(De)mýtizovanie najnovších technológií a podmienok kybernetickej bezpečnosti v kamerách založených na IP
Aj keď je kybernetická bezpečnosť zodpovednosťou každého, začína sa prístupom „kybernetická bezpečnosť už od návrhu“ počas vývoja technológie a pokračuje až po výrobu a distribúciu. V prípade sieťových kamier je kriticky dôležité zabezpečiť, aby hackeri nezískali prístup k cenným informáciám spoločnosti prostredníctvom akéhokoľvek slabého miesta v bezpečnostnom systéme. V závislosti od zariadenia a toho, čo je vo vnútri, môže byť predvolene zraniteľné. Toto je jeden z najväčších rozdielov medzi profesionálnymi bezpečnostnými kamerami a lacnými systémami, ktoré je možné zakúpiť u diskontných predajcov.
Pre organizácie, ktoré chcú nainštalovať lacné riešenie, to môže na začiatku vyriešiť potrebu, ale produkt nemusí dostať podporu alebo aktualizácie a záplaty pre slabé miesta. Hackerské techniky sa vyvíjajú, keď sa v priebehu času odhaľujú slabé miesta, takže je dôležité, aby výrobca vyvíjal svoj firmvér a pravidelne ho aktualizoval, aby bol vždy o krok vpred. Hanwha Techwin sa vo svojom najnovšom Wisenet 7 SoC (system on chip) zameral na kybernetickú bezpečnosť. Niektoré technológie používané na vytvrdzovanie najnovších kamier môžu byť pre používateľov neznáme, preto sa tento príspevok snaží poskytnúť prehľad týchto rôznych technológií a súvisiacich výrazov na vysokej úrovni.
Technológie a podmienky pre „cybersecure“ IP kamery
Overenie bezpečného spustenia
Secure Boot poskytuje ďalšiu vrstvu zabezpečenia izoláciou rôznych prvkov operačného systému kamery od siete. Keď sa kamera spustí, overí zašifrované podpisy v zavádzacom obraze vo svojom zabezpečenom operačnom systéme a potom spustí Linux pre sieťové rozhranie. Toto oddeľuje Linux (používateľský prístup) od čipovej sady a dešifrovacích kľúčov. Systém dokončí úplné spustenie pred komunikáciou s akoukoľvek inou časťou systému, čo tiež zabráni prerušeniu procesu zavádzania, ktoré by mohol zneužiť hacker.
Bezpečný OS
Používanie samostatného operačného systému (OS) na šifrovanie a dešifrovanie, ako aj na overenie, či aplikácie neboli upravené, znižuje pracovné zaťaženie hlavného operačného systému kamery. Na prístup k zabezpečenému OS je potrebné samostatné API založené na Linuxe a bez neho nie je možné zvonku vykonať žiadne zmeny v kamere.
Zabezpečený JTAG
Porty JTAG sú hardvérové rozhrania, ktoré sa používajú na programovanie, testovanie a ladenie zariadení. Môžu byť kompromitované hackermi, aby získali kontrolu nad zariadením na nízkej úrovni a možno nahradili firmvér škodlivou verziou. Tomu sa dá predísť zabezpečením portu JTAG prostredníctvom kľúčového autentifikačného mechanizmu, ku ktorému má prístup len autorizovaný personál pracujúci pre výrobcu. JTAG pochádza zo skupiny Joint Test Action Group, ktorá vytvorila štandard na overovanie a testovanie dosiek plošných spojov a čipov.
Zabezpečený UART (Universal Asynchronous Receiver-Transmitter)
Porty UART sú sériové rozhrania, ktoré sa zvyčajne používajú na ladenie kamier. Umožňujú administrátorovi prístup ku kamere, a preto sú cieľom hackerov, ktorí sa pokúšajú získať prístup k citlivým informáciám, ako sú kľúče na zadanie hesla. Hackeri by tiež mohli potenciálne získať prístup k firmvéru kamery, aby ho mohli spätne analyzovať, odovzdať neautorizovanú verziu alebo ju preskúmať, či neobsahuje zraniteľné miesta v komunikačných protokoloch zariadenia. Vynútenie obmedzeného a zabezpečeného prístupu k portu UART umožňuje bezpečne dokončiť proces ladenia bez toho, aby sa otvorili dvere kyberzločincom.
