Американский эксперт взломал полицию, когда тестировал безопасность компьютерных систем местных органов власти

5 мая 2011 года

Известный американский эксперт по кибербезопасности Кевин Финистер во время тестирования уровня безопасности компьютерных систем органов власти в одном из городов США сумел получить доступ к устройству, обрабатывающему данные видеокамер, установленных на полицейских автомобилях.

Исследователь, который в настоящее время является главой консультационной фирмы Digital Munition, смог не только наблюдать "картинку" с полицейских камер в режиме реального времени, но и записывать и удалять данные из памяти системы.

Финистер, по собственному признанию, был шокирован легкостью проникновения в полицейскую сеть, сообщает ХАКЕР.ру. "Это был офицер полиции, едущий в своей машине в середине дня", - сообщил Финистер. "Он очевидно пытался отреагировать на инцидент или просто ехал по своим делам, и я мог наблюдать все это в режиме реального времени".

В опубликованном на этой неделе отчете (PDF) эксперта подчеркивается недооцененность рисков, связанных с технологиями, созданными для того, чтобы власти в реальном времени могли следить за обстановкой в городе.

Во время своего испытания Финистер смог не только получить прямую трансляцию с двух отдельных камер, установленных на автомобиле, но также установить контроль над жестким диском DVR (видеорегистратора). Используя пароли по умолчанию, которые были жестко прописаны в FTP-сервере DVR и описаны в руководстве пользователя, он мог загружать, скачивать и, удалять файлы, в которых хранилось видео, отснятое в течение месяца.

Способность любого желающего, имеющего доступ к интернету, тайно шпионить за полицейскими может иметь серьезные последствия для безопасности. Более того, возможность неуполномоченным лицам просмотра и изменения видео, хранящегося в полицейских автомобилях, может сказаться на ходе любого расследования, где в качестве доказательств будут фигурировать видеоматериалы.

"Если ты используешь сотовую связь для обеспечения работы сервисов, применяемых для закрытых операций, необходимо убедиться, что ты в закрытой сети", - сказал Финистер. "Я не думаю, что каждый знает, что сервисы открыты нараспашку.

Усугубляло ситуацию использование в автомобилях полиции видео-регистратора, который продается как минимум на шести на различных сайтах в интернете. Руководство пользователя для этого устройства, которую Финистер нашел через Google, сообщило ему, что паролем для FTP-сервера DVR является слово "pass".

Финистер сообщил, что он связался со службой поддержки производителя системы и рассказал, что она выставляет напоказ видео и, возможно, данные других устройств. Работник техподдержки сказал, что это невозможно, и не проявил особого интереса к выявленным уязвимостям.

По мнению Финистера, данный эпизод доказывает, что ни одна компания-производитель видеорегистраторов и систем безопасности не предпринимает достаточно усилий, чтобы помочь клиентам надежно защитить свои устройства.