skip to main | skip to sidebar
8 commenti

Ricercatore svizzero trova falle nelle telecamere di sorveglianza via Internet, ma non può dirci quali

Moltissime telecamere di sicurezza commerciali, compresi i modelli più costosi, sono estremamente vulnerabili e consentono a malintenzionati di usarle per spiarci, secondo le ricerche svolte da Gianni Gnesa, consulente della zurighese Ptrace Security. Gnesa vorrebbe dirci quali, e stava per farlo in una conferenza di sicurezza informatica, ma il suo intervento è stato annullato per motivi legali.

In alcuni casi queste telecamere hanno credenziali d'accesso (password e simili) non modificabili, backdoor non documentate e connessioni su telnet prive di qualunque protezione. Uno dei modelli esaminati da Gnesa ha 30.000 esemplari vulnerabili e accessibili via Internet, facilmente reperibili usando servizi come il motore di ricerca Shodan.

Ma i nomi delle telecamere insicure sono sotto bavaglio: una delle marche ha infatti inviato una comunicazione legale a Gnesa mentre si apprestava a presentare i propri risultati alla conferenza Hack in the Box a Singapore.

Gnesa non può quindi fare nomi, ma dice che si tratta di “telecamere di fascia media molto diffuse che si possono trovare su Amazon [...] hanno buone recensioni e si dichiarano sicure” e può descrivere quello che ha trovato: “tutte hanno vulnerabilità che permetterebbero di spegnerle, bloccare la trasmissione delle immagini o accedere al pannello di amministrazione”.

La soluzione è cercare aggiornamenti al software e configurare l'accesso a queste telecamere in modo che non si affaccino direttamente a Internet e quindi non espongano all'esterno le proprie vulnerabilità (per esempio depositando le proprie immagini su un server sicuro). Ma si tratta di interventi decisamente fuori dalla portata dell'utente comune, per cui conviene affidarsi a specialisti informatici oppure ad altre tecnologie, più tradizionali e meno vulnerabili a distanza, per la sorveglianza video di qualunque risorsa importante.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (8)
Ho una Watchbot, il primo modello, comprata tramite Groupon perché il prezzo originale era veramente folle. Un giorno nei log trovo un accesso sconosciuto. Cambio la password e dopo un pò ritrovo l'accesso.
Dopodiché cerco in rete e scopro che in questo modello (e in modelli simili) con un determinato URL è possibile scaricare tutta la flash interna, sono un paio di Mb, dentro la quale si trovano le credenziali di accesso in chiaro.
Scrivo al supporto e non ottengo risposta. Neanche un mi dispiace: niente.
Il fatto è che senza accesso dall'esterno tali telecamere diventano poco utili.

Piccolo refuso: "molto diffuse che so possono trovare" => si possono trovare

Quindi bisogna semplicemente fare una ricerca su Amazon, andare su Shodan e cercare per i vari modelli; quando ne trovi uno che ha all'incirca 30 mila risultati, bingo! :)
Come può una compagnia privata qualsiasi tappare la bocca a chicchessia? Come funziona con le giurisdizioni? Un assaggio di TTIP?
Altro refuso: usando servini come il motore di ricerca Shodan
Fx,
su shodan trovi i modelli ma non sai se si tratta di modelli con falle o meno.

Stefano
io mi chiedevo questo: ma in base a quale legge mi si proibisce di parlare ad una conferenza a Singapore? Poiché mi trovo a Singapore la legislazione dovrebbe essere quella locale, o no?
E comunque Shodan e' un nome troppo figo per un computer/servizio.
Incredibile cosa si trova con Shodan... gente che piazza webcam in salotto e usa servizi che mettono lo stream online senza nessuna protezione, lasciando accedere chiunque.
Mi occupo professionalmente anche, fra le altre cose, di sicurezza informatica. Questa delle telecamere mi ha sempre lasciato perplesso. Non so perché ma non ho mai trovato nessuno particolarmente interessato a blindare l'accesso alle telecamere stesse, neppure negli ambienti professionali. Anzi: la richiesta esplicita è che siano visibili e gestibili da internet e nella maniera più semplice possibile. Password di default, 000000, password, 123456, come se non ci fosse un domani.

Traffico solo verso dispositivi interni non esposti ad internet, VPN, credenziali almeno complesse... manco a parlarne.

Da quando poi ci sono le WEBCAM che si configurano praticamente in automatico semplicemente facendo una foto con lo smartphone non ho più neppure il polso... ovvero... son tutti in piazza!

Premesso questo... ma porca paletta scopro solo ora Shodan ed è pure in manutenzione?