Контакты
Подписка
МЕНЮ
Контакты
Подписка

Привёл Сусанин в "Облака"! (Безопасный и Ужасный - часть шестая)

В рубрику "Видеонаблюдение (CCTV)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Привёл Сусанин в "Облака"!(Безопасный и Ужасный - часть шестая)
Статья печатается в авторской редакции

Михаил Руцков
Генеральный директор
компании MegaPixel Ltd., к.т.н.

Вспомним крылатую фразу начала 90-х "Ну, вот я и в "Хопре!". Прошло 20 лет - теперь можно озвучит новый слоган: "Ну, вот мы и в "Облаках"!". Это в плане услуги Video Surveillance as a Service - VSaaS (Облачное Видеонаблюдение как Сервис). Не правда ли, завораживает - такие высоты! Давайте разбираться. Возьмем, например, компанию, которая является безусловным лидером по предоставлению услуг облачного видеонаблюдения в России и странах СНГ Ну, вот так они сами себя провозгласили. А что - нормально, в духе времени, так сказать. Итак, что у нас в меню1? Сначала оглавление:

Видеонаблюдение онлайн: всё под вашим контролем!

Компания предлагает удобный сервис для создания собственной системы видеонаблюдения через Интернет, воспользовавшись которым вы всегда будете держать под контролем один или несколько объектов. Программное обеспечение, разработанное нашими специалистами, предназначено для использования:

  • в офисах;
  • в магазинах, супермаркетах и на складах;
  • в банках, обменных пунктах и ломбардах;
  • на автостоянках, автозаправках и в гаражах;
  • на выставках и в музеях;
  • в домах, на дачах и на прилегающей территории;
  • в квартирах и в подъездах.

Видеонаблюдение через интернет онлайн открывает для вас новые возможности. Установив программу удаленного клиента на одном или нескольких объектах, вы подарите себе ощущение свободы. Для того чтобы узнать о происходящих событиях, не потребуется ваше непосредственное присутствие. Пользуясь системой, можно легко увидеть, что происходит на объекте, из любой точки земного шара. Все, что вам для этого будет нужно - доступ в интернет.

Ну что ж - неплохо. Честно признаюсь, сначала подумал, что для радиолюбителей предназначается - так во времена советские энтузиастов называли. Однако охват всеобъемлющим оказался. Даже программа "Безопасный Город" сюда вписывается, в плане жилого сектора - домов, дворов и подъездов. Да и "лёгкая" городская инфраструктура тоже представлена достойно - магазины, офисы, стоянки и т.д. Конечно, стратегические объекты, типа аэропортов, космодромов и АЭС не упоминаются, но кто его знает - может быть со временем... Далее следуют примеры реализации конкретных вариантов и описываются разнообразные выгоды от использования интернет-видеонаблюдения:

Видеонаблюдение через интернет для квартиры поможет справиться со многими задачами. Они необходимы для родителей, оставляющих своего ребенка под присмотром няни. Вы сможете в любой момент увидеть, что происходит с вашим малышом. Таким образом, проверяется добросовестность нанятой работницы и ее отношение к обязанностям. Накормлен ли ребенок, уложили ли его вовремя спать - вы будете знать ответы на все возникшие у вас вопросы. Убедиться, что все в порядке, можно с компьютера, ноутбука, нетбука и даже с iPhone.

Простая система видеонаблюдения через интернет, предлагаемая нашей компанией - это доступное решение, которое позволит всегда быть в курсе событий, происходящих в вашем доме. Где бы вы ни находились - на работе, в супермаркете, в машине или на пляже под жаркими солнечными лучами, вы сможете узнать, что происходит в данный момент на территории вашей собственности. Восстановить события нужной даты поможет архив.

Это доступная система, которая не требует больших затрат. Установив ее в офисе, можно спокойно отправляться в отпуск, поскольку в любой момент вы сможете проконтролировать работу ваших сотрудников. Благодаря внедрению систем наблюдения, персонал будет меньше отвлекаться от рабочего процесса, соответственно, возрастет эффективность вашего бизнеса.

