WeberSystems™| Blog Nowoczesne Technologie

Zdalny monitoring, a cena za nasze bezpieczeństwo i prywatność

W bardzo krótkim okresie czasu wielu z nas może przekonać się o tym jak wiele zależy od bezpieczeństwa otaczających nas rozmaitych usług. Cyberprzestępcy nie koncentrują już swoich ataków na naszych prywatnych komputerach, przenieśli je do urządzeń mobilnych (zwłaszcza opartych o system Android), wieloplatformowych celów takich jak : aplikacje java,  sieci społeczne (social networking), czy urządzenia funkcjonujące w naszych systemach bezpieczeństwa m.in. w systemach sygnalizacji włamania czy monitoringu wizyjnego. Jednak coraz częściej celem ataków stają się usługi oparte o tzw. cloud computing (przetwarzanie w chmurze).  Dzieje się tak ponieważ przenoszenie danych do usługi w chmurze stało się łatwiejsze niż kiedykolwiek wcześniej. Dostawców usług w chmurze pojawia cię coraz więcej, a ich usługi stają się coraz tańsze, lub nawet darmowe co sprawia, że liczba użytkowników tych usług narasta w ogromnym tempie. Chmura to już nie tylko nasze pliki, dokumenty i zdjęcia umieszczone w internecie z dostępem z urządzeń mobilnych w czasie rzeczywistym. Chmura to w chwili obecnej również nagrania i zdjęcia z kamer zainstalowanych w naszych domach i firmach, również tych zainstalowanych w czujnikach ruchu. Konfiguracja i informacje z chroniących nas systemów alarmowych również stają się przetwarzanymi w nich danymi. Powoli mijają czasy gdy nasze systemy bezpieczeństwa podobnie jak dane o nas były informacją praktycznie całkowicie poufną. Z gromadzeniem danych o nas samych, czy o naszych klientach spotykamy się na każdym kroku. Idąc z duchem czasu wielu producentów systemów bezpieczeństwa rozszerza możliwości swoich urządzeń o usługi w chmurze, czyniąc je przy okazji świetnymi narzędziami informacyjnymi o docelowej grupie klientów. Warto w tym momencie wspomnieć również że specyficzne dla tej chmury jest to że zdecydowanie łatwiej przenieść do niej nasze dane niż z niej zrezygnować. Sprzedawcy obiecują użytkownikowi, że likwidacja ich usług w chmurze jest możliwa w dowolnym momencie. Co jednak z pobraniem swoich danych i przekazaniem ich do innej alternatywnej usługi.  Przy dobrze rozwiniętej strategii dostawcy usługi może okazać się że o wiele łatwiej – i taniej – przenieść się do dostawcy nowej chmury, niż wyprowadzić ze starej usługi swoje dane. Najłatwiej się o tym przekonać migrując pomiędzy usługami czołowych dostawców tych usług, jak google, microsoft czy apple które na codzień wykorzystujemy w naszych urządzeniach mobilnych. Poza tym czy ktoś nam w którymkolwiek punkcie umowy obiecał że darmowa obecnie usługa zawsze taką pozostanie ? Kluczowe jest to, że w momencie zakupu / instalacji urządzeń wspomnianych systemów ani instalator ani klient nie podpisuje umowy ze sprzedawcą usługi w chmurze, umowy w której powinny być wyraźnie i szczegółowo określone warunki na jakich sprzedawca jest odpowiedzialny za administrowanie i przenoszenie danych Klienta w przypadku, gdy Klient chce zmienić dostawców usługi. Użytkownik końcowy jedynie wyraża jednostronną zgodę na przetwarzanie danych która jest niezbędna do świadczenia usługi, a w pewnych przypadkach robi to za niego bez jego wiedzy i zgody instalator usługi.

Monitoring systemów alarmowych w chmurze jako uzupełnienie VSaaS

Przykładem jednej z pierwszych, unikalnych  i w pełni funkcjonalnych chmur stworzonych na potrzeby systemów alarmowych jest rozwiązanie dostarczone wraz z pojawieniem się na rynku nowego systemu Jablotron Alarms serii JA-100. Producent jako jeden z pierwszych w Europie na potrzeby użytkowników wprowadził unikalne narzędzie do  zdalnego zarządzania i monitorowania systemu – Jablotron Self Service. Funkcjonalność usług pracujących w tej chmurze jest wysoce rozwinięta jak na dość młody produkt. Użytkownik może na bieżąco śledzić status urządzeń zainstalowanych w systemie i ingerować w stan załączenia systemu. Interfejs przypominający CRM udostępnia szereg paneli umożliwiających sterowanie automatyką, systemem lub podgląd zdarzeń wraz z fotografiami zrobionymi przez zainstalowane w systemie czujniki wyposażone w kamerę.

