Blog GZSecutel – Videosorveglianza Antifurto e Sicurezza

Fornite un’adeguata protezione al vostro sistema di sorveglianza!

Il compito fondamentale di un sistema di videosorveglianza è quello di garantire la sicurezza, rispettando le norme fondamentali della privacy o il segreto aziendale della struttura sorvegliata. Un sistema ben progettato e configurato compie bene il suo lavoro solo quando è protetto, il che significa che è correttamente configurato, in particolare per quanto riguarda l’accesso remoto tramite Internet.

Recentemente, abbiamo osservato un aumento degli attacchi hacker su dispositivi di sicurezza, come ad esempio telecamere IP, registratori (DVR, NVR) che operano in rete. Molti dispositivi sono vittime degli attacchi perché vengono trascurati o ignorati i problemi di sicurezza relativi alla configurazione, senza rispettare le norme base. Altrettanto importante è la configurazione dei dispositivi di accesso (ad esempio Router) all’uscita della rete locale con il sistema di sorveglianza connesso, i quali consentono l’accesso a questo sistema dalla vasta rete di Internet.

Fig. 1 L’hacking software aspetta l’opportunità di sfruttare la vulnerabilità del tuo sistema…

In molti casi, l’hacker prende il controllo del dispositivo non per un errore o vulnerabilità del firmware, ma perché è stata lasciata una “porta aperta” al ladro in forma di impostazioni di sicurezza predefinite, il che significa che in fondo non esiste alcuna sicurezza.

Nel caso di telecamera IP collegata ad Internet (configurata per essere visibile su Internet), una persona non autorizzata ottiene l’accesso al flusso di immagini dalla telecamera e la sua configurazione. Il sito web www.insecam.org, i cui autori non dovevano violare alcun dispositivo, è un esempio che deve essere un avvertimento per tutti noi.

Fig. 2 Se non avete protetto la vostra telecamera è possibile che vi stia guardando tutto il mondo!

Era sufficiente scrivere uno script che cercasse in Internet gli indirizzi delle videocamere IP e quindi controllare se è possibile accedervi tramite il nome utente predefinito e la password del produttore (preimpostati durante l’acquisto della videocamera). Se è così, l’immagine da tale videocamera IP viene pubblicata sul loro sito web senza che il proprietario ne sia a conoscenza. Così si scopre che nel mondo ci sono migliaia di telecamere TVCC non protette, in aziende, magazzini, negozi e anche in case private. Dopo aver acquistato una videocamera IP, durante la sua configurazione, sarebbe sufficiente modificare la password predefinita prima di renderla disponibile su Internet per impedire la pubblicazione dell’immagine di una videocamera su questo sito (fortunatamente, cambiando la configurazione e impostando una nuova password la videocamera viene eliminata dal sito).

La maggior parte degli attacchi hacker sono rivolti a registratori TVCC che operano nei sistemi di sorveglianza. Tali attacchi spesso causano difetti, come la cancellazione o il danneggiamento della memoria del dispositivo. Il caricamento di un malware (virus) in un dispositivo può trasformarlo in un robot che esegue attacchi su altri sistemi informatici o una macchina destinata ad un determinato scopo (ad esempio cercatore di Bitcoin). Ogni registratore è un computer mono scheda dedicato alla registrazione dei dati video, quindi il dispositivo è una potenziale risorsa di apparecchiature che può essere utilizzata in Internet come “zombie” per vari scopi.

Fig. 3 Scheda del registratore. Il registratore è un computer monoscheda pienamente funzionale dedicato a un particolare scopo.

Il hacking software o il virus che attacca un dispositivo può utilizzare non solo la conoscenza comune delle password predefinite, ma può anche tentare di accedere a un tale dispositivo tramite password deboli, quando ad esempio si cambia la password predefinita “admin” con “admin1”, questo non aumenta la nostra sicurezza perché è una situazione prevista dall’utente malintenzionato. Ancora un altro problema sono le password di servizio create dai produttori per lo sblocco critico del dispositivo quando, ad esempio, un utente dimentica la password. Se tali password cadono nelle mani sbagliate o se possono essere generate in qualche modo, sono un pericolo che può essere utilizzato da un utente malintenzionato (“porta posteriore”, ing. “backdoor”). Fortunatamente, i dispositivi da noi venduti, difficilmente sono vittime di attacchi, in quanto le password di sblocco in caso di perdita di tutti gli accessi funzionano solo con accesso locale.

Pertanto, oltre alla configurazione del registratore, è molto importante creare una rete dedicata all’interno del quale esso opera, configurare correttamente in termini di sicurezza i dispositivi di accesso a questa rete (non utilizzando la funzione DMZ – zona demilitarizzata – che fornisce accesso illimitato al dispositivo, cambiando le porte di comunicazione predefinite, abilitando il filtraggio degli indirizzi) e installare il firmware più recente in dispositivi, che risolve tutte le irregolarità riportate e aumenta il livello di sicurezza di tali dispositivi.