Как видно, акцент начал смещаться в сторону частника: чем это там нянечка занимается с ребёночком, не разбежались ли сотруднички, люди какие-то непонятные шастают и т.д. И всё это лёжа на пляже. Правда, непонятно - каким это боком, ни с того ни с сего, вдруг возрастёт эффективность вашего бизнеса? Ведь установленная камера не сможет заглянуть сразу в экраны всех компьютеров. Значит, просто тупая слежка типа - кто что делает, как часто на перекуры выходят, не едят ли слишком много на рабочем месте и далее со всеми остановками. Но за это можно и под статью загреметь. Смотрим Конституцию Российской Федерации, статья 24: "Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются". В Уголовном Кодексе тоже кое-что более конкретное имеется. Поэтому, лица, давшие "согласие", сразу всё прокумекают и легко обхитрят любую камеру видеонаблюдения. Толку будет ноль! Далее речь идёт об элементарной простоте, в самом "широком" смысле этого термина:

Простая система онлайн видеонаблюдения, предлагаемая нашей компанией, является наиболее доступным решением, позволяющим обеспечить контроль безопасности на вашей даче. Покидая загородный дом после приятного отдыха, вы можете не волноваться о том, что он останется без присмотра. Система не только осуществляет трансляцию в режиме реального времени, но и ведет архивацию записей. В любой момент можно просмотреть архив, соответствующий определенной дате. Пользоваться системой сможет любой неподготовленный человек. Интуитивно понятный интерфейс не требует от вас наличия каких-либо знаний.

Простейшее видеонаблюдение, предлагаемое нашей компанией, не требует профессиональных навыков для осуществления монтажа. Установка камеры и подключение системы - задача, с которой можно справиться самостоятельно. Объективы можно располагать в любых местах: на территории участка, при входе в дом, в помещениях. Для подключения подходят как веб-камеры, так и IP-камеры. Если вам не хочется заниматься установкой, то возможен вариант привлечения наших сотрудников, либо монтажников из другой организации - выбор всегда остается за нашим клиентом.


Да уж, действительно простота незатейливая Видимо "витая в облаках", IT-шникам сложно спуститься на землю грешную и слегка погрузиться в основы Охранного Видеонаблюдения, а не "располагать объективы в любых местах...". Наверное, речь всё-таки идёт о камерах. М-да, такой вот подход... - "...не требует профессиональных навыков для осуществления монтажа". Типа, накидал камер в огород - и спи спокойно (см. рисунок)! Сам не смог - тебе помогут. Что-то подобное мне уже встречалось лет десять назад. Долго искал, но нашёл в переизданном варианте от 2011 г. - "Интеллектуализация информационных технологий в классе видео мониторинговых охранных систем проблемы антитерроризма и обеспечение безопасности решения и перспективы"2 Много там чего "интересного" в плане "видеоаналитики" встретилось, однако именно сие умилило наповал (орфография не изменена):

При выборе системы безопасности один из потребителей в Подмосковной усадьбе "Архангельское" установил критерии: надежность, простота в эксплуатации, многофункциональность. Рассмотрим, как, используя минимальное количество технических средств, защитить в меняющихся условиях открытую территорию, создав не менее Зх рубежей защиты и классифицировав возможные нарушения по степени их тяжести. Простейшая конфигурация технических средств для решения подобного комплекса задач вывлядит следующим образом. Четыре видеокамеры с углом зрения в 90° располагаются по четырем сторонам здания, периметр которого подлежит защите. Камеры подключаются через коммутатор к обычному системному блоку, дооснащенному дополнительно пластами Videograber и соответствующим программным продуктом, реализующим описываемый алгоритм оценки ситуаций. Далее система оценит ситуацию, классифицирует ее, примет меры по предотвращению нежелательных событий, например, дозвонившись по телефону.

