Articoli

La sicurezza della rete IP CCTV sta a zero: colpa di chi?

10/09/2012

La Redazione

 

Da uno studio di Gotham Digital Science, analista di rilievo internazionale specializzato in Network Infrastructure security, i sistemi di videosorveglianza IP risultano essere estremamente vulnerabili ed esposti alle attenzioni dei cybercriminali. Lo studio, che abbraccia un campione di mille dispositivi dei maggiori produttori di TVCC, rileva che i sistemi vengono spesso attivati con un’impostazione di default e che le password sono genericamente deboli (1234, 1111 sono le più gettonate e raramente vengono cambiate dopo l’attivazione), con conseguenze allarmanti sul fronte della sicurezza e della privacy. La bella notizia, però, è che non è proprio come la racconta questo studio, almeno stando a quello che riferiscono gli operatori del settore sicurezza interpellati da a&s Italy. Non è vero che un nerd di 8 anni potrebbe tranquillamente craccare una rete CCTV IP, ma è altrettanto vero che non si attribuisca sufficiente rilievo agli aspetti di security, col rischio di danneggiare la reputazione di un’intera industria. Colpa di chi? Un po’ di tutti. Saremmo però curiosi di sapere su quali prodotti si è basata l’indagine Gotham (che sembra riferita più ad impianti residenziali, magari fai-da-te, che a vere soluzioni professionali di sicurezza), ma tant’è: quello hanno scritto. Leggetevi ora cosa scrivono i nostri operatori. Ah, abbiamo interpellato anche un legale, visto che la sicurezza dei dati incide anche sulla tutela della riservatezza. Partiamo proprio da questi aspetti.

 

VALENTINA PESI, Studio Legale Frediani

 

La legge impone agli operatori pubblici e privati l’obbligo di adottare idonee misure di sicurezza, tali da garantire la protezione dei dati personali (nome, cognome, immagine acquisita tramite impianto di videosorveglianza, etc.) oggetto di un determinato trattamento effettuato con strumenti elettronici. Siffatte misure di sicurezza sono indicate direttamente negli artt. 31-36 del Codice della Privacy, D.Lgs 196 del 2003, mentre le restanti 28 dettagliate prescrizioni sono riportate nell’allegato B del Codice. Delle 28 prescrizioni dell’allegato (prima della recente riforma erano 29), almeno 11 sono riferite alle modalità di creazione, di associazione e di utilizzo delle chiave di accesso dei soggetti incaricati ad accedere ai dati oggetto del trattamento, quindi ai sistemi di autenticazione informatica che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

 

Secondo tale allegato, la password deve essere lunga almeno 8 caratteri, cambiata al primo accesso (in modo che solo l’incaricato la conosca) e poi ogni sei mesi (addirittura ogni tre mesi se i dati trattati sono sensibili). Non deve contenere nomi comuni, nomi di persona o riferimenti agevolmente riconducibili all’incaricato. Nel caso in cui sia l’azienda ad assegnare le password, questa deve essere modificata dall’incaricato al primo utilizzo e, nel caso l’incaricato cessi la propria attività presso la Società o perda o muti la qualità di incaricato, deve essere effettuata la cancellazione immediata delle credenziali di autenticazione, al fine di proteggere i dati dalla conoscibilità di soggetti non più svolgenti attività all’interno della Società. Infine, è necessario, secondo l’allegato, predisporre un sistema per il quale l’utilizzo di quell’account sia disponibile a terzi in caso di assenza dell’incaricato. Ma tali accorgimenti vengono davvero applicati?

