DAHUA HACKED: apparati di videosorveglianza a rischio


Non parliamo di nulla di nuovo se diciamo che gli apparati di videosorveglianza sono a rischio sicurezza ma oggi più che mai è diventato un grosso problema questo aspetto in quanto allarmi, registratori e telecamere sono sempre più esposti su Internet.

Ma a cosa ci stiamo riferendo? Negli ultimi giorni si è diffusa la notizia di un vasto attacco hacker sulla rete italiana che ha bloccato quasi 6000 apparati di registrazione Dahua, solo dal nostro canale infatti sono arrivate oltre 800 chiamate tra il 19 ed il 21 di settembre relative a registratori Dahua Hackerati.

Cosa significa tutto questo? Evitando i tecnicismi riguardo a questo Exploit, anche per evitare eventuali emulazioni da parte di terzi, di fatto è stato reso visibile l’hash delle credenziali, in questo modo con una discreta facilità si sono resi accessibili i registratori su cui era presente questa vulnerabilità (è possibile trovate più dettagli sui siti ufficiali relativi al cyberterrorismo).

Apparati di videosorveglianza a rischio

Risulta necessario concentrarci sul rischio sicurezza a cui oggi sono esposti tutti gli apparati e non su quale sia il BUG. A questo particolare bug, infatti, è stato già attribuito il codice ICSA-17-124-02 in maggio 2017 e un numero davvero diffuso di registratori e telecamere ne è affetto, praticamente i modelli più diffusi di Dahua.

Fino ad oggi questo attacco per quanto semplice richiedeva una competenza tecnica non indifferente per essere applicata, ma oggi alcuni siti hanno pubblicato uno script che ne permette un utilizzo a portata di tutti. Questo insieme ad altri siti, che permettono la scansione di intere aree di rete, ha fatto sì che qualsiasi registratore su Web affetto ne venisse colpito, ed in questo periodo, eventi di questi tipo si stanno fortemente concentrando sulla rete Italiana.

Ora questo tipo di problemi di sicurezza sono assolutamente comuni (anche se in misura diversa) su sistemi operativi e software. Ovviamente come qualsiasi apparato “informatico” i registratori non sono estranei a questa tipologia di rischio, non bisogna sottovalutare il fatto che i registratori e le telecamere IP sono dei Computer con Sistemi operativi e software che ne permettono il funzionamento, quindi con gli stessi rischi di qualsiasi apparato informatico.

I brand più a rischio: Dahua e HikvisionVideosorveglianza a rischio

Dahua come Hikvision ed i più importanti brand sono ovviamente le realtà più a rischio visto la loro larga diffusione ed essendo apparati non identificati all’interno delle reti aziendali, come computer, sulle stesse non viene applicata una policy di aggiornamenti dei firmware, e ciò evita qualsiasi tipo di logiche legate a manutenzione ed aggiornamento, questo forse è il vero problema!

Solo i sistemi Tiandy ad oggi non sono esposti a rischi di sicurezza, questo può dipendere dalla loro ridotta diffusione, ma sappiamo quante risorse vengono investite in tal senso da Tiandy e quanto spesso rendono disponibili nuovi Firmware.

Oggi tutti questi problemi sono ASSOLUTAMENTE da evitare, esattamente come avviene con i vostri computer o le vostre reti, gli apparati di videosorveglianza devono prevedere almeno un aggiornamento semestrale e soprattutto regole di corretto utilizzo che possano mitigare il rischio sicurezza.

 

Come migliorare la sicurezza degli apparati di videosorveglianza

Sarebbe utile seguire alcune regole che andremo ad elencare di seguito, alcune di queste limitano le capacità del vostro registratore, ma allo stesso tempo garantiscono una maggior sicurezza e se vogliamo una maggior sicurezza dell’intera rete.

Il futuro degli “IoT” sta portando qualsiasi strumento su internet, televisori (su cui sono già presenti diversi rischi di sicurezza che ne abilitano il microfono ambientale o eventuali telecamere da remoto), automobili, orologi, ed ovviamente anche allarmi e registratori. Per questo motivo è necessario alzare di molto la guardia perché potreste ritrovarvi con uno di questi oggetti come la porta d’accesso della vostra rete aziendale dall’esterno, consigliamo quindi di proteggerne l’accesso magari da Firewall e da VPN che ne garantiscano ulteriormente la sicurezza, integrando DMZ e regole specifiche per limitare il danno (se mai si presentasse).
Per proteggere allarmi e registratori ti indichiamo una serie di linee guida da noi suggerite, ricordando comunque che ad oggi sia Dahua che Hikvision sono a rischio e che consigliamo vivamente di effettuare l’aggiornamento del firmware. Inoltre il nostro ulteriore consiglio è quello di utilizzare firmware in inglese, così da poter accedere alla versione più aggiornata dello stesso, ricordando che spesso le versioni nazionalizzate sono vecchie di svariati mesi, e possono non garantire la sicurezza che ci si aspetta.