Będąc równocześnie obiektywnym przyjrzyjmy się bliżej samej usłudze, która również dla instalatora posiada bogatą i atrakcyjną funkcjonalność zachęcającą do bliższego zapoznania się z systemem, jak m.in:
– kartoteka klientów umożliwiająca wgląd w aktualnie zawarte umowy serwisowe,
– aplikacja dla profesjonalnego przygotowania oferty,
– dedykowany serwer umożliwiający zarządzanie i archiwizację aktualnej konfiguracji systemu.

W punkcie dotyczącym kartoteki klientów przechowywanej w „chmurze” mogą pojawić się pytania o wrażliwość przechowywanych danych z punktu widzenia GIODO, są to bowiem dane zawierające adres, telefon, email i inne dodatkowe informacje. Ważne jest bowiem w jakim zakresie instalator wprowadzający dane posiada zgodę na ich dalsze udostępnianie, i umożliwianie ich przetwarzania firmom zewnętrznym. Dyskusyjne może być również przechowywanie konfiguracji systemu (w tym haseł i kodów) poza urządzeniami instalatora i siecią klienta, co przypadku złamania systemu może być problematyczne. Pierwszą burzę związaną  z przetwarzaniem danych o konfiguracji czy wzorcach powiązanych z użytkownikiem wywołała w naszym kraju biometria, kolejną mogą wywołać usługi gromadzenia danych w chmurach firm które niejednokrotnie posiadają serwery poza granicami naszego kraju – w tym wypadku w Czechach.

Jak każda usługa, również i ta ma drobne wady które naszym zdaniem mogą stanowić obniżenie bezpieczeństwa całego systemu, jednak widać że są one wciąż dopracowywane. Pierwszą z nich jest niezrozumiały brak automatycznego przekierowania na stronę z szyfrowaniem, w materiałach szkoleniowych i marketingowych podawany jest bowiem link do adresu strony arc . jablonet . net bez https:// choć wersja serwisu z mocnym 2048 bitowym szyfrowaniem jest również dostępna. Ma to szczególne znaczenie, ponieważ login i hasło w tym wypadku są przesyłane w sposób umożliwiający podsłuchanie przesyłanych danych. Drugą lukę bezpieczeństwa stanowi uproszczona procedura przywracania zapomnianego hasła, gdzie w tego przypadku usługach wskazana by była dodatkowa weryfikacja przy pomocy połączenia telefonicznego, sms lub kodów jednorazowych, w przeciwnym wypadku konto użytkownika master może okazać się łatwe do przejęcia.

Z punktu widzenia instalatora dyskusyjny może również okazać się sam proces aktywacji, który może odbywać się albo poprzez chmurę, lub poprzez ssms w przypadku braku dostępu do internetu. Aktywacja to narzędzie dedykowane wyłącznie dla dystrybutorów krajowych i lokalnych, oraz dużych CMA (centrów monitoringu). W przypadku aktywacji przez chmurę, umożliwia ono m.in.  zdalne założenie hasła dla ustawień monitoringu CMA, instalator nie zobaczy wówczas okna ustawień CMA, a także nie będzie miał możliwości zmiany tych ustawień. Proces zdalnej aktywacji może również przeprowadzić producent wykorzystując do tego specjalny SMS programujący (SSMS), który zawiera ustawienia CMA dla danej centrali alarmowej (załącza komunikację przez CLOUD), blokuje nowe ustawienia, lub usuwa wszystkie wcześniejsze ustawienia CMA. SMS może również zainicjować RESET ustawień CMA – usunąć opcję monitoringu z centrali, co w przypadku złamania algorytmu sms’a i wykorzystania techniki SMS Spoofing stwarza niebezpieczeństwo obejścia systemu.

Monitoring wizyjny w chmurze okiem wielkiego brata

Podobny trend obserwujemy w usługach związanych z monitoringiem wizyjnym opartym o coraz tańsze i popularniejsze kamery IP, gdzie kluczowy jest koszt przestrzeni dyskowej niezbędnej do przechowywania nagrań z kamery. W przypadku niewielkich systemów telewizji dozorowej użytkownicy coraz chętniej migrują do usług które w zamian za niewielki abonament miesięczny oferują możliwość zdalnego dostępu do systemu, oraz odtwarzania nagrań bez konieczności posiadania kosztowych urządzeń rejestrujących i rozbudowanej i kosztownej infrastruktury IT. Monitoring wizyjny online zdefiniowany jako VSaaS (Video Surveillance as a Service) to według ISM Research jedna z najszybciej rozwijających się usług.

Kamery prekonfigurowane do pracy w chmurze może zainstalować praktycznie każdy, gdyż proces uruchamiania i podłączania do chmury jest przez producentów i dostawców usług uproszczony do minimum i nie wymaga specjalistycznej wiedzy technicznej. Wielu producentów prostych urządzeń sieciowych oferuje dedykowane routery jak np. D-Link Cloud, i gotowe usługi jak np. mydlink współpracujące z własnymi kamerami IP. Dostawcy płatnych usług w tym agencje ochrony (pionierem w Polsce była agencja ochrony Juwentus) oferują dostęp do gotowych rozbudowanych platform informatycznych (np. Cameramanager, Smartcam) które pozwalają na archiwizację zdarzeń z wielu kamer równocześnie, oferują zdalny dostęp do obrazu w trybie online a także przeglądanie archiwum zdarzeń systemowych.