 

NOELIA CASTILLON POLO, Direttore Marketing Sud Europa Honeywell Security Group

 

Se parliamo di un’installazione locale, in un ambiente LAN, la sicurezza è fondamentale. Per questa ragione, quando si installa una telecamera in un NVR, vengono richiesti uno user name ed una password sia per la telecamera, che per entrare nello stesso NVR. Oltre a ciò, una volta che si accede all’NVR, è anche possibile programmare una gerarchia di livelli di accesso all’interno del sistema, che permettono all’utente di accedere ad una gamma di funzionalità a seconda dei suoi diritti di accesso. Quando si accede ad una Wide Area Network, il network di sicurezza dell’utente finale si comporta come il primo livello di sicurezza per proteggere gli accessi al perimetro controllato dal sistema a circuito chiuso. La sicurezza dei firewalls, delle porte inbound/outbound e del sistema informatico sarebbero quindi un ulteriore step da dover infrangere prima di poter raggiungere la protezione dello stesso sistema CCTV. Ovviamente è soprattutto responsabilità dell’installatore assicurarsi che l’utente finale sia al corrente della sicurezza del sistema e delle sue modalità di funzionamento. Inoltre è fondamentale che egli sia avvisato delle procedure di sicurezza da seguire periodicamente (regolari cambi di password, messa in sicurezza della password) e che sia consapevole di dover evitare cattive abitudini, come lasciare la password scritta accanto al computer...

 

FRANCO DISCHI, Managing Director Notifier Italia e Presidente Assosicurezza

 

L’autore dell’articolo mi sembra avere le idee poco chiare: le sue riflessioni sembrano riferite a delle webcam che proteggono case e uffici e i mille produttori esaminati lasciano quanto meno a desiderare a livello di qualità. Certamente un DVR basato su PC (su window) non offre le stesse garanzie di una macchina dedicata, magari basata su Linux: come al solito è un problema di qualità. Saremmo felici che l’autore provasse a “prendere possesso delle videocamere” su un nostro sistema...

 

ANDREA SORRI, Business Development Government/City Surveillance/Critical Infrastructure. Axis Communications

 

Non si corrono pericoli per la sicurezza dei dati grazie al ricorso a password di accesso multilivello, a filtri per indirizzi IP, all’autenticazione digest, al registro degli accessi utente, al controllo degli accessi di rete su standard IEEE 802.1X, alla crittografia HTTPS, e anche allo storage su SD card o NAS. Ad ulteriore rinforzo della sicurezza, durante la fase d’installazione, una volta assegnato l’indirizzo IP, il primo passo obbligato nei prodotti Axis è proprio quello di cambiare la password. Per configurare la password si può utilizzare una connessione http standard oppure un più alto livello, l’https: l’utente chiede alla telecamera di creare un certificato di autenticazione; una volta ricevuto lo può inserire nella configurazione per poter cambiare la password in modo sicuro.

 

ANDREA FONTANA, Project Sales Engineer & BDM Vertical Market di Pelco by Schneider Electric

 

Sulla sicurezza di un sistema di videosorveglianza over IP influiscono diversi fattori, tra cui la sicurezza della rete, la sicurezza degli apparati, i costi globali di impianto ed anche gli obiettivi del sistema TVCC. Qualsiasi sistema over IP trova il punto critico nella sicurezza della rete che supporta l’architettura. E’ evidente che una rete protetta ed isolata dagli accessi non autorizzati dà sufficienti garanzie al sistema TVCC, nel senso che chi riesce a violare la rete ha in mano gli strumenti necessari per violare anche i videoserver. I problemi invece sono diversi quando la rete è condivisa con altre applicazioni, e quindi gli accessi fisici ai media sono diversi per l’utilizzo del network. In questo scenario gli aspetti importanti sono due: la sicurezza dei singoli apparati (server, telecamere, etc) e la sicurezza degli stream trasmessi. Sui singoli apparati i meccanismi di sicurezza implementabili sono diversi e le scelte ricadono sugli utilizzatori.

