Как обмануть видеонаблюдение на работе?
Прес-релізи
Інше
Сегодня многие современные офисы и другие коммерческие помещения оснащены камерами видеонаблюдения. С их помощью владельцы и руководители бизнеса решают целый ряд задач.
Назовем главные из них: контроль за эффективностью работы сотрудников, наблюдение за поведением посетителей; оперативное решение конфликтных ситуаций; пресечение случаев неадекватного поведения персонала и гостей, а также совершения ими краж и порчи имущества; отслеживание своевременности начала и окончания рабочего дня и рациональности использования рабочего времени.
В общем, с точки зрения работодателя установка видеонаблюдения в Киеве в офисе, магазине, на складе или в заводском цеху приносит сплошные плюсы. По статистике наличие «всевидящих» камер позволяет значительно повысить производительность труда сотрудников. Это выглядит вполне естественно, так как уже сам факт их присутствия по логике стимулирует персонал на добросовестное выполнение своих обязанностей.
Как оно — быть всегда «под колпаком»?
Но давайте попробуем посмотреть на ситуацию с другой стороны — с точки зрения работающих в офисе или другом помещении людей. Каково им постоянно пребывать под тотальным контролем? Ведь если работодатель «перегнет палку», это может вызвать обратный эффект. Сотрудники компании начнут создавать умышленные проблемы работе камер.
Недаром Интернет просто «пестрит» советами по выводу установленных на работе систем видеонаблюдения из строя. Например, на полном серьезе советуют разместить источник радио или электромагнитных помех, засветить матрицу камеры, закрыть объектив, перерезать провод питания или вообще разбить. Для этого предлагают использовать молоток, камень, кастет или другой твердый предмет. Но такие действия противозаконны!
На самом деле избавиться от слишком плотного контроля и «обмануть» камеры видеонаблюдения на работе можно, если знать нормы закона и уметь отстаивать свои права.
Обманываем систему видеонаблюдения без «членовредительства»
Вот что должны знать как работодатели, так и наемные рабочие об использовании видеокамер в офисах и прочих коммерческих помещениях:
- Скрытое видеонаблюдение в Украине строго запрещено. При обнаружении незаметно установленных камер организатор таких действий может «загреметь за решетку» на срок до 4 лет!
- Статьи №32 Конституции Украины, №307 Гражданского кодекса и №8 подписанной нашей страной Конвенции о защите прав человека требуют уважения к личной жизни граждан и не допускают вмешательства в нее без согласия человека.
- Чтобы установка системы видеонаблюдения на работе не нарушала норм законодательства, работодателю необходимо перед размещением камер получить письменное согласие всех сотрудников на такие действия.
Так что простейший способ обмануть видеонаблюдение — не соглашаться с самим фактом его наличия. Однако часто следствием такого демарша становится увольнение или отказ в приеме на работу, если камеры были установлены ранее. - На самом деле об остроте такой проблемы говорит уже тот факт, что в мире активно проводят исследования по созданию универсального изображения, которое сможет обмануть системы видеонаблюдения. Но только те, которые используют датчики для оповещения в момент попадания человека в поле зрения объектива.
- Оптимальный вариант — руководитель и представители трудового коллектива оговаривают места установки камер. Ведь даже работающие в этой отрасли специалисты не рекомендуют делать так, чтобы объективы камер наблюдения были направлены прямо на рабочие места персонала. Дело в том, что вследствие психологического дискомфорта сотрудникам часто бывает трудно сосредоточиться. Поэтому ни о каком повышении производительности и речи в такой ситуации быть не может.
Так что простейший способ обмануть видеонаблюдение — не соглашаться с самим фактом его наличия. Однако часто следствием такого демарша становится увольнение или отказ в приеме на работу, если камеры были установлены ранее.
Так что обмануть видеонаблюдение на работе можно без различных хитро мудрых ухищрений, а в результате диалога и поиска компромисса.
Как спрятаться от камер видеонаблюдения
Камеры видеонаблюдения сегодня буквально везде: снаружи и внутри зданий, в аэропортах, вокзалах, офисах и магазинах. Что еще хуже, вы не можете убежать от этих механических глаз, и в условиях сегодняшней реальности книга Джорджа Оруэлла становится всё более и более правдоподобной.
Ранее системы мониторинга вели циклическую запись, скорее, «на всякий случай», чем с какой-либо целью, после чего удаляли записи. Однако, в последнее время всё чаще и чаще их отправляют в различные системы, занимающиеся анализом данных, так что стало возможным отслеживать отдельных людей.
