Организациите, които имат уеб-камери с пряка онлайн връзка, трябва да са нащрек за сигурността им (снимка: CC0 Public Domain)
Да си представим за момент лице, което хаква дигитална камера с връзка към интернет, използвана в дадена организация. После тихичко шпионира среща, на която се обсъждат важни договорености, описва се производствен процес или се провежда вътрешно обучение. Вече можем да си представим какво може да направи този човек с информацията, която е получил. Това е точно сценарият, който грози множество организации по света, без те да си дават сметка.
Една от всеки 12 организации с уеб камери, които „гледат“ право към интернет, не успява да ги защити правилно, сочи нов доклад за несигурните IoT устройства от BitSight. Подобна картина оставя тези компании уязвими за компрометиране.
3% от организациите, проследени от BitSight, имат поне едно видео или аудио устройство с пряка интернет връзка. Провеждайки видео или аудио срещи, те на практика са дали възможност на неоторизирани лица да следят дискусиите, да подслушват разговорите.
Кои организации са най-застрашени?
Анализираните организации включват такива в секторите на хотелиерството, образованието, технологиите и правителствения сектор. От тях сферата на образованието е изложена на най-голям риск. Там всеки четвърти използва уебкамери с интернет – или подобни устройства, податливи на видео или аудио компрометиране.
Много от компаниите от Fortune 1000 са претърпели най-голяма експозиция, посочва анализаторската фирма. Сред тях има такива, за които трудно можем да допуснем, че биха могли да са технологично уязвими – телекоми, технологични фирми.
Устройства
Повечето от устройствата, анализирани от BitSight, използват протокола за поточно предаване в реално време Real-Time Streaming Protocol, за да комуникират по интернет, въпреки че някои използват HTTP и HTTPS. Чрез RTSP потребителите могат да изпращат видео и аудио съдържание и да изпълняват команди за запис, възпроизвеждане и пауза на емисията.
Въпреки че много от устройствата, изследвани за доклада, са уеб камери, анализът обхваща и мрежови видео рекордери, интелигентни звънци и интелигентни прахосмукачки.
Защо са изложени на риск
Анализираните устройства „с лице към интернет“ не са били зад защитна стена или VPN. Това гиправи отворени за нападение.
Някои от разглежданите устройства са били неправилно конфигурирани. Други пък са били оставени изобщо без каквато и да е парола, зададена от потребителя. Има и такива, които са били засегнати от специфична уязвимост при контрола на достъпа, наречена IDOR.
IDOR уязвимостите стават все по-тревожно явление напоследък, според BitSight. През 2022 г. BitSight откри няколко критични подобни уязвимости в популярен автомобилен GPS тракер. Означен като CVE-2022-34150, този пропуск може да позволи на злонамерено лице да вземе информация от устройството, независимо от потребителския акаунт, свързан с него.
Видео- и аудио-комуникациите следва да бъдат защитени чрез мерки за контрол на достъпа; много от тях обаче не са защитени по този начин, позволявайки на нападателите да „надничат“ в конферентните връзки и да шпионират разговори. Един опитен хакер може дори да промени съдържанието, което се обменя, за да разпространи невярна информация, обясняват от BitSight.
Възможни ефекти
Някои от зоните, „гледани“ от уязвими уеб камери, включват производствени съоръжения, лаборатории, заседателни зали, училищни сгради и хотелски фоайета. Какво значи това?
Уязвимите уеб камери и други IoT устройства отварят вратите за няколко вида заплахи. Нападателят може да проследява важни срещи и разговори, което пък му дава възможност да събират лични данни или да компрометират информация, обменяна чрез видео или аудио дискусиите. Могат да бъдат разкрити действителните местонахождения на служители, мениджъри и други важни хора. Освен това хакерът може се добере до други дейности, свързани с бизнеса, което ще му позволи да събира чувствителна информация не само на компанията, но и на трети страни.
Разкритата информация може да застраши дори физическата сигурност. Някои от уеб камерите, анализирани от BitSight, контролират защитени врати и стаи, потенциално давайки на престъпниците информацията, необходима за пробив в достъпа.
Излишно е да се казва, че по този начин и цялостната киберсигурност на организацията може да бъде изложена на риск. Достъпът до уязвими аудио и видео устройства дава на нападателите повече данни за компрометиране на вътрешните ИТ системи и мрежи.
Намаляване на рисковете
За да помогне на организациите да намалят рисковете от незащитените уеб-камери, свързани директно към интернет, BitSight предлага няколко съвета. Всички вътрешни устройства от този вид следва да бъдат прегледани, наред с тези на съществуващите партньорски организации.
„Поставете всички уязвими устройства зад защитна стена или VPN,“ препоръчват анализаторите. Всяка камера следва да е защитена със средства за контрол на достъпа.
Важно е да се проследят софтуерните уязвимости. В тези случаи производителят би трябвало да е предоставил софтуерна корекция или друг начин за защита на устройството. Ако доставчикът не може или не иска да предостави корекция, единствената възможност е преминаването към друго устройство, за предпочитане от друга марка.
„Това изследване показва, че дори невинни ежедневните технологии като например уеб камерите могат да направят организациите силно уязвими,“ каза главният директор по риска на BitSight Дерек Вадала.