• Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
10.03.2021
Василий Парфенов
11
7 501

Хакеры взломали 150 тысяч камер наблюдения, размещенных на заводе Tesla, в тюрьмах, школах, компаниях, больницах и госучреждениях

7.4

Потрясающий пример того, почему в современном мире кибербезопасность должна быть первоочередным вопросом на повестке дня в любой организации. Хакеры получили доступ к аккаунту «суперадмина» во внутренней сети стартапа Verkada, который предоставляет услуги видеонаблюдения сотням известнейших компаний (например, Tesla) и учреждений (включая тюрьмы, больницы и клиники, а также полицейские участки). Учетные данные были жестко «зашиты» в коде фирменной программы, который случайно оказался в Сети.

Хакеры взломали 150 тысяч камер наблюдения, размещенных на заводе Tesla, в тюрьмах, школах, компаниях, больницах и госучреждениях
«Взрывная» диаграмма устройства одной из моделей камер Verkada. Особенность этих гаджетов в том, что им не требуется рекордер или сервер на месте установки — только подключение к сети. Архив записей хранится прямо на камере и при необходимости выгружается. Также последние несколько секунд видео будут обязательно отправлены в облачное хранилище, если устройство зафиксирует экстренную ситуацию (удар, пожар или иные триггеры) / ©Verkada

Масштаб взлома поражает. Хорошо, что совершившие его хакеры делали все веселья ради и для демонстрации уязвимости современных людей перед тотальной слежкой. По крайней мере, так они сами утверждают. В качестве подтверждения своих слов киберпреступники предоставили некоторым СМИ архив с изображениями и видеофайлами общим объемом пять с небольшим гигабайт. Как пишет Bloomberg, там есть кадры из десятков организаций — и частных, и государственных.

Журналисты подтвердили: в архиве — множество изображений и роликов из реальных офисов или с производственных площадок. На одном из видео восемь сотрудников медицинского учреждения скручивали пациента на кровати, а на другом — полицейские в участке разговаривали с закованным в наручники человеком. Также есть кадры из женских клиник, школ, отделений интенсивной терапии в больницах и шанхайского склада Tesla. Есть съемка даже из штаб-квартиры самой компании Verkada и дома одного из ее сотрудников.

Хакеры взломали 150 тысяч камер наблюдения, размещенных на заводе Tesla, в тюрьмах, школах, компаниях, больницах и госучреждениях
Склад Tesla в объективе камеры Verkada / ©Tillie Kottmann, Bloomberg

В общей сложности взломщики получили неограниченный доступ более чем к 150 тысячам камер наблюдения. Отдельно отмечаются 222 «глаза» на заводах и складах Tesla. Но список организаций, чья безопасность была поставлена под угрозу, знаменитым производителем электромобилей не ограничивается. Получившие архив с подтверждением взлома СМИ смогли установить соответствие мест съемки с большим числом клиентов Verkada, упомянутых на официальном сайте компании.

Безудержное веселье IT-специалиста

Репортер CBS News Дэн Паттерсон (Dan Patterson) в своем Twitter-аккаунте сегодня ночью сообщил, что скачивает архив, но проверить его пока не успел. По его словам, предоставляя ссылку, хакеры отметили, что среди видео есть свидетельства плохого обращения с заключенными в тюрьмах и пациентами в психиатрических клиниках. Также Дэн смог пообщаться с одним из взломщиков — известным специалистом по кибербезопасности Тиллем Коттманном (Tille Kottmann) из Швейцарии. Он рассказал, что международная команда хакеров APT 69420 Arson Cats, в которой он состоит, имела доступ к внутренней сети Verkada около 36 часов.

Хакеры взломали 150 тысяч камер наблюдения, размещенных на заводе Tesla, в тюрьмах, школах, компаниях, больницах и госучреждениях
Тюрьма округа Мэдисон (штат не указан) в объективе камеры Verkada / ©Tillie Kottmann, Bloomberg

По словам Коттманна, мотивация хакеров проста: «Уйма любопытства, борьбы за свободу информации и против интеллектуальной собственности, огромная порция антикапитализма и немножко анархизма — а еще,
это слишком весело, чтобы не сделать». Он отметил, что на деньги ему плевать и он просто хочет, чтобы мир стал лучше. Ну и в процессе создания этого «лучшего мира», как говорится, грех не повеселиться. Что важно, Тилль попросил заметить — ни он лично, ни APT 69420 в целом не представляют никакую нацию или корпорацию.

