Il rischio hacking non riguarda solo i sistemi video IP, ma anche quelli analogici e ibridi che utilizzano telecamere SD, AHD, HD-CVI, HD-TVI: per l’hacker, infatti, l’anello debole della catena non sono le telecamere, ma i dispositivi che le gestiscono e che sono connessi alla rete, ovvero DVR ed NVR.
L’unico sistema di videosorveglianza virtualmente inattaccabile dall’esterno è quello che non utilizza connessioni wireless tra le telecamere e il DVR/NVR e che risulta disconnesso dalla rete, ovvero senza alcuna possibilità di controllo da remoto.
Dal momento che quest’ultima è proprio una delle funzionalità più interessanti e utilizzate, per proteggere il sistema è necessario trovare alternative meno drastiche e seguire alcune regole tanto semplici quanto efficaci.
La prima è quella di utilizzare DVR ed NVR più difficilmente attaccabili dagli hacker, facendo tesoro dell’esperienza maturata nel mondo PC.
Le statistiche ci dicono che un sistema operativo molto diffuso e complesso come Windows di Microsoft ha molte più chance di essere “bucato” rispetto a uno più semplice e meno diffuso come Linux.
Fortunatamente, la stragrande maggioranza degli impianti di videosorveglianza utilizza proprio quest’ultimo sistema, anche grazie alla poche risorse hardware richieste.
La seconda regola, banale ma non troppo, è quella di utilizzare credenziali di accesso lunghe e articolate (numeri, simboli, lettere maiuscole e minuscole intervallati tra loro) e cambiarle frequentemente.
Login standard come “admin” e password numeriche semplici come “12345” (ma anche dati facilmente rintracciabili come nomi, cognomi e date di nascita) rappresentano per l’hacker, anche quello più sprovveduto, un invito a nozze.
Molti DVR/NVR consentono di creare più profili, ciascuno con una propria user e password, con differenti privilegi. Se non strettamente necessari, andrebbero evitati proprio per ridurre le probabilità di accessi indesiderati.
Affidarsi a servizi DDNS sicuri
Per consentire il controllo da remoto, un sistema di videosorveglianza “connesso” deve essere sempre visibile sulla rete Internet tramite l’indirizzo IP del modem al quale viene collegato (o il suo stesso IP se la connessione avviene in modo diretto).
La maggior parte degli operatori che offrono connettività DSL su doppino di rame, fibra oppure in wireless, forniscono però all’utente un indirizzo IP dinamico, cioè che cambia a ogni connessione.
Per ovviare al problema, si ricorre ai sistemi DDNS (Dynamic Domain Name System), che permettono al DVR/NVR di essere sempre raggiungibile attraverso il suo nome DNS (es.: www.myipaddress.com) anche quando cambia l’indirizzo IP.
Solitamente, i produttori e i distributori di DVR/NVR forniscono gratuitamente il proprio servizio DDNS.
In caso contrario, è possibile appoggiarsi a servizi terzi gratuiti (sconsigliati, visto il sovraffollamento e il maggior rischio di hacking) oppure a pagamento.
Anche l’accesso all’account DDNS - che si effettua da browser per la configurazione e la manutenzione - deve essere adeguatamente protetto con login e password complessi e cambiati frequentemente.
L’elemento più a rischio? Il modem
Dopo aver protetto l’accesso al DVR/NVR e al sistema DDNS, è necessario occuparsi dell’elemento più a rischio di hackeraggio, ovvero il modem.
Di norma, tutti i modem, con o senza router e/o access point Wi-Fi integrato, sono dotati di protezioni dall’accesso esterno come, ad esempio, il firewall, già abilitati di default.
In determinate occasioni, però, è necessario effettuare alcune modifiche per consentire il passaggio del traffico dati da e per il DVR/NVR che, se bloccato, impedirebbe il controllo remoto e la visione delle telecamere al di fuori della rete LAN.
La soluzione più sicura è quella di aprire manualmente le singole porte di comunicazione (es.: 8080), utilizzando - ed eventualmente modificando - i parametri di connessione nel menu di configurazione del DVR/NVR.
Un numero sempre maggiore di dispositivi connessi adottano il protocollo UPnP, che permette di aprire le porte con l’esterno in modo automatico.
Si tratta di una funzionalità utile per i meno esperti che, però, potrebbe ridurre le difese in caso di bachi al protocollo.
A tale proposito, si consiglia di mantenere sempre aggiornato il firmware del modem (i produttori rilasciano nuove versioni quando riscontrano difetti e bachi) e di valutare se il proprio modello rientra tra quelli sicuri.
A volte, utilizzando le App dedicate per il controllo da remoto, non è necessario aprire alcuna porta nel modem, visto che si può utilizzare il codice numerico associato al proprio DVR/NVR (es.: ESee/Cloud ID per l’App Eseenet).
È importantissimo mantenere sempre segreto questo codice, perché rappresenta la chiave per l’accesso diretto al sistema di videosorveglianza.
Per evitare possibili hacking a “corto raggio” su modem, DVR/NVR e telecamere IP wireless bisogna, invece, proteggere le reti Wi-Fi con protocolli ad alta sicurezza (es.: WPA2-PSK con cifratura AES) e password complesse.
Gli esperti consigliano, inoltre, di disabilitare la funzione WPS: seppur molto comoda - visto che permette di configurare la connessione wireless con un PIN o tramite pulsanti invece che con una password - è anche più semplice da “bucare”, grazie alle comunicazioni tra modem e dispositivo che svelano (seppur solo parzialmente) il codice PIN di accesso agli hacker più esperti.
Un’altra contromisura efficace è il filtraggio dei MAC Address, ovvero degli indirizzi che identificano in maniera univoca ogni singolo dispositivo connesso (es.: 00-06-72-4D-7E-2A).
Inserendo gli indirizzi dei soli dispositivi autorizzati nella pagina di configurazione del modem, si impedisce automaticamente a tutti gli altri l’accesso alla rete.
Hacking locale su telecamere analogiche wireless
Un malintenzionato potrebbe accedere alle telecamere di videosorveglianza analogiche anche da locale e con DVR disconnesso dalla rete, ma solo se si utilizzano sistemi di trasmissione wireless analogici di bassa qualità.
In questo caso, per visualizzare le riprese, basta utilizzare un ricevitore sintonizzato sulla stessa frequenza di trasmissione della telecamera.
I rischi si riducono fortemente scegliendo telecamere di alta qualità prodotte da aziende affidabili, dotate di moduli wireless ad alta frequenza (2,4 o 5,8 GHz) e di sistemi di criptaggio avanzati (es.: Frