Vysvětlujeme odborný slang na téma kybernetické bezpečnosti kamer

15 Jul 2020

Šéf produktového a marketingového managementu Uri Guterman a pracovnice technické a terénní podpory Elaine Moranová ze společnosti Hanwha Techwin Europe společně připravili vysvětlení některých pojmů z odborného slangu na téma kybernetické bezpečnosti kamer video dohledu s připomínkou skutečnosti, že v boji proti hackerům nesmíme nikdy polevovat.


Již delší dobu čelíme obavám ohledně schopnosti hackerů dostat se k živému obrazu nebo uloženým záznamům z kamer video dohledu umístěných v zabezpečených prostorách. Mnoho výrobců profesionálních kamer na tyto hrozby zareagovalo zaváděním příslušných protokolů pro nastavování síťových zařízení, které nepovolují používání výchozího hesla, resp. hesel obsahujících po sobě jdoucí písmena nebo číslice. Hackeři nicméně velmi pravděpodobně budou i nadále hledat jiné způsoby, jak se k datům dostat, a to včetně tzv. ‚zadních vrátek‘ kamer.

Bezpečnost důvěrných dat koncových uživatelů musí být vždy zajištěna – bez ohledu na to, zda je útok veden při páchání trestné činnosti, se zlým úmyslem, či zda o překonání bariéry usiluje amatérský hacker. To je stejně důležité pro tisíce malých podniků spoléhajících se na řešení video dohledu k ochraně aktiv, lidí nebo majetku jako pro koncové zákazníky s mimořádnými nároky na zabezpečení a klíčové systémy, jako jsou např. letiště, banky, místní úřady, orgány státní správy, armáda nebo záchranné složky. 

 

Návrh zohledňující potřeby kybernetické bezpečnosti

Odpovědní výrobci kamer video dohledu by měli zaměstnávat softwarové specialisty s patřičnou kvalifikací, aby dokázali rychle navrhovat aktualizace firmwaru v reakci na nově se vyskytující hrozby. Hanwha Techwin disponuje technickým týmem S-CERT (Security Computer Engineering Response Team), jehož jediným úkolem je řešit potenciální bezpečnostní hrozby, kterým jsou produkty a řešení Wisenet vystaveny. Členové uvedeného týmu byli pečlivě vybráni na základě jejich odborných znalostí a schopností identifikovat, analyzovat a rychle reagovat účinnými protiopatřeními na veškeré potenciální hrozby v oblasti kybernetické bezpečnosti.

Na pomoc s odhalováním případných zranitelností by výrobci dále měli využívat služeb nezávislých agentur zaměřených na testování kybernetické bezpečnosti. Nicméně ve všech oblastech života asi platí, že prevence je lepší než léčba následků. Proto výrobci jako Hanwha Techwin vybavují nejnovější generaci svých kamer čipovými sadami, které si vyvinuli od samotných základů až do finální podoby, aby tím minimalizovali riziko neautorizovaného přístupu hackerů a infiltrace škodlivého firmwaru.

Žádný výrobce sice nedokáže 100% zaručit, že jeho produkty nikdy nebudou hackery překonány, nicméně plánovaná příští generace čipsetů bude velmi pravděpodobně zahrnovat dlouhý seznam technologií, které výrazně zvýší kybernetickou bezpečnost kamer, do nichž budou zabudovány. 

 

Definice pojmů z odborného slangu

Některé z těchto technologií jsou nové a byly vyvinuty speciálně za účelem ochrany proti kybernetickým útokům; k bezpečnosti kamer však mohou napomoci i jiné technologie, které byly původně vyvinuty ke zvýšení efektivity čipových sad. Otevřeme-li dokumentaci produktů video dohledu, technické listy nebo předmětné webové stránky, prakticky na všechny tyto technologie se odkazuje formou akronymů nebo názvů, z nichž není na první pohled zřejmé, k čemu vlastně slouží. Proto nabízíme toto vysvětlení několika technologií, na které zřejmě narazíte nejčastěji.