OTP ROM (One Time Program Read Only Memory)
Jedným z najdôležitejších aspektov kybernetickej bezpečnosti je overiť, či každý, kto pristupuje ku kamere, je tým, za koho sa vydáva. Táto funkcia napaľuje do čipu počas výroby určité jedinečné informácie, ako sú dešifrovacie kľúče, ktoré nemožno preprogramovať. Keď je firmvér nainštalovaný a certifikát je overený, odkazuje na tieto kľúče, aby sa zaručilo, že údaje pochádzajú z dôveryhodného zdroja. Toto je kritický prvok modulu Trusted Platform Module (TPM), ktorý oddeľuje stranu aplikácie kamery pre koncového používateľa od siete (Linux). OTP chráni integritu šifrovacích kľúčov, ktoré sa používajú na overenie etáp v zabezpečenej sekvencii spúšťania, a umožňuje prístup k aplikácii kamery . Výrobca, ktorý nevytvára svoj vlastný čip, zvyčajne túto schopnosť nemá.
Anti-Hardware klon
Funkcia proti klonovaniu hardvéru zabraňuje klonovaniu čipovej sady. Okrem ochrany duševného vlastníctva to zaisťuje, že čipset s výrobným štítkom je originálnou kópiou a odstraňuje riziko, že klonované zariadenie, ktoré môže obsahovať škodlivý softvér, bude použité na odcudzenie citlivých údajov, ako sú heslá.
Crypto akcelerácia
Crypto akcelerácia v kontexte čipovej sady kamery znamená poskytovanie komplexných matematických funkcií pre šifrovanie a dešifrovanie. Pretože ide o veľmi intenzívnu operáciu, môže vyžadovať, aby čipová sada využívala veľkú časť svojich zdrojov. Vybavenie čipsetov špeciálnym „enginom“ na tento účel zaisťuje, že šifrovanie/dešifrovanie sa vykonáva efektívne bez vplyvu na ostatné funkcie kamery.
Video & API Encryption
Medzi umiestnením kamery a miestom, kde sa na diaľku prezerajú, zaznamenávajú a ukladajú snímky, ktoré zachytáva, vždy existuje možnosť, že by sa kyberzločinec mohol nabúrať do siete a získať prístup k tomu, čo môže byť dôverným videom a údajmi. Pred prenosom videa a inej sieťovej komunikácie je možné použiť šifrovanie, aby si ho nemohol pozrieť nikto, kto sa zlomyseľne nabúral do siete.
Zvyšovanie úrovne v oblasti kybernetickej bezpečnosti
Dúfame, že tieto stručné definície prispeli k vášmu pochopeniu rôznych technológií, ktoré možno použiť na ochranu sieťových IP kamier pred zneužitím. Pri nasadzovaní IP kamier je dôležité zvážiť oddanosť výrobcu pre kybernetickú bezpečnosť a vyzbrojiť sa základnými znalosťami toho, čo je potrebné na úspešnú ochranu zariadení. Výrobcovia by mali využívať nezávislé testovacie agentúry (whitehat hackeri), aby pomohli identifikovať zraniteľné miesta.
Hanwha Techwin vždy uprednostňovala kybernetickú bezpečnosť a najnovší čip Wisenet 7 opäť zvýšil úroveň bezpečnostného priemyslu. Wisenet 7 SoC získal certifikáciu UL CAP (Cybersecurity Assurance Program) len za 3 mesiace (pre väčšinu spoločností to zvyčajne trvá 8 až 10 mesiacov) vďaka nášmu dobre zavedenému procesu vývoja softvéru, ktorý už funguje.