Blog securitatea sistemelor de supraveghere video
Dahua si Hikvision sunt brandurile cele mai importante expuse riscului intrucat sunt foarte populare si aparate care nu sunt identificate intern de retelele corporatiste, asemeni calculatorului, si nu se supun unei politici de actualizare pentru firmware. Se evita orice tip de legatura logica intre mentenanta si actualizare, aceasta fiind, de fapt, sursa problemei!

ATACUL INFORMATIC- SUNT DAHUA SI HIKVISION EXPUSE RISCULUI?

Nu spunem nimic nou daca afirmam ca aparatele de supraveghere prezinta risc de securitatea, dar astazi, aceasta problema se agraveaza, iar recorderele si camerele video sunt mai expuse pe Internet.

La ce ne referim insa? In ultimele zile a circulat stirea despre un atac amplu al hackerilor asuprea retelelor italiene care a blocat aproape 6000 de aparate de inregistrare Dahua, si doar noi am primit alte 800 de apeluri intre 19 si 21 septembrie, legat de recorderele Dahua care au fost atacate.

Ce inseamna toate acestea? Evitand tehnicile legate de aceasta exploatare, dar si pentru a evita orice implicare a unei terte parti, hash-ul credential a devenit vizibil, astfel incat recorderele au devenit vulnerabile (puteti gasi mai multe informatii pe siteurile oficiale despre terorismul cyber).

APARATELE DE SUPRAVEGEHERE CU RISC CRESCUT

Prin urmare, trebuie sa ne concentram asupra riscului de Securitate la care sunt expuse azi toate aparatele si nu asupra BUG-ului. Acestui “BUG” i-a fost atribuit, deja, codul ICSA-17-124-02 in mai 2017 si e un numar foarte mare de recordere si camera video a fost afectat, practice cele mai populare modele Dahua.

Pana azi, un astfel de atac, fie el cat de simplu, ar fi necessitate o abilitate tehnica importanta pentru a fi aplicata, dar azi orice site care a publicat ceva vreodata poate fi preluat de catre toti. Acest fapt, alaturi de alte site-uri, care permit scanarea unor zone intregi de retea, explica de ce un recorder de pe site a fost atatc, evenimentele din ultima perioada concentrandu-se major pe reteaua italiana.

In acest moment, acest tip de problema de siguranta este destul de comun (chiar daca in masuri diferite) pentru sistemele de operare si software. In mod evident, cum orice aparat “informatic” si recorder nu este omis din aceasta categorie de risc, nu trebuie sa subevaluam faptul ca recorderele si camerele IP sunt calculatoare cu sisteme de operare si software care ne permit functionarea, prezentand aceleasi riscuri ca oricare alt aparat informatics.

BRANDUL CEL MAI EXPUS: DAHUA SI HIKVISION

Dahua si Hikvision sunt brandurile cele mai importante expuse riscului intrucat sunt foarte populare si aparate care nu sunt identificate intern de retelele corporatiste, asemeni calculatorului, si nu se supun unei politici de actualizare pentru firmware. Se evita orice tip de legatura logica intre mentenanta si actualizare, aceasta fiind, de fapt, sursa problemei!

Doar sistemele Rovision nu sunt expuse azi riscurilor de Securitate, aceasta putand fi legata de difuzarea lor scazuta, dar stim cate resurse sunt investite in acest sens de catre Rovision si cat de deschisi sunt la noile Firmware.

Astazi, toate aceste problem sunt evitabile, asemeni ca in cazul calculatoarelor personale sau al retelelor voastre, si aparatele de supraveghere trebuie sa implice cel putin o actualizare semestriala si, mai ales, sa se supuna regulilor de utilizare corecta care pot diminua riscul de Securitate.

CUM SA IMBUNATATESTI SIGURANTA APARATELOR DE SUPRAVEGHERE

Ar fi util să urmați câteva reguli pe care le vom enumera mai jos, unele dintre acestea limitand capacitățile recorderului dvs., dar în același timp asigurănd o mai mare Securitate, mai ales daca vrem mai multa siguranta pentru intreaga retea.

 

siguranta aparatelor de suraveghere

Viitorul “IoT” aduce orice instrument pe internet, de la televizoare (care prezinta si ele deja riscuri de siguranta determinate de microfonul ambiental sau de eventuale camere de la distanta), masini, ceasuri, pana la sistemele de alarma si recorder. Din aceste motive, este nevoie sa crestem mult mai mult Securitate intrucat va puteti trezi cu unul dintre aceste obiecte cu acces la reteteaua voastra din exterior, sfatul nostru fiind sa va protejati macar accesul de la Firewall si VPN care va vor asigura siguranta pe mai departe. E nevoie sa integrati DMZ si reguli specifice pentru a diminua daunele (daca acestea vor exista).

