Attacchi di hacker sui sistemi di sorveglianza di rete.

Il compito fondamentale del sistema di sorveglianza è quello di garantire la sicurezza, rispettando le norme fondamentali della privacy o il segreto aziendale della struttura sorvegliata. Un sistema ben progettato e configurato compierà la sua attività di base solo quando è garantito e protetto, il che significa che è correttamente configurato per l'operazione, in particolare per quanto riguarda l'operazione in rete con l'accesso a Internet.

Recentemente, abbiamo osservato un aumento degli attacchi hacker su dispositivi autonomi dei sistema di sicurezza, come ad esempio telecamere IP, registratori (DVR, NVR) che operano in rete. Molti dispositivi sono vittime degli attacchi perché vengono trascurati o ignorati i problemi di sicurezza relativi alla configurazione dei loro sistemi di protezione dell'operazione in rete. Altrettanto importante è la configurazione dei dispositivi di accesso (ad esempio, router) all'uscita della rete locale con il sistema di sorveglianza connesso, i quali consentono l'accesso a questo sistema dalla vasta rete di Internet.

Fig. 1 Il hacking software aspetta l'opportunità di sfruttare la vulnerabilità del tuo sistema...

In molti casi, il hacker prende il controllo del dispositivo non per un errore o vulnerabilità del firmware, ma perché è lasciata una “porta aperta” al ladro in forma di impostazioni di sicurezza predefinite, il che significa che in fondo non esiste alcuna sicurezza.

Nel caso di telecamera IP collegata ad Internet (configurata per essere visibile su Internet), in tale situazione una persona non autorizzata ottiene l'accesso al flusso di immagini dalla telecamera e la sua configurazione. Il sito web www.insecam.org, i cui autori non dovevano violare alcun dispositivo, è un esempio che è un avvertimento per tutti noi.

Fig. 2 Se non avete protetto la vostra telecamera, è possibile che vi stia guardando tutto il mondo!

Era sufficiente scrivere uno script che cerca in Internet gli indirizzi delle videocamere IP e quindi controllare se è possibile accedervi tramite il nome utente predefinito e la password del produttore (preimpostati durante l'acquisto della videocamera). Se è così, l'immagine da tale videocamera IP viene pubblicata sul loro sito web senza la conoscenza del proprietario. Si scopre che nel mondo ci sono migliaia di telecamere TVCC non protette, in aziende, magazzini, negozi e anche in case private. Dopo aver acquistato una videocamera IP, durante la sua configurazione, sarebbe sufficiente modificare la password predefinita prima di renderla disponibile su Internet per impedire la pubblicazione dell'immagine da una tale videocamera su questo sito (fortunatamente, cambiando la configurazione e impostando una nuova password la videocamera viene eliminata dal sito).

Più e più degli attacchi hacker sono rivolti ai registratori TVCC che operano nei sistemi di sorveglianza. Tali attacchi spesso causano difetti, come la cancellazione o il danneggiamento della memoria del dispositivo. Il caricamento di un malware (virus) in un dispositivo può trasformarlo in un robot che esegue attacchi su altri sistemi informatici o una macchina destinata ad un determinato scopo (ad esempio, cercatore di Bitcoin). Ogni registratore è un computer monoscheda dedicato alla registrazione dei dati video, quindi il dispositivo è una potenziale risorsa di apparecchiature che può essere utilizzata in Internet come “zombie” per vari scopi.

Fig. 3 Scheda del registratore. Il registratore è un computer monoscheda pienamente funzionale dedicato a un particolare scopo.

Il hacking software o il virus che attacca un dispositivo può utilizzare non solo la conoscenza comune delle password predefinite, ma anche può tentare di accedere a un tale dispositivo tramite password deboli, quando ad esempio si cambia la password predefinita “admin” con “admin1”, questo non aumenta la nostra sicurezza perché è una situazione prevista dall'utente malintenzionato. Ancora un altro problema sono le password di servizio create dai produttori per lo sblocco critico del dispositivo quando, ad esempio, un utente dimentica la password. Se tali password cadono nelle mani sbagliate o se possono essere generate in qualche modo, sono un pericolo che può essere utilizzato da un utente malintenzionato (“porta posteriore”, ing. “backdoor”).

Pertanto, oltre alla configurazione del registratore, è molto importante creare una rete dedicata all'interno del quale esso opera, configurare correttamente in termini di sicurezza i dispositivi di accesso a questa rete (non utilizzando la funzione DMZ - zona demilitarizzata - che fornisce accesso illimitato al dispositivo, cambiando le porte di comunicazione predefinite, abilitando il filtraggio degli indirizzi) e installare il firmware più recente in dispositivi, che risolve tutte le irregolarità riportate e aumenta il livello di sicurezza di tali dispositivi.

