Ataques informáticos a los sistemas de vigilancia de red.

La tarea fundamental del sistema de vigilancia es garantizar la seguridad respetando las normas básicas de privacidad o el secreto comercial de la estructura vigilada. Un sistema bien diseñado y configurado cumplirá su tarea básica sólo cuando está garantizado y protegido, lo que significa que se ha configurado correctamente para la operación, en particular en lo que se refiere a la operación en una red con acceso a Internet.

Recientemente, hemos observado un aumento de los ataques de hackers a los dispositivos autónomos de los sistemas de seguridad, tales como cámaras IP, grabadoras (DVR, NVR) que operan en la red. Muchos dispositivos son víctimas de ataques, ya que se pasan por alto o se ignoran los problemas de seguridad relacionados con la configuración de sus sistemas de protección de la operación en la red. Igualmente importante es la configuración de los dispositivos de acceso (por ejemplo, enrutador) en la salida de la red local con el sistema de vigilancia conectado, que permiten acceso a este sistema desde la ancha red de Internet.

Fig. 1. El software de hackeo espera la oportunidad de aprovecharse de la vulnerabilidad de su sistema...

En muchos casos, el hacker toma control del dispositivo no debido a un error o vulnerabilidad del firmware, sino porque se deja una “puerta abierta” al ladrón, es decir, la configuración por defecto de las protecciones, lo que significa que, básicamente, no hay ninguna seguridad.

En caso de la cámara IP conectada a Internet (configurada para ser visible en Internet), en tal situación la persona no autorizada obtiene acceso al flujo de imágenes de la cámara y su configuración. La página web www.insecam.org cuyos autores no tuvieron que hackear ningún dispositivo es un ejemplo que es una advertencia para todos.

Fig. 2. ¡Si no ha protegido su cámara, lo podrá ver todo el mundo!

Fue suficiente escribir un script que busca en Internet las direcciones IP de cámaras web, y luego ver si se puede acceder a ellas mediante el nombre de usuario predeterminado y la contraseña del fabricante (contraseña de fábrica configurada durante la compra del equipo). Si es así, la imagen de la cámara IP se publica en su sitio web sin el conocimiento del propietario. Resulta que en el mundo hay miles de cámaras de CCTV sin protección en empresas, almacenes, tiendas e incluso en viviendas. Después de comprar una cámara IP, durante su configuración, sólo habría que cambiar la contraseña predeterminada antes de compartir la cámara en la red para evitar la publicación de la imagen de la cámara en este sitio web (afortunadamente, al cambiar la configuración y crear una nueva contraseña la cámara se elimina del sitio web).

Cada vez son más los ataques de hackers dirigidos a los registradores de CCTV que operan en los sistemas de vigilancia. Tales ataques a menudo causan defectos, tales como la eliminación o daño a la memoria del dispositivo. Al cargar un malware (virus) en un dispositivo se puede convertirlo en un robot que realiza ataques a otros sistemas informáticos o una máquina diseñada para un propósito particular (por ejemplo, minero de Bitcoin). Cada grabadora es un ordenador de placa única dedicado a la grabación de datos de vídeo, por lo que el dispositivo es un potencial recurso de equipo que se puede utilizar en Internet como “zombie” para varios propósitos.

Fig. 3. Placa de la grabadora. La grabadora es un completo y funcional ordenador de placa única dedicado a un propósito particular.

El software de hackeo o virus que ataca un dispositivo puede utilizar no sólo el conocimiento común de las contraseñas por defecto, sino también puede tentar acceder a este dispositivo a través de contraseñas débiles, por ejemplo, al cambiar la contraseña por defecto “admin” con “Admin1” no se aumenta la seguridad porque es una situación prevista por el atacante. Sin embargo, otro problema es la contraseña de servicio creada por los productores para el desbloqueo crítico del dispositivo cuando, por ejemplo, un usuario olvida la contraseña. Si estas contraseñas caen en las manos equivocadas, o peor aún, se pueden generar de alguna manera, son un peligro que puede ser utilizado por un atacante (“puerta trasera”, inglés “backdoor”).

Por lo tanto, además de la configuración de la grabadora, es muy importante crear una red dedicada en que ella opera, configurar correctamente, en términos de seguridad, los dispositivos de acceso a esta red (sin utilizar la función DMZ - zona desmilitarizada - que proporciona acceso ilimitado al dispositivo, cambiando los puertos de comunicación por defecto, activando el filtrado de direcciones) e instalar la última versión del firmware en los dispositivos que resuelve todas las irregularidades comunicadas e incrementa el nivel de seguridad de este tipo de dispositivos.

