En primer lugar indicar en el caso de realizar un diseño de control de CCTV que no vaya precedido por un análisis de un especialista , tenga en cuenta que corre un alto riesgo de ser hackeado mediante diferentes técnicas dando un posible control total del sistema de cámaras a un atacante que podría estar supervisando toda la actividad desde el exterior de cara organizar un posible robo, o podría tomar este sistema como base de ataque para posteriormente acceder a los servidores corporativos y encriptar la información con un malware como un ransomware , etc….
España es unos de las regiones con tasas mas alta de recepción de ciberataques de la Unión Europea- Los sistemas de control de imagen son equipos igualmente ciber atacados como cualquier otro tipo de sistema informático. Revisaremos una serie de Tips comunes que podrían facilitar a un atacante el acceso a nuestra organización.
Es importante conocer algunos de los vectores de ataques utilizados por los ciberdelincuentes de cara intentar anticiparnos.
Tips comunes utilizados en el sector de la seguridad y que podrían llevarnos a una situación de riesgo:
Tip n. ° 1: Cambiar la contraseña predeterminada del DVR o la cámara IP no garantiza que el dispositivo esté 100% protegido contra ataques e intrusiones.
Así es, una gran parte de los usuarios piensan que para estar seguros únicamente tienen que realizar el cambio de contraseña predeterminada de la cámara IP o del servidor de imagen por otra contraseña más segura, entendiendo con este único paso garantizará que un ciber-delincuente no podrá vulnerar e ingresar al sistema. En realidad esto puede ayudar , pero no resuelve el problema.
Los servidores de imagen NVR y las cámaras IP aun contando con contraseñas robustas pueden ser víctimas de ataques.
Una cámara de seguridad tiene un sistema operativo interno, así como otros programas y servicios que pueden tener vulnerabilidades que si son conocidas por los ciber-delincuentes las explotarán para obtener acceso al sistema y realizando un bypass al nivel de control de usuario / contraseña.
Tip n. ° 2: Existencia de un gran parque mundial de equipos de CCTV IP con brechas de seguridad y vulnerabilidades.
Dada la fuerte demanda de seguridad mundial de soluciones de seguridad los sistemas de imagen son elementos fuertemente demandados para prevenir posibles robos/hurtos, etc…,
Este hecho ha generado un mercado muy fragmentado en el que existen múltiples fabricantes a nivel global, en donde nos encontramos algunos de origen dudoso los cuales fabrican nuevas cámaras y dispositivos IP sin preocuparse por los detalles de seguridad.
El objetivo principal de estos “fabricantes” es poder realizar un despliegue rápido y muy económico en donde no analizan las vulnerabilidades tecnológicas y riesgos asociados a su propio proceso de fabricación, y desarrollos de software lo cual se traduce en sistemas débiles muy susceptibles a múltiples tipologías de ataques.
Una vez que estos dispositivos se han instalado y se han conectado a internet, son equipos que podrían ser objetivo por ciberdelincuentes de todo el mundo.
Nuevamente, recordar cambiar la contraseña no resuelve el problema cuando existe una vulnerabilidad conocida en el sistema operativo del dispositivo.
Tip n. ° 3: la falta de un conocimiento y experiencia en el diseñador , instaladores y usuarios facilita la vida de los atacantes
La falta de experiencia y conocimiento de esta problemática a nivel de requisitos de diseño y de implantación operativa por un instalador sin experiencia seria el siguiente eslabón débil.
Existen pautas de diseño que deben de aplicarse desde el inicio del proceso. Un mal asesoramiento al respecto sobre los riesgos de la interconexión o no a la red internet de estos subsistemas podría abrir una brecha directa al corazón del sistema. En ocasiones hemos podido observar en el transcurso de auditorias de seguridad configuraciones erróneas de visualización remota de las cámaras de seguridad, por P2P con configuraciones fallidas y/o despliegues DMZ mal configuradas en el enrutador.
El uso de una DMZ mal configuradas, por ejemplo, conlleva un peligro potencial para la red IP, si no se siguen ciertos pasos de securizacion conllevará el efecto contrario al perseguido , generando un área insegura y vulnerable que un atacante aprovechara para poder acceder al sistema.
Este comportamiento de facilitar las cosas abre la puerta a ciberdelincuentes que comprenden los defectos de un diseño inadecuado y/o una mala configuración .