Pentru a proteja sisteme de alarma si recorder, iti recomandam o serie de reguli care se aplica si la Dahua si Hikvision care sunt expuse riscului, insistand asupra importantei actualizarii Firmware. Prin urmare, sfatul nostru este sa folosesti Firmware in limba engleza, pentru a putea accesa versiunea cea mai noua, mentionand ca variantele nationale nu sunt actualizate de cateva luni, neprezentand siguranta.

Regulile de urmat in cazul in care te decizi sa apelezi la sistemul nostru de supraveghere din exterior sunt:

Actualizarea permanenta de Firmware pentru toate produsele aflate in retea, atat camera video cat si recordere. Luand in considerare viteza incredibila de aparitie a modelelor noi, la fiecare 1 sau 2 ani, firmware nu mai este disponibil si daca totuși doriți să expuneți recorderul în rețea, este recomandabil să evaluați schimbarea acestuia sau să limitati accesul de la dispozitive de securitate terțe (vezi Firewall) care au actualizări continue în timp.

1). Schimbarea parolei default- este recomandat sa folositi mereu o parola complexa, formata din minimum 8 caractere cu majuscule, litere mici si caractere speciale, care nu au legatura cu datele personale.

2). Modificarea parolei in mod regulat pentru a evita atacurile “fortelor brute” (care se bazeaza pe database-ul parolelor comune folosite, liste enorme care nu dau gres, de cele mai multe ori). Este recomandat sa evitati sa modificati parolele simple care sunt usor de intuit. Actualmente, nici un aparat nu prevede un control asupra tentativelor de accessare cu Blacklist provizoriu, dar acest lucru va fi posibil in versiunile viitoare de Firmware. Deocamdata, o solutie mai buna in ceea ce priveste securitatea este data doar de Rovision.

3). Dezactivarea serviciului UPNP acolo unde este prezent, intrucat ar putea fi falsificat si permite astfel schimbarea portalului pentru aparatul vostru, intrerupand accesul din exterior sau expunandu-l la un portal care ar putea fi util pentru un atacator.

4). Dezactivarea serviciului P2P sau CLOUD, este, dupa cum ne-am dat seama, decisiv si comod pentru a active portalul router/firewall, dar serviciile P2P sunt, prin natura lor, mai expuse riscului si pot expune aparatului unui atac “brute force” in episoade singular, fara a mai conta ca in viitor ar putea fi un sistem compromise, tinand cont de faptul ca reteaua ta devine accesibila si prin FARA PORTAL DESCHIS.

5). Dezactivarea serviciului SNMP, care e un serviciu de diagnostic, expus cu precadere daca nu este folosit de reteua voastra. Va recomandam insistent sa il dezactivati si pentru ca devine inutil sa il folositi.

6). Activarea serviciilor HTTPS (SSL), ce permite codarea intregului continut intre recorder si device, inhiband orice posibilitate de interceptare a fluxului de comunicare si modificare a lui, spre exemplu blocandu-i interceptia de catre corporatii. Acest tip de functionare este prezent in toate recorderele evaluate (Dahua, Rovision) si va fi mereu o cale obligatorie pentru gestionarea fluxului de date si video.

7). Modificarea parolei ONVIF-toate camerele video care nu au aceasta parola, sau daca o au si este banala (de tip admin sau “parola), trebuie sa modifice parole, pentru a evita interceptia fluxului video, determinand o configurare mai complexa a camerelor video pe recorder, permitand insa sa se evite riscurile de Securitate.

8). Activarea filtrelor IP, adica permitera limitarii accesului recorderului doar de catre anumiti IP (spre exemplu, conectivitatea casei voastre), pes curt fiind incluse functii de Black list pe IP care ar tenta accesul in Forta Bruta. Evolutia in acest sector a adus recorderelor o atentie crescuta chiar si in ceea ce priveste protectia si siguranta.

9). Dezactivarea Multicast- functiile Multicast sunt utile in medii de “difuzare video” in care acelasi semnal trebuie sa fie trimis la cat mai multi utilizatori fara a trece de creditari (nu exista un acces real, dar recorderul transmite ca si cum ar fi fost un emitator). Daca functionarea nu e indispensabila, recomandam sa o dezactivati, pentru a nu fi expus riscului “DDOS” care e un serviciu compromis ulterior.