È quindi importante seguire le seguenti regole:

La password deve essere difficile da indovinare e contenere diversi caratteri e cifre. Solo gli utenti autorizzati devono avere accesso a tali password. A questo punto si deve prendere in considerazione anche il cambiamento sistematico delle password, il che è un'altra misura di sicurezza contro la divulgazione delle password (cambio del dipendente autorizzato, divulgazione dei dati riservati). Si raccomanda inoltre di prestare attenzione alle autorizzazioni Onvif. In alcuni modelli di telecamere, nonostante le modifiche di password di sistema, è necessario modificare anche la password dell'account Onvif.

DMZ è la cosiddetta zona demilitarizzata - se mettiamo il nostro dispositivo in questa zona del router, forniamo accesso da una rete esterna a tutte le porte aperte nella configurazione predefinita del nostro dispositivo (il dispositivo viene collocato al di fuori del firewall del router). Questo è molto pericoloso perché la maggior parte delle configurazioni ha una porta TELNET aperta per impostazione predefinita, detta porta viene sfruttata principalmente per gli attacchi degli hacker sui dispositivi. Sul router è necessario reindirizzare solo le porte necessarie per la comunicazione con il dispositivo (HTTP, TCP). Inoltre, non devono essere reindirizzate le vaste gamme di porte, ma solo quelle necessarie per il compimento delle funzioni specifiche. Si noti anche che se le telecamere di rete sono collegate al registratore, non è necessario reindirizzare le loro porte per una corretta comunicazione con il sistema di sorveglianza, basta reindirizzare solo le porte del registratore.

La porta predefinita 80 viene attaccata dagli hacker il più delle volte. La modifica dei numeri predefiniti delle porte le rende più difficili da indovinare da parte di terzi.

L'attivazione di questa opzione nel router consente di indicare indirizzi specifici (indirizzi IP di rete o indirizzi MAC fisici) dei dispositivi attendibili che soni autorizzati al collegamento remoto con il nostro dispositivo.

Una nuvola sicura garantisce la protezione del dispositivo che opera all'interno di essa.

Per le applicazioni client non si deve utilizzare la funzione di login automatico, in particolare quando un computer è utilizzato da più persone. Il nome utente e la password devono essere unici. L'utilizzo di password identiche per diversi servizi su diversi account rappresenta un rischio in caso di divulgazione o furto dei dati personali su uno di essi. Questi sono altri passi per migliorare la sicurezza e impedire l'accesso a persone non autorizzate. Se il sistema è utilizzato da più persone, è necessario assicurarsi che ciascuna di esse abbia autorizzazioni pertinenti ai propri compiti (non superiori a quelle richieste).

I dispositivi del sistema di sorveglianza devono trovarsi in una rete separata senza altri dispositivi con accesso libero da e verso Internet. Si tratta di una misura di sicurezza contro l'accesso non autorizzato. Se non esiste la possibilità di creare una rete fisicamente separata, è necessario creare una sottorete con un pool di indirizzi IP diversi da quelli già presenti nell'impianto (ad esempio, 10.10.10.xxx, e quindi usare una maschera di sottorete più stretta, ad esempio 255.255.255.0). L'accesso a tale sottorete sarà abilitato da un router aggiuntivo che reindirizza le connessioni tra le reti.

È sempre consigliabile verificare la versione e la possibilità di aggiornare il firmware. Il software più recente migliora il livello di sicurezza del dispositivo a causa dell'eliminazione dei possibili difetti riscontrati nelle versioni precedenti.

Molte telecamere e registratori di rete sono dotati dell'opzione di comunicazione HTTPS incorporata con SSL. La sua attivazione consente la codifica della comunicazione tra dispositivi, impedendo ad esempio di catturare la password sulla connessione.

È consigliabile sempre leggere la documentazione del dispositivo. Ciò permette di conoscere le funzioni con cui esso è dotato e le funzioni che sono attivate per impostazione predefinita. Si consiglia di disattivare tutte le funzioni per cui non si è sicuri. Quando non si usano tali protocolli come UPnP, SNMP, MULTICAST, è necessario disattivarli.

Se si sospetta che ci sia un accesso non autorizzato al sistema, possono essere utili i log di sistema che consentono di determinare alcune informazioni (data di login, indirizzo IP, funzioni utilizzate).

Si ricorda anche che il registratore deve essere collocato in una sala protetta che impedisce l'accesso fisico a persone non autorizzate (scatole, armadi Rack, sala server).

Il rispetto delle regole di sicurezza di cui sopra dagli installatori di sistemi di sorveglianza certamente permetterà di creare un sistema sicuro e, negli occhi degli utenti, il funzionamento sicuro e semplice del sistema è la migliore raccomandazione per l'installatore come un vero esperto.