Как известно, Большой Брат может нарушать нашу частную жизнь. Вы можете смириться с таким подходом правительства, полагая, что это необходимо для поддержания безопасности. С другой стороны, использование биометрических систем не по назначению может отразиться на наших карманах и нашей частной жизни.
А это уже совсем другое дело!
Предположим, что вы покупаете зимнее пальто – система видеонаблюдения магазина, сравнивает Вас с фотографиями известных воров и добавляет в базу Ваш профиль клиента.
Или вы идете к дилеру, чтобы посмотреть на новые автомобили. Некоторое время спустя Вы удивляетесь тому, что работник гостиницы знает, как Вас зовут, и владеет информацией, что в данный момент вы не можете себе позволить покупку нового автомобиля.
Спасения не будет даже в церкви. Системы распознавания лиц уже используются для идентификации постоянных прихожан: оказывается, что благодаря ей можно получать более крупные пожертвования.
Как Вам такое применение систем видеомониторинга? Даже если вы не очарованы этими идеями, они не являются преступлением.
Что бы Вы сказали, если бы все подробности вашей частной жизни, собранные через различные компании, однажды будут опубликованы в интернете?
В большинстве стран закон не запрещает использование систем распознавания лиц для коммерческих целей, так же, как не запрещено фотографировать людей на улице.
Поэтому не удивительно, что всё больше и больше людей задаются вопросом, как скрыть себя от вездесущих камер.
Чтобы объяснить, как эффективно скрывать свою личность от видеокамер, нужно сказать пару слов о современных методах анализа лица. Различают два наиболее часто используемых подхода.
Пожалуйста, покажите лицо
Первый подход основан на сопоставлении определенных характеристик (маркеров), которые можно назначить лицу, с базой данных. Этими маркерами могут быть расстояния между глазами, длина носа или форма губ.
Это можно сравнить с обнаружением лица по его отпечатку. Образцы отпечатков должны быть получены заранее и сохранены в базе данных. Затем следует определить, в какой степени отпечаток неизвестного лица соответствует сохраненному образу. Из-за этого при распознавании лица главное – наличие соответствующей фотографией (всё лицо в хорошем освещении).
Откуда можно получить такие фотографии? Из разных мест. Может быть, Вам придётся посмотреть в камеру во время оформления дисконтной карты, а может кто-нибудь отсканирует некоторые документы с вашей фотографией.
Классические системы распознавания лиц можно сравнительно легко обмануть. Легкий способ – опущение головы и избегание взгляда в камеру. Большинство маркеров может быть зарегистрировано только в том случае, когда лицо находится под определенным углом относительно камеры. Если вы носите бейсболку, высоко размещенные камеры становятся совершенно бесполезными.
Некоторые эксперты рекомендуют, находясь возле камеры наблюдения, менять выражения лица. Может это и работает, но привлекает слишком большое внимание.
Хорошим вариантом являются темные очки. Их преимуществом является то, что они закрывают глаза – одна из областей, наиболее часто используемая в системах распознавания. Обычные солнцезащитные очки (даже декоративные) не очень хорошо маскируют, так как сложные алгоритмы довольно быстро справятся с ними, они считают с лица то, что им нужно. А большие непрозрачные солнцезащитные очки являются достаточно сложной задачей для классических систем, так же, как и модели с зеркальными покрытиями.
И то, как выглядишь сегодня…
Вторая школа идентификации человека, которая достаточно сильно развивается, например, на Facebook и Google, работает по-другому. Она основана на алгоритмах машинного обучения и автоматической загрузке и отправке образцов данных для сравнения со всеми имеющимися ресурсами в интернете. Подробнее здесь.
Для правильного опознания лица используют различные другие данные: форму ноги, головы, татуировки, манеру двигаться, одеваться и т.д. Экспериментальный проект Facebook может идентифицировать человека с точностью до 83%, если есть достаточное количество примеров фотографий.
Остается вопрос, какого количества снимков достаточно. Если там, на другом конце, есть только одно ваше фото, даже очень хорошего качества, возможность правильного распознавания сильно падает. Вот почему технологии Big Data и быстрые алгоритмы поиска в интернете так популярны.
И здесь мы подошли к важному моменту: стоит ли открыто публиковать в интернете свои фотографии? Мы можем пережить тот факт, что Facebook или Google использует их для своих маркетинговых целей, потому что невозможно полностью скрыться от этой парочки «Больших Братьев».
Предположим, что для своей страницы на Facebook вы выбрали настройку Только для друзей. Браво, однако, Вам не удастся избежать публикации ваших фотографий другими людьми. А что с вашим профилем на LinkedIn? Трудно исключить все источники, даже при полном отказе от социальных сетей.
