از دوربین‌های مدار بسته زامبی فاصله بگیرید + چگونه مشکل را حل کنیم؟

از رؤیا تا واقعیت

در یک سال گذشته، یخچال‌ها، فریزرها، درب‌های خانه و جیپ‌هایی را دیدیم که به آسانی قربانی هکرها شدند و کنترل این دستگاه‌ها در اختیار مهاجمان قرار گرفت. ماشین‌هایی که راننده بداقبال آن‌ها هیچ‌گونه کنترلی بر تجهیزات داخلی ماشین خود نداشت. هک‌های اخیر به ما نشان دادند نه تنها سیستم‌های نظارت بر کودکان، بلکه روترها از سطح ضعیفی از امنیت برخوردار هستند. ضعیف بودن مکانیزم‌های امنیتی انتقادات فراوانی را متوجه دستگاه‌های اینترنت اشیا ساخته است. به‌طوری که بسیاری از کارشناسان نسبت به عواقب از بین رفتن حریم شخصی افراد و امنیت آن‌ها هشدار داده‌اند. هر چند خبر هک شدن یخچال یا دستگاه‌های مشابه برای بسیاری از افراد غیرفنی ممکن است  تعجب برانگیز باشد، اما واقعیت این است که هر چه زندگی دیجیتالی‌تر شود، به همان میزان هک‌ها فراگیرتر می‌شوند. شاید در گذشته‌ با استفاده از ترفندهایی و از طریق فرکانس‌های رادیویی خاص توانایی گوش کردن به ارتباطات تلفن‌ ثابتی که از گوشی‌ بی‌سیم استفاده می‌کرد را داشتیم، اما این‌بار، خبر هک شدن دوربین‌های مداربسته توجه دنیای امنیت را به خود معطوف ساخته است.

دوربین‌هایی که قربانی سهل‌انگاری عامل انسانی شدند

با وجود آن‌که نزدیک به 240 میلیون دوربین مداربسته در سراسر جهان مورد استفاده قرار می‌گیرد، اما فقط تعداد کمی از آن‌ها به شیوه درست و حرفه‌ای پیکربندی شده‌اند. متأسفانه اگر تنظیمات پیش‌فرض دستگاه‌ها به حال خود رها شوند یا نصب‌کنندگان فراموش کنند تنظیمات پیش‌فرض را تغییر دهند، دوربین‌های نظارتی به آسانی، تبدیل به هدف شماره یک هکرها می‌شوند. هکرها به آسانی با استفاده از تنظیمات پیش‌فرض کارخانه یا با استفاده از قدرت بات‌نت‌ها توانایی پیاده‌سازی شبکه‌ای از سیستم‌های برده  (Slave) را دارند. شبکه‌ای که  به سرعت سیلی از سرویس‌های اینترنتی را ایجاد می‌کنند. این ترافیک سنگین از طریق یک کنترلر مرکزی هدایت می‌شود. نتیجه این فرآیند به وجود آمدن یک حمله منع سرویسی است که در ظاهر به شکل یک ترافیک قانونی به چشم می‌آید. تحقیقات انجام شده از سوی مؤسسه امنیتی Incapsula نشان می‌دهد، در بات‌نت‌های مبتنی بر اینترنت اشیا، دوربین‌های CCTV یک عنصر مهم به شمار می‌روند. Incapsula مارس سال گذشته میلادی اعلام کرد نزدیک به 240 درصد فعالیت بات‌نت‌های موجود در شبکه یک سازمان، بر مبنای دوربین‌های CCTV فعالیت کرده‌اند.

