Sorveglianza IP e Cybersecurity

di Diego Perissinotto - Regional Sales Manager Vivotek www.vivotek.com

La sicurezza informatica dei dispositivi IoT è un tema ormai da anni al centro del dibattito e le telecamere di sorveglianza IP sono sempre più spesso obiettivo di hacker per la potenza di calcolo relativamente elevata e il buon throughput di traffico Internet. 

Alla fine del 2016, un malware “Mirai” basato su Linux è stato utilizzato per avviare un attacco DdoS, creando un traffico Internet da record (1,2Tbps). L’enorme traffico, generato da comandi remoti, aveva violato principalmente delle telecamere di sorveglianza IP. Attenzione: non solo il codice sorgente Mirai è disponibile su Internet, ma stanno nascendo diverse varianti di malware simili. La sicurezza informatica è quindi oggi un punto focale per i dispositivi di sorveglianza IP. Molti governi stanno dal canto loro adottando normative per elevare il livello di implementazione di soluzioni e misure di sicurezza informatica. La sicurezza cyber sarà quindi senza dubbio un fattore competitivo determinante nell’industria della videosorveglianza IP.

Incentivi per l’hacking 

La principale motivazione di un hacker è fare soldi. E in termini di monetizzazione, le telecamere di sorveglianza IP sono degli obiettivi particolarmente appetibili per gli hacker. Questi i motivi:

1. le telecamere sono costantemente connesse - l’alta esposizione a Internet rende facile trovare il dispositivo. Una volta violato, il dispositivo sarà costantemente disponibile per soddisfare gli scopi degli hacker;

2. i costi dell’hacking sono particolarmente bassi - diversamente dall’hacking di un PC, una volta che gli hacker trovano un modo per hackerare un dispositivo, possono adottare lo stesso approccio ad altri dispositivi di modelli simili, con un costo di hacking per dispositivo decisamente ridotto;

3. siamo in assenza di supervisione qualificata - a differenza dei PC per ufficio, le telecamere di sorveglianza IP non sono sempre gestite da personale con conoscenze di sicurezza informatica. E installare un’applicazione anti-malware post vendita non è spesso possibile;

4. prestazioni elevate - la potenza di calcolo inattiva all’interno di una telecamera di sorveglianza IP è in genere sufficiente per eseguire attività di hacking come il mining di criptovalute senza nemmeno essere notati;

5. alta richiesta di banda - la connessione rapida e continua e la notevole larghezza di banda richieste per la comunicazione video sono un target perfetto per un hacker esperto in attacchi DDoS.

Hacking/Infection Chain

La tipica catena di infezioni per le telecamere di sorveglianza IP segue questi passaggi:

1. scoprire l’indirizzo - individuare l’indirizzo IP di un potenziale dispositivo-bersaglio, per lo più fatto da crawler Internet. I servizi Web come “Shodan” possono anche offrire un elenco di dispositivi rilevati;

2. accedere alla fonte di guadagno - utilizzare la password predefinita o il dizionario delle password per accedere al dispositivo. Una volta ottenuto il privilegio di amministratore, gli hacker possono sfruttare ulteriormente il sistema per svolgere le loro attività criminali;

3. esaminare le vulnerabilità - esaminare le vulnerabilità del sistema e trarne vantaggio. Le vulnerabilità del sistema sono inevitabili, specialmente in un mondo IT estremamente dinamico in cui i codici open source sono ampiamente utilizzati;

4. iniezione di malware - iniettare il malware nella telecamera di sorveglianza IP. Il malware in genere consiste in un agente che gestisce la comunicazione e un corpo principale che soddisfa le funzioni principali progettate dagli hacker;

5. comando e controllo - controllare i bersagli da remoto per abilitare una funzione di servizio specifica. Ad esempio, gli hacker possono preparare un attacco DDoS e comandare a tutti i dispositivi infetti di indirizzare una destinazione specifica.

Comprendere il rischio

Per salvaguardare la propria rete, sarebbe essenziale che gli utenti finali conoscessero appieno i rischi cui sono assoggettate le tecnologie. Soprattutto sarebbe essenziale che gli utenti applicassero almeno le misure raccomandate per ridurre le vulnerabilità dagli attacchi informatici, ossia:

• utilizzare una password complessa (non utilizzare mai la password predefinita);

• scaricare il firmware più recente per correggere bug e vulnerabilità;

• seguire le vulnerability policy del fornitore tecnologico per sapere come gestire e rispondere alle vulnerabilità di sicurezza;

• implementare la Guida all’Hardening del fornitore di soluzioni per proteggere infrastrutture di base, avanzate o aziendali;

• consultare gli advisor della sicurezza per ridurre i rischi di vulnerabilità note.