На это нет единого решения. Вероятно, лучшим выходом будут более жесткие правила, связанные с рынком биометрических данных со стороны правительства, а также более осознанное отношение общества.
Таким образом, пора привыкнуть к мысли, что наши личные фотографии должны оберегаться также, как наши документы или сканы кредитной карты. Публиковать их везде абсолютно нежелательно.
3 способа взломать камеры видеонаблюдения (и как этого не допустить)
Кристин Дзоу 09 ноября 2018 г.
Хотя в последние годы были достигнуты успехи, многие камеры видеонаблюдения остаются уязвимыми для атак. Злоумышленники разработали множество методов для обхода протоколов безопасности и получения доступа к системам видеонаблюдения.
Некоторые используют очень простые эксплойты (которые занимают всего несколько минут), в то время как другие предпочитают более изощренные вторжения (которые проникают даже в защищенные системы). Хотя их методы могут различаться, талантливые хакеры может проникнуть в вашу домашнюю систему безопасности или корпоративную сеть наблюдения. Оказавшись внутри, они могут использовать удаленный доступ, чтобы наблюдать за миром через ваши камеры или, возможно, даже взять их под контроль.
Поднять планку безопасности — это прежде всего весь смысл установки камер видеонаблюдения. Таким образом, эти уязвимости в значительной степени сводят на нет цель инвестирования в систему наблюдения.
Вся отрасль получила тревожный сигнал об этой реальности после того, как в 2017 году стало известно, что доступ к более чем полудюжине Wi-Fi-камер марки Hikvision был получен через лазейку сброса пароля.
Проблема вызвала неловкие заголовки (в социальных сетях циркулировал хэштег #hakvision).
А ICS-Cert, агентство Министерства внутренней безопасности США, охарактеризовало уязвимость как «удаленно эксплуатируемую» с «низким уровнем навыков для использования».
Несмотря на то, что этот инцидент повысил общую осведомленность, многие организации по-прежнему сильно отстают, когда дело доходит до защиты их систем камер. Чтобы лучше подготовиться, все предприятия должны понимать следующие три метода, которые преступники чаще всего используют для получения несанкционированного доступа к камерам видеонаблюдения.
Метод взлома № 1: пароль доступа по умолчаниюЛюбой, кто хочет взломать камеры видеонаблюдения, может начать с простого поиска своего IP-адреса в Интернете и входа в систему. Используя такие механизмы, как angryip.org или shadon.io, они могут получите эту информацию о подписи и начните пробовать пароли, которые предоставят доступ к самой беспроводной камере или, в случае атаки на маршрутизатор, ко всем системам безопасности.
Теоретически этот должен быть сложным, а IP-безопасность должна защищать сетевые данные, но шокирующая реальность такова, что эти пароли часто идентичны заводским настройкам по умолчанию, предоставленным производителем.
В случае взлома Hikvision это было известно как «12345» с именем пользователя «admin».
Смена паролей по умолчанию для новой системы камер видеонаблюдения в наше время не представляет никакой сложности. Так что урок здесь состоит в том, чтобы не упускать из виду мелкие детали. Все брандмауэры и защищенные сетевые протоколы в мире не помогут, если неавторизованный пользователь может просто войти в систему с помощью общепринятого или установленного на заводе пароля, чтобы получить удаленный доступ к внутреннему наружному наблюдению.
Метод взлома № 2: поиск идентификатора пользователяКогда камеры видеонаблюдения сложнее взломать, злоумышленники вместо этого могут искать идентификатор пользователя. Это было легко найти в значении файла cookie для Hikvision. Затем хакеры могут сбросить учетную запись, чтобы получить полный контроль над устройством, его жесткими дисками и, возможно, системой беспроводной безопасности в целом.
«Хотя идентификатор пользователя представляет собой хешированный ключ, мы нашли способ узнать идентификатор пользователя другого пользователя, просто зная адрес электронной почты, телефон или имя пользователя, которые они использовали при регистрации», — написал пользователь Medium Вангелис Стикас ранее в этом году.
после того, как Hikvision работала над исправлением своих известных недостатков.
«После этого, — продолжил автор, — вы можете просматривать прямую трансляцию с камеры/DVR [цифрового видеомагнитофона], управлять DVR, изменять адрес электронной почты/телефон и пароль этого пользователя и эффективно блокировать пользователя».
Метод взлома № 3: Поиск командных строкКлючевым недостатком в деле Hikvision была «черная дверь» командной строки кода в системе, которая предоставляла доступ на уровне администратора при использовании.
