Уязвимости потоков RTSP и старая проблема рынка видеонаблюдения
Почему видеонаблюдением слишком часто занимаются не те специалисты
У видеонаблюдения на нашем рынке есть старая и очень живучая болезнь. Его слишком часто строят как обычную слаботочную систему, а не как часть цифровой инфраструктуры. Кабель протянули, камеру повесили, регистратор включили, приложение на телефон поставили, порты на роутере открыли, внешний адрес подключили, картинка появилась. На этом работу обычно считают законченной.
Снаружи все выглядит прилично. Заказчик видит изображение, охрана довольна, подрядчик подписывает акт. Но проблема в том, что современное видеонаблюдение давно уже не сводится к камере на стене и экрану в комнате охраны. Это сеть, удаленный доступ, учетные записи, журналы событий, архив, мобильные клиенты, передача данных наружу, иногда облачные сервисы и связь с внешними системами. И здесь начинаются уже не монтажные вопросы, а вопросы архитектуры, протоколов и безопасности.
На практике же очень часто проектом управляет не специалист по сетям и защите, а человек, который мыслит кабелем, коммутатором и принципом «главное, чтобы показывало». Именно так и рождаются системы, которые работают ровно до первого серьезного инцидента.
Чем опасны открытые потоки RTSP
Сам по себе RTSP не является защитным механизмом. Это способ передавать видеопоток и управлять им, а не средство, которое автоматически делает систему безопасной. Если такой поток выставлен наружу без дополнительной защиты, посторонний получает не просто картинку. Он получает возможность наблюдать за объектом в реальном времени, изучать маршруты движения, режим охраны, слабые места, время работы персонала, расположение входов, ворот, техники и периметра.
Но и это еще не все. Очень часто наружу выставляют не только сам поток, но и сопутствующие службы камеры или регистратора. Вместе с видео могут оказаться доступны страница управления устройством, служба обнаружения оборудования, дополнительные сетевые порты и старая учетная запись, которую никто не менял со дня установки. И тогда наружу торчит уже не просто поток, а целый набор дверей, часть из которых вообще забыли закрыть.
Самое неприятное в таких историях то, что владельцу объекта кажется, будто он просто сделал удобный удаленный просмотр. На деле же он нередко показывает свою систему всему интернету.
Как обычно находят такие камеры и регистраторы
Сегодня для поиска открытых устройств не нужно ничего экзотического. Существуют специальные сервисы, которые постоянно просматривают доступные из интернета узлы и собирают сведения об открытых портах и сетевых службах. Если камера, регистратор или сервер видеонаблюдения доступны снаружи напрямую, они вполне могут попасть в такие базы.
Наиболее известные такие сервисы это Shodan, Censys, FOFA и ZoomEye. Они индексируют открытые порты, ответы сетевых служб и признаки устройств. Если камера или регистратор выставлены наружу напрямую, их могут обнаружить не только специалисты по защите, но и те, у кого совсем другие планы на чужую инфраструктуру.
После этого злоумышленнику остается понять, что это за устройство, какая у него модель, какие службы открыты и не оставили ли владельцы чего-нибудь лишнего. Иногда устройство выдает о себе слишком много. Иногда хватает слабого пароля. Иногда проблему создает старая прошивка. А иногда все еще проще: поток вообще доступен почти без препятствий.
Ирония тут в том, что многие такие системы обнаруживаются не в результате сложной атаки, а из-за обычной небрежности. Не взломали, а просто заглянули в открытую калитку. Иначе говоря, многие владельцы сами вывешивают табличку: «Камеры тут, заходите не стесняйтесь».
Почему проблема не в одном только протоколе
Было бы слишком удобно сказать, что виноват только RTSP. На самом деле корень проблемы глубже. Опасен не сам протокол, а привычка строить систему по принципу «лишь бы заработало». Если наружу бездумно выставить любой сервис, беда рано или поздно придет. Просто RTSP в видеонаблюдении встречается особенно часто, поэтому именно он регулярно оказывается в центре таких историй.
Спор между RTSP и более защищенными способами передачи видео на самом деле упирается не в моду на новые названия, а в культуру проектирования. Вопрос всегда один и тот же: кто и как получает доступ к видео, где проходит внешняя граница системы, чем защищен канал, кто отвечает за учетные записи, как ограничен доступ и что произойдет, если кто-то попробует зайти не туда.
