ثغرة أمنية تتسع بتغريدة على تويتر تضع كاميرات المراقبة تحت خطر الاختراق

إن أسوأ ماقد يحدث هو الشعور الزائف بالأمان, بعبارة مباشرة أكثر تخيل أن نظام كاميرات المراقبة الخاص بك هو السبب الرئيسي في خسارتك التامة لعناصر الخصوصية والأمان وأن أحدهم يراقبك من خلاله.

إن تركيب تجهيزات كاميرات المراقبة هو أحد أول الإجراءات الأمنية المتبعة لإضافة طبقة أمان إضافية على الإجراءات الأمنية الاعتيادية مثل إقفال الأبواب والنوافذ والغاية طبعاً الحد من عمليات السرقة فرؤية كاميرات المراقبة قد تشعل فتيل المنطق في عقل السارق وتجعله يتردد أو يلغي السرقة والأهم طبعاً أنها تستخدم لمراجعة الأحداث في المكان المراقب لتفسير أي نشاط مريب ولدعم الأدلة الجنائية بالعناصر الرقمية.

لكن ماذا لو استطاع السارق أو المجرم (هو أو هي ) رؤية هذه الكاميرات والتحكم بها ومسح الأدلة المسجلة ؟

بصراحة أصبح هذا ممكناً على العديد من الأنواع وبسهولة لاتصدق, فقد قام الباحث الأمني الأرجنتيني Ezequiel Fernandez بنشر الثغرة الأمنية CVE-2018-9995 والتي اكتشفها على العديد من العلامات التجارية لأجهزة تحكم وتسجيل الكاميرات DVR مثل Novo, CeNova, QSee, Pulnix XVR, Securus,  Night OWL, HVR, MDVR والكثير والتي تعتمد على البرمجية المتاحة لإعادة التصميم TBK’s DVR4104 و DVR4216 ,وتقوم الثغرة بتجاوز المصادقة من خلال ترويسة “Cookie: uid=admin” وطلب قائمة المستخدمين user&cmd=list والرد ببيانات بصيغة JSON مقروءة تحتوي على أسماء المستخدمين وكلمات مرور غير مشفرة.

وقام Fernandez بنشر (PoC – Proof of Concept) أو بالعربية إثبات المفهوم الخاص باستغلال الثغرة وتم النشر تحت اسم getDVR_Credentials وهي بسيطة جداً بحيث أنها تتسع بتغريدة على تويتر !!!

“http://{DVR_HOST_IP}:{PORT}/device.rsp?opt=user&cmd=list” -H “Cookie: uid=admin”

بنظرة بسيطة على النص البرمجي لإثبات المفهوم والذي نشره الباحث الأمني يمكن معرفة أنها تحاكي وكيل مستخدم مزيف من أجل التجربة ,لكن وبصراحة أي قرصان انترنت بخبرات غير متقدمة يمكنه تعديل النص البرمجي لاستخدامه الخاص, حيث أن ثغرة الاستغلال سهلة الفهم لحد ما ولاتحتاج العملية إلا لتعديل سلسلة وكيل المستخدم وثوابت أخرى موجودة في النص البرمجي لمهاجمة أهداف محددة حقيقية.

المضحك المبكي حقيقة أنه لايوجد داعي بعد الآن لتعديل النص البرمجي للثغرة لإطلاق هجوم على أهداف محددة, فقط قام باحث أمني آخر يدعى Belahsan Ouerghi بتصميم الأداة DVR-Exploiter لتسهيل عملية إدخال المتغيرات ومن ثم تقوم الأداة بتطبيق هذه المتغيرات على الثغرة المصممة من قبل الباحث الأمني Fernandez وبالتالي الوصول لقائمة المستخدمين وكلمات مرورهم المقروءة.

ما هي درجة الخطورة ومالحل ؟

القضية تتعدى مصيبة أن يراني أحدهم بالبوكسر وأنا أتناول البيتزا والمنجا بطريقتي الخاصة, فالغاية من تركيب الكاميرات أساساً هو الحماية لكن ماقد يحدث هو أن هذه الكاميرات تتحول إلى أداة تساعد اللصوص على السرقة ومعرفة الأوقات الأفضل لتنفيذ العملية أو الجريمة ومسح الأدلة الرقمية الجنائية ,أو أداة للتجسس على الخصوصية ومن ثم ابتزاز الأشخاص بنشر المحتوى وتزداد الخطورة بازدياد قيمة الهدف طبعاً كالشركات أو مؤسسات الدولة والعديد من السيناريوهات المرعبة والكريبي جداً.

والحل مرتبط بعنصرين :

  • أولاً جودة التجهيزات فليست جميع الشركات تقدم خدمات التحديث الدورية والتي تعتبر أهم خدمة مابعد البيع في عالم التقنيات حيث أن التحديث الدوري يحمي التجهيزات المتصلة بالانترنت من استغلال القراصنة – Hackers للثغرات الأمنية المنتشرة والمكتشفة.
  • ثانياً خبرة المستخدم حيث تلعب دوراً هاماً في تعامله مع التجهيزات والتأكد من تحديثاتها الدورية المطبقة كما على الأفراد المسؤولين عن الأماكن الحيوية والحساسة ومدراء الشبكة وضع قواعد وصلاحيات دخول خاصة للعناوين الشبكية الخاصة بتجهيزات كاميرات المراقبة ومراجعة سجلات الدخول على هذه التجهيزات بشكل دوري للكشف المبكر عن أي عملية تلصص والحد من الأضرار .

ولاننسى أن استخدام الإعدادات الافتراضية هو أسوء ممارسة على الإطلاق في العالم الرقمي ( Default is a FAULT )