Что любопытно, Коттманну за такой взлом ничего не грозит, именно поэтому он свободно общается с прессой. Швейцарское уголовное законодательство подразумевает финансовое наказание и лишение свободы за неправомерное получение информации через электронные сети, только если для сохранности этой информации были приложены необходимые усилия (статья 143 бис Уголовного кодекса Швейцарии). Фактически раз учетные данные были в открытом доступе, Тиллю не о чем беспокоиться — виновник тот, кто выложил их во всеобщий доступ.

Отвечая на вопрос Дэна Паттерсона, не опасается ли он за свою безопасность, Тилль откровенно веселится: «Может мне и надо быть чуть более параноидальным, чем обычно, но что поменяется? Я буду так же под прицелом, как сейчас». Коттманн таким образом намекает на свою прежнюю деятельность — в частности, именно он «угнал» через такую же элементарную брешь в защите 20 гигабайт исходного кода продуктов Intel, где были обнаружены «черные ходы» (backdoor) / ©Tillie Kottmann, Dan Patterson, Twitter

Никаких уязвимостей, просто безалаберность

Самое интересное — метод взлома. Хакеры не использовали никаких уязвимостей или социальной инженерии. Учетные данные «суперадмина» получили, изучая внутреннюю среду разработки Verkada, которую в компании не защитили от внешнего доступа через интернет. В программе содержались «жестко закодированные» (hardcoded) данные для аутентификации с правами максимального доступа.

В этом месте стоит сделать отступление с пояснением. В строгом смысле, скорее всего, ничего «жестко закодировано» не было, ведь брешь в скором времени закрыли. Обычно под hardcoded понимается связка логин-пароль или некий токен для авторизации, который «вшит» в низкоуровневое программное обеспечение или даже прямо в архитектуру аппаратного обеспечения. Такие «черные ходы» действительно используются многими производителями оборудования и остаются серьезной угрозой для безопасности. Хотя сильно облегчают работу техподдержки. Однако быстро изменить их крайне трудно, а иногда — вовсе невозможно.

В нашем случае, судя по всему, речь идет об использовании универсального токена или упоминания аутентификационных данных в коде программы для отладки. Так нередко поступают невнимательные или ленивые программисты, чтобы во время отладки системы не отвлекаться на ввод учетных данных. На IT-жаргоне это еще называют «жестким кодированием», хотя и не совсем корректно. В любом случае, вся история катастрофически ударила по репутации Verkada и стала отличным примером максимально злой иронии. Ведь на официальном сайте компании черным по белому описано, с каким настроем ее создал основатель:

«Для современного бизнеса безопасность — не опция, а необходимость»

Реакция

На новость о масштабном взломе успели отреагировать некоторые пострадавшие компании. Представители всемирно известного IT-гиганта Cloudflare отметили, что камеры Verkada стоят в офисах, которые давно закрыты из-за коронавирусного локдауна, и никаких личных или просто ценных данных никто не мог заполучить. В Verkada журналистов заверили, что брешь уже прикрыли и проводят всестороннее внутреннее расследование — как с собственной службой безопасности, так и с привлечением внешнего аудитора. От Tesla, других компаний, представителей тюрем и учреждений здравоохранения СМИ до сих пор не получили комментариев.

А они, честно говоря, потребуются. Как минимум в двух случаях. Во-первых, и хакеры, и журналисты отметили, что фирменная технология распознавания лиц в камерах Verkada была включена для видеонаблюдения в нескольких больницах и женских клиниках. Система позволяет идентифицировать и отслеживать людей по целому ряду внешних параметров, что уже ставит под вопрос врачебную тайну. Во-вторых, в архиве записей одной аризонской тюрьмы обнаружили целую папку с роликами, названия которых вызывают, мягко говоря, подозрения: вроде «Удар ногой с разворота — упс» (ROUNDHOUSE KICK OOPSIE).

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Предстоящие мероприятия
Позавчера, 19:20
Мария Азарова

Исследователи из Южной Кореи на примере супружеских пар проверили, как длина и состояние волос женщин отражаются на влечении к ним мужчин и частоте половых контактов.

10 часов назад
Игорь Байдов

Американская компания JetZero, которая обещает произвести фурор в гражданской авиации, получила сертификат летной годности на испытания уменьшенной копии разрабатываемого ею сверхэффективного реактивного авиалайнера со «смешанным крылом». Предстоящая программа летных испытаний будет направлена на оценку летно-технических характеристик самолета, его устойчивости и управляемости.

Вчера, 07:27
Полина

Международная команда исследователей проанализировала гены композитора Людвига ван Бетховена. Если оценивать по ним его способности к музыке, они окажутся невыдающимися.