 

Per meglio favorire la gestione degli impianti da parte degli IT manager, è ormai di largo utilizzo il protocollo LDAP, quindi la sicurezza degli apparati TVCC è la stessa degli altri device in rete ed i filmati immagazzinati sono al sicuro esattamente come la nostra posta elettronica. Immaginiamo ora un contesto critico, come può essere la rete di una banca, popolata di PC ed elaboratori, sistemi di archiviazione, chiavi fisiche, logiche e temporizzate... è minimamente pensabile che l’informazione sulla gestione delle password debba arrivare dal mondo della TVCC? Diverso è invece il discorso relativo al trasferimento degli stream live. La maggior parte dei produttori ha adottato come standard lo stream RTSP, leggero, facile, e soprattutto real time. Proprio la necessità di essere in tempo reale rende difficile ad oggi la crittografia degli elementi trasmessi in rete. Ecco perché tipicamente gli stream del sistema TVCC sono “in chiaro”, ovvero di facile lettura senza nessuna chiave di protezione.

 

Rendere gli stream sicuri avrebbe un grande impatto sui costi, in quanto servirebbero prestazioni di ordine superiore per garantire l’effetto real time su immagini che andrebbero compresse, crittografate, trasmesse, decrittografate e decompresse... la velocità del processore richiesta non sarebbe compatibile con i costi sostenibili per un impianto TVCC. Ecco perché, se la privacy degli stream è importante, è necessario isolare fisicamente o logicamente il media del sistema video in modo che il requisito di sicurezza sia trasferito a monte. Per gestire correttamente i sistemi di sicurezza servono formazioni mirate ed estese a contesti multidisciplinari. Consapevoli di questo, tutti i maggiori produttori hanno degli istituti destinati alle competenze specifiche e sessioni di approfondimento, ed anche online ormai si trova di tutto, dai manuali ai webinar, dalle sintetiche Q&A alle prolisse White Paper. Ma chi si deve proteggere ha spesso pessime abitudini, la più preoccupante delle quali è la scarsità del tempo dedicato alla formazione, vista spesso come un ennesimo balzello. Peccato, però, che tale “balzello”, se non affrontato, possa mettere seriamente a repentaglio l’intero investimento.

 

CLAUS RØNNING, Sales Director Southern Europe Milestone Systems

 

Abbiamo posto in essere alcune soluzioni come la connessione HTTPS tra server e telecamera (se supportato dalla telecamera); l’uso di sottoreti è all’ordine del giorno e collaboriamo con alcuni vendor di networking per proporre una formazione specifica sulle problematiche della sicurezza di rete. Ma, dal nostro punto di vista, si tratta di problematiche che il Partner di canale deve conoscere a priori: il nostro ruolo si limita all’introduzione tra chi ha bisogno di sapere e chi può insegnare.

 

MASSIMILIANO TROILO, General Manager HIKVISION Italy

 

Non credo che i produttori facciano cultura anche su questo aspetto, anche se la raccomandazione di cambiare password e PIN viene sempre fatta. Non si può neppure delegare tutto ai produttori, che, oltre a fare cultura sui prodotti, su come si utilizzano ed installano, si devono anche misurare con un mercato in contrazione e sempre più alla ricerca del solo prezzo. Non credo neppure che gli installatori informino il loro cliente, ma non credo neanche che, in una grande maggioranza, si informino loro stessi, nonostante sarebbe loro preciso dovere e, data la delicatezza dell’argomento, responsabilità.

 

ENRICO VIARANI, Chief Technical Officer ARTECO

 

Ci sentiamo di rispondere che abbiamo anche noi riscontrato una certa “leggerezza” nella libertà di accesso alle immagini sulle telecamere: di solito basta un browser web e l’indirizzo della telecamera per avere accesso al video. Probabilmente i costruttori di telecamere considerano un vantaggio poter fornire un monitor delle immagini senza necessità di autenticazione. Tuttavia, nella maggior parte delle installazioni, le telecamere sono collegate alla stessa rete locale dei server VMS e ciò consente - come di fatto avviene - la segmentazione fisica della rete: tale caratteristica conferisce agli impianti di TVCC un livello di sicurezza che di fatto rende superflua quella informatica sull’accesso alle telecamere e limitai rischi dovuti alle sue debolezze. In pratica limitare l’accesso alla rete è sufficiente a garantire un adeguato livello di sicurezza alle immagini... purché il VMS sia, al contrario delle telecamere, rigoroso nel condividere a sua volta le immagini agli utenti con un’adeguata protezione informatica. Questo paradigma di sicurezza ricalca quello degli impianti analogici dove chiunque avesse accesso ai cavi delle telecamere poteva vederne le immagini senza possibilità di restrizione.