 

Le regole guida quando si decide di mettere a disposizione dall’esterno il nostro sistema di videosorveglianza sono:

  1. Aggiornare periodicamente i firmware di tutti i propri prodotti esposti in rete, sia telecamere che registratori. Vista la velocità con la quale nuovi modelli escono può essere che a distanza di 1 o 2 anni, i firmware non siano più disponibili, se si vuole ancora esporre il proprio registratore in rete si consiglia di valutare il cambio dello stesso oppure di rendere l’accesso limitato da apparati di sicurezza terzi (vedi Firewall) i quali hanno aggiornamenti continui nel tempo.
  2. Cambiare la password di default, si consiglia di utilizzare SEMPRE password complesse di almeno 8 caratteri con maiuscole, minuscole e caratteri speciali e possibilmente non riconducibili a dati personali.
  3. Cambiare la password regolarmente, così da evitare eventuali attacchi di “Brute Force” (basati solitamente su database di password comuni utilizzate, liste enormi che quasi sempre riescono nell’intento se ben progettati). Si consiglia inoltre di evitare cambi di password facili (es. Password01, Password02, Password03) in quanto facilmente intuibili. Attualmente nessun apparato prevede un controllo sui tentativi d’accesso con Blacklist provvisorie, sicuramente sarà presente nelle versioni future del firmware. Per ora una soluzione migliore in termini di sicurezza è data solo da TIANDY.
  4. Disabilitare il servizio UPNP ove presente, lo stesso potrebbe essere manomesso e permettere di cambiare le porte al vostro apparato, tagliandolo dall’accesso esterno oppure spostandolo su porte che possano essere utili allo scopo dell’aggressore.
  5. Disabilitare il servizio P2P o CLOUD, ci rendiamo conto che è decisamente utile e comodo rispetto ad aprire le porte del router/firewall, ma i servizi P2P per loro natura sono decisamente più a rischio e possono esporre il proprio apparato ad un attacco “bruteforce” su seriali casuali, senza contare che in futuro potrebbe essere un sistema compromettibile rendendo di fatto la vostra rete raggiungibile anche SENZA PORTE APERTE.
  6. Disabilitare il servizio SNMP, è un servizio diagnostico, spesso soggetto a exploit di sicurezza, se non utilizzato nella vostra rete, consigliamo vivamente di disabilitarlo, anche perché di fatto inutile ai fini dell’utilizzo
  7. Abilitare i servizi HTTPS (SSL) questo permette di criptare tutto il contenuto tra registratore e device, inibendo qualsiasi possibilità di intercettare il flusso di comunicazione e modificarlo, ad esempio impedendo l’intercettazione di credenziali. Questo tipo di funzione è presente su tutti i registratori evoluti (DAHUA, TIANDY) e sempre di più sarà una strada obbligata nella gestione dei flussi dati e video.
  8. Cambiare la password ONVIF, tutte le telecamere NON hanno password o se è presente è banale (tipo admin o password) consigliamo di cambiarne la password, così da evitare l’intercettazione dei flussi video, questo renderà un po’ più complesso configurare le telecamere sul registratore, ma permetterà di evitare molti rischi di sicurezza.
  9. Abilitare filtri IP, ciò permette di vincolare l’accesso al registratore SOLO ad alcuni IP (esempio, la connettività di casa vostra) a breve sicuramente saranno integrate funzioni di Black list su IP che tentano accessi in Brute Force (funzione presente su Tiandy ad esempio). L’evoluzione in questo settore ha portato i registratori ad una grossa attenzione anche sull’aspetto di tutela e sicurezza.
  10. Disabilitare il Multicast, le funzioni multicast sono utili in ambienti di “diffusione video” dove lo stesso segnale deve essere mandato a più utenti senza passaggio di credenziali (non esiste un vero accesso, ma il registratore trasmesse come fosse un’emittente) se la funzione non è strettamente indispensabile, consigliamo vivamente di disabilitarla, in quanto oltre a essere a rischio di “DDOS” è un’ulteriore servizio compromettibile.
  11. Variare le porte di Default, l’attacco verso i registratori avviene su quelle che sono ritenute le porte standard, alcuni software fanno scansioni di interi blocchi di rete sulla 80 o sulla 8080 e quando rilevano la “firma” del registratore tentano l’attacco, questo almeno nella maggior parte dei casi. Per evitare quindi di essere “trovati” è utile variare queste porte, dalla 80 a qualsiasi altra porta, noi consigliamo di stare sopra la 1024, in quanto quelle prima sono solitamente usate su altri servizi e quindi scansionate dai robot.
  12. Isolate le telecamere sulla rete interna, evitando che siano disponibili anche da chi non deve avere accesso, quindi o collegandole direttamente alle porte POE del registratore o comunque utilizzando apparati di rete separati rispetto a quella comune oppure utilizzando delle VLAN. Ciò permette di evitare possibili attacchi sulla rete interna verso le telecamere IP, cosa che può accadere anche da parte di software magari presenti sulla rete, inoltre le telecamere possono essere saturate da accessi non autorizzati, impedendo una corretta registrazione e rendendo difficile la diagnostica del problema, infine tutte le telecamere possono avere “backboor” accessibili e quindi diventare una pericolosa porta d’accesso dall’esterno anche se non esposta.
  13. Rendere accessibile solo le porte strettamente indispensabili, evitate di avere l’intero registratore aperto su internet, ma aprite UNICAMENTE le porte necessarie, che sono solitamente la porta WEB, la porta di controllo ed il flusso video, non indicate quali porte sono in quanto possono variare da registratore a registratore, ma ricordatevi sempre la regola K, cambiando quindi l’accesso principale (WEB)
  14. Disabilitate l’auto-login, evitando quindi che qualche malintenzionato possa accedere al vostro computer e acquisire le credenziali utilizzate, i computer sono molto più a rischio di sicurezza, la compromissione di un PC potrebbe mettere a rischio quindi anche il proprio sistema di videosorveglianza.
  15. Create credenziali differenti, per accedere da remoto, NON utilizzate admin, ma usate credenziali non standard, magari solo con diritti di visione, in modo che se anche compromesse non possano creare altri rischi al registratore (come il cambio delle impostazioni).
  16. Create credenziali univoche, se avete più utenti che accedono così da poter bloccare l’utente (ex dipendente) o limitarne l’uso solo a quanto di sua competenza (la visione di sole alcune telecamere, solo in certi orari, etc).
  17. Isolate la rete legata alla videosorveglianza e alla sicurezza, per due motivi, sia perché in caso di compromissione limitate il rischio alla sola videosorveglianza, sia perché in caso di compromissione della rete aziendale non mettete a rischio la parte sicurezza (che comporta NON SOLO la videosorveglianza ma anche gli allarmi ormai anch’essi sono spesso disponibili on-line). Ci sono molti modi per isolare le reti di sicurezza, è possibile utilizzare DMZ, VLAN e Apparati differenti, tutte tecniche ben conosciute da chi si occupa di sicurezza dal punto di vista informatico.