Как только это стало общеизвестно, китайская компания обнаружила и исправила недостаток. Затем патч был включен в последующие обновления прошивки для всех камер видеонаблюдения с известными уязвимостями. Hikvision публично заявила, что код был пережитком этапа тестирования, который разработчики не удалили перед запуском.
Несмотря на всю прессу в сообществе безопасности, многие операторы никогда не удосуживаются установить последнюю версию прошивки на свои камеры наблюдения.
Таким образом, этот недостаток является проблемой, которую, вероятно, будут продолжать использовать даже начинающие хакеры.
Hikvision не одинока, но ее недостатки показали, что слабые места существуют даже в некоторых из наиболее широко используемых камер внутреннего и наружного наблюдения на рынке. Это не означает, что предприятия должны просто изменить модель своей беспроводной камеры безопасности и рассчитывать на защиту.
Постоянная бдительность в сочетании с безопасностью — мощное сочетание. Все организации должны стремиться поддерживать эти критически важные компоненты — как внутри компании, так и в партнерстве с компаниями, заслуживающими их доверия. Работая с поставщиками, которые ставят безопасность на первое место в своей повестке дня, вы можете быть спокойны, зная, что как внутренние, так и наружные камеры видеонаблюдения на ваших объектах защищены от постоянно меняющихся угроз.
Многие организации начинают осознавать, что традиционная технология видеонаблюдения просто не создана для этой новой эпохи подключений.
Дальновидные компании все чаще ищут революционные решения для повышения безопасности и производительности своей деятельности. Используя новейшие технологические стандарты для раскрытия потенциала компьютерного зрения, современные поставщики систем видеонаблюдения будут теми, кто поможет своим клиентам решать реальные бизнес-задачи — сегодня и в будущем.
—
Чтобы узнать больше о будущем корпоративного видеонаблюдения, ознакомьтесь с нашей последней электронной книгой , в которой рассказывается, почему специалисты по безопасности переходят от традиционных систем к гибридным облачным решениям.
Компания Major Hack of Camera предлагает четыре ключевых урока по наблюдению | Новости и комментарии
Джей Стэнли,
г.
Старший политический аналитик,
Поделиться этой страницей
15 марта 2021 г.
На прошлой неделе мы узнали, что группа хакеров получила доступ к камерам, установленным компанией по производству камер наблюдения, и заявила, что им удалось получить доступ к прямой трансляции со 150 000 камер в школах, больницах, спортзалах, полицейских участках, тюрьмах, офисах и женских домах.
клиники здоровья. Некоторые из видеозаписей, например, показывающие пациентов в их больничных палатах, крайне нарушали конфиденциальность.
Компания Verkada не просто продает камеры видеонаблюдения; он также предоставляет своим клиентам различные услуги наблюдения, включая облачное хранилище видеоматериалов и удаленный доступ к камерам на смартфонах или других устройствах. Поскольку компания передает видео в централизованный источник (свои серверы) для предоставления этих услуг, хакеры смогли получить доступ не только к нескольким камерам тут и там, но и к огромному количеству видеопотоков.
Что эта брешь говорит нам о сегодняшнем состоянии безопасности? Хотя у этой истории много аспектов, она предлагает четыре основных напоминания о слежке, видео и устройствах, подключенных к Интернету.
1. Опасности подключенных камер
Когда вы подключаете камеру к Интернету, вы делаете ее уязвимой. И вы делаете уязвимой частную жизнь всех, кого записывает эта камера.
Ранее мы предупреждали людей, которые рассматривают возможность покупки камеры дверного звонка или другой подключенной к Интернету камеры для своего дома, или других устройств «Интернета вещей», о том, что они уязвимы для хакеров. В этом случае хакеры сообщили, что им удалось просмотреть видео, на которых показаны такие вещи, как мужчина, борющийся с персоналом в психиатрической больнице, мужчина, которого допрашивают в полицейском участке, пациенты в отделении интенсивной терапии больницы и семья, проводящая операцию. головоломка в их доме. Хакеры сообщили о доступе не только к живому видео, но и к видео, которое клиенты сохранили в облаке — другими словами, на серверах Verkada.
Цифровая безопасность затруднена. Суть в том, что атаковать онлайн-актив проще, чем защищать его. Чтобы защитить его, ваша защита должна быть идеальной, а злоумышленнику нужно найти только один способ добиться успеха — один слабый пароль, одна неисправленная уязвимость или один доверчивый работник. Многие компании, особенно менее авторитетные, не считают кибербезопасность своим приоритетом.
