Il rischio di intrusioni abusive nei sistemi video

 

Nelle reti “magliate” i dispositivi vengono dotati di un'intelligenza propria che permette al segnale di seguire, ogni volta, il percorso più opportuno. Unico pericolo: se un intruso si connette a uno solo di questi snodi, è in grado di modificare i dati che vi transitano.

 

Nella realizzazione di un impianto di videosorveglianza, è fondamentale predisporre adeguate connessioni tra le singole telecamere e il punto in cui vengono registrate le immagini riprese.

La rete - che si occupa del trasporto dei segnali - può essere di tipo fisico o wireless.

I primi impianti, caratterizzati da un numero limitato di telecamere, impiegavano solo la connessione fisica, che garantiva un buon livello di sicurezza e una relativa semplicità di installazione.

Nel tempo, però, gli impianti sono diventati sempre più complessi, sia in termini numerici (con decine di telecamere attive) che ambientali.

I sistemi video sono ormai utilizzati per proteggere le realtà più svariate e questo comporta le necessità di fare transitare i cavi anche all’interno di contesti particolarmente aggressivi per la presenza di sostanza corrosive o per il rischio di atti vandalici.

Per ridurre le complessità installative, ma anche per trasmettere le immagini riprese da posizioni particolari (si pensi, banalmente, ai sistemi installati sui pali), vengono spesso sfruttate le tecnologie wireless.

 

Cavi e wireless, pregi e difetti

Cavi e wireless, nel tempo, hanno mostrato pregi e difetti ormai noti, di cui si è dibattuto molto in passato.

Nella maggior parte delle installazioni, viene utilizzata la classica topologia centro-stella.

In questo caso, ogni telecamera comunica direttamente con il punto di aggregazione dei segnali, realizzando un'infrastruttura concettualmente semplice da configurare e da espandere.

L'aggiunta di una telecamera, su una rete cablata, comporta “solo” la posa di un nuovo cavo. Mentre, nel caso delle connessioni radio, è sufficiente verificare, oltre alla copertura, la compatibilità dei sistemi e la capacità di supportare un ulteriore collegamento.

Tutto questo, come noto, è vero solo in teoria.

Le comunicazioni radio, infatti, funzionano perfettamente in campo aperto, ma presentano difficoltà quando il segnale incontra ostacoli fisici o quando le distanze vanno oltre i limiti fisici di copertura del campo elettromagnetico generato dalle antenne.

Simili problemi possono essere superati con una serie di accorgimenti in ambito domestico o in una rete di campus.

La situazione, invece, appare molto più complessa in ambito urbano, sia per le distanze da coprire, sia per la presenza di ostacoli che mutano nel tempo.

 

La soluzione “magliata”

Una risposta a simili problematiche è arrivata dalle “reti magliate” o “Mesh”. In questo caso, il percorso dalla singola telecamera al “centro stella” non viene più progettato a tavolino, ma gli apparecchi vengono dotati di un'intelligenza propria, che permette al segnale di seguire, ogni volta, il percorso più opportuno per giungere a destinazione.

Tutto questo è possibile grazie al fatto che i singoli apparecchi, oltre a trasmettere il segnale, svolgono il compito di ripetitori, inoltrando i segnali ai device vicini.

Questo significa che le telecamere di videosorveglianza connesse in modalità Mesh fungono anche da punto di passaggio per i file video indirizzati verso il centro di controllo.

Quindi, in alternativa a una serie di hotspot Wi-Fi o di chilometri di connessioni cablate, simili reti trasmettono semplicemente i dati allo snodo più vicino, che lo invia a sua volta ad altri snodi, fino a raggiungere il centro di comando.

Il tutto in modo “intelligente”, ovvero con la capacità di identificare il percorso più rapido ma, soprattutto, quello effettivamente funzionante. Ciò significa, all'atto pratico, che si vengono a creare reti resilienti, ovvero capaci di fronteggiare il guasto di un nodo creando percorsi alternativi.

 

Il rischio

L'insieme di questi vantaggi, però, espone anche a un grave rischio: se un intruso si connette a uno solo di questi snodi, è in grado di modificare i dati che transitano attraverso di esso.

Un rischio non solo teorico, come hanno dimostrato i ricercatori dell’azienda di sicurezza IT Kaspersky Lab, intervenuti sui sistemi di videosorveglianza di alcune città.