Tip n. ° 4: Existencia de dispositivos de origen desconocido ayudan a propagar la vulnerabilidades de las cámaras de seguridad en Internet.
Esta problemática vuelve a asociarse a la gama de producto actualmente fabricado sin controles de seguridad. En ocasiones nos encontramos dispositivos NVR comercializado sin origen conocido ( normalmente no llevan asociado marca/modelo) que se comercializan en tiendas no especializadas como elementos de consumo. El objetivo es que un usuario puede adquirirlo fácilmente en cualquier tienda como kit’s.
Este tipo de equipos una vez instalados, no suelen tener asociado actualizaciones, de modo cualquier vulnerabilidad de seguridad queda latente en el sistema sin opción a parcheo …
Se han reportado incluso casos en donde los propios equipos incluían de origen malware como backdoors , troyanos destinados a recoger información del usuario, lo cual conllevaba una puerta de acceso a extorsiones, robos, etc…
Este equipo destinado a la seguridad , en realidad derivado de dichas vulnerabilidades representa una puerta abierta para los ciberdelincuentes. Normalmente además este tipo de plataformas no lleva asociado un equipo de soporte técnico con el que pueda ponerse en contacto para obtener una nueva actualización de firmware.
Este tipo de equipos no reflejan ninguna pista sobre su origen. En ocasiones sobre el propio equipo NVR aparece un texto escrito en la parte frontal, como leyendas como por ejemplo : ” H. 264 Network Recorder “.
Tip n. ° 5: la no actualización del firmware, lleva a posibles brechas de seguridad que suelen ser aprovechadas por la ciber-delincuencia.
Es importante poder tener un servicio de mantenimiento y actualizaciones sobre todas las partes del sistema soportado por un equipo especializado de cara poder actualizar tanto la parte de hardware como implementar los parches de seguridad tanto a los equipos de grabación, Workstation, cámaras, encoders, electrónica de red, etc…
En caso contrario una vez instalados, los sistemas de CCTV IP sin las actualizaciones asociadas, quedaran expuestas a cualquier posible ataque.
Tip n. ° 6: Los ciber-delincuentes utilizan procesos automatizados para desplegar sus ataques a nivel global.
Un ciberdelincuente no se sienta en una silla concentrado en la tarea de ingresar a un sistema intentando en bucle todo tipo ataques para adivinar las contraseñas día y noche.
La realidad es que después de realizar una tarea de exploración y enumeración el ciberdelincuente explota las posibles brechas de seguridad, a través de programas automatizados que buscan sistemas con vulnerabilidades a menudo en todo Internet.
Un buen ejemplo es Mirai , un virus creado para ingresar a sistemas conectados a Internet para luego usarlo como fuente de ataque a sitios que los ciberdelincuentes desean cerrar con un ataque DDOS (Distributed Denial of Service).
Los sistemas infectados actúan como un ejército de maquinas esclavas listas para ser utilizadas para ciberatacar a otros sistemas terceros, de modo los elementos del sistema cctv vulnerado , tales como cámaras IP , NVR , etc… puede ser “soldados” que Mirai usa para iniciar un ataque.
Tip n. ° 7: Las vulnerabilidades de los sistemas se documentan y son compartidas entre la ciber-delincuencia
Una vez que se descubren las vulnerabilidades de las cámaras de seguridad, los ciberdelincuentes comparten en foros y comunidades como en la Deep web y la Dark web en donde intercambian información y comparten detalles que facilitan el acceso a un posible atacante, enseñando las debilidades de los sistemas.
Los documentos incluyen normalmente detalles técnicos de las brechas detectadas en los sistemas que se han encontrado en NVR y cámaras de seguridad en donde han detectado vulnerabilidades a nivel de hardware , aplicación , sistema operativo, kernel, etc… de varias marcas y modelos que se venden en todo el mundo.
Tip n. ° 8: Los ciber-delincuentes no necesitan tener un equipo físico para poder conocer sus puntos críticos.
Quizás se esté preguntando cómo es posible que un ciberdelicuente puede descubrir las vulnerabilidades de seguridad de tantos equipos diferentes, después de todo, hay miles de marcas de NVR y cámaras de seguridad en el mercado.
¿Un ciberdelincuente adquiere por su cuenta un equipo determinado de un fabricante para poder probar sus vulnerabilidades y así ingresar al dispositivo?