Если на эти вопросы никто не отвечает, значит безопасность в проекте просто не была предусмотрена.
Почему SRT безопаснее, но не спасает от плохой архитектуры
На фоне открытого RTSP часто вспоминают SRT как более безопасный способ передачи видео наружу. И в этом есть смысл. SRT лучше приспособлен для передачи через интернет, поддерживает шифрование и в целом выглядит гораздо аккуратнее с точки зрения защиты самого видеопотока. Если говорить совсем просто, открытый RTSP это дверь на улицу с крючком, а SRT это уже дверь с замком.
Но есть важная оговорка. Даже SRT не превращает плохую схему в хорошую только одним своим названием. Если система спроектирована небрежно, если доступ выдан кому попало, если нет нормального разделения сети, учета подключений и контроля внешних узлов, то новый протокол лишь делает старую ошибку чуть приличнее на вид. Иногда это напоминает ситуацию, когда сарай перекрасили, а дыру в стене оставили.
Поэтому выбор протокола важен, но еще важнее вопрос, как именно этот протокол используется. Хороший инструмент в плохой архитектуре тоже умеет приносить неприятности.
Курская область: когда камеры становятся источником разведки
Особенно ясно эта проблема проявляется в условиях конфликта. История с Курской областью стала тревожным напоминанием о том, что камеры могут работать не только на владельца объекта. Когда доступ к уличным и частным системам видеонаблюдения получают посторонние, они превращаются в удобный инструмент наблюдения за дорогами, дворами, перемещением транспорта и общей обстановкой.
И здесь уже нельзя отмахнуться словами про бытовое удобство и удаленный просмотр с телефона. Речь идет не о том, что кто-то подглядел картинку с парковки. Речь идет о том, что плохо защищенная система видеонаблюдения может помочь противнику видеть территорию почти вашими же глазами.
В такой ситуации камера, которую ставили ради безопасности, неожиданно начинает работать против самой безопасности. Получается особенно обидная конструкция: люди вложились в контроль территории, а в итоге подарили дополнительный источник информации тем, кому его давать точно не собирались.
Иран: еще один пример того, как камеры могут обернуться против владельца
История с Ираном показала ту же проблему, только в еще более жестком виде. Когда в стране строится большая сеть городского наблюдения, кажется, что это усиливает контроль и управляемость. Но если такая система плохо защищена, она становится не только внутренним инструментом наблюдения, но и внешней уязвимостью.
В условиях противостояния камеры начинают играть двойную роль. Тот, кто получает к ним доступ, может использовать их не хуже официального оператора. Следить за движением, изучать реакцию служб, смотреть дорожную обстановку, выявлять важные точки и наблюдать за происходящим в реальном времени. То, что задумывалось как средство контроля, превращается в источник ценных сведений для чужой стороны.
Это одна из самых неприятных особенностей видеонаблюдения. Камере все равно, на кого работать. Она показывает картинку тому, кто получил доступ.
Безопасный город и опасная простота
Отдельный разговор касается систем уровня «Безопасный город» и других похожих схем, где организации должны передавать видео во внешние муниципальные или ведомственные системы. На бумаге это выглядит логично. Город хочет видеть важные объекты, дороги, общественные пространства и быстро получать изображение при необходимости. Но на практике здесь возникает опасный соблазн все упростить до предела.
Если задача ставится в духе «просто дайте поток наружу», без продуманной архитектуры, то получается как всегда. Видео передали, а вместе с ним наружу может уйти и целый набор рисков. Кто отвечает за безопасность канала, кто ограничивает доступ, кто ведет учет подключений, кто отвечает за защиту самой камеры или регистратора, кто будет разбираться после инцидента? Очень часто на эти вопросы никто не любит отвечать заранее.
В результате создается странная картина. Формально система работает для безопасности города, а фактически местами строится так, будто безопасность самой системы никого особенно не волнует.
Где заканчивается слаботочка и начинается настоящая инфраструктура
Работа слаботочников важна и нужна. Без них не будет нормального монтажа, питания, кабельной трассы, коммутации и запуска оборудования. Но ошибка начинается в тот момент, когда кто-то решает, будто этого достаточно для полноценной системы видеонаблюдения.
