu potencjalnych luk w zabezpieczeniach produktów i rozwiązań Wisenet skupia się zespół S-CERT (Security Computer Engineering Response Team). Jego członkowie zostali uważnie dobrani ze względu na posiadaną przez nich wiedzę specjalistyczną z zakresu identyfikowania, analizy zagrożeń cybernetycznych oraz szybkiego i skutecznego reagowania na nie.

Oprócz tego producenci powinni korzystać z usług niezależnych agencji testowania bezpieczeństwa cybernetycznego, które pomagają identyfikować luki w zabezpieczeniach. Nie zmienia to faktu, że jak to zwykle bywa, lepiej zapobiegać, niż leczyć. Właśnie dlatego producenci tacy jak Hanwha Techwin wyposażają najnowsze kamery w chipsety opracowane od podstaw, aby zminimalizować ryzyko dostępu hakerów i instalacji szkodliwego firmware’u.

 

O ile żaden producent nie może w 100% zagwarantować, że jego produkty nigdy nie zostaną zhakowane, nowa generacja chipsetów będzie prawdopodobnie zawierać wiele technologii znaczni podnoszących cyberbezpieczeństwo kamer, w których zostały zainstalowane.

 

Objaśnienie żargonu

Niektóre z tych technologii są nowe i zostały opracowane specjalnie do walki z cyberatakami. Pierwotnym celem innych było podniesienie sprawności działania chipsetów, ale również mogą one przyczynić się do zwiększenia bezpieczeństwa kamer. Niemal wszystkie wymieniane w dokumentach, arkuszach danych czy w Internecie mają postać akronimów lub są nazwane w sposób, który nie wyjaśnia, do czego służą. W związku z tym przedstawiamy tu objaśnienie niektórych, najczęściej spotykanych technologii.

  • Zabezpieczenie przed sklonowaniem urządzenia: funkcja „anti-hardware clone” zabezpiecza chipset przez sklonowaniem. Oprócz tego, że chroni prawa własności intelektualnej, gwarantuje, że chipset z etykietą producenta jest oryginalną kopią i eliminuje ryzyko zastosowania sklonowanego urządzenia, które może zawierać złośliwe oprogramowanie służące do kradzieży danych poufnych, np. haseł.

 

  • Akceleracja obliczeń kryptograficznych: zastosowana do rozwiązań nadzoru wizyjnego akceleracja obliczeń kryptograficznych zwykle odnosi się do chipsetu kamery wykonującego złożone funkcje matematyczne w celu szyfrowania i odszyfrowywania. Jest to bardzo zasobochłonna operacja. Wyposażenie chipsetów w mechanizm specjalnie przeznaczony do tego celu umożliwia sprawne szyfrowanie/odszyfrowywanie bez wpływu na inne funkcje kamery.

 

  • Szyfrowanie obrazu: cyberprzestępca może włamać się do sieci i uzyskać dostęp do poufnych materiałów wideo i danych przesyłanych między lokalizacją kamery a miejscem wyświetlania, rejestracji i zapisu obrazu. W związku z tym obraz jest szyfrowany przed przesłaniem go przez sieć. W tym celu piksele są losowo mieszane, aby nikt nie mógł wyświetlić obrazu po włamaniu się do sieci.

 

  • Bezpieczne porty JTAG: Porty JTAG to interfejsy sprzętowe używane do programowania, testowania i debugowania urządzeń. Mogą zostać jednak wykorzystane przez cyberprzestępców do uzyskania pewnej kontroli nad urządzeniem, np. w celu zastąpienia firmware’u jego szkodliwą wersją. Można temu zapobiec, zabezpieczając port JTAG mechanizmem uwierzytelniania opartym na kluczach, do których dostęp mają tylko upoważnieni pracownicy producenta.

 

  • Zabezpieczone porty UART: porty UART to interfejsy szeregowe zwykle używane do debugowania kamer. Umożliwiają dostęp administracyjny do kamery, w związku z czym bywają celem hakerów, którzy chcą uzyskać dostęp do informacji poufnych takich jak hasła. Hakerzy mogą też uzyskać dostęp do firmware’u kamery w celu przeprowadzenia inżynierii wstecznej oraz znalezienia luk w zabezpieczeniach protokołów komunikacyjnych. Wymuszenie ograniczonego i bezpiecznego dostępu do portu UART pozwala na bezpieczne debugowanie bez otwierania drzwi cyberprzestępcom.

 

  • OTP ROM: to akronim One Time Programmable Read Only Memory, czyli jednokrotnie programowalnej pamięci przeznaczonej tylko do odczytu, w której dane poufne, takie jak klucze szyfrowania, są zapisywane tylko raz na chipsecie, co zapobiega ich modyfikacji. Chroni to klucze szyfrowania używane do weryfikacji etapów sekwencji bezpiecznego rozruchu i zapewnia dostęp do portu JTAG.

 

  • Weryfikacja bezpiecznego rozruchu: bezpieczny rozruch zapewnia dodatkową warstwę zabezpieczeń, ponieważ różne elementy systemu operacyjnego kamery są umieszczane w piaskownicy będącej obszarem chronionym. Pełny rozruch zostanie ukończony, zanim rozpocznie się komunikacja z dowolną inną częścią systemu. Zapobiega to zakłóceniom procesu rozruchu, które mogą zostać wykorzystane przez hakera.

 

  • Generator liczb losowych: komputery są zaprojektowane pod kątem tworzenia bardzo przewidywalnych danych, dlatego niezbyt dobrze radzą sobie z liczbami losowymi niezbędnymi do skutecznego szyfrowania. Dedykowany generator liczb losowych rozwiązuje ten problem, ponieważ posiada specjalny mechanizm umożliwiający wykonanie takiego zadania.

 

  • Zabezpieczone porty OS: używanie osobnego systemu operacyjnego (OS) do szyfrowania, odszyfrowywania i sprawdzania, czy aplikacje nie zostały zmodyfikowane lub podrobione, odciąża główny system operacyjny kamery. Do uzyskania dostępu do bezpiecznego systemu operacyjnego niezbędny jest odrębny interfejs API oparty na systemie Linux. Bez niego nie można wprowadzić żadnych zmian z zewnątrz kamery. W związku z tym zawsze należy używać bezpiecznego systemu operacyjnego do przetwarzania ważnych zapisanych informacji.

Na rynku, na którym panuje bardzo duża konkurencja, wybór producentów jest znaczny. Konsultanci, projektanci i integratorzy systemów mogą więc dowolnie zawęzić listę kandydatów na preferowanych dostawców do tych, którzy wprowadzili najlepsze praktyki do procesów produkcji. Świadczyć o tym będzie wyposażenie kamer w większość, jeśli nie we wszystkie, wymienionych powyżej funkcji i technologii.

Masz pytania na temat cyberbezpieczeństwa? Wyślij e-mail do Uriego Gutermana na adres: u.guterman@hanwha.com