مطلب پیشنهادی: لپ‌تاپ‌هایی که به چشمان ناشناس اجازه نگاه کردن نمی‌دهند

با گذشت یک‌سال از وقوع این حمله، اکنون حمله تازه‌ای با هدف مختل کردن سرویس‌دهی آنلاین این دوربین‌ها کشف شده است. این‌بار نوع ویژه‌ای از حمله منع سرویس توزیع شده (DDoS) موسوم به HTTP Get Flood شناسایی شده است. حمله‌ای که توانایی تولید 20 هزار درخواست در هر ثانیه را دارد. HTTP Flood از جمله حملات مخرب DDoS به شمار رفته که در سطح لایه کاربردی عمل می‌کند. در این تکنیک هکرها به آسانی توانایی تولید حجم انبوهی از بات‌نت‌ها را دارند، اما مقابله با آن‌ها کار چندان ساده‌ای به شمار نمی‌رود. اما عاملی که این حمله را خطرناک‌ می‌کند، به ظاهر قانونی آن باز می‌گردد. به دلیل این‌که همانند یک کاربر و مرورگر عمل کرده و به عکس دیگر مکانیزم‌های حمله که از تکنیک‌های malformed packets یا spoofing  استفاده می‌کنند، به پهنای باند بالایی نیاز ندارد. برای شناسایی این مکانیزم حمله باید درخواست‌ها و بسته‌های ارسالی به دقت مورد بررسی قرار گیرند.

مطلب پیشنهادی: USB Killer 2.0 در چند ثانیه یک کام‍پیوتر را تخریب می‌کند

در این تحقیق محققان به فهرستی از آدرس‌های IP که در این حمله مشارکت داشتند دست پیدا کردند، بسیاری از این آدرس‌های IP  به دوربین‌های مداربسته تعلق داشت. ترافیک برخواسته از سوی دستگاه‌های متصل به دلیل سهل‌انگاری نصب کنندگان در تغییر اعتبارنامه‌های پیش‌فرض باعث شد راه نفوذ هکرها به دوربین‌ها امکان‌پذیر شود. تمامی دوربین‌هایی که در معرض خطر قرار گرفتند از BusyBox استفاده می‌کردند. BusyBox یک بسته نرم‌افزاری کم حجم و رایگان یونیکسی است که برای استفاده در سیستم‌هایی که دارای محدودیت منابع هستند مورد استفاده قرار می‌گیرد. زمانی‌که هکری یک‌بار دسترسی به یک دوربین را بر اساس اعتبارنامه اولیه به دست آورد، توانایی نصب گونه‌های مختلفی از بدافزار ELF Bashlite را خواهد داشت. Bashlite گونه‌ای از کدهای مخرب است که توانایی اسکن دستگاه‌های تحت شبکه‌ که از BusyBox استفاده می‌کنند را دارد. اگر دستگاهی توسط این کد مخرب کشف شود، نرم‌افزار مخرب جستجویی برای سرویس‌های باز TelNet/SSH که مستعد پیاده‌سازی یک حمله brute force هستند را اجرا می‌کند. این نوع خاص از حمله قدرت ویژه‌ای در پیاده‌سازی حمله DDos را دارد. تصویر زیر نقشه جغرافیایی دوربین‌های CCTV که ناخواسته قربانی پیاده‌سازی حمله DDoS شده‌اند را نشان می‌دهد.

تیم تحقیقاتی در خصوص این کشف، گفته است: «نکته قابل توجهی را در ارتباط با دوربین‌هایی که تحت نظارت قرار دادیم کشف  کردیم. سرنخ‌های به دست آمده نشان می‌دهند، احتمال هک شدن این دوربین‌ها از مناطق جغرافیایی مختلف وجود دارد. این کشف به ما نشان داد چگونه امکان بهره‌برداری و سوء استفاده از دستگاه‌هایی که نکات امنیتی در آن‌ها به درستی رعایت نشده باشد، وجود دارد.»

چگونه از بروز این حملات ممانعت به عمل آوریم؟

اگر در نظر دارید از دسترسی هکرها به دوربین‌های مداربسته ممانعت به عمل آورید، یک راه‌کار ساده برای این منظور وجود دارد. نام کاربری و گذرواژه پیش فرضی است که به دستگاه‌ها تخصیص داده شده است را تغییر دهید. این اولین باری نیست که هکرها از ضعف‌های امنیتی موجود در دستگاه‌ها برای پیاده‌سازی یک حمله هکری استفاده کرده‌اند. در سپتامبر سال جاری میلادی، محققان شرکت امنیتی Rapid7 موفق به شناسایی آسیب‌پذیری‌های عظیمی در مانتیورهای نظارت بر کودکان شدند. این آسیب‌پذیری به هکرها اجازه می‌داد به راحتی به سیستم‌های خانگی و ارتباطاتی که میان این دستگاه‌ها در جریان است نفوذ کنند.