CYBERSECURITY E SISTEMI DI VIDEOSORVEGLIANZA: COME DIFENDERSI?
I sistemi di videosorveglianza costituiscono oggi una parte importante della società. Infatti milioni di telecamere IP sono state installate per il controllo del traffico e dei centri cittadini. Il collegamento degli apparati video in una rete di dati introduce però una serie di vulnerabilità e minacce.
Tali fattori sono stati presi in seria considerazione durante la fase di progettazione del presente sistema di videosorveglianza. Per questo i flussi video generati dalle telecamere verranno trasmessi su una rete dedicata (Ethernet) ed inviati all’apparato di gestione video su base hardware (NVR/PC) corredato di specifico software (VMS).
Electronic’s Time consiglia il seguente decalogo di attività da svolgere per garantire la sicurezza informatica di accesso e gestione dei dati TVCC, nel pieno rispetto del regolamento GDPR sulla protezione dei dati:
1 – Cambio delle credenziali di accesso: al fine di evitare che il sistema di videosorveglianza venga hackerato a causa di credenziali di accesso deboli o predefinite dal costruttore, si consiglia di modificare le password, oltre che rigenerarle periodicamente, immettendo combinazioni complesse e non di uso frequente (password composte da una combinazione di 8 caratteri tra cui: caratteri speciali, simboli, numeri, lettere maiuscole e minuscole). Su alcuni apparati di moderna concezione, oltre ad user name e password, è possibile autorizzare l’accesso per un singolo indirizzo IP associabile all’host accreditato.
2 – Aggiornamento del firmware: si consiglia di mantenere aggiornati i firmware dei diversi dispositivi tra cui telecamere IP e NVR di rete. Inoltre, per evitare la presenza di virus nel firmware, si raccomanda di controllare che esso sia crittografato e scaricato direttamente dalla pagina ufficiale del costruttore. Se non si presta attenzione a questo passaggio, un hacker sfruttando la debolezza del Network Time Protocol, potrebbe mandare in crash un server di rete e prenderne il controllo nel giro di pochi minuti lanciando attacchi DDoS o MITM.
3 – Modificare le porte HTTP e TCP predefinite: modificando le porte predefinite utilizzate per comunicare e visualizzare i feed video da remoto, si ridurrà il rischio che un hacker possa scoprire con facilità quali porte si stanno utilizzando per l’uso specifico. Tali porte possono essere modificate con qualsiasi serie di numeri compresi tra 1025 e 65535.
Si consiglia di abilitare solo le porte necessarie a garantire la comunicazione tra gli apparati di rete.
4 – Abilitare il protocollo HTTPS /SSL-TLS (Hyper Text Transfer Protocol Secure/Secure Sockets Layer insieme al più recente Transport Layer Security): per evitare il rischio di snooping, è consigliato adottare TVCC già provvisti di chiave segreta e certificato digitale preinstallati e approvati da una Certification Authority. Verificare l’identità del certificato digitale inviato dal dispositivo connesso (telecamera – NVR), consentirà di evitare che un hacker, servendosi di un PC inserito nella rete, finga di essere una telecamera o un registratore a cui l’utente può accedere inconsapevolmente, potendo così acquisire in modo subdolo le sue credenziali o altre informazioni rilevanti.
5 – Modificare le password ONVIF: è opportuno aggiornare il firmware all’ultima versione procedendo alla modifica manuale della password ONVIF nel caso in cui i modelli di telecamere IP non siano recenti. Si evita così che essa non venga cambiata quando si modificano le credenziali di accesso.
6 – Impedire l’accesso fisico al locale degli apparati TVCC: se si vuole impedire qualsiasi accesso non autorizzato al NVR, il modo migliore sarà quello di installare il registratore in un armadio di sicurezza collocato in un locale riservato e protetto da serratura con chiave di sicurezza (asservito ad un sistema di controllo accessi /antintrusione).
7 – Disattivare l’accesso automatico al software di videomanagement (VMS): allo scopo di impedire agli altri utenti sprovvisti di credenziali appropriate di accedere allo stesso sistema di videosorveglianza, l’operatore che utilizza tale applicativo, dovrà disabilitare l’accesso automatico.
8 – Limitare le funzionalità degli account: se il sistema TVCC è configurato per l’accesso di più utenti, ci si dovrà assicurare che per ogni profilo siano abilitate solo le funzioni ed i servizi associabili esclusivamente al proprio incarico.
9 – Disabilitare UPnP: Universal Plug & Play è un protocollo progettato per semplificare la connessione fra dispositivi e host remoti. UPnP, attraverso le porte del router, effettua l’inoltro automatico dei dati generati dalle telecamere, utilizzando le tabelle NAT (Network Address Translation). Questa impostazione se è abilitata nel menù di setup delle telecamere, rende la rete e gli stessi apparati ad essa collegati abbastanza insicuri perchè più facilmente accessibili da Internet. Si favorisce così l’accesso a visitatori indesiderati, soprattutto se si lasciano inalterate credenziali e varie impostazioni di sistema.