10). Varierea portalului Default- atacul asupra recorderelor are loc pe ceea ce se consideră porturi standard, unele software-uri scanand blocuri de rețea întregi pe 80 sau 8080 și când detectează “semnătura” recorderului, încearcă atacul, cel puțin în cele mai multe cazuri. Pentru a evita sa fie “gasit”, e folositor sa variati aceste porturi, de la 80 la oricare alt port, noi recomandan sa stati pe 1024, prima fiind folosita pentru alte servicii si apoi scanata de catre roboti.

11). Izoleaza camerele video pe o retea interna, evitand ca ele sa fie disponibile pentru cine nu are acces. Le poti lega fie direct de porturile POE ale recorderului sau sa folosesti aparate de retea separate de cel comun sau sa folosesti VLAN. Disponibili celor care nu au acces, apoi fie conectându-i direct la porturile POE ale recorderului, fie în orice caz utilizând dispozitive de rețea separate de cel comun sau folosind VLAN-uri. Astfe; permiti sa eviti pe cat posibil atacuri asupra retelei interne prin camerele video IP, acest fapt putandu-se intampla si din cauza software-ului prezent in retea, camerele video putand fi saturate de access neautorizat. Astfel se previne o inregistrare corecta si devina dificila diagnosticarea problemei, toate camerele video putand avea “backboor” accesibile si devenind un port periculos de acces din exterior, chiar daca nu sunt expuse.

– Oferirea accesului doar prin portul indispensabil pentru a evita deschiderea recorderului pe internet, dar activati DOAR porturile necesare, care includ portul WEB, portul controlului si al fluxului vide. Nu indicate care porturi sunt si care pot diferi de la recorder la recorder, dar amintiti-va mereu despre regula K, modificand astfel accesul principal (WEB).

– Dizabilitati login-auto, pentru a evita orice intentie care ar putea accesa calculatorul vostru si capata permisiunea de a-l folosi. Calculatoarele sunt mai expuse riscului de a fi atacat, compromiterea PC-ului putand expune riscului si intregul sistem de monitorizare video.

– Create utilizatori diferiti pentru a putea accesa, de la distanta. Nu folositi admin, dar folositi permisiuni non-standard, macar in cee ce priveste vizualizarea, in sensul in care chiar daca se compromite sistemul, nu se vor putea crea alte riscuri pentru recorder (ca in cazul modificarii setarilor).

– Folositi acreditari univoce, daca aveti mai multi utilizaori care acceseaza, pentru a putea bloca un utilizator sau pentru a putea limita folosirea lui doar pentru o anumita competenta (vizualizarea unei singure camera video, in anumite intervale orare etc).

– Izolati reteaua legata de supravegherea video si de siguranta din doua motive: fie pentru ca in cazul unei compromiteri, sa limitati riscul doar pentru supravegherea video, fie ca in cazul compromiterii retelei sa nu expuneti riscului siguranta (care include nu doar monitorizarea video, dar si sistemele de alarma, chiar daca sunt dispobile online). Exista multe modalitati pentru a izola retelele de Securitate si e posibil sa folositi DMZ, VLAN si aparate diferite, toate aparatele tehnice cunoscute de catre cei care se ocupa cu securitatea din punct de vedere informatic.

Orice caz are un istoric aparte dar daca se adapteaza aceste reguli si se urmeaza pas cu pas, fie de catre un electrician in partea de configurare si elaborare, fie de un informatician tehnic competent in securitatea IoT, se pot obtine rezultate satisfacatoare.

Rovision si siguranta informatica

Noi, cei de la Rovision, am tratat mereu cu seriozitate si competenta siguranta informatica, si Rovision are el insusi un sistem informatic intern specializat in Securitate si mai ales in proiecte mai complexe pe care aceasta le implica.

Rovision nu realizeaza instalari directe la clientii finali, dar foloseste mereu proprii distribuitori si furnizori teritoriali pentru aceste lucrari, si profesionalismul echipelor si al celor care sustin proiectele teritoriale ne recomanda.

Astazi, securitatea si, in mod particular, supravegherea video este vazuta ca un hobby distractiv si placut, sau daca vreti ca un plus atasat sistemului de alarme la ceva ce este vital pentru supravietuirea propriei infrastructure. Detectarea evenimentelor specifice, suportul din teritoriu este altul, astfel incat problemele critice nu sunt atat de grave pe cat par.

Cum Rovision va sta la dispozitie pentru consiliere, evaluarea si analizarea proiectelor, fiti increzatori in profesionalismul nostru si nu subevaluati aspectele enumerate mai sus.