Videocamere IP e dispositivi cloud a basso costo diventano spie per ficcanaso e malintenzionati

Accanto ai prodotti più noti e apprezzati, il mercato delle soluzioni per la videosorveglianza è stracolmo di oggetti che offrono ben poche garanzie in termini di sicurezza.
Nell’articolo Port scanning: un’arma a doppio taglio. Difendetevi abbiamo visto quant’è importante non esporre alcun pannello di configurazione dei propri dispositivi IoT, telecamere IP comprese, sull’IP pubblico. I criminali informatici possono avviare un’attività di scansione sulla rete e provare a sfruttare eventuali vulnerabilità irrisolte presenti nel firmware dell’oggetto reso raggiungibile e gestibile via Internet.

Alcuni dispositivi a basso costo accessibili via cloud, quindi senza aprire alcuna porta in ingresso sul router e senza abilitare il cosiddetto port forwarding sono comunque direttamente attaccabili. Com’è possibile?

La spiegazione arriva dai tecnici di Security Research Labs (SRLabs) che già lo scorso anno avevano pubblicato un dettagliato resoconto sulla problematica e che sono appena tornati sullo stesso tema dopo il susseguirsi di segnalazioni e lamentele pervenute da molti utenti che hanno visto le loro videocamere IP prese di mira da parte di aggressori remoti.

I tecnici di SRLabs spiegano che molte società produttrici di telecamere IP, webcam, pet e baby monitor configurano questi oggetti in modo tale che stabiliscano automaticamente una connessione con un server remoto.
Fin qui tutto bene: lo streaming diventa accessibile via cloud attraverso un’app che non si collega direttamente al dispositivo ma al server cloud che fa da tramite (non è appunto necessario aprire alcuna porta in ingresso…).

L’approccio utilizzato, però, è intrinsecamente insicuro perché il dispositivo connesso alla rete Internet e installato in ufficio o a casa per default usa una password banale (ad esempio 123, 88888 o 123456). Inoltre il suo identificativo (ID) non è generato in maniera del tutto casuale ma segue uno schema di facile ricostruzione.

Gli aggressori possono così bersagliare il server cloud con una serie di richieste passandogli una serie di ID arbitrari. Provando le password predefinite, i criminali informatici possono così controllare telecamere IP, webcam e altri dispositivi installati dagli utenti finali. Esattamente ciò che si vede nel video che ripubblichiamo di seguito, con le conseguenze in termini di privacy che sono facilmente immaginabili.

SRLabs sottolinea che ci sono tantissimi produttori che usano lo stesso approccio e si appoggiano ai medesimi servizi cloud (Gwelltimes).

Come spiegato in questo approfondimento, se si utilizzasse l’app Yoosee per accedere allo streaming video di qualche dispositivo, si tenga presente che esso potrebbe essere controllato da qualche malintenzionato a totale insaputa del legittimo proprietario.
L’unica soluzione per mettersi al riparo è modificare la password di default scegliendone una lunga e complessa (anche se la mancata protezione del server cloud contro attacchi brute force desta forti dubbi sul livello di sicura complessivamente assicurato ai clienti).

In generale, comunque, nel caso di qualunque dispositivo amministrabile via cloud (videocamere, webcam, sistemi di allarme,…) è fondamentale sostituire la password predefinita con una lunga e complessa.

Per approfondire, suggeriamo la lettura degli articoli Come rendere la rete sicura sia in azienda che a casa e Accedere a PC remoto, al router, a una videocamera o un dispositivo in rete locale.