Ogni caso ha una storia a sé ma adottando questi consigli e facendosi seguire sia da un elettricista per la parte di stesura e configurazione, sia da un tecnico informatico competente in ambito sicurezza IoT, si potranno ottenere buoni risultati.

Setik e la sicurezza informatica

Noi di Setik abbiamo sempre valutato con serietà e competenza la sicurezza informatica, infatti anche Setik ha al suo interno un’altra società Informatica specializzata in sicurezza Reti e spesso nei progetti più complessi ci viene chiesto di coinvolgerla.

Setik non fa installazione diretta ma utilizza sempre e comunque i propri distributori e rivenditori territoriali, ma la professionalità delle proprie figure è spesso in supporto alla gestione dei progetti territoriali.

Oggi la sicurezza ed in particolare la videosorveglianza è passata da essere un divertente e piacevole hobby domestico o se vogliamo un Plus affiancato al sistema d’allarme a qualcosa di decisamente più vitale per la sopravvivenza della propria infrastruttura, il rilevamento di eventi specifici, il supporto al territorio e molto altro, quindi le criticità non sono assolutamente da prendere sotto gamba.

Come al solito Setik è a disposizione per consigli, valutazioni di rischio, analisi e progetti, ma affidatevi sempre a dei veri professionisti e non sottovalutate gli aspetti sopra elencati.