SAWWA

автор: Андрей Васильков* 03*октября*2014
Этот год стал урожайным на критические уязвимости. Серьёзные ошибки находили там, где они оставались незамеченными годами. С последствиями некоторыми из них разбираются до сих пор. Обнаруженные проблемы усугубляет нежелание самих пользователей устанавливать обновления. Исключительно из-за человеческого фактора многие ошибки, давно устранённые на программном уровне, остаются актуальными по сей день. К примеру, тысячи интернет-камер продолжают показывать изображение кому угодно безо всякой авторизации. Большая часть из них используется службами безопасности, что добавляет пикантности этой истории.
В целом IP-камеры – довольно уязвимый класс устройств, особенно без должной настройки. Как и другое сетевое оборудование, они часто работают в конфигурации по умолчанию. Концепцию периодического аудита повсеместно вытесняет принцип «поставил и забыл». Если бы не принудительное требование установить надёжный пароль у некоторых камер, то даже его оставляли бы примитивной комбинацией цифр.

Практически все интернет-камеры управляются одной из версий Linux для встраиваемых систем. Такую прошивку легко подвергнуть поверхностному анализу, но даже он выявляет много интересного. Обычно внутри файла с расширением .bin находятся образы загрузчика и файловой системы, упакованные по алгоритму DEFLATE. Остаётся вырезать их, распаковать и сохранить как отдельные файлы .img. После монтирования образов порой хватает одного взгляда на структуру каталогов, чтобы понять где искать ошибки.
Удалённый доступ к IP-камерам без ведома их хозяина стал современной страшилкой, не лишённой реальных оснований. Пожалуй, самым показательным можно считать пример с камерами SecurView TV-IP110W, множество которых установлено по всему миру. Для просмотра снимаемого ими изображения достаточно ввести IP-адрес камеры и считать видеопоток в формате MJPEG через общий интерфейс шлюза – mjpg.cgi. Никаких запросов логина и пароля при этом вообще не выводится, а в браузере отображается видеопоток камеры в режиме реального времени – как постоянно обновляемый файл JPEG.

Существует множество вполне легальных способов узнать IP-адрес устройства, чем и пользуются любители частных виртуальных экскурсий. Идентификатором сетевых камер обычно служит аббревиатура «Netcam». У данной модели он записан строчными буквами – ещё один отличительный признак, который выделяет уязвимые камеры и позволяет находить их быстрее.
Технический директор TRENDnet Russia Алексей Петрянкин поясняет, что новые модели не имеют такой уязвимости, как и камеры, выпущенные до апреля 2010. Она появилась случайно четыре года назад в ходе одного из обновлений прошивки, и затем была устранена. В настоящее время модель заменена более новой – TV-IP110WN, а для старой выпущено исправление. Прошли годы, но многие пользователи до сих пор не установили важное обновление. Их камеры остаются уязвимы в силу разных причин, основными из которых являются обыкновенная лень и нежелание разбираться хотя бы в основах работы приобретённого оборудования. С этим компания-производитель поделать, увы, ничего не может.
Случай с камерами TRENDnet не уникален. Подобные ошибки в управляющем микрокоде время от времени допускают все производители. Важнее то, как на них реагирует разработчик и конечные потребители. Следует понимать, что из-за низкой квалификации пользователей на ИТ-рынке постоянно действует принцип ухудшающей конкуренции. Спросом пользуется самый дешёвый товар из массы внешне подобных. Поэтому при разработке IP-камер и многих других устройств основной упор делается на их дизайн, ценовой фактор и заявленные параметры. Именно по этим критериям их будет выбирать и сравнивать абсолютное большинство покупателей.
Оценить прошивку способны единицы специалистов, да и они при случае загрузят кастомную версию или модифицируют заводскую самостоятельно. Поэтому написание прошивок у многих производителей вынужденно делается по остаточному принципу и зачастую поручается сторонним программистам.
В отличие от встроенных камер и веб-камер с USB-интерфейсом, IP-камера устроена чуть сложнее. У неё есть собственная ОС и постоянный адрес в сети, что при настройках по умолчанию облегчает задачу атакующей стороне. Впрочем, абсурдно считать «злоумышленниками» любопытных школьников, скопировавших прямую ссылку на видеопоток с IP-камеры. В открытую дверь легко войти случайно, здесь же «двери» нет вовсе.
Если IP-камера подключается без использования сторонних средств защиты, то её очень просто обнаружить в интернете. Есть даже специализированные поисковые системы, ориентированные на «интернет-вещей». Казалось бы, подключение через роутер должно затруднить доступ к камере посторонним, но техника не обеспечивает защиту сама по себе. Безопасность – процесс, которым надо заниматься. Причём, самостоятельно вникая во всё, насколько это вообще возможно. При всей популярности аутсорсинга в сфере ИБ, нельзя сделать клиенту «красиво», когда он даже не пытается понять предложенное решение.
С моделью TV-IP110W получилось несколько необычно. В уязвимых версиях прошивки было допущено сразу несколько ошибок. Даже зайдя в меню настроек доступа через веб-интерфейс, владелец камеры не мог ограничить доступ посторонних – соответствующего анонимному пользователю пункта просто не было среди управляющих элементов. Его нельзя было добавить в «чёрный список» или снять где-то «галочку». Единственный выход – обновить прошивку, но именно эту элементарную процедуру многие так и не сделали.
Резкий рост популярности мобильной техники привёл к тому, что многие пользователи ставят дома роутеры. Чаще всего они выступают в роли точки доступа, предоставляя общее подключение по Wi-Fi и Ethernet. К роутерам подключают всё, что имеет сетевой интерфейс. При этом мало кто создаёт полноценную локальную сеть с разграничением доступа и фильтрацией трафика. Даже сам роутер стараются выбрать подешевле, признаваясь, что попросту не видят разницы.

Действительно, её трудно уловить при беглом сравнении. Качество сборки, уровень поддержки и другие детали, отходят на второй план, когда видишь полностью идентичные характеристики маршрутизаторов разных фирм. Однако при прочих равных отличаются они ещё и прошивкой. Кропотливая работа по её тестированию и оптимизации стоит немало, а потому удорожает конечную стоимость. То же самое касается IP-камер и других сетевых устройств.
Пару лет назад ASUS решилась на неожиданный шаг и официально признала альтернативные прошивки DD-WRT. Более того, в компании начали вести список совместимого оборудования и охотнее раскрывать технические детали сообществу «самоделкиных». Хочется верить, что её примеру последуют и другие производители, а пользователи хотя бы станут быстрее применять готовые исправления.