È quindi importante seguire le seguenti regole:

• Impostare / modificare la password predefinita  (sono sconsigliate le password come “admin1”, “111111”, “123456”, ecc.).

La password deve essere difficile da indovinare e contenere diversi caratteri e cifre. Solo gli utenti autorizzati devono avere accesso a tali password. A questo punto si deve prendere in considerazione anche il cambiamento sistematico delle password, il che è un’ulteriore misura di sicurezza contro la divulgazione delle password (cambio del dipendente autorizzato, divulgazione dei dati riservati). Si raccomanda inoltre di prestare attenzione alle autorizzazioni Onvif. In alcuni modelli di telecamere, nonostante le modifiche di password di sistema è necessario modificare anche la password dell’account Onvif.

• Non usare la funzione DMZ nel router – se devi farlo – reindirizza solo le porte necessarie per la corretta connessione.

DMZ è la cosiddetta zona demilitarizzata, se mettiamo il nostro dispositivo in questa zona del router, forniamo accesso da una rete esterna a tutte le porte aperte nella configurazione predefinita del nostro dispositivo (il dispositivo viene collocato al di fuori del firewall del router). Questo è molto pericoloso perchè la maggior parte delle configurazioni ha una porta TELNET aperta per impostazione predefinita, questa porta viene sfruttata principalmente per gli attacchi degli hacker sui dispositivi. Sul router è necessario reindirizzare solo le porte necessarie per la comunicazione con il dispositivo (HTTP, TCP). Inoltre, non devono essere reindirizzate gruppi di porte, ma solo quelle necessarie per il compimento delle funzioni specifiche. Inoltre, se le telecamere di rete sono collegate al registratore, non è necessario reindirizzare le loro porte per una corretta comunicazione con il sistema di sorveglianza, basta reindirizzare solo le porte del registratore.

• Cambiare le porte predefinite HTTP, TCP, UDP (gamma delle porte disponibili 10000-65535).

La porta predefinita 80 viene attaccata dagli hacker il più delle volte. La modifica delle porte le rende più difficili da indovinare da parte di terzi.

• Attivare il filtro IP / MAC se possibile.

L’attivazione di questa opzione nel router consente di indicare indirizzi specifici (indirizzi IP di rete o indirizzi MAC fisici) dei dispositivi attendibili che sono autorizzati al collegamento remoto con il nostro dispositivo.che opera all’interno di essa.

• Gestisci i tuoi account in modo ragionevole, non usare le stesse impostazioni / password per tutti gli impianti.

• Crea reti dedicate agli impianti di TVCC.

I dispositivi del sistema di sorveglianza devono trovarsi in una rete separata senza altri dispositivi con accesso libero da e verso Internet. Si tratta di una misura di sicurezza contro l’accesso non autorizzato. Se non esiste la possibilità di creare una rete fisicamente separata è necessario creare una sottorete con un pool di indirizzi IP diversi da quelli già presenti nell’impianto (ad esempio 10.10.10.xxx e quindi usare una maschera di sottorete più stretta, ad esempio 255.255.255.0). L’accesso a tale sottorete sarà abilitato da un router aggiuntivo che reindirizza le connessioni tra le reti.

• Installa il firmware più recente.

È sempre consigliato verificare la versione e la possibilità di aggiornare il firmware. Il software più recente migliora il livello di sicurezza del dispositivo a causa dell’eliminazione dei possibili difetti riscontrati nelle versioni precedenti (BUG)

Siamo a disposizione per qualsiasi richiesta di aggiornamento firmware per i prodotti da noi venduti.

Molte telecamere e registratori di rete sono dotati dell’opzione di comunicazione HTTPS incorporata con SSL. La sua attivazione consente la codifica della comunicazione tra dispositivi, impedendo ad esempio di catturare la password sulla connessione.

È consigliabile leggere sempre la documentazione del dispositivo. Ciò permette di conoscere le funzioni di cui esso è dotato e le funzioni che sono attivate per impostazione predefinita. Si consiglia di disattivare tutte le funzioni di cui non si è sicuri. Quando non si usano tali protocolli come UPnP, SNMP, MULTICAST è necessario disattivarli.

Se si sospetta che ci sia un accesso non autorizzato al sistema, possono essere utili i log di sistema che consentono di visualizzare alcune informazioni (data di login, indirizzo IP, funzioni utilizzate).

Si ricorda inoltre che il registratore deve essere collocato in una sala protetta che impedisce l’accesso fisico a persone non autorizzate (scatole, armadi Rack, sala server).

Il rispetto delle regole di sicurezza di cui sopra da parte degli installatori, certamente permetterà di creare un sistema sicuro e non vulnerabile