Choć nowe płatne usługi w chmurze przyjmują się w Polsce dość dynamicznie, warto zauważyć że jednym z głównych powodów jest kryzys i powiązane z nim znaczne zmniejszenie nakładów na ochronę obiektów które sprawiają że spora część klientów wybiera rozwiązanie VSaaS głównie ze względów ekonomicznych, nie zwracając szczególnej uwagi na ich bezpieczeństwo, i poufność gromadzonych i przetwarzanych w nich danych. Wynika to niejednokrotnie z niskiej świadomości zagrożeń osób korzystających z tego typu usług, oraz braku wiedzy o istnieniu alternatywnych i darmowych choć trudniejszych w konfiguracji rozwiązań jak chociażby projekt http://sourceforge.net/projects/smartcam .

Również w przypadku monitoringu w chmurze pojawiają się kwestie dotyczące prywatności danych użytkowników tych usług, oraz kwestii ich przekazywania innym podmiotom w wyniku rozmaitych fuzji i przekształceń o czym zrobiło się głośno po berlińskich targach IFA na których firma Panasonic (dostawca kamer BL-C210 pracujących w usłudze Camermanager) ogłosiła powołanie nowego oddziału Panasonic Cloud Management ServicesEurope BV.  Rdzeniem tej spółki jest bowiem przejętą w lipcu firma CameraManager.com która dotychczas oferowała rozwiązania monitoringu wizyjnego w chmurze między innymi dla małych i średnich przedsiębiorstw na terenie Polski.

Kwestie związane przetwarzaniem danych i poufnością to nie wszystko na co powinniśmy zwracać uwagę, równie istotna jest znajomość zarówno mocnych jak i słabych stron prezentowanych technologii. Niejednokrotnie emocji związanych z monitoringiem w chmurze dostarcza sam fakt, że kamera i dostęp do niej muszą być wystawione na bezpośredni dostęp z zewnątrz, co przy niewłaściwej konfiguracji lub przy wykorzystaniu techniki xss (xross site scripting) czyni ją podatną na nie autoryzowany dostęp i wiele innych zagrożeń których z uwagi na specyfikę tej strony nie będziemy publikować. Najbardziej obrazowe jest chociażby to z jaką łatwością każdy przy użyciu ogólno dostępnych wyszukiwarek jest stanie wyszukać w sieci rozmaite urządzenia pracujące z systemami opartymi o chmurę, lub pracujące autonomicznie. Doskonały przykład stanowi poniższa bardzo bogata i rozbudowana lista zapytań predefiniowanych pod wyszukiwarkę google.

Można też oczywiście wyszukiwać urządzeń konkretnych producentów współpracujących z danym typem usługi…

Od chmury, cyfrowej komunikacji i cyfryzacji naszego otoczenia nie uciekniemy ponieważ to one są główną siłą napędową naszego społeczeństwa. Zarówno do świata naszego biznesu, jak i do naszego domu wielkimi krokami wkracza coraz więcej rozwiązań o których działaniu tak naprawdę niewiele wiemy. Wszystkie wspomniane technologie nie są z założenia złe, zły i niewłaściwy jest natomiast sposób z w jaki z nich korzystamy. Internet zapewnia komunikację tak ważnej i krytycznej dla nas infrastruktury komunikacyjnej i sieci elektroenergetycznych z których korzystamy na codzień. Od niedawna również tak bliskich nam systemów bezpieczeństwa. Ta zależność sprawia że jesteśmy niestety szczególnie podatni na szpiegostwo przemysłowe czy cyberataki dokonywane niejednokrotnie na zlecenie. Musimy też zdawać sobie sprawę że „wpuszczając internet” do naszych systemów bezpieczeństwa pomimo egzekwowania  prawa i rygorystycznej polityki prywatności przez dostawców naszych usług, musimy liczyć się z możliwością podsłuchu i nadzoru. Poprzez osadzenie mechanizmów podsłuchu w technologiach nas otaczających, a również do takich należą nasze współczesne systemu alarmowe czy monitorujące nas kamery budujemy narzędzia, które mogą być zwrócone przeciwko nam.  Takie ataki na naszą prywatność mają miejsce każdego dnia, ale to my sami nieumiejętnie posługując się technologią, i przez pryzmat pozornej oszczędności je umożliwiamy. Musimy goniąc postęp technologiczny uczyć się dbać o swoją prywatność i bezpieczeństwo, co niejednokrotnie wymaga wsparcia firm mających w tym już pewne doświadczenie.