No en todo caso, un atacante , en muchas ocasiones ni siquiera necesita físicamente un equipo, porque pueden acceder al código utilizado en la cámara de seguridad o NVR visitando el sitio web del fabricante y descargando los driver’s / firmware del dispositivo o obteniéndolo de un repositorio en la Dark web.
Una vez descargado el firmware, puede explorar en el código de programación con el objetivo de buscar fallos lógicos que le permitirá utilizarlo contra el propio sistema.
Tip n. ° 9: descubrir la vulnerabilidad de un sistema puede garantizar el ataque de muchos sistemas similares.
En el mercado existe una red de fabricantes, distribuidores y revendedores que comercializan el mismo equipo con diferentes nombres, es decir, un chip fabricado en China se puede utilizar en muchos equipos de todo el mundo. o incluso el NVR se vende sin marca y el distribuidor final coloca su logotipo en el producto.
Cuando los ciberdelincuentes descubren las vulnerabilidades en un chip de cámara de seguridad específico que es ampliamente utilizado por otros, la noticia se difunde por todo el mundo y se pueden ejecutar muchos ataques en un corto período de tiempo.
Tip n. º10: Confianza excesiva en un determinado fabricante o producto
No existe ningún producto que sea 100% seguro , sin importar el fabricante.
Evidentemente los grandes fabricantes están siempre preocupados por solucionar los fallos de seguridad, pero los problemas siguen existiendo incluso en sus dispositivos. Este es el motivo de que sea importante asociar diseños que mitiguen minimicen este riesgo a través de arquitecturas aisladas con respecto otros servicios, controles automatizados, actualizaciones programadas, revisiones presenciales, supervisión de trafico de datos, etc…
Sin embargo, el hecho de que las grandes marcas estén detrás de los productos no garantiza que no tengan problemas de seguridad porque hay una lista de vulnerabilidades incluso para gigantes como Samsung, Sony, Pelco, Axis, Cisco y Bosch, estos fabricantes siempre están trabajando para cerrar las brechas de seguridad. Es un procedimiento parecido al igual que por ejemplo Microsoft , apple , Google, etc… realiza con los sistemas operativos Windows, IOS, Android, etc…
¿Cómo mantener seguras las cámaras de seguridad y los DVR?
Incluimos algunas de las medidas necesarias para tener un adecuado control :
- Contratar asesoramiento especializado a través de una empresa de seguridad de reconocido prestigio que nos permita analizar los riesgos a nivel global en material de seguridad y que nos permita tener una idea global de los posibles impactos , técnicos, y legales que estos sistemas pueden generar en nuestra organización.
- Seleccionar únicamente elementos de CCTV marcas/modelos de reconocido prestigio
- Actualizar la contraseña y los puertos predeterminados de todos los elementos del sistema que tengan conexión por TCP/IP.
- Actualizar el firmware cuando el fabricante lance nuevas versiones.
- Separación de la red de acceso de la DVR o la red de la cámara IP.
- Utilice funciones de seguridad de red adicionales, como VPN
- Utilice cifrado entre DVR o cámara y dispositivo remoto
- Proteja su DVR o cámara IP con firewalls
- Independizar toda red de seguridad con redes de negocio .
Conclusión
Como hemos podido comprobar hay diferentes formas de hackear una cámara CCTV y todas implican al menos algunas habilidades básicas del atacante que deben ser capaces de comprender al menos un poco sobre Internet y cómo usar una computadora y software.
La idea detrás de este artículo es ayudar a las personas y organizaciones a comprender la importancia de un buen diseño sobre la ideación, implantación y servicio posterior necesario para que requiere un sistema CCTV de cara evitar ataques.
Mi recomendación dado el impacto que podría ocasionar un mal diseño en la organización de este tipo de tecnologías , es realizar un estudio previo detallado de cara poder entender todos los factores asociados a la instalación de un sistema CCTV evitando caer en vulnerabilidades a través de la elaboración de un plan integral acorde a un análisis de riesgos inicial que nos permita poder contar con un modelo completo de seguridad, incluyendo formación , protocolos de actuación , servicios y actualizaciones que permita que la solución final evolucione acorde los riesgos y las futuras necesidades de seguridad.
Si tiene alguna duda al respecto no dude en contactar conmigo para poder asesorarle en su caso particular.
FIN
“La SEGURIDAD es lo que distingue a una empresa líder de las demás”