Por lo tanto, es importante respetar las siguientes reglas:

La contraseña debe ser difícil de adivinar y contener caracteres y números. Sólo los usuarios autorizados deben tener acceso a estas contraseñas. Conviene en este punto considerar también el cambio regular de la contraseña, que es otra medida de seguridad contra la divulgación de la contraseña (cambio del empleado autorizado, fuga de datos confidenciales). También hay que prestar atención a los permisos Onvif. En algunos modelos de cámaras, a pesar de los cambios regulares de la contraseña, también hay que cambiar la contraseña de la cuenta Onvif.

DMZ es la llamada zona desmilitarizada - si ponemos nuestro dispositivo en esta zona del enrutador, proporcionamos acceso desde una red externa a todos los puertos abiertos en la configuración por defecto de nuestro dispositivo (el dispositivo se coloca fuera del firewall del enrutador). Esto es muy peligroso porque la mayoría de las configuraciones tienen el puerto TELNET abierto por defecto, dicha puerta se aprovecha principalmente para los ataques de hackers a los dispositivos. En el enrutador sólo hay que redirigir los puertos necesarios para la comunicación con el dispositivo (HTTP, TCP). Además, no se se deben redirigir amplias gamas de puertos, pero sólo los que sean necesarios para el desempeño de funciones específicas. Hay que tener en cuenta que incluso si las cámaras de red están conectadas a la grabadora, no es necesario redirigir sus puertos para garantir la comunicación adecuada con el sistema de vigilancia, simplemente hay que redirigir los puertos de la grabadora.

El puerto por defecto 80 se ataca por los hackers la mayoría de las veces. Cambiando los números de puertos por defecto les hace más difícil de adivinar por terceros.

Al activar esta opción en el enrutador se pueden indicar las direcciones específicas (direcciones IP de red o direcciones MAC de los dispositivos físicos) de los dispositivos de confianza que tienen permiso para conectarse de forma remota con nuestro dispositivo.

Una nube segura garantiza la protección del dispositivo que opera dentro de ella.

Para aplicaciones cliente no utilice la función de inicio de sesión automático, particularmente cuando un ordenador se utiliza por varias personas. El nombre de usuario y la contraseña también deben ser únicos. Utilizando la misma contraseña para diferentes servicios en diferentes cuentas presenta un riesgo en caso de divulgación o robo de la información personal en cualquiera de ellos. Estas son otras medidas para mejorar la seguridad y impedir el acceso a personas no autorizadas. Si el sistema se utiliza por más usuarios, asegúrese de que cada uno de ellos tiene los permisos correspondientes a sus funciones (que no exceden a los necesarios).

Los dispositivos del sistema de vigilancia deben colocarse en una red independiente con ningún otro dispositivo con acceso libre a y desde Internet. Es una medida de seguridad contra el acceso no autorizado. Si no es posible crear una red físicamente separada, cree una subred con un conjunto de direcciones IP diferentes de las ya presentes en la instalación (por ejemplo, 10.10.10.xxx, y luego use una máscara de subred más estrecha, por ejemplo, 255.255.255.0). El acceso a esta subred será activado por un enrutador adicional que redirige las conexiones entre redes.

Siempre compruebe la versión y la posibilidad de actualizar el firmware. El software más reciente mejora el nivel de seguridad del dispositivo, ya que se han eliminado los defectos encontrados en las versiones anteriores.

Muchas cámaras y grabadoras de red vienen con la opción de comunicación HTTPS integrada con SSL. Su activación permite codificar la comunicación entre los dispositivos, evitando, por ejemplo, la captura de la contraseña en la conexión.

Siempre hay que leer la documentación del dispositivo. Esto permite conocer las funciones del dispositivo y saber qué funciones están activadas por defecto. Es aconsejable desactivar todas las funciones respecto de las cuales no está seguro. Si no utiliza protocolos, tales como UPnP, SNMP, MULTICAST, desactívelos.

Si sospecha de que hay un acceso no autorizado al sistema, los registros del sistema pueden ser útiles para ayudarle a determinar algunos datos (fecha de inicio de sesión, dirección IP, funciones activadas).

También recuerde que la grabadora debe colocarse en un área protegida para impedir el acceso físico a personas no autorizadas (cajas, armarios Rack, salas de servidores).

Siguiendo las normas de seguridad mencionadas los instaladores de sistemas de vigilancia sin duda podrán crear un sistema seguro y, a los ojos de los usuarios, la operación segura y fácil del sistema es la mejor recomendación para el instalador como un verdadero experto.