In uno specifico caso analizzato dai ricercatori, la rete di telecamere non utilizzava alcun metodo di criptazione.

Di conseguenza, i dati in chiaro venivano trasmessi tramite la rete e resi disponibili a ogni osservatore in grado di connettersi alla rete stessa.

I ricercatori hanno compreso che bastava creare le proprie versioni del software utilizzato nella rete, per essere in grado di manipolare i dati in essa trasmessi.

Dopo aver ricreato in laboratorio la rete e il software, sono riusciti a intercettare i feed dei video provenienti da ciascuno snodo e persino di modificarli, sostituendo, ad esempio, il video ripreso dalla telecamera con uno fasullo.

 

La parola allo sviluppatore di reti

Antonella Santoro, Vice President of Marketing EMEA Allied Telesis, spiega che è possibile considerare due tipi di minacce: l’attacco di un utente che vuole visionare, modificare o cancellare i flussi video delle telecamere e quello, invece, di un utente che intende utilizzare il sistema di videosorveglianza per accedere, ad esempio, alla rete aziendale. In entrambi i casi, è necessario accedere alla rete locale, in maniera fisica o virtuale.

E i sistemi di videosorveglianza possono consentire direttamente o indirettamente questo accesso, se la rete non è adeguatamente configurata. In realtà, non è necessario usare una connessione fisica per accedere alla rete. Per essere efficace, un sistema di videosorveglianza deve essere intrinsecamente accessibile dall'esterno della rete aziendale e questo presuppone inevitabilmente un canale di comunicazione verso un Network Video Recorder (NVR) o sistemi di Video Management (VNS).

Questi sistemi sono nati per controllare le videocamere, ma non per proteggersi da attacchi informatici e sono perciò dei punti molto vulnerabili.

Comandi accettati senza autenticazione, supporto di Universal Plug and Play (UPnP), memorizzazione delle password in chiaro, sono solo alcune delle falle di sicurezza tipiche di questi sistemi. In questo modo, un utente malintenzionato può facilmente accedere ai flussi video per spiare l'interno delle aziende, decidere di cancellare o modificare alcuni flussi o accedere alla rete aziendale usando i VMS come ponte.

A volte, inoltre, l’utente può addirittura collegare un piccolo dispositivo (HUB) a una porta Ethernet, attraverso cui accedere alla rete aziendale. Molte telecamere, infatti, possono essere installate all'esterno dell'edificio, in luoghi remoti e poco sorvegliati.

Queste telecamere sono fisicamente connesse alla rete aziendale. E se la rete non è configurata nella giusta maniera, risulta facile usare questo ‘varco’ per accedere alla rete. Per minimizzare questi rischi, i sistemi di videosorveglianza devono essere progettati con tutti i criteri previsti per le reti informatiche, con tutta l’attenzione alla sicurezza che questo comporta.

Utilizzare protocolli di autenticazione di ultima generazione (802.1x) anche per le telecamere, confinare la rete di videosorveglianza su una VLAN dedicata, utilizzare un firewall di nuova generazione (NGFW) in grado di proteggere la rete in maniera efficace: sono solo alcune delle precauzioni che occorre avere perché la videosorveglianza non si riveli un Cavallo di Troia.

 

I consigli degli esperti di sicurezza IT

Per evitare i rischi legati all’utilizzo di reti a maglie, i responsabili dei Kaspersky Lab - azienda esperta in soluzioni di sicurezza IT - raccomandano le seguenti contromisure:

- dotare i WPA (Wi-Fi Protected Access) di una password forte è il requisito minimo necessario per evitare che il sistema diventi un facile bersaglio, sebbene non sia sufficiente a evitare che venga hackerato

- nascondere gli SSID (l’elenco delle reti wireless pubbliche) e utilizzare il filtraggio MAC (che permette agli utenti di definire una lista di dispositivi ammessi ad accedere alla rete Wi-Fi) permetterà di dissuadere almeno gli hacker più inesperti

- assicurarsi che tutte le etichette (con nome e modello dell’hardware) presenti sulle apparecchiature siano ben nascoste, per scoraggiare quei criminali che non sono in possesso di informazioni privilegiate

- assicurarsi che i dati video usino chiavi di crittografia pubbliche, così da rendere praticamente impossibile la loro manipolazione

 

 

Massimiliano Cassinelli

Ingegnere

Progettista reti TLC

Pubblica i tuoi commenti