 

  • Ochrana proti klonování hardwaru (‚Anti-Hardware Clone‘): Funkce ochrany proti klonování hardwaru zabraňuje klonování čipové sady (tzv. čipsetu). Kromě ochrany duševního vlastnictví je zárukou toho, že čipová sada se štítkem výrobce je originální kopií – nehrozí tedy riziko používání klonovaného zařízení, které by mohlo obsahovat škodlivý software sloužící ke zcizení citlivých dat, jako např. hesel.
  • Hardwarová akcelerace šifrování: V oblasti řešení video dohledu se akcelerace šifrování nejčastěji zmiňuje v kontextu čipsetů kamer provádějících složité matematické funkce šifrování a dešifrování. Jedná se o funkci se značnými nároky na výpočetní zdroje čipové sady. Vybavení čipsetu jádrem (‚enginem‘) vyhrazeným k tomuto účelu zaručuje efektivní šifrování/dešifrování bez negativních dopadů na ostatní funkce kamery. 
  • Skramblování obrazu: Mezi místem instalace kamery, kde je pořizován vlastní obraz, a lokalitou, kde se tyto záběry na dálku zobrazují, existuje riziko narušení bezpečnosti sítě útočníkem, který tak získá přístup k důvěrným datům a obrazu. Skramblování obrazu je technika šifrování videa před jeho přenosem po síti. Používá se náhodné přeuspořádání pixelů (obrazových bodů) tak, aby v případě prolomení bezpečnosti sítě hackery byl obraz pro útočníky nesrozumitelný. 
  • Zabezpečení rozhraní JTAG: Porty JTAG jsou hardwarová rozhraní sloužící k programování, testování a ladění zařízení. Může však dojít k jejich prolomení formou kybernetického útoku s cílem získat nízkoúrovňovou kontrolu nad zařízením a případně se zlým úmyslem nahradit firmware vlastní verzí. Tomu lze zabránit zabezpečením portu JTAG pomocí mechanismu prokazování identity na základě klíče s přístupem vyhrazeným pouze pro autorizované pracovníky výrobce. 
  • Zabezpečení rozhraní UART: Porty UART jsou sériová rozhraní používaná převážně k ladění programového kódu kamer. Umožňují přístup ke kameře na úrovni administrátora, a tudíž jsou cílem pro hackery pokoušející se získat citlivé informace, jako např. hesla. Hackeři by též mohli získat firmware kamery s cílem uplatnit techniky zpětného dešifrování nebo zkoumat zranitelnosti komunikačních protokolů zařízení. Pokud se u rozhraní UART prosazuje vyhrazený a zabezpečený přístup, je zajištěno bezpečné ladění programového kódu bez otevírání vrátek pro kybernetické útoky. 
  • Jednorázově programovatelná trvalá paměť – OTP ROM: OTP ROM je akronymem pro ‚One Time Programmable Read Only Memory‘ (jednorázově programovatelná trvalá paměť). Veškerá citlivá data (jako např. šifrovací klíče) se jednorázově uloží na čipovou sadu a nelze je dále upravovat. Touto cestou je chráněna integrita šifrovacích klíčů sloužících k ověřování jednotlivých fází posloupnosti zabezpečeného bootování vč. přístupu k rozhraní JTAG. 
  • Bezpečnostní ověřování v režimu Secure Boot: Secure Boot – zabezpečené bootování – poskytuje dodatečnou vrstvu zabezpečení pomocí techniky sandboxingu (převedení do izolovaného prostředí) pro různé součásti operačního systému kamery, které se tak používají pouze v chráněném prostoru. Systém musí provést celý proces bootování ještě před zahájením komunikace s jakoukoli jinou částí systému, což zamezuje přerušení procesu bootování s rizikem napadení hackerem. 
  • Generátor náhodných čísel: Počítače z principu vytvářejí velice předvídatelná data, a nejsou proto příliš dobré v generování náhodných čísel nezbytných pro účinné šifrování. Tento problém řeší vyhrazený generátor náhodných čísel se speciálním mechanismem navrženým právě k tomuto účelu. 
  • Bezpečnostní operační systém (OS): Celkovou zátěž hlavního operačního systému kamery lze snížit použitím samostatného operačního systému (OS) pro šifrování a dešifrování, resp. pro ověřování, zda nedošlo k úpravě nebo zfalšování aplikací. Přístup k bezpečnostnímu operačnímu systému je možný pouze přes samostatné linuxového rozhraní API; bez tohoto rozhraní nelze z externího prostředí mimo kameru provádět žádné změny. Ke zpracování důležitých uložených informací by se proto vždy měl používat bezpečnostní operační systém. 

 

Na vysoce konkurenčním trhu si lze vybírat z mnoha různých výrobců kamer. Poradci, systémoví návrháři a systémoví integrátoři mohou tudíž dle vlastního rozhodnutí omezit užší výběr upřednostňovaných dodavatelů pouze na ty, kteří do svých výrobních postupů začlenili nejlepší známé postupy v oboru. To nejlépe prokáží tím, že své kamery vybaví většinou výše uvedených funkcí a technologií – nejlépe ale všemi z nich. 

Máte jakékoli dotazy ohledně kybernetické bezpečnosti? Pošlete e-mail Urimu Gutermanovi na: [email protected]

This post is also available in: English, French, German, Spanish, Swedish, Turkish