Новости

04.09.2018

Китайские системы видеонаблюдения небезопасны? В США считают именно так

История с обнаружением критических уязвимостей в камерах видеонаблюдения китайского производства тянется довольно давно. Еще в 2013 году анонимный пользователь тематического ресурса cctvforum сумел без особых трудностей взломать одну из камер производства Hikvision и получить доступ к ее прошивке. В 2014 году обнаружилось, что видеорегистраторы данной компании использовались группой хакеров для майнинга криптовалют — для этого в устройства тайно загружался вредоносный код. 

Таким образом, было заражено множество устройств, а уязвимость была раскрыта благодаря усилиям американской компании Rapid7. Примерно через год появилось сообщение о хакерском взломе целого ряда сетевых камер и видеорегистраторов Hikvision, работавших в ситуационном центре китайской провинции Цзянсу. В марте 2017 года произошло еще более серьезное событие — группа реагирования на киберугрозы ICS-SERT обнародовала документ, в котором предупредила всех пользователей цифровых камер Hikvision, о том, что ряд моделей, которые были взяты на проверку, имеют механизм несанкционированного скрытого доступа к устройствам (backdoor), позволяющий получить права администратора (об этом инциденте мы уже сообщали ранее).

В этом году также не обошлось без неприятных инцидентов — в конце августа 2018 года, компания Hikvision сообщила о наличии и последующей ликвидации новой критической уязвимости в ее IP-камерах. Переполнение буфера на веб-сервере, встроенном в камеру, позволяет создать и передать в него сообщение с вредоносным кодом, который способен сделать камеру нерабочей или получить доступ к инструментам управления ею. Проблему обнаружила израильская компания VDOO, работающая в сфере кибербезопасности.

В отчете, подготовленном специалистами организации, говорится о том, что данной уязвимости подвержены только некоторые модели (в т.ч. те, которые Hikvision выпускает в рамках ОЕМ-контрактов). Следует отметить, что производитель оперативно выпустил новую версию прошивки, в которой проблема была устранена. 
Продукция еще одного лидер мирового рынка китайского происхождения — Dahua, также становилась объектом пристально внимания взломщиков. Так в 2013 году выяснилось, что данные учетных записей некоторых моделей видеорегистраторов индексировались и хранились поисковой системой ZoomEye, созданной для работы с системами Internet of Things, а в дальнейшем могли быть скрытно получены третьими лицами. Вскоре была выпущена программная «заплатка», но, по неизвестной причине многие владельцы видеорегистраторов Dahua, купленных в пять и более лет назад до сих пор не установили ее на свои устройства, соответственно, уязвимость продолжает быть опасной и сегодня (правда, только для устаревших моделей).

Тем не менее, серия «хакерских» скандалов привела к тому, что в конце лета на территории США вступил в силу «Закон о полномочиях в области национальной обороны» (National Defense Authorization Act — NDAA) на 2019 финансовый год, где одним из пунктов указан запрет на приобретение систем видеонаблюдения двух мировых лидеров рынка китайского происхождения — Hikvision и Dahua для нужд любых общегосударственных ведомств США. Документ уже подписан президентом США и технически он вступит в силу лишь 13 августа следующего года, но кто сегодня захочет внедрять устройства, которые гарантированно будут запрещены через год? Соответственно, американские компании сразу начали отказываться от покупки решений упомянутых брендов (включая их ОЕМ-версии). Правда, запрет не распространяется на местные органы власти — каждый штат или город должен вынести по этому вопросу собственное решение, но очевидно, что инициатива будет поддержана на всех уровнях (некоторые города уже сделали это). 

Возможно, что примеру Соединенных Штатов последуют и другие страны. Поэтому в процессе создания охранной системы видеонаблюдения, в первую очередь стоит обратить внимание на разработки проверенных брендов из ЕС и США. В частности, компания «Техногард» (ранее «MTI Системы Безопасности») сотрудничает здесь с такими мировыми брендами как Exacq Technologies, Illustra и American Dynamics, продукция которых имеет репутацию надежных, проверенных и защищенных решений.