Oggi voglio discutere con voi di come sia possibile abusare della tecnologia in uso per la videosorveglianza in ambito industriale e commerciale: parleremo infatti di Digital Video Recorders meglio noti come DVR. I DVR, o videoregistratori digitali, sono sistemi utilizzati per registrare filmati di sorveglianza di aree poste sotto controllo, questi dispositivi sono ampiamente utilizzati in qualunque contesto in cui siano installati sistemi di videosorveglianza.
Tuttavia in molti ignorano che questi dispositivi siano dotati di capacita computazionale e nella loro installazione all’interno delle reti di aziendali occorre tenere bene a mente i requisiti di sicurezza che devono soddisfare. I DVR sono solitamente connessi alla rete LAN dell’entità che li utilizza come parte integrante del sistema di sicurezza, questi sistemi hanno a bordo un firmware che sovraintende al loro corretto funzionamento. E proprio il software che equipaggia i DVR potrebbe essere sfruttato da un hacker per penetrare la rete LAN. Il caso tipico è un attacco basato su una vulnerabilità del firmware non risolta con un upgrade del sistema dal gestore dell’impianto oppure dall’azienda che lo commercializza.
Se pensate che l’evento rappresenti un’eccezione vi sbagliate di grosso, da alcuni mesi è nota una falla in alcuni sistemi di videosorveglianza, prodotti dall’azienda Hikvision, che consentono ad un hacker di prendere pieno possesso del dispositivo in remoto. In poche parole installando un DVR vulnerabile nella vostra rete, state aprendo le porte a qualunque attaccante.
Ma in che modo un hacker può sfruttare un DVR installato sulla rete di un azienda oppure di un esercizio commerciale?
Nella migliore delle ipotesi il DVR potrebbe essere utilizzato per condurre un attacco di tipo DDoS, ovvero una volta che un gruppo criminale riesce a compromettere decine di migliaia di dispositivi esposti in Internet, li utilizza per inondare di richieste il sito obiettivo dell’attacco che quindi potrebbe essere sovraccaricato e smettere di funzionare. Ma vi dicevo che questo è il minor male, infatti un criminale informatico potrebbe sfruttare l’accesso alla rete di un esercizio commerciale per prendere di mira anche i sistemi di pagamento, i cosiddetti PoS, e rubare i dati relativi alle carte di credito dei clienti.
Ma il crimine informatico è un’industria piena di risorse, una botnet di DVR compromessi potrebbe essere utilizzata per attacchi di brute-force contro un qualunque sito, con questa metodica di potrebbero provare un numero cospicuo di combinazioni nel tentativo di scoprire le credenziali di amministrazione di un CMS.
Ancora, un attaccante potrebbe usare le risorse computazionali dei dispositivi compromessi per produrre Bitcoin, la popolare moneta virtuale ed in ultima analisi un attaccante potrebbe deliberatamente cancellare le immagini acquisite dal sistema di video sorveglianza vanificando l’efficacia del DVR.
Come è possibile violare un DVR?
L’esperto di sicurezza Johannes Ullrich, istruttore al SANS Technology Institute, è stato il primo ad individuare un codice malevolo specificamente scritto per compromettere i DVR prodotti dall’azienda Hikvision. Il malware è in grado di sfruttare la falla presente nel firmware dei dispositivi per comprometterli e cercare di propagarsi su sistemi presenti nella medesima rete di computer.
Interessante notare che nel caso specifico il codice malevolo è stato progettato per colpire sistemi basati su processori ARM, molto diffusi nei dispositivi appartenenti alla categoria dell’Internet delle Cose, come contatori di utenze digitali e router.
Altro problema non trascurabile è la semplicità con la quale si possano localizzare i sistemi vulnerabile sulla rete poichè esistono differenti opzioni nell’arsenale di un hacker. Nel caso della falla nei DVR Hikvision è già disponibile un modulo per la piattaforma utilizzata per attività di penetration testing Metasploit che consente in maniera automatica di scansionare la rete alla ricerca di dispositivi vulnerabili.
Siete ancora convinti che installare un DVR sia un’operazione che può essere fatta a cuor leggero?
Facebook Comments