Filmlerde, dizilerde hacker’ların güvenlik kameralarına eriştiğini, bu kameralardan canlı görüntü aldığı hatta bu kameraları devre dışı bıraktığını çok defa izlemişizdir. Bu yazıda nelere dikkat edilmezse cihazlarımıza illegal girişim yapılırı inceleyeceğiz.
Günümüzde birçok tool açık olarak internet ortamında ulaşılabilirdir. Aynı zamanda açık kaynak olarak ulaşılabilecek geçmişte denenmiş olan metotlara ait yazılar, videolarda bulunmaktadır. Bundan dolayı kurulan güvenlik kamera sisteminin güvenliği de önem arz etmektedir.
Güvenlik kameraları, DVR/NVR varsa ağınızda, almanız gereken bazı önlemler bulunmaktadır. Çünkü otomatize bir şekilde çalışan zaafiyet tarama araçları ya da daha önceden bir modelin belirli bir firmware’ında çıkan zaafiyet önlem alınmazsa farklı cihazlarda da istismar edilebilir.
Almamız gereken temelde güvenlik önlemleri ile bu yazıya başlayalım.
- Varsayılan Parola (Default Password) : Yeni kurulmuş olan güvenlik kamerası ya da DVR/NVR vb çoğunlukla varsayılan kullanıcı adı, şifre ve IP adresleri ile gelmektedir. Bu kullanıcı adı ve şifreler internet ortamında kolaylıkla bulunabilmektedir. Hatta üreticilerin user manual (kullanıcı dokumanlarında) dahi yazmaktadır. Bu sebepten ötürü bu cihazlar kurulduktan sonra içinde küçük harf, büyük harf, sayısal karakter, özel karakter olan en az >8 karakterli parola tanımları yapılmalıdır. Ancak parola değişimi cihazların güvenliğini %100 garanti etmez. Örneğin bu cihazların siber güvenliğine önem vermeyen devasa üretimler yapan firmaların cihazları üzerinde zaafiyetler bulunabilir. Siz parolayı oldukça kompleks bir parola yapmış olsanız dahi, bu zaafiyetler yine başınıza bela olacaktır.
- Gereksiz Ağ Protokollerinin Kapatılması : Portlar, bir evin kapı ve pencereleri gibidir. Servisler bu portlar üzerinden sağlanmaktadır. Örneğin http (80), https(443), telnet (23), ftp (21), ssh (22), snmp (161,162) gibi. Örneğin ftp server versiyonunun eski olması ve zaafiyet olması, ya da ftp’ye anonymous olarak erişim sağlanabiliyor olması, snmp için public ve private key’lerin default bırakılmış olması gibi birçok risk bulunabilir. Kullanılmayan ağ protokolleri devre dışı bırakılmalıdır. Örneğin ssh ile cihaza bağlanılması halinde ICMP echo request paketleri hedef makinelere gönderilerek, bu çok sayıda cihaz ile başlatılarak, hedef servisler durdurulabilir, servis veremez hale gelebilir.
- Port Numaralarının Değiştirilmesi : Cihazların bilinen port numaraları örneğin http-80, web server’a brute force atak ya da wordlist atak yapılarak web ara yüze erişim sağlanabilir. Ssh üzerinden saldırı yapılarak cihazın arka planda çalışan detaylarına erişilebilir. Bundan dolayı bu varsayılan portların değiştirilmesi fayda sağlar.
- Port Yönlendirme : Dış dünyaya açılan güvenlik kamerası, DVR, NVR vb için yalnızca gerekli olan portlar yönlendirilmelidir. Bu cihazlar DMZ ortamında ayarlanmamalıdır. Aksi takdirde tüm portlar açık olacağı için cihaz risk altında olacaktır. Örneğin NMAP (network mapper) ile yapılan port taramasında dmz’de olan bir cihaz için faaliyette olan protokoller ile ilgili tüm portlar açık olarak gösterilir ve servis versiyonlarına kadar çıkartılabilir.
- Bilinen Markaların Tercih Edilmesi : Noname ürünlerde zaafiyet olması halinde muhatap bulup, bunun kapatılabilmesi mümkün olmamaktadır. Bundan dolayı dünya çapında bilinen, siber güvenlik departmanı ve ekibi olan üreticilerin seçiliyor olması önemlidir. Böyle bir olumsuz durumda üreticiye ulaşıp, problemin çözümü için muhatap bulmak, kısa süre içinde çözüme kavuşturmak mümkündür.
