Niedawno sekurak opublikował artykuł [1] o tym, że kamery na jednym z dworców PKP były dostępne bezpośrednio z Internetu. Pod postem szybko pojawiły się komentarze w stylu: „no i co z tego?”. Na pierwszy rzut oka rzeczywiście może się wydawać, że niewiele z tego wynika – ot, obraz z jednej kamery.
Problem zaczyna się wtedy, gdy spojrzymy na takie dane przez pryzmat dzisiejszych możliwości analitycznych. W dobie AI, rozpoznawania obrazu i analizy dużych zbiorów danych nawet pojedyncze źródło wideo może dostarczać bardzo cennych informacji: o ruchu osób, schematach zachowań, spotkaniach czy logistyce w danym miejscu.
Warto zestawić tę pozornie błahą sytuację z niedawną informacją opisaną przez The Telegraph, który donosił: „Israel hacked Tehran’s traffic cameras to spy on Khamenei […] Israel hacked nearly all of Tehran’s traffic cameras to spy on Ali Khamenei before launching an attack to kill Iran’s supreme leader.” To pokazuje, że infrastruktura kamer – szczególnie jeśli obejmuje przestrzeń publiczną – może mieć znaczenie znacznie wykraczające poza zwykły monitoring.
Nawet pojedyncza kamera na dworcu, dodatkowo z włączonym audio, może być bardzo wartościowym źródłem informacji. Co więcej, łatwo ulec złudzeniu, że takie urządzenie jest wyłącznie pasywnym sensorem. W praktyce jednak kamera IP to nic innego jak mały komputer podłączony do sieci.
A to oznacza, że często działa na starym, nieaktualizowanym systemie operacyjnym, z podatnym interfejsem webowym i wieloma znanymi lukami bezpieczeństwa. W takim scenariuszu kamera może stać się punktem wejścia do infrastruktury, pełnić rolę jumphosta, umożliwiać rekonesans sieci, a nawet prowadzić do eskalacji uprawnień poprzez podatności w interfejsie zarządzającym (np. XSS lub inne klasyczne błędy aplikacji webowych).
Krótko mówiąc – to nie jest tylko kamera. To element infrastruktury IT działający w bardzo wrażliwym miejscu.
Dodatkowo jestem w stanie się założyć ze 'administrator’ tej kamerki pierwsza rzeczą jaką zrobił po otrzymaniu informacji że jest dostępna z Internetu, w panice, ze swojej stacji roboczej (z milionem otwartych innych zakładek , zcache’owanymi uprawnieniami, a może i kontem administracyjnym). Zalogowal sie do tej nieszczęsnej kamerki by sprawdzić i 'zmienić hasło’. Jeśli redaktorzy Sekuraka mogli sie do niej zalogowac to tysiące innych też. Oni mogli nie byc tak mili i zmodyfikować jej oprogramowanie i wprowadzić złośliwe modyfikacje do jej kodu. Takie urządzenia powinno traktować sie jako skompromitowane i groźne. Dokładnie tak samo jak lekarz potraktowałby pacjenta który przyszedł na wizytę zkrawiącymi łzami i pęcherzami na skórze.
A jeśli do tego zaczniemy rozważać scenariusze, w których kompromitacja takiej infrastruktury może prowadzić do realnych, kinetycznych skutków w świecie fizycznym… to już temat na osobny wpis.
Ciekawi mnie jeszcze czy kamerka wymagała ActiveX…?