In alcuni casi queste telecamere hanno credenziali d'accesso (password e simili) non modificabili, backdoor non documentate e connessioni su telnet prive di qualunque protezione. Uno dei modelli esaminati da Gnesa ha 30.000 esemplari vulnerabili e accessibili via Internet, facilmente reperibili usando servizi come il motore di ricerca Shodan.
Ma i nomi delle telecamere insicure sono sotto bavaglio: una delle marche ha infatti inviato una comunicazione legale a Gnesa mentre si apprestava a presentare i propri risultati alla conferenza Hack in the Box a Singapore.
Gnesa non può quindi fare nomi, ma dice che si tratta di “telecamere di fascia media molto diffuse che si possono trovare su Amazon [...] hanno buone recensioni e si dichiarano sicure” e può descrivere quello che ha trovato: “tutte hanno vulnerabilità che permetterebbero di spegnerle, bloccare la trasmissione delle immagini o accedere al pannello di amministrazione”.
La soluzione è cercare aggiornamenti al software e configurare l'accesso a queste telecamere in modo che non si affaccino direttamente a Internet e quindi non espongano all'esterno le proprie vulnerabilità (per esempio depositando le proprie immagini su un server sicuro). Ma si tratta di interventi decisamente fuori dalla portata dell'utente comune, per cui conviene affidarsi a specialisti informatici oppure ad altre tecnologie, più tradizionali e meno vulnerabili a distanza, per la sorveglianza video di qualunque risorsa importante.
Nessun commento:
Posta un commento