Это связано с тем, что хорошая кибербезопасность стоит дорого, и, за редким исключением плохих заголовков за несколько дней, последствия неудач обычно ложатся на других, а не на компанию.
2. Поставщики устройств могут отслеживать устройства
Устройства, подключенные к Интернету, уязвимы для трех основных категорий вторжений в частную жизнь: хакеров, правительства и компаний, которые производят устройства. Нам неизвестно о каком-либо вмешательстве со стороны правительства, хотя любой сбор конфиденциальных данных уязвим для национальных или иностранных правительств в рамках юридических или других процессов. Но это нарушение, безусловно, является напоминанием о третьей уязвимости.
Злоумышленники получили доступ через ранее существовавшую учетную запись «Суперадминистратора» Verkada, которая позволяла сотрудникам просматривать видео с любой из камер компании. Само существование такого аккаунта само по себе является скандалом. Bloomberg и IPVM сообщили, что использование этих учетных записей суперадминистраторов было широко распространено в Verkada, и доступ к ним имели более 100 сотрудников.
К сожалению, такой централизованный доступ поставщиков к каналам наблюдения вряд ли удивителен. Ring, принадлежащая Amazon компания по производству дверных звонков, предоставила работникам доступ ко всем камерам Ring в мире вместе с информацией о клиентах. Другие компании, предлагающие аналогичные услуги, также предоставили такой доступ, включая Google, Microsoft, Apple и Facebook.
3. Несоответствующее размещение камер
Взлом Verkada дает доступ к системам видеонаблюдения в различных учреждениях и показывает, как некоторые из этих учреждений используют камеры ненадлежащим или неэтичным образом.
Если бы я лежал в палате интенсивной терапии, я бы не хотел, чтобы на меня смотрела камера. И если бы была камерой, установленной для наблюдения медицинским персоналом, я бы точно не хотел, чтобы она отправляла данные в интернет. Я также не хочу, чтобы интернет-камера была на мне, пока я занимаюсь в спортзале или посещаю клинику, или на моих детях в школе. Если бы была камера, я бы хотел это знать — и если бы она была подключена к Интернету или использовала распознавание лиц, я бы тоже хотел это знать.
Видео, просмотренные Bloomberg, показали, что в одной из тюрем Алабамы камеры были спрятаны внутри вентиляционных отверстий, термостатов и дефибрилляторов и отслеживали как заключенных, так и персонал исправительного учреждения с помощью распознавания лиц. Если эта тюрьма могла это сделать, то, по-видимому, мог и любой из клиентов компании, которые решили это сделать.
Помимо недостатков Verkada, эти учреждения подвели людей, которые появились на их камерах.
Большинство субъектов этой слежки не были клиентами Verkada, не имели отношения к Verkada и, вероятно, даже не знали о существовании компании. Даже если у Verkada были самые лучшие и прозрачные договорные отношения со своими клиентами, многие из этих субъектов все еще находились под наблюдением, которого не должно было быть.
4. Возможности распознавания лиц и видеоаналитики
Среди услуг, которые предлагает Verkada, — распознавание лиц и другая видеоаналитика, в том числе «обнаружение людей и автомобилей», а также интеллектуальные функции поиска, которые позволяют «искать и фильтровать на основе множества различных атрибутов, включая гендерные черты, цвет одежды, и даже лицо человека».
Мы подробно писали о том, как видеоаналитика может позволить компьютерам не только хранить видео, но и понимать, анализировать и интеллектуально искать его. Это делает видео более мощным и навязчивым механизмом наблюдения. Но это также может сделать видео более ценным активом для хакеров.
Например, если распознавание лиц или другие характеристики предварительно вычисляются, видеоархив может стать более управляемым для злоумышленника, ищущего конкретную цель.
В этом отношении настораживает один вывод: согласно изображениям, просмотренным Bloomberg, камеры в офисах компании Cloudflare использовали распознавание лиц, но компания заявила, что «никогда активно не использовала его». Если компания говорит правду, это предполагает, что Verkada применила распознавание лиц к видео клиента без ведома этого клиента.
Эти четыре урока должны быть приняты во внимание политиками, учреждениями и отдельными лицами. Взлом Verkada затронул настоящую российскую матрешку жертв: хакеры взломали Verkada, которая, похоже, вторгалась в жизнь своих клиентов, предоставляя свободный доступ к их видеопотокам. И эти заказчики предавали тех, кто снимался на камерах Verkada, не только слишком доверяя компании в частности и облачным сервисам в целом, но и во многих случаях собирая изначально неуместное видео.