 

FLAVIO VENZ, Managing Director Asset Security Italia (distributore esclusivo di Grundig)

 

Esiste una stretta relazione tra la professionalità di chi progetta e installa i sistemi di videosorveglianza e la sicurezza della rete. Chi opera con professionalità non corre rischi: per fare sicurezza non basta essere dei tecnici e nemmeno degli informatici...

 

ALDO CORONATI, installatore professionale di sicurezza (Secur) e presidente AIPS

 

Il TVCC over IP è un settore estremamente delicato, ma bisogna distinguere fra caratteristiche del prodotto ed installazione, e relativa programmazione, per il conseguente utilizzo. Naturalmente è dovere, per l’Installatore professionale, dare al Cliente esauriente informativa dei potenziali rischi insiti nella trasmissione dati e nell’accesso agli stessi. Allo stesso modo, l’Installatore dovrà fornire tutti quei consigli utili a garantire la sicurezza delle passwords in uso.

 

LUIGI CAVALIERI MANASSE, distributore di sistemi di sicurezza (Diesis)

 

Concordo che la maggior parte dei sistemi mantenga le chiavi logiche di default per l’accesso da remoto, e questa è una pecca da imputare all’anello finale della catena, cioè all’operatore che installa fisicamente il sistema. Personalmente non capisco la motivazione che spinge l’installatore a non modificare login e password delle apparecchiature installate, ma posso ipotizzare che sia dovuto al desiderio di mantenere una ”porta di riserva” per poter accedere al sistema anche a distanza di tempo (la password del Produttore sarà sempre disponibile mentre una password personalizzata potrà essere “dimenticata” e comunque implicherebbe un minimo di gestione e di burocrazia). Cosa dovrebbe essere fatto per rendere i sistemi network più sicuri? Il produttore può progettare al meglio la telecamera, l’NVR o qualunque componente del sistema, ma sarà sempre costretto ad inserire di default credenziali uguali per ogni oggetto prodotto.

 

Non vedo altro sistema ipotizzabile anche perché, oltre alla gestione dei prodotti a livello produzione, questi dati devono essere anche inseriti nella manualistica che accompagna il prodotto e nei vari tool di programmazione che vengono forniti gratuitamente dai maggiori produttori. Sarebbe impensabile la gestione di credenziali diversificate per ogni prodotto. Lo stesso discorso vale per il dealer. Il distributore, pur fornendo un servizio insostituibile a livello di conoscenza/ proposta del prodotto sia commerciale che tecnico, non può e non deve preoccuparsi della robustezza e/o modifica delle credenziali di accesso. Anche per il dealer sarebbe impensabile ed ingestibile una personalizzazione delle credenziali per singolo prodotto e/o Installatore.

 

Se poi si pensa che, per scelte commerciali, vengono offerti all’installatore brand diversi, il caos regnerebbe sovrano. L’unica cosa che soprattutto il distributore deve fare, è sensibilizzare il proprio cliente (installatore-integratore-impiantista elettrico) alle problematiche legate alla privacy, alle norme in essere e, in particolare, alla sicurezza della gestione dei sistemi di rete con informazione e formazione mirata, ma ovviamente non potrà mai verificare se quanto predicato viene poi messo in atto. Occorrerebbe pertanto che tutti gli attori in gioco, comprese le Associazioni di categoria e le Riviste Specializzate, facessero opera di sensibilizzazione su questi aspetti non trascurabili della sicurezza verso il soggetto a cui ci si rivolge. Permettere ad estranei l’accesso da remoto al proprio sistema di sicurezza, oltre ad evidenti problemi di privacy, rende anche discutibile il motivo principale dell’investimento: la sicurezza.


pagina precedente