Десятки тысяч систем видеоконференций, включая те, которые организуются из переговорных комнат в офисах компаний, где обсуждается в том числе и закрытая информация, уязвимы для шпионских атак.
Об этом предупреждает директор КRapid7 по вопросам безопасности HD Мур. По его выражению, многие системы видеоконференций фактически выставляют своих участников напоказ в Интернете.
Мур не один месяц пытался «запустить щупальца» в самые дорогие программные и аппаратные системы видеоконференций и посетил не одну переговорную. Опасность, по его мнению, исключительно велика, а ее причина — безответственный подход к настройке инструментов защиты.
С помощью инструментов сканирования Мур обследовал небольшой сектор Интернета с целью обнаружить аппаратное обеспечение, использующее протокол H.323, наиболее широко распространенный при организации видеоконференций. Он выяснил, что 2% этих устройств подвергались серьезному риску со стороны хакеров, поскольку были настроены давать автоматический ответ на любой входящий звонок и не были защищены сетевым экраном.
В Интернете в целом Мур насчитал свыше 150 тыс. систем видеоконференций, уязвимых для прослушивания с помощью аппаратных микрофонов и камер с удаленным управлением.
Наиболее частая ошибка при настройке систем видеоконференций состоит в том, что не отключается функция автоматического ответа, и аппаратное обеспечение устанавливается либо без сетевого экрана, либо вне обычного периметра защиты предприятия. Впрочем, даже если системы защиты формально используются, сетевые экраны недостаточно хорошо работают с протоколом H.323, и система остается узявимой для проникновения.
Уязвимости системам видеоконференций добавляет еще и то, что некоторые программные средства поддержки видеоконференций для имеющегося оборудования, приобретенные через такие магазины, как eBay, не очищаются от предустановленных соединений с другими точками проведения конференций.
Муру удавалось получить доступ к видеоконференциям, проводящимся в залах заседаний советов директоров компаний, к совещаниям в исследовательских лабораториях, юридических фирмах и венчурных фондах.
В одном случае Муру удалось дозвониться до идущей конференции и получить управление камерой. Манипулируя камерой, он настроился на портативный компьютер одного из участников, чтобы в подходящем увеличении увидеть, как тот набирает пароль. Все это происходило в течение 20 минут, и никто в комнате не заметил, что камера двигается как бы сама по себе.
Некоторые производители систем видеоконференций не согласны с доводами Мура о простоте шпионажа.
Дэвид Малдоу, аналитик компании Telepresence Options, специалист консультационной фирмы Human Productivity, специализирующейся на развертывании систем видеоконференций, усомнился в том, что Мур просто «набирал случайные номера и ходил по каким-то пустым комнатам». Мур опроверг это утверждение.
«Я был поражен, насколько плачевна ситуация с видеоконференциями, — заявил Мур. — Популярность видеоконференций превратила целый ряд компаний в мишени для промышленного шпионажа или получения сведений, обеспечивающих конкурентные преимущества».