Punti chiave
Questo articolo mette in luce le principali ragioni per cui le webcam e telecamere IoT sono deboli dal punto di vista della sicurezza informatica e fornisce metodi per proteggere i sistemi di videosorveglianza.
Una volta che la webcam è connessa a Internet, ottiene immediatamente un indirizzo IP e può iniziare a inviare informazioni. Utilizzando questo indirizzo IP, qualsiasi dispositivo può essere ricercato e trovato con l’aiuto di un’applicazione “nativa” o, ad esempio, un motore di ricerca IoT come Shodan. Un modo così semplice di trovare videocamere collegate rende facile per i malintenzionati attaccare un sistema di videosorveglianza ogni volta che gli serve e avere maggiori informazioni riservate o modificare dati importanti.
Nascondere il produttore della webcam
Per evitare il facile rilevamento delle telecamere collegate dai motori di ricerca IoT, molti produttori consentono agli utenti di accedere all’interfaccia web della telecamera e di disattivare e/o nascondere i dati relativi al produttore. Dopodiché, sebbene il motore di ricerca possa ancora trovare la videocamera, la sua marca e il suo modello non saranno identificati, il che a sua volta renderà molto più difficile per i pirati informatici compromettere il dispositivo.
Anche se il motore di ricerca IoT può individuare una telecamera sulla rete, questo non significa che sia possibile attaccarla e comprometterla. Il motivo per cui la maggior parte delle fotocamere intelligenti sono vulnerabili è spesso nascosto nel fattore umano: un’eccessiva incuria degli utenti. Il fatto è che quando si imposta una telecamera, le persone spesso lasciano la possibilità di accedere utilizzando in qualsiasi momento il nome account e la password predefiniti, ad esempio: admin \ admin. Inoltre, poiché questi parametri sono gli stessi per migliaia e migliaia di telecamere e sono ben noti agli intrusi, l’hacking non è difficile. Ad esempio, per ottenere l’accesso completo al flusso video di una telecamera IP con le impostazioni predefinite, è sufficiente trovare questa videocamera con l’aiuto del motore di ricerca IoT, accedere al pannello di amministrazione tramite un browser Web e digitare l’accesso predefinito e password.
Cambiare la password predefinita
Assicurarsi di cambiare le password predefinite per proteggere le webcam. Non utilizzare mai password semplici come admin123, 1234567, ecc. Spesso, scoprirai che cambiare la password dell’utente è molto semplice. Importante: a differenza della password, il nome di accesso predefinito dell’amministratore non può essere modificato nella maggior parte dei casi. Se possibile, utilizzare l’autorizzazione ONVIF. E’ importante anche limitare la possibilità di accedere a telecamere intelligenti da altri indirizzi IP. Per fare ciò, usa il filtraggio degli indirizzi IP: crea elenchi IP in black list e\o white list.
Oltre all’indirizzo IP, i malintenzionati utilizzano porte di comunicazione aperte per attaccare le apparecchiature video. Esistono programmi software speciali per la scansione di porte aperte. Di norma, tutte le porte delle telecamere sono aperte di default! Uno dei modi in cui un utente malintenzionato può compromettere la telecamera è attraverso una porta aperta utilizzando uno speciale software per la violazione delle password che utilizza attacchi a forza bruta.
Cambiare le porte di comunicazione di default
Per migliorare la sicurezza informatica delle webcam, puoi cambiare le porte multimediali standard con quelle nuove oppure puoi chiudere completamente le porte inutilizzate.
Accade spesso che la vulnerabilità si trovi solo in alcune versioni del firmware o nel sistema operativo se presente. In tali casi gli utenti non possono fare nulla, indipendentemente dalla configurazione della sicurezza del dispositivo, una vulnerabilità critica apre la possibilità per un utente malintenzionato di accedere alla telecamera. Per eliminare tali problemi, i produttori rilasciano una nuova versione del firmware.
Non abilitare il protocollo Telnet per le telecamere IP
Un altro metodo ben noto di pirateria informatica utilizza il protocollo Telnet. Telnet non utilizza la crittografia. Si tratta di un protocollo di testo non protetto che consente l’accesso al software e al file system della videocamera. Questo protocollo è stato progettato per consentire al produttore e ai fornitori di servizi di accedere alla telecamera, ma in pratica nulla impedisce agli utenti malintenzionati di utilizzare Telnet. La vulnerabilità è talmente critica che, utilizzando Telnet, un utente malintenzionato può persino modificare il firmware della telecamera reindirizzando i flussi video o trasformandolo in uno “zombie” e utilizzarlo per attacchi mirati di rete su altri dispositivi. Inoltre, attraverso lo stesso “bug” è possibile accedere ad altri dispositivi nella rete locale: computer, router e cercare di hackerarli.
Utilizzare il protocollo HTTPS e il certificato SSL digitale
Il protocollo HTTP viene spesso utilizzato per accedere alla telecamera per impostazione predefinita, il che non aggiunge vantaggi dal punto di vista della sicurezza. Il fatto è che quando si utilizza HTTP, tutti i dati vengono trasmessi in una forma non protetta. Inoltre, è possibile che questi dati vengano intercettati in qualsiasi nodo intermedio tra il percorso di trasferimento delle informazioni. Il protocollo HTTPS viene in soccorso: fornisce uno scambio di dati sicuro e riservato tramite crittografia. Un ulteriore elemento di una connessione sicura basata sul protocollo HTTPS è un certificato digitale.
Proteggi il flusso video RTSP della videocamera
Se la telecamera trasmette un flusso video RTSP in modo non protetto, può essere intercettato e visualizzato anche con l’aiuto di un lettore multimediale normale. Per impedire agli estranei di guardare i video dalle telecamere, il flusso video RTSP deve essere protetto da accessi non autorizzati utilizzando un nome utente e una password.
Non utilizzare il protocollo ARP
Quando non ci sono esigenze particolari è meglio evitare di utilizzare questo tipo di protocollo per proteggere le webcam. È meglio disabilitarlo in quanto ciò non permetterò ad intrusi di identificare facilmente il vero indirizzo MAC dell’hardware. Il protocollo di rete ARP sembra innocuo: è stato progettato per identificare gli indirizzi del livello di collegamento dati (MAC) utilizzando indirizzi IP. Tuttavia, questo protocollo è vulnerabile a specifici attacchi: i criminali informatici possono sostituire l’indirizzo MAC della telecamera (o del computer) con un altro indirizzo MAC e quindi reindirizzare il traffico dalla telecamera.
Collegare le telecamere IP all’ISP e ad altre reti tramite i router
Questo metodo fornirà una protezione molto migliore delle apparecchiature video e impedirà di essere attaccate tramite la rete. In primo luogo, i router più moderni dispongono di impostazioni di sicurezza molto più avanzate rispetto alle telecamere IP. In secondo luogo, la telecamera sarà nascosta dietro NAT dall’accesso diretto dall’esterno della rete locale. Inoltre, se la rete aziendale utilizza lo standard di autenticazione IEEE 802.1x, questo può rappresentare un ulteriore livello di protezione poiché il rischio di accesso non autorizzato al dispositivo viene notevolmente ridotto.
Gli utenti spesso collegano le loro apparecchiature video alle reti globali (WAN, la rete dell’ISP) direttamente o tramite lo switch. Questa non è l’opzione migliore per quanto riguarda la sicurezza.