Sicurezza delle password e videosorveglianza di rete

di Alessandro Oliva, IT Engineer presso Feniva 

Nell’accedere con lo smarthpone o il pc al sistema di videosorveglianza aziendale o di casa vostra, vi siete mai chiesti se al sistema di videosorveglianza accedete davvero soltanto voi? La risposta più immediata è sì: abbiamo settato una buona password - una di quelle lunghe, con caratteri speciali, con almeno una lettera maiuscola, con dei numeri - insomma, una di quelle password che la fantasia di “CRYPTO” è anni luce distante. Eppure il bug sta proprio nel nostro modo di vivere quotidiano: per non dimenticare la password, ce la scriviamo. Un problema dal quale la videosorveglianza non è esonerata. 

Se già negli anni 90 si recitava il detto “non esiste il personal computer sicuro, se non quello spento e scollegato dalla rete elettrica”, l’esposizione al rischio è assai più elevata ora, che le macchine sono sempre accese e sempre pronte a rendere il servizio che da esse ci attendiamo. E’ ovvio, un sistema di videosorveglianza non può essere spento, deve lavorare in modalità 24x7, peraltro siamo in grado di garantirgli elettricità in caso di black out tramite UPS, possiamo conferire stabilità con dischi garantiti al funzionamento 24x7 “Surveillance Dedicated”, ultraveloci e più duraturi.. ma qualcosa è rimasto indietro. Non ci dicono infatti che utilizziamo strumenti con sistemi a password complesse, non ci ricordano di cambiare la password di default 12345, ma soprattutto omettono di dire che è possibile resettarle anche senza accedervi fisicamente. Quando dimentichiamo la password del nostro pc, per riaccedere abbiamo a disposizione degli strumenti per “violare” la stessa nostra sicurezza: accediamo fisicamente alla macchina, accediamo al disco ed ecco violata anche la nostra password più complessa, l’abbiamo cancellata! Ma abbiamo acceduto fisicamente al sistema con vari strumenti (una penna usb, un CD, un DVD) per operare il ripristino.

Bene, tutto questo lo vediamo quotidianamente anche nelle operazioni forensi: la creazione di immagini di dischi, la lettura di porzioni di dati, l’accesso ad uno smartphone, l’accesso al più alto livello ai nostri dati in maniera del tutto sica rispetto al supporto stesso di contenimento dei dati - cosa che ovviamente non è più garantibile con alcuni moderni prodotti di videosorveglianza. Normalmente, nelle operazioni forensi di recupero delle immagini video registrate, qualora queste siano di provenienza di un digital video recorder, viene richiesto l’intero apparato. Questo perché la scrittura dei dati nel supporto rigido (hard disk) avviene in data striping, leggibile cioè solo dalla macchina stessa che li ha registrati. I dati non sono quindi montabili/leggibili su altri sistemi. Peccato però che, analizzando come funziona un digital video recorder, scopriamo nell’ordine che: 1) la modalità di connessione alla rete è semplificata grazie all’implementazione del P2P o del sistema NAT-T (modalità di rete tramite la quale non occorre più dover aprire le porte sul router per raggiungere il DVR dall’esterno: ci pensa lui, e senza utilizzare il sistema automatico U-PnP (Universal Plug and Play). Semplicemente si enuncia all’esterno della nostra rete LAN e ci permette di vedere agilmente le nostre immagini sullo smartphone o di operare sul sistema da remoto in piena autonomia; 2) nel caso di dimenticanza della password di amministrazione del sistema di videosorveglianza, è possibile aggirarla/ sovrascriverla con una password di amministrazione OTP (One Time Password) relazionata al clock di sistema di Data e Ora, cancellando la password di amministrazione stessa.

Ed ecco che la nostra fantasia nell’inventare la pas-sword più sicura è stata banalmente annullata dal tipico supporto tecnico che giunge in soccorso quando dimentichiamo la password di amministrazione: tramite reset con una semplice OTP da remoto. Ma prima come si faceva? Certo, anche con i vecchi digital video recorder era possibile azzerare la password. Così come con i pc, nella mainboard c’era in- fatti un piccolo jumper da spostare che permetteva di azzerare la password di sistema, ma era comunque un accesso sico: potevamo controllarlo. L’accesso via rete è più complicato, non suona il campanello e non ha la valigetta e gli occhiali quadrati del buon vecchio tecnico o nerd. La porta blindata e la cassaforte non bastano più. Ma questa opzione, almeno, è disattivabile? La risposta è secca: no. Quest’opzione esiste anche su altri prodotti come le telecamere?

La risposta anche qui è secca: sì, è disponibile anche nelle telecamere IP. E quindi? La nostra Privacy? Il Garante? Le Leggi? Come possiamo difenderci? Certamente, al semplice pensiero diviene tutto aleatorio e inutile: anzi, avremmo di che scrivere e tenere corsi per il prossimo decennio. Però esiste un comportamento che possiamo e dobbiamo te- nere e trasmettere: osservare, chiedere ed informarci al meglio non solo del prezzo migliore o dell’aspetto più accattivante del prodotto che ci viene offerto, ma an- che della sicurezza che possiamo applicare al sistema, quindi del grado di controllo che possiamo avere sulla tecnologia sulla quale andremo ad operare. In questo modo non solo abbiamo messo in sicurezza la Video- sorveglianza, ma anche noi stessi da un problema di cui eravamo all’oscuro. L’analisi e le richieste devono avvenire a più ampio spettro: non bastano password o rewall a difenderci da attacchi sconsiderati, ma è essenziale sapere come possiamo difenderci dal controllo esterno sui nostri sistemi perché non è solo importante evitare che ci vengano rubate le immagini, ma accorger- ci che fa più male avere un sistema che non risponde più ai nostri comandi e alle nostre password.