Как только камера становится частью сети, она перестает быть просто камерой. Это уже сетевой узел. Регистратор перестает быть просто коробкой с диском. Это уже вычислительное устройство с удаленным доступом, службами, учетными записями, настройками маршрутизации и рисками для всей системы. Здесь уже нужны не только монтажники, но и специалисты, которые понимают логику построения сети, разделение сегментов, защиту каналов, управление доступом, обновление оборудования и последствия публикации сервисов наружу.
Если этого не происходит, система почти неизбежно скатывается к опасной простоте. Поставить подешевле, открыть поудобнее, настроить побыстрее, а о защите подумать потом. Обычно слово «потом» в таких проектах означает «никогда».
Почему такие системы кажутся надежными, пока не случилась беда
Самая коварная часть проблемы в том, что внешне все работает. Руководитель открывает приложение и видит камеры. Оператор наблюдает за объектом. Архив пишется. Удаленный доступ есть. Формально придраться не к чему.
Но настоящие вопросы начинаются чуть глубже. Кто еще может видеть эти камеры? Какие службы доступны снаружи? Насколько легко определить модель оборудования? Не остались ли старые пароли? Не открыты ли лишние порты? Не подключены ли внешние системы без должного контроля? Не превратилась ли вся эта «удобная удаленка» в публичный вход для чужих глаз?
Пока ничего не случилось, такие вопросы часто считают излишней перестраховкой. После инцидента они почему-то сразу становятся очень важными. Старый сюжет: сначала открыли все для удобства, потом долго ищут виноватых.
VPN - три буквы которые не запрещены в Российской Федерации, как некоторые думают
Хорошая система видеонаблюдения сегодня должна строиться не как набор камер с просмотром через интернет, а как закрытая сервисная среда. Прямой доступ к камерам из внешней сети должен быть редким исключением, а не обычной практикой. Просмотр на телефонах и компьютерах лучше организовывать через защищенный сервер, через частную сеть или через специально спроектированную платформу с контролем доступа, журналированием и ограничением внешних подключений.
Один из самых здравых способов удаленного просмотра это не выставлять камеры и регистраторы напрямую в интернет вообще, а подключаться к системе через VPN. В этом случае наружу не торчит сам видеопоток, не светятся лишние службы оборудования, а пользователь сначала попадает в защищенный контур, и только потом получает доступ к камерам. Да, VPN не выглядит так эффектно, как обещание «смотреть все камеры из любой точки мира за две минуты», зато он почему-то гораздо реже становится героем новостей с неприятным оттенком.
Если требуется передавать видео во внешние системы, это нужно делать через отдельный шлюз и понятные правила, а не через прямую публикацию устройства наружу. Поток внутри внутренней сети может жить вполне спокойно. Но поток, выставленный наружу без защиты, это уже не инженерное решение, а лотерея с очень неприятными призами.
В нормальной архитектуре наружу должен смотреть не сам регистратор с открытым потоком, а специально предусмотренный защищенный узел доступа. Все остальное это не удобство, а беспечность, замаскированная под простоту.
Главная уязвимость находится не в камере, а в подходе
Главная уязвимость потоков RTSP очень часто находится даже не в самом протоколе. Она находится в культуре проектирования. Пока видеонаблюдение воспринимают как второстепенный монтажный раздел, а не как часть цифровой и сетевой инфраструктуры, будут повторяться одни и те же истории.
Сначала кабель. Потом открытые порты. Потом удаленный просмотр. Потом передача потока наружу. Потом выясняется, что эти камеры смотрит кто-то еще. И только после этого начинаются серьезные разговоры о защите.
Поэтому выбор между RTSP, SRT, защищенным шлюзом и VPN это не спор любителей страшных сокращений. Это вопрос инженерной дисциплины. Там, где думают архитектурой и безопасностью, наружу не выбрасывают все подряд ради минутного удобства. Там, где думают по принципу «и так сойдет», камера очень быстро превращается из средства наблюдения в публичный телеканал местного значения. К счастью, юмор пока не запрещен на территории России. А вот открытые потоки наружу стоило бы запретить хотя бы в головах.
Вывод здесь довольно простой. Камеры должны проектировать не только те, кто умеет их повесить и подключить, но и те, кто понимает архитектуру, сетевые протоколы, модели угроз и ответственность за внешний доступ. Потому что видеонаблюдение без такой проработки очень легко превращается из средства защиты в еще одну уязвимость объекта.