Вот такие пироги! Следуя данной "логике" можно легко экстраполировать мысль и к другим более сложным объектам. Например, для охраны Пентагона, наверное, всё-таки потребуется ещё и пятая камера, а угол обзора для всех должен быть изменён на значение 72°. Ладно, вернёмся в "Облака". Итак, вопрос первый - каналы связи. Кто сказал, что они есть везде, скажем на той самой даче. Причём нужны высокоскоростные и симметричные. Прокладывать оптоволокно? Это в такую копеечку встанет, что лучше и не мечтать, смысла нет. Вопрос второй, а что делать, если действительно кто-то на дачу залез - мчаться, метаться, звонить и вопить? Да и поспать спокойно не получится - надо периодически архив и "живое" видео утюжить. Понял, сейчас вы будете грузить меня сказками про "видеоаналитику", которая тревоги рассылает. Мы к этому вопросу ещё вернёмся, могу лишь констатировать, что нет её как таковой. Вопрос третий, а как охранник вообще будет наблюдать? Ему из облака будут транслировать видео многооконное на планшетник? Кстати, для беспроводного Интернета даже в центре Москвы полно "мёртвых" зон. Правильно рассуждаете - это будет делать видеорегистратор или компьютерная система, причём локально. А зачем тогда такая петля видеоданных, причём дорогущая? Нет ответов - одни лозунги, здравый смысл отдыхает!

Короче, если действительно хотите спать спокойно, ставьте свою дачу на пультовую охрану. Быстро приедут, даже если мышь пробежит. В камеры ваши смотреть не будут - некогда. А для собственного успокоения установите обыкновенный видеорегистратор, может быть записи помогут опознать злоумышленника, да и в суде пригодятся. Для этого Интернет не нужен. Теперь немного экономикой займёмся. В сети полно радостных воплей о том, что за ничтожные деньги можно сразу запустить систему видеонаблюдения - всё уже готово, только аренду плати. Давайте проанализируем. Итак, камеры покупать надо? Надо! Осуществить их установку и монтаж надо? Надо! Некое устройство для выхода в Интернет нужно? Нужно! И всё это - ваши стартовые затраты. Мало того, ночью на даче наверняка потребуется подсветка (хоть внутри, хоть снаружи), термобоксы для камер и т.д. Но и это ещё не всё. Поговорил с человеком, который с нуля полностью проектирует, составляет сметы и монтирует такого рода объекты "под ключ". Опыта ему не занимать - стаж два десятка лет. И вот что он мне поведал, даже смету гипотетическую прислал. Публиковать не буду, много места в статье займёт. Короче, в среднем затраты на "железо" и расходные материалы колеблются где-то в районе 30%. Всё остальное работы - проект, монтаж и пуско-наладка, а также сопровождение по истечении гарантийного срока. Конечно, можно привести пример с ловлей нянечки, маскируя камеру кучей хлама. Но нельзя же сие брать в качестве основы построения Систем Охранного Видеонаблюдения. Поэтому услуга VSaaS в данном контексте, учитывая реагирование, является чем-то недоделанным! Типа, купите услугу, а дальше сами разбирайтесь. Это не безопасность, а лишь её иллюзия, типа "кремлёвской таблетки". Мало того, что пользы нет никакой, так ещё и вреда предостаточно. Именно об этом далее.

Итак, гвоздь программы - сама безопасность облачных сервисов. Например, кто-то перехватит ваше видео слежения за нянечкой - это лишь неприятно. Но если злоумышленник ради дешёвой сенсации выложит сие в Интернет, то будет уже не до смеха. Кстати, реально дело доходит и до интимных сцен со всеми вытекающими подробностями. Короче, кактолько в вашей квартире появится видеокамера с выходом в VSaaS - считайте, что вы сами себе установили "видеожучок"! Хакеры доберутся куда угодно, при нашей организационной безалаберности им нет преград... - на море и на суше, а также в сети! Для закрепления материала позвольте пересказать практически детективную историю о том, как глава известного информационно-аналитического издания по техническим средствам и системам безопасности на пару с бывалым хакером решили слегка "пошалить" с городской системой видеонаблюдения - "Полный IP... Новое воплощение системы "Безопасный город" приглашает хакеров позабавиться"3. Опустим преамбулу - только самые яркие моменты:

Всe прелести советского периода: бабулька-дежурная, ключ под расписку в журнале и никакой ответственности ни с чьей стороны. В синем рабочем комбинезоне и с ящиком инструментов в руках можно спокойно протопать мимо вахтёрши, подобрать ключ, открыть дверцу и что-нибудь испортить. Или, наоборот, улучшить: подключить WiFi-рутер и получить дистанционный доступ к сетевому оборудованию. Чтобы каждый раз к бабке не ходить.

