Когда новороссийский хакер запустил в ротацию порноролик на билборде на Садовом кольце, он не думал, что вскрывает одну из самых темных сторон использования видео для решения бизнес-задач.
Случай, аналогичный московскому, произошел некоторое время назад в одном из магазинов американской торговой сети BestBuy — на демонстрационном телеэкране отображались эротические фотографии. На этот раз задача у злоумышленников была еще проще — данная модель «умного» телевизора была оснащена интерфейсом WiFi, через который и было осуществлено проникновение. Очевидно, что в бытовых моделях телевизоров во главу угла ставится удобство использования, а не безопасность, но ведь те же самые модели могут быть установлены, например, в приемной руководителя компании, для комфорта посетителей, и однажды кто-нибудь попробует с их помощью бесконтрольно проникнуть в корпоративную сеть...
Еще один недавний инцидент связан с обнаружением уязвимости в нескольких моделях камер видеонаблюдения производства Trendnet — доступ к транслируемому этими камерами изображению можно было получить без пароля, указав в строке адреса специальный код. Впрочем, зачастую, чтобы просмотреть изображение с камер видеонаблюдения, никаких хакерских приемов применять не надо! Как отмечает Дик Рейси, специалист по безопасности, простой поиск в Google позволяет найти множество камер слежения, с которых можно наблюдать за тем, что происходит в компании — на складах, в лабораториях, офисах и т. д. Воспользовавшись развитыми средствами видеоаналитики, промышленные шпионы могут таким образом извлечь полезные для себя данные, например, распознать пароль при его вводе на клавиатуре.
Череда «разоблачений» не прошла и мимо видеоконференций. Как свидетельствуют «изыскания» хакера по имени Эйч Ди Мур (HD Moore), по совместительству главного специалиста по безопасности в Rapid 7, за два часа ему удалось выявить 5000 открытых систем H.323 из 250 000 просканированных. Уязвимые системы отвечали двум условиям: они были сконфигурированы для автоматического ответа на звонки и располагались с внешней стороны межсетевого экрана. Однако, даже если ваша система ВКС не удовлетворяет этим условиям, это не означает, что проникновение невозможно. Так, Муру удалось попасть в закрытую видеосистему Goldman Sachs. Как он объясняет, в некоторых случаях можно перейти в адресную книгу незащищенной системы и оттуда позвонить в другую конференцсистему, даже если последняя находится за брандмауэром. Именно так, через справочник одной юридической фирмы, он и попал в зал заседаний совета директоров Goldman Sachs.
Мур мог не только наблюдать, но и управлять камерами — поворачивая нужное ему устройство и приближая картинку, он мог разглядеть даже мельчайшие пятнышки на стене. Помимо подглядывания за важными деловыми переговорами, такое проникновение позволяет, как и в случае камер видеонаблюдения, получать самую разную конфиденциальную информацию — прочитывать пароли на стикерах, подслушивать удаленные разговоры, следить за экранами компьютеров и т. п.
И ведь присутствие такого шпиона очень трудно обнаружить. Очень может быть, что за вами следит не только Большой Брат!