Bezbednosna provera koju je sprovela kompanija Kaspersky Lab, gde je testiran aktivan sistem za nadzor u jednom gradu, otkrila je da se mrežama koje su kreirane da zaštite građane od kriminalaca i terorističkih grupa može manipulisati tako što će biti iskorišćene mane u konfiguraciji sistema.
Nije tajna da policijske ustanove i vladine organizacije već godinama nadgledaju gradske ulice, pri čemu su se sigurnosne kamere pokazale kao izuzetno korisne pri rešavanju slučajeva i sprečavanju kriminalnih radnji. Međutim, rezultati istraživanja koje su uradili Vasilios Hiureas (Vasillios Hioureas) iz kompanije Kaspersky Lab i njegov kolega Tomas Kinsi (Thomas Kinsey) iz kompanije Exigent Systems Inc. pokazali su da ovi sistemi takođe mogu biti iskorišćeni i u zlonamerne svrhe.
Kao deo njihovog istraživanja, autori su obavili ispitivanja na sistemu za video nadzor u jednom gradu. Sigurnosne kamere su bile povezane putem „mesh“ mreže, vrste mreže gde su čvorišta međusobno povezana i služe kao oslonac za prenos podataka (video materijal u ovom slučaju) od čvorišta do kontrolnog centra. Umesto korišćenja Wi-Fi hotspot-a ili kablovske konekcije, čvorišta u ovakvoj mreži jednostavno prebacuju podatke do sledećeg najbližeg čvorišta sve dok oni ne stignu do komandnog centra. Ako se uljez poveže na bilo koje od ovih čvorišta u okviru mreže, on će moći da manipuliše podacima koji se prenose kroz nju.
Sistemi za video nadzor koji se baziraju na „mesh“ mreži predstavljaju jeftiniju alternativu u odnosu na sisteme koji zahtevaju višestruke hotspot-ove na teritoriji grada ili kilometre kablova. Ali bezbednost ovakvih mreža u velikoj meri zavisi od toga kako je celokupna mreža podešena.
U slučaju koji su istraživali ovi autori, mreža kamera uopšte nije koristila enkripciju. Nakon što su kupili opremu koja je slična onoj koja se koristila u gradu, istraživači iz kompanije Kaspersky Lab su otkrili da su bili dostupni alati koji su dovoljni za enkripciju, ali da oni nisu iskorišćeni na pravi način. Kao posledica toga, jasni tekstualni podaci su se se kretali u okviru mreže i bili su dostupni svakom posmatraču koji bi rešio da se priključi na mrežu.
Istraživači su ubrzo shvatili da je njihova verzija softvera koji su koristili na mreži bila dovoljna da bude manipulisano podacima koji su se kretali u okviru nje. Nakon što su napravili kopiju mreže i softvera u laboratoriji, oni su uspeli da presretnu video materijal sa bilo kojeg čvorišta, a takođe su uspeli i da ga modifikuju tj. da zamene originalni video materijal sa lažnim.
Istraživači su podelili svoje nalaze sa kompanijom koja je postavila sistem za video nadzor u gradu prošlog leta. Od tada su izvršene neophodne promene na nezaštićenoj mreži.
„Sproveli smo ovo istraživanje kako bismo naglasili da sajber bezbednost takođe utiče i na fizičke sisteme za bezbednost, naročito kritične javne sisteme kao što je video nadzor. Prilikom konstruisanja pametnog grada, veoma je bitno da se ne misli samo na udobnost i uštedu energije i novca koje će doneti nove tehnologije, već i na probleme sajber bezbednosti koji se mogu pojaviti. Iako su rezultati ovog istraživanja prezentovani prošlog avgusta, imamo razloga da verujemo da su nalazi i dalje korisni za gradske vlasti koje planiraju da uvedu ili su već uvele sistem za video nadzor zasnovan na „mesh“ mreži”, izjavio je Vasilious Hiureas (Vasilios Hioureas), niži analitičar za malver kompanije Kaspersky Lab i koautor ovog istraživanja.
Kako bi bili izbegnuti bezbednosni problemi koji su dovođeni u vezu sa „mesh“ mrežom, kompanija Kaspersky Lab preporučuje neke od sledećih mera:
- Iako i one mogu biti hakovane, Wi-Fi mreže koje su zaštićene lozinkom predstavljaju minimalnu meru zaštite koja je neophodna kako sistem ne bi postao laka meta.
- Sakriveno SSID (javna imena wireless mreže) i MAC filtriranje (koje omogućuje korisnicima da kreiraju spisak dozvoljenih uređaja za Wi-Fi mrežu) takođe će odbiti hakere početnike.
- Proverite da li su sve oznake na opremi sakrivene ili priložene kako biste odbili napadače koji nemaju insajderske informacije.
- Obezbeđivanje video materijala uz pomoć kriptografije koja koristi javni ključ će učiniti manipulisanje video materijalom praktično nemoguće.
Ovo istraživanje je prvobitno prezentovano na DefCon konferenciji 2014. godine. Istraživanje je bilo objavljeno kao deo doprinosa kompanije Kaspersky Lab naučnoj bazi inicijative „Securing Smart Cities“, globalne neprofitne inicijative koja ima za cilj da reši postojeće i buduće probleme sajber bezbednosti u pametnim gradovima kroz saradnju i razmenu informacija između kompanija, vladinih organizacija, medijskih kuća, neprofitnih inicijativa i pojedinaca širom sveta..