Новым подрядчиком, выигравшим тендер по округу, оказалась компания МГТС. Не особенно вникнув в технические тонкости предложенного варианта, подрядчик понадеялся на порядочность функционера. И никакого технического аудита, судя по всему, не провёл. Зато спешно приступили к монтажу системы - довели сеть до каждого дома, установили камеры и кодеры. Картинка потекла в ЕЦХД, счётчик завертелся, все заинтересованные стороны успокоились.

Внимание, - лицо собеседника становится торжественно-мрачным, - выдрав сетевой шнур из подъездной камеры и воткнув его в ноутбук, вы можете убедиться, что сеть прекрасно видна. Более того - сервер DHCP выделит вам динамический IP. При пусконаладке, возможно, это и удобно, однако в работающей системе статический IP-адрес является ещё одной степенью защиты: злоумышленнику придётся его подбирать либо узнавать заранее, а это не всегда просто даётся. Количество узлов сети, которые становятся доступными при подключении к подъездной камере, вы сможете подсчитать сами - исходя из маски подсети 255.254.0.0. Для бывалого айтишника это школьная задачка. Мы на всякий случай переспрашиваем: наверное, там всё же защищенное соединение, VPN какой-нибудь? Оказалось, нет. Из подъезда замечательно видна и сеть подрядчика, и серверы обслуживаемого им ЕЦХД. Запустив сканер портов, можно через пару сигарет отвести душу по полной. Скорее всего, через сетку МГТС видны и соседние корпоративные сети. Ага, вот и они... ну, и так далее.

Нам, людям простым и приземлённым, всё ещё по инерции кажется, что сёрфинг по сетям - это хакерская забава из какого-нибудь фантастического сериала. На самом деле всё уже давно изменилось, и специалисты по взлому сетей решают отнюдь не досуговые вопросы. Попробуем прикинуть потенциальный сценарий или варианты злонамеренного поведения. Для начала немного технических подробностей. В новой системе видеонаблюдения камеры делятся на несколько категорий, к примеру, ММС, устанавливаемые в местах массового скопления людей. Это управляемые поворотные камеры с зум-объективами, как правило, производства Cisco. Оставим в стороне вопросы качества картинки и попробуем, стоя в подъезде и держа на ладони нетбук, посмотреть через вебинтерфейс камеры на какую-нибудь площадь. Обнаружить камеру и подобрать порт удалось сравнительно быстро, а доступ к видеопотокам оказался по чьей-то любезности открытым. Никаких паролей. Управлять PTZ, признаемся, не пробовали. Просто забыли от волнения. Пока пытаемся подключиться по SSH, подбирая простенькие цифровые пароли, Антон комментирует: "Кстати, отследить, откуда подключаемся, никто не сможет. Пароли к коммутаторам остались у инсталляторов, у которых заказчик так и не принял РОСПД". Действительно, раз уж систему никто не принимал, значит, и пароли доступа к сетевому оборудованию никому не передавались. Вполне возможно, что их ещё можно как-то востребовать, выкупить или выпросить даром у обиженных исполнителей. Но заниматься этим опять-таки некому. Поскольку таблицы коммутаторов надёжно защищены от пользователей системы, вычислить точку злонамеренного доступа было бы очень сложно. А оперативно сделать это - вообще никак. Для сравнения: провайдеры Интернет локализуют пользователя в течение нескольких минут.