Позавчера, 19:20
Мария Азарова

Исследователи из Южной Кореи на примере супружеских пар проверили, как длина и состояние волос женщин отражаются на влечении к ним мужчин и частоте половых контактов.

Вчера, 07:27
Полина

Международная команда исследователей проанализировала гены композитора Людвига ван Бетховена. Если оценивать по ним его способности к музыке, они окажутся невыдающимися.

24 марта
Михаил Орлов

Астронавты, прибывшие на Луну в рамках программы «Аполлон», установили на ее поверхности первые внеземные сейсмографы и оценили частоту и силу лунотрясений. Теперь, спустя полвека после сбора данных о сейсмической активности Луны, ученые вновь подвергли их анализу, смогли удалить из них помехи и резко изменили оценки сейсмической активности на Луне. Оказалось, что приборы тогда зафиксировали не 13 тысяч лунотрясений, как считали ранее, а почти в три раза больше. Среди них неожиданно много слабых толчков, которые сосредоточены в северном полушарии Луны.

11 марта
Игорь Байдов

Американская компания Stratolaunch сообщила об успешном завершении летных испытаний прототипа гиперзвукового аппарата Talon-A, оснащенного ракетным двигателем. Во время беспилотного полета планер развил сверхзвуковую скорость.

18 марта
Игорь Байдов

Грузовой самолет будут использовать для перевозки 90-метровых лопастей ветряных турбин, которые невозможно доставить по суше из-за размеров. Предполагается, что этот аппарат произведет революцию в сфере возобновляемых источников энергии.

13 марта
Алиса Гаджиева

Древние переселенцы из Анатолии не только устроили геноцид в Скандинавии, но и одарили выживших новыми болезнями.

[miniorange_social_login]

Комментарии

11 Комментариев

-
0
+
Термин "уязвимость" меня вообще безмерно удивляет и ставит в тупик. Что такое есть "уязвимость"? И если имущество "уязвимо" - его можно красть? Предположим, фрукты у уличного торговца лежат на улице на открытом стеллаже прямо у тротуара. Очень легко сделать так, что, быстро проходя мимо, можно схватить фрукты и побежать, таким образом присвоив их себе. Это "уязвимость" (в терминологии этих уродов-хакеров)? То есть, если имущество (вещи, в т.ч. информация, как некий вид имущества) технически "уязвимы", значит, ее можно красть, и ничего за это не будет? То есть торговец обязан сделать так, чтобы фрукты были технически "неуязвимы" для кражи? Или просто есть такая обязанность у законопослушного гражданина - не красть ничего, даже если технически украсть очень легко? Или у информации как особого рода имущества есть исключения? Или для хакеров как для людей особого сорта, недоступного простым смертным, предполагается защита от действия законов о краже? Ничего не понимаю. Почему законы не действуют. Красть уже можно, проникать в чужую частную собственность уже можно или все-таки нельзя? Или можно но хакерам?
    Иван
    11.03.2021
    -
    0
    +
    Записи с камер видеонаблюдения это не фрукты на прилавке. Они не должны быть в широком доступе. В данном случае хакер вскрыл серьезную проблему в безопасности и не воспользовался в личных целях, а СООБЩИЛ О НЕЙ. То есть помог закрыть дыру. И если уж вам нужны аналогии на пальцах то вот вам простой кейс. Вот идет человек по улице и не замечает что штаны на опе лопнули. По вашему лучше ничего не говорить, пусть идет дальше или все же лучше сообщить ему о проблеме? Пусть даже в стиле "эй чувак у тебя трусы видать!" И если вы потащите нахала в полицию, в следующий раз пойдете сверкая труселями и вам слова никто не скажет. Пока не увидите свой голый зад в интернетах. Да конечно лучше было подойти и шепнуть на ухо, чем орать на всю улицу, но ведь и усилий хакерам пришлось приложить куда больше, чем просто посмотреть. Шумиха поднятая хакерами выглядит некрасиво, но и сажать тут не за что. Хотя бы потому, что данные тогда будут красть никуда не сообщая. Что гораздо опаснее.
    +
      ещё комментарии
      Семен
      11.03.2021
      -
      0
      +
      Ага. Точно. Потрясающе. Вы купили замок в магазине, обычный. Он же уязвим, его можно легко открыть обычной отмычкой. Что же это вы ходите без трусов? К каждому замку, купленному в магазине, нужно вызывать мастера, он его должен настраивать, чтобы никто не мог открыть замок отмычкой. А лучше сразу делать бункерную дверь. Что это вы ходите по улице в такой уязвимой одежонке? Кепочка слабенькая, уязвимая. Вдруг кому захочется Вас дубиной огреть. Поэтому настраивайте себе неуязвимую каску, да и кольчужку тоже заказывайте. Вдруг кто захочет Вас ножичком попробовать на предмет уязвимости вашего брюшка. Вам приятно будет жить в таком обществе? Мне - нет. Наличие "уязвимости" (определяемой весьма произвольно по прихоти каких-то гопников от электроники) не является оправданием для использования сей "уязвимости" в преступных целях. Мы все живем в обществе и все уязвимы.
        Василий
        11.03.2021
        -
        0
        +
        Эти преувеличения -- нарочны, или ты действительно не понимаешь концепции разумной безопасности?
          Иван
          11.03.2021
          -
          0
          +
          В представлении Семена все хакеры это враги трудового админа которых надо немножко расстрелять или отправить на Марс высаживать яблони.
            Василий
            11.03.2021
            -
            0
            +
            О, я таких сисадминов обожаю просто. На одной из работ после каждого анонса о том, насколько у нас улучшилась компьютерная безопасность в компании я просто заходил на главный сервак, торчащий "наружу" с дефолтным паролем, и с директорской почты рассылал всем трояны. Причем трояны старые, которые в свежих базах сигнатур давно есть, но, поскольку никто не тратил деньги на лицензионные антивирусы или венду, они заходили на ура. А в день увольнения сменил пароль на сервере и закинул на общий диск шифровальщика типа популярного тогда WannaCry или как его. В общем, все, как Тилль завещал -- gay and fun
              Иван
              11.03.2021
              -
              0
              +
              Ну ты злой. Прям какой-то привет из 90-х. Даже если была обида на бывших работодателей, не делал ничего подобного. Просто потому что обычно страдают рядовые сотрудники с которыми я отношений не портил.
                Василий
                11.03.2021
                -
                0
                +
                Зато эникейщик наш всегда при делах был! Я еще и дешифратор прямо на рабочем столе сервера оставил. Они его не нашли))))))))))))))))))))))))))))))))))))))) УПД. Вообще, это и была контора на 100% привет из 90-х, у нас даже крыша была и шеф с братками тусил (ноу шит). Никак не помешало гавкнуться с грохотом в 2015м
-
0
+
Очень интересная статья. Но есть вопросы к переводу оригинальных твитов журналиста. She это все-таки "она", а не "он", а из цитаты про мотивацию пропало слово gay. В результате не понятен смысл слов "Я буду так же под прицелом, как сейчас" — без этого контекста не понятно, из-за чего. К сожалению, в результате создается ощущение двойных стандартов — писать про работу людей и, возможно, даже ими восхищаться, но перекраивать их слова и личности на свой персональный вкус. Думаю, такой цели не было, но прошу обратить внимание на нарочитое искажение источника.
    Иван
    11.03.2021
    -
    0
    +
    Вот честно меня совершенно не взволновала сексуальная ориентация "специалиста по кибербезопасности" К теме статьи она имеет никакого отношения. Те кому важно знать гей этот хакер или натурал могут прочитать оригинал на английском.
    Василий
    11.03.2021
    -
    0
    +
    Я даже не знаю, как это комментировать, если честно. Если докапываться до сути, то Тилль, вообще-то, просит обращаться к себе нейтральным местоимением they. В русском языке нет литературной нормы, регламентирующей такое обращение, так что будет "он", как привычно по умолчанию и применимо к среднему роду. В целом, на гендер Паттерсона всем начхать, в первую очередь ему самому -- журналист регулярно его называет в разном роде и Тилль на это не обращает внимания. А если кому-то хочется, чтобы Nsked-Science в чудесной России настоящего прикрыли за публикации со словами типа "за взломом не стоит ничего, кроме гейства, веселья и анархии" (для полного набора оскорбления верующих не хватает) -- у меня к этому человеку просто нет вопросов. И, да, попрошу еще раз внимательно прочитать статью вместе с подписями ко всем вставкам, и четко мне показать, где это я исказил чьи слова.

Подтвердить?
Подтвердить?
Причина отклонения
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Жалоба отправлена

Мы обязательно проверим комментарий и
при необходимости примем меры.

Спасибо
Аккаунт заблокирован!

Из-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.

Понятно
Что-то пошло не так!

Наши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.

Понятно
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно
Ваше сообщение получено

Мы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.

Понятно

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: