Как проверять камеры на наличие «задних дверей»
Как проверить камеры на наличие «задних дверей»
В сети появляется всё больше камер видеонаблюдения, но вместе с ростом популярности растёт и риск их взлома. «Задняя дверь» – это любой скрытый доступ, который позволяет злоумышленнику наблюдать или управлять камерой, минуя официальные интерфейсы. Проверка камерами этой эксплойт‑уязвимости уже не роскошь, а необходимость.
Что скрывается под термином «задняя дверь»?
IP‑камеры – это мини‑компьютеры, на которых работают прошивки, которые могут унаследовать у сторонних производителей известные уязвимости. Задняя дверь может принимать форму:
- Пустой учётной записи с правами администратора, которую нельзя удалить.
- Обратной связи к внешнему серверу, который получает записи и телеметрию.
- Пользовательского скрипта, запускаемого при включении, который открывает удалённое подключение.
Проблема возникает, когда производитель не закрывает эти «открытые окна» при обновлении прошивки. Даже простая камера со статическим IP может стать целой операционной системой для киберпреступников.
Пошаговый план проверки
1. Сканирование сети на присутствие IP‑камер
Узнайте IP‑адреса устройств. Если вы подключены к роутеру, воспользуйтесь простыми сканерами: Nmap, Angry IP Scanner. Например:
nmap -sV -p80,443 192.168.1.0/24
Проверьте, какие порты открыты и каков ответ.
2. Получение информации о прошивке и версии
Перейдя по IP‑адресу, откройте веб‑интерфейс камеры. Введите логин admin (или любой другой, если вы поменяли) – большинство камер используют его по умолчанию. Если доступ невозможен, используйте инструменты, которые сканируют HTTP‑заголовки для вывода версии прошивки:
curl -I http://192.168.1.10
Проверьте наличие открытой учетной записи без пароля. Попробуйте сочетания типовых паролей: admin/admin, admin/1234 и т.д. Выиграть можно только на первом этапе, перед тем как переходить к обновлению.
3. Сравнение найденных версий с публичными базами уязвимостей
Сервисы, такие как CVE и NVD, содержат списки известных ошибок и датапоинтов. Введя номер прошивки, вы можете увидеть, закрыта ли она известные уязвимости. Если да – шаг 4. Если нет – обновитесь как можно скорее.
4. Проверка внешних соединений
Многие камеры открывают наружный порт для удаленного доступа. Смотрите, не открыта ли «служба удалённого управления» на порте 8000, 8080 и т.п. Сократите доступ к ним, если они не нужны. А также проверьте, нет ли записей в логе, указывающих на регулярное подключение к внешнему серверу.
5. Физический тест: подключение к сети 2‑й руки
Найдите сеть, к которой вы подключились через Wi‑Fi, и разберите трафик через Wireshark. Будьте внимательны к утечкам видео‑потока за пределы локальной сети – это прямой след «задней двери».
Как продукты YSS помогают защищать камеры
Если вы планируете монопольную сеть видеонаблюдения, начните с качественных камер, которые поставляются с встроенной защитой от удалённого доступа.
На YSS можно выбрать камеры с обновляемой прошивкой и без открытых учётных записей. Самый популярный вариант – IP‑камера YSS‑10. У неё:
- Встроенный модуль для OTA‑обновлений.
- Безопасное хранение паролей (SHA‑256).
- Встроенный аудит логов.
Весь комплект видеонаблюдения можно найти в разделе Каталог YSS. Там вы сможете собрать систему с контроллерами доступа, датчиками движения, и системами хранения.
Обновление прошивки как первый шаг к безопасности
Поставщик должен опубликовать новую прошивку сразу после обнаружения уязвимости. Обновите всё оборудование, даже если камера кажется неотличимой от старой версии. Не доверяйте файлам, загружаемым с неизвестных источников – проверьте SHA‑256, который размещает производитель. После обновления проверьте, исчезли ли открытые порты и учётные записи.
Регулярный аудит
Не стоит считать систему «всё готово». Планируйте проверку раз в 6 месяцев. Включите в план:
- Сканирование сети на новые устройства.
- Проверку учётных записей.
- Проверку лога внешних подключений.
- Верификацию версии прошивок.
Поставьте эти пункты в календарь, и вы будете знать, что ваша система работает как надо.
Чек‑лист для быстрой проверки
| Пункт | Что делать |
|---|---|
| Сканировать сеть | Nmap, Angry IP Scanner, посмотреть открытые порты |
| Проверить веб‑интерфейс | admin/admin, admin/1234; вывести версию прошивки |
| Сравнить с CVE | поместить номер прошивки в NVD |
| Лог внешних подключений | Проверить на регулярные соединения к IP‑адресам вне локальной сети |
| Обновить прошивку | Скачать проверенный файл, зашифровать SHA‑256 |
| Проверить учетные записи | Удалить все сервисные учётные записи без пароля |
| Периодический аудит | Составить календарь проверки 6‑ш месячного интервала |
Возможный след «задней двери» в вашем доме
Вы, как домовладелец, можете почувствовать тревогу: камера в подъезде открыта, а вы не видите, кто к ней подключился. Это легко проверить через веб‑интерфейс – проверьте, не присутствует ли там неизвестный пользователь. Для жителей дач, где камера работает по Wi‑Fi, лучше подключать роутер с сегментом гостевой сети, чтобы наружный трафик не проникал внутрь.
Как не попасть в ловушку
Если вы не уверены в своих знаниях, лучше привлечь специалиста по видеонаблюдению. Он быстро сканирует сеть, обновляет прошивки и проверит, нет ли слежки. Но главное – не пытаться «вырубить» сеть самостоятельно, если устройство подключено к управлению предприятием – это может привести к потере данных.
Независимый контроль и ответственность
В государственном секторе требования к безопасности выше. В школах, больницах, муниципальных службах необходимо регулярно проводить тесты на проникновение. А в бизнесе вы защитите не только личную жизнь, но и бизнес‑конфиденциальность.
Итоговый совет
Не пускайте «задние двери» в систему видеонаблюдения. Проводите проверку не один раз, а регулярно, обновляйте прошивки, проверяйте порты и учётные записи. И, если вы сомневаетесь в своей технике, обратитесь к проверенному поставщику оборудования – YSS предлагает продукты, которые уже продуманы с точки зрения безопасности.