Камерный пароль оказался действительно простецким. К тому же, как утверждает наш собеседник, он одинаков для всех камер категории ММС (а их по Москве как минимум несколько сотен). Мы влезли в камеру как root - линуксоиды знают, что это означает: с аппаратом можно вытворять всё, что угодно. Вот, например, если вбить с командной строки if down ethO, то отключится сетевой интерфейс. Это означает, что камера немедленно "отвалится" от сети. Чтобы вернуть видеопоток в линию передачи данных и вернуть его на вход ЕЦХД (то есть снова запустить счётчик), необходимо физически перезапустить камеру, отключив и снова включив питание. Соблазн нажать Enter перевесили соображения безопасности: а вдруг в камере сохраняются логи? Антон успокаивает: логи отключены из соображений экономии памяти. При этом камера представляет собой полноценную Linux-машину без каких-либо ограничений на операции с файлами. То есть можно поставить свой софт, соорудить собственный сервер, включить в ботнет и "валить" веб-ресурсы противника DDOS-атаками. Шпионаж, агрессия, хулиганство - не вопрос.

Можно, к примеру, загрузить в камеру код, который отключал бы по графику или в случайном порядке все остальные камеры. В результате техслужбы провайдеров будут метаться по городу, чтобы перезапустить "железо", поскольку на это время ЕЦХД остаётся ни с чем, что, соответственно, отразится на показаниях счётчика. А вдруг на площади митинг в это время соберётся?! Собственно, лёгкость доступа к сети создаёт угрозы и посерьёзнее, чем шалости оппозиции. Сегодня вовсю обсуждается вопрос о том, что инфраструктуры, замыкающиеся на ЕЦХД, могут быть использованы для передачи информации в интересах городских служб. В частности, по словам Антона, уже существует проект передачи сигналов управления светофорами. Представляете, насколько просто будет дестабилизировать дорожное движение в городе! А если хакеры перекроют воду или запустят в реверсивном режиме канализацию? Можете дать волю фантазии или выпить валерьянки. А мы на этом решили захлопнуть нетбук: стемнело, граждане начали возвращаться с работы и "светиться" в подъезде больше не хотелось.

Такие вот дела. Конечно, владельцы облачного сервиса будут вас заверять, что они используют криптографию, сложные пароли, и честнее их никого нет на свете. Всё это может соответствовать действительности Однако никто и не собирается взламывать систему, просто достанут пачку денег - им и принесут логин с паролем на блюдечке с голубой каёмочкой. Да, именно человеческий фактор и является самым слабым звеном. Это ж "бизнес", причём "продавцы" прекрасно знают - им за это ничего не будет. Вот если бы Гостайна...! Поэтому на радиорыночных развалах можно запросто купить разнообразные базы данных на любую тему. Не исключаю, что скоро там появится и "путеводитель" по Городской Системе Видеонаблюдения с паролями, явками и подробным описанием - что, где и когда можно посмотреть. Ладно бы просто для развлечения, однако эти видеоданные могут легко оказаться в Интернете для свободного просмотра, а также использоваться криминалом. Всё это справедливо и для коммерческих облачных сервисов. В нашем случае - VSaaS.

В следующей части рассмотрим ещё один "тренд", стремительно набирающий обороты. Это так называемая видеоаналитика. Тут уж мама не горюй - просто дух захватывает!

___________________________________________
1 http://himpro.ru/ivideon.php.
2 http://7-lab.com/2011/10/14/intellektualizaciya-informacionnyx-texnologij-v-klasse-video-monitoringovyx-oxrannyx-sistem-problemy-antiterrorizma-i-obespechenie-bezopasnosti-resheniya-i-perspektivy/.
3 http://www.secnews.ru/download/secnews_2012_4.pdf.

Опубликовано: Журнал "Системы безопасности" #2, 2013
Посещений: 6151


  Автор
Руцков М. В.

Руцков М. В.

Генеральный директор компании MegaPixel Ltd., к.т.н.

Всего статей:  47

В рубрику "Видеонаблюдение (CCTV)" | К списку рубрик  |  К списку авторов  |  К списку публикаций