Ferramentas de busca como o Google ou Bing podem ser usadas para procurar trechos de textos normalmente utilizados nas páginas de visualização das câmeras e DVRs e assim facilitar a localização de câmeras desprotegidas.
O problema
Dessa forma é cada vez maior a ocorrência de invasões e quebra de privacidade devido a sistemas de vigilância IP mal protegidos. Os sistemas de vigilância IP são mais vulneráveis a ataques por diversas razões:
- Instaladores menos preparados: muitos instaladores de CCTV analógico estão migrando para IP pro pressão dos clientes, porém não estão acostumados com os riscos e métodos de prevenção necessários para o mundo IP.
- Clientes querem acessar as imagens via Internet: os demais equipamentos (notebooks, impressoras, etc.), ficam relativamente protegidos "escondidos" dentro da rede, atrás do NAT. Já os DVRs e câmeras IP acabam tendo seus IPs publicados na Internet (normalmente via NAT e/ou DDNS) para que os seus proprietários acessem remotamente. No entanto se esse acesso não for corretamente protegido, se transforma em uma porta de invasão.
- Sistemas instalados pelo próprio usuário: muitos usuários despreparados instalam seus proóprios sistemas de vigilância, sem saber dos riscos que correm.
- Serviços de cloud: fabricantes estão lançando serviços que permitem aos usuários armazenarem imagens na nuvem, porém seus usuários esquecem que isso pode ser um caminho para a invasão da sua privacidade.
Os problemas mais comuns são o uso de configurações default e senhas fracas. Por exemplo, na configuração default os DVRs e câmeras normalmente tem mais de um meio de acesso, alguns que os usuários menos experientes não conhecem.
Nesse caso o usuário pode, por exemplo, colocar uma senha para o acesso às imagens via Web, mas esquecer de desabilitar o serviço de gerenciamento SNMP ou o acesso ActiveX, que também precisariam ser protegidos e, caso sejam descobertos, dão ao invasor condições de causar problemas.
Outro problema é que os usuários raramente atualização o firmware dos equipamentos de vigilância. Os usuários estão acostumados ao fato de que o Windows, Linux ou MacOS se atualizam automaticamente, e esquecem que isso não ocorre com os sistemas de vigilância. Quando se descobre uma falha de segurança, mesmo que o fabricante lance um firmware de correção, de nada vai adiantar se o usuário não atualizar (normalmente um processo que tem que ser realizado manualmente) as câmeras e DVRs.
Riscos e consequências
Qualquer um pode deduzir facilmente as consequências ruins que podem resultar em uma invasão desse tipo: invasão de privacidade, roubo de informações confidenciais, etc. Imagine o resultado para a credibilidade de um banco caso caiam na Internet imagens de câmeras de segurança interna. Mesmo que nada seja roubado, a reputação do banco seguramente estaria comprometida.
Dependendo do tipo de ataque, o invasor pode ter acesso às imagens gravadas, às imagens em tempo real, ambos ou pior: ser capaz de apagar ou modificar as gravações.
Assim, pensando em consequências mais grave, ladrões e outros tipos de criminosos podem apagar imagens depois de uma ação de roubo, para evitar serem reconhecidos. Ou então empresas podem ser feitas reféns de extorsão (aonde se exige dinheiro para que imagens comprometedores não sejam divulgadas).
Como reduzir riscos
É importante que qualquer projeto de vigilância IP ou DVR IP seja tratado com a mesma seriedade que os demais projetos de rede. Isso quer dizer contar com profissionais que entendam de segurança de rede e que garantam que os sistemas de vigilância estejam protegidos por firewalls.
O administrador deve também se preocupar em acompanhar a evolução do firware das câmeras e DVR, atualizando regularmente os equipamentos e se familiarizando com eventuais ameaças divulgadas pelo fabricante.
Se a empresa fizer testes de vulnerabilidades dos sistemas de segurança (firewall, VPN, etc.), deve incluir os sistemas de vigilância IP nesses testes.
Além disso, se houver necessidade de acesso remoto às imagens, que ele só seja permitido através de VPN protegida.
Em resumo, um projeto de vigilância IP deve ser implementado com seriedade, por quem realmente entenda do assunto.
Fique sabendo dos próximos posts
Para saber sobre os meus próximos posts, você pode seguir minha conta no Twitter: http://twitter.com/mlrodrig
Comentários