10- Disabilitare SNMP (Simple Network Management Protocol): l’utilizzo delle porte UDP consente lo scambio di messaggistica e in particolare, la porta 162, è utilizzata come destinazione dei messaggi trap. Quest’ultimi sono messaggi asincroni inviati dal software agente al manager di riferimento e notificano l’avvenimento di particolari eventi di sistema, come ad esempio il riavvio del software di controllo. Anche con SNMP v1/v2 i pacchetti di dati non vengono crittografati, per cui possono essere intercettati e modificati. Se utilizzato sulla telecamera IP, è consigliabile abilitare la variante SNMP v3 che integra funzioni di crittografia e alter detection.
11 – Abilitare SMNP OVER SSL: Simple Mail Network Protocol è un protocollo che permette di scambiare messaggi tra host e si occupa di gestire il traffico e-mail su Internet. SMTP è un protocollo testuale, nel quale vengono specificati uno o più destinatari di un messaggio e in seguito alla verifica della loro esistenza, il messaggio viene inoltrato. Utilizzando tale protocollo nell’invio di posta elettronica, l’ID e la password non vengono crittografati durante la connessione al server e quindi si presenta il rischio di essere hackerati. Per evitare tale rischio, è consigliabile inviare l’e-mail dalla telecamera, a un server che supporti SMNP Over SSL.
12 – Disabilitare SNTP (Simple Network Time Protocol): sfruttando le vulnerabilità intrinseche al SNTP, sono stati efettuati degli attacchi di tipo DDoS. Per questo se non è necessario, è consigliato disabilitare tale servizio.
13 – Disattivare le funzioni Server/Client FTP: le comunicazioni FTP non sono crittografate e quindi attivando le funzioni di Server FTP (le telecamere di rete possono essere accessibili da un Client FTP) o di Client FTP (le immagini delle telecamere di rete possono essere trasferite ad un Server FTP esterno), si corre il rischio di accessi indesiderati al sistema TVCC o furto di dati (immagini). Quindi, se non occorrente, è consigliabile disattivare tali servizi.
14 – Controllare periodicamente il registro di sistema: se si sospetta che qualcuno abbia ottenuto l’accesso non autorizzato al sistema TVCC, è possibile controllare il registro di sistema, il quale mostrerà quali indirizzi IP sono stati utilizzati per accedere al sistema e per quale servizio.
15 – Usare il collegamento diretto tra telecamere IP e porte PoE/switch dell’NVR: le telecamere collegabili alle porte PoE presenti sul retro di molti NVR, risultano isolate dal mondo esterno e non sono accessibili direttamente dalla rete LAN.
16 – Adottare switch LAN in tecnologia IEEE802.1x: tali switch, permettono la connessione esclusiva dei dispositivi di rete “associati e memorizzati” su ogni singola porta dell’apparato di commutazione durante la fase di configurazione. Quindi, solo i dispositivi IP approvati potranno allacciarsi alla rete, escludendo il collegamento in LAN degli eventuali dispositivi intrusi.
17 – Isolare la rete dedicata al sistema TVCC: la rete su cui si trovano le telecamere e gli apparati di elaborazione video, non dovrà essere condivisa con una seconda rete pubblica. Ciò impedirà a visitatori indesiderati di accedere alla rete dedicata esclusivamente al nostro sistema di videosorveglianza.
18 – Proteggere le comunicazioni via radio: Le reti wireless si appoggiano sulle onde radio per collegare gli apparati IP dalla periferia verso i nodi o verso l’NVR. Una tecnica conosciuta come wardriving, permette a dei malintenzionati muniti di un portatile dotato di scheda di rete wireless a 2,4 o 5,4GHz, di identificare uno specifico Access Point per tentare l’accesso alla rete di videosorveglianza al fine di dirottare le comunicazioni intercettate nella trasmissione radio tra telecamere e NVR. Per minimizzare i rischi, si dovranno attuare le seguenti procedure:
- Cifratura WEP (Wired Equivalent Privacy) e WPA (Wi-Fi Protected Access): la cifratura dei dati eviterà a chiunque di avere accesso alla rete wireless;
- Protezione SSID (set di identificazione di servizio): per evitare agli estranei di accedere facilmente alla rete TVCC, bisognerà evitare di divulgare il SSID;
- Firewall: è buona pratica abilitare il servizio firewall, anche sui dispositivi wireless (host-based firewall) per aggiungere un ulteriore livello di protezione ai dati trasmessi in rete.