Можно ли следить за самими системами безопасности?

17 Март 2015

Не секрет, что подключение систем безопасности к Интернету у многих лиц вызывает некоторое беспокойства с точки зрения сохранения данных. Обоснованность такого страха подтвердили и недавние исследования, проведенные компанией HP. Особой проверке подверглись видеокамеры, датчики движения и другие элементы безопасности, которые были подключены к Сети.

Основания для беспокойства  

В результате тестирования вышеперечисленных устройств по обеспечению безопасности, выполненных сервисом HP Fortify OnDemand, появились серьезные причины для беспокойства. В результате испытаний оказалось, что 100% устройств, используемых в тестировании, оказались уязвимыми к внешнему вмешательству.

Такая цифра заставляет невольно задуматься о надежности в средствах аутентификации, а также шифрования и паролевой защиты. Ввиду общей тенденции подключения систем безопасности к Мировой Сети такая информация заставляет задуматься о дополнительных системах безопасности.

К примеру, компания Gartner, которая специализируется на рынке информационных технологий, опубликовала свой прогноз на будущий год. В данном отчете сообщается, что в 2015 году во всем мире будут использоваться около 4,9 млрд устройств безопасности, которые подключены к Сети. Это на 30% больше по сравнению с 2014 годом, а значит, увеличится и опасность взлома систем безопасности. Планируется, что к 2020 году эта цифра достигнет отметки в 25 млрд.

С точки зрения проведенного эксперимента оказалось, что данный сегмент рынка, который отличается динамическим ростом и должен обеспечивать максимальную безопасность, в действительности оказывается крайне незрелым. Благодаря проведенному исследованию встает вопрос, требующий серьезного рассмотрения. Действительно ли все системы мониторинга делают жилище человека более безопасным или же предоставляется более легкий доступ к незащищенному оборудованию внутри помещения?

  Результаты эксперимента  

Обеспокоенность вызывает не столько факт взлома самой защиты, но и возможность проникнуть в приложения по безопасности, а также облачные компоненты. Проверка с помощью HP Fortify on Demand выявила, что пять из десяти приложений имели защиту в виде шестизначных паролей, которые не блокировались, когда определенное количество неудачных попыток было исчерпано.

Это позволяет взломщику использовать необходимое количество попыток для вскрытия самой защиты. Также в результате проверки оказалось, что отсутствует система двухфакторной аутентификации.

В качестве основных проблем были отмечены следующие моменты:

• легкий доступ к данным владельца;
• возможность получить доступ к камерам наблюдения;
• транспортное шифрование, несмотря на использование SSL/TLS неправильно сконфигурировано;
• ненадежная авторизация.

Вышеперечисленные факторы риска еще раз подчеркивают крайнюю уязвимость систем безопасности, когда она подключена к Интернету. К какому же выводу можно прийти в результате данных тестов в отношении использования таких систем?

 Вывод

Вице-президент компании HP Джейсон Шмитт пришел к весьма неутешительному выводу в результате данного исследования. По его мнению, сам факт, что из проверенных десяти ведущих систем все оказались уязвимы, заставляет потребителя использовать более практичные меры по защите.

Прежде всего, желательно применять все доступные простые и практичные меры, которые не позволят постороннему лицу получить доступ к конфиденциальной информации. Также стоит задуматься о качестве предоставляемых мер по безопасности и самим производителям. В противном случае, вместо того, чтобы предоставлять клиенту надежную систему безопасности, сам производитель дает возможность получить лазейку к конфиденциальной информации клиента.

Такой подход подвергает потребителя серьезной опасности и делает используемую систему безопасности и видеонаблюдения неэффективной в случае соприкосновения с профессионалом, который может обойти ее и выполнить намеченное им действие. В любом случае, данный эксперимент показывает, что самим системам безопасности еще есть необходимость развиваться в определенных моментах.