- Güncel Firmware Kullanımı : Cihazın otomatik firmware upgrade desteği olması ya da güncel firmware ile cihazların upgrade ediliyor olması önemlidir. Bu işlem yapılırkende çok sayıda cihaz olduğu durumlarda bu işlemlerin toplu bir şekilde yapılabiliyor olması kritiktir. Aksi takdirde firmware upgrade işlemleri sekteye uğramakta ve çoğu zaman yapılmamaktadır.
- Üretici Firmware’ı Dışında Unofficial Firmware Yüklenemiyor Olması : Üreticinin imzalı firmware’ı dışında herhangi bir firmware cihaza (güvenlik kamerası, DVR, NVR vb) yüklenemiyor olmalıdır. Aksi takdirde erişim sağlanan cihazlara, içine zararlı yazılım eklenmiş firmware ile belirli sürelerde fotoğraf çekip göndermesi, DDOS atak yapılması, vb birçok sıkıntı oluşabilir.
- Log Desteği ve Belirli Periyotlarla Kontrolü : Logların bir log sunucusuna aktarılması ve gerekirse bunların analiz edilmesi, illegal girişlerin ortaya çıkmasını ya da illegal girişimlerin ortaya çıkmasını sağlayacaktır.
- Şifre Ataklarına Karşı Limit Tanımı : Şifre ataklarına karşı (brute force atak, wordlist atak gibi) örneğin 5 defa yanlış kullanıcı adı / şifre denemesi sonucunda isteğin geldiği IP adresinin bloklanması ve belirli bir süreliğine şifre denemesinin önüne geçilmesi.
- Beyaz Liste, Kara Liste IP Adresi Tanımı : Yalnızca erişim sağlamasını istediğimiz local ve wan IP adreslerini beyaz listede tanımlayarak, diğer IP adreslerinden gelen erişim isteklerini drop edebiliriz.
- ONVIF, CGI vb Entegrasyon Protokolleri Gerekli Değilse Kapatılması : CGI protokolü aracılığı ile authentication olmaksızın snapshot alınabilmekte, bunun dışında canlı yayın dahi alınabilmektedir. Eğer CGI gerekli değilse, herhangi bir entegrasyon amacıyla kullanılmayacaksa devre dışı bırakılmalıdır.
- Ağ Protokollerinin Şifreli versiyonlarının Kullanılması : HTTP yerine HTTPS, TFTP/FTP yerine SFTP, SNMPv1,v2c yerine SNMPv3, RTP yerine SRTP, TELNET yerine SSH kullanılması aradaki adam saldırılarına karşı koruma sağlayacaktır.
- RTSP Stream Authentication : Güvenlik kamerasının IP adresini bilen bir saldırgan, internet üzerinde bulmuş olduğu rtsp url’ler aracılığı ile güvenlik kamerası, DVR,NVR’dan RTSP protokolü aracılığı ile canlı yayın alabilir. RTSP URL’ler internet ortamında rahatlıkla bulunabilmektedir. https://security.world/rtsp/ Bu yüzden rtsp protokolü aracılığı ile yayın alırken, stream authentication özelliğinin olması yani kullanıcı adı-şifre doğrulaması olması önemlidir.
- Belirli Periyotlarla Zaafiyet Testi Yapılması : Profesyonel hizmet alınarak ya da NESSUS, OWASP vulnerability scanner vb otomatize araçlarla belirli periyotlarla test yapılabilir. Varsa zaafiyetler bunlar düzeltilebilir.
- Illegal Oturum Açma Girişimlerine Ait Bildirim Alınması : Yanlış kullanıcı adı ve şifre ile erişim sağlanması durumunda, bu duruma ait alarm bilgisi eposta, metadata olarak alınabilmelidir.
- Belirli Periyotlarla Parola Değişimi : Periyodik olarak cihazların parolaları toplu bir şekilde değiştirilmelidir. Bunun için de yine üreticinin toplu parola değişimini sağlayan tool’larının olması önemlidir. Dışarıdan erişim olsa dahi, parola değişimi sonrası bu erişim kesilmiş olur.
- SD Kart Şifreleme Teknolojisi : Uç kayıt yapıldığı durumda, güvenlik kamerası üzerindeki sd kartın fiziksel olarak ele geçirilmesi halinde, kayıtlara erişilemiyor olması önemlidir. Bunu sağlayabilecek özellik SD kart şifreleme özelliğidir.
Sonuç olarak hiçbir sistem için, cihaz için %100 güvenlidir diyemeyiz. Sıkılaştırma kurallarına olabildiğince çok dikkat ederek, en üst seviyede koruma sağlamalıyız. Tabiki 0 day ataklara yapılacak birşey olmayabilir bu noktada bilinen üretici ile çalışmanın avantajı kullanılarak hızlı bir şekilde problemin çözümü sağlanmalıdır.
Güvenli günler olması dileğiyle…