По словам Эйч Ди Мура, многие системы видеоконференций фактически выставляют напоказ в Интернете все, что происходит в комнатах для переговоров |
Об этом предупреждает директор компании Rapid7 по вопросам безопасности Эйч Ди Мур. По его словам, многие системы видеоконференций фактически выставляют своих участников напоказ в Интернете.
Мур не один месяц пытался «запустить щупальца» в самые дорогие программные и аппаратные системы видеоконференций и посетил не одну переговорную. Опасность, по его мнению, исключительно велика, а ее причина — безответственный подход к настройке инструментов защиты.
С помощью инструментов сканирования Мур обследовал небольшой сектор Интернета с целью обнаружить аппаратное обеспечение, использующее протокол H.323, наиболее широко распространенный при организации видеоконференций. Он выяснил, что 2% этих устройств подвергались серьезному риску со стороны хакеров, поскольку были настроены давать автоматический ответ на любой входящий звонок и не были защищены сетевым экраном.
В Интернете в целом Мур насчитал свыше 150 тыс. систем видеоконференций, уязвимых для прослушивания с помощью аппаратных микрофонов и камер с удаленным управлением.
Наиболее частая ошибка при настройке систем видеоконференций состоит в том, что не отключается функция автоматического ответа, и аппаратное обеспечение устанавливается либо без сетевого экрана, либо вне обычного периметра защиты предприятия. Впрочем, даже если системы защиты формально используются, сетевые экраны недостаточно хорошо работают с протоколом H.323, и система остается узявимой для проникновения.
Уязвимости системам видеоконференций добавляет еще и то, что некоторые программные средства поддержки видеоконференций для имеющегося оборудования, приобретенные через такие онлайн-магазины, как eBay, не очищаются от предустановленных соединений с другими точками проведения конференций.
Муру удавалось получить доступ к видеоконференциям, проводящимся в залах заседаний советов директоров компаний, к совещаниям в исследовательских лабораториях, юридических фирмах и венчурных фондах.
«Многим приходилось видеть оборудованные 'с иголочки' комнаты для видеоконференций, где обсуждаются очень важные вопросы, — отметил Майк Тачен, исполнительный директор Rapid7. — Часто оборудование для видеоконференций устанавливается именно там, где говорят на закрытые темы».
Самый простой способ защититься от шпионов — отключить функцию автоответчика, напомнил Тачен.
«В большинстве систем Polycom по умолчанию включена функция автоответчика, но отключить ее очень просто», — сказал Тачен. Между тем, Мур обнаружил, что большинство из установленных систем Polycom так и остаются настроенными на автоматический ответ.
В одном случае Муру удалось дозвониться до идущей конференции и получить управление камерой. Манипулируя камерой, он настроился на ноутбук одного из участников, чтобы в подходящем увеличении увидеть, как тот набирает пароль. Все это происходило в течение 20 минут, и никто в комнате не заметил, что камера двигается как бы сама по себе.
Мур достиг высокого уровня мастерства в исследованиях уязвимостей — он является создателем популярного инструмента для тестирования возможности проникновения, программы с открытым кодом Metasploit. Но, по его словам, некоторые его приемы может воспроизвести любой, кто обладает весьма заурядным уровнем технической подготовки.
Некоторые производители систем видеоконференций не согласны с доводами Мура о простоте шпионажа.
Дэвид Малдоу, аналитик компании Telepresence Options, специалист консультационной фирмы Human Productivity, специализирующейся на развертывании систем видеоконференций, усомнился в том, что Мур просто набирал случайные номера и ходил по каким-то пустым комнатам. Мур опроверг это утверждение.
Защититься от шпионских атак несложно, но для этого требуется знать некоторые технические приемы, которые, как заключили Мур и Тачен, не всегда доступны или не всегда предназначены именно для видеоконференций.
«Компании, производящие системы для видеоконференций, очень помогли бы в решении этой проблемы, если бы предусматривали более серьезные предупреждения в том случае, если включена функция автоматического ответа, — сказал Тачен. — К тому же они могли бы предлагать более развернутую техническую поддержу компаниям, устанавливающим шлюзы H.323».
«Я был поражен, насколько плачевна ситуация с видеоконференциями, — заявил Мур. — Популярность видеоконференций превратила целый ряд компаний в мишени для промышленного шпионажа или получения сведений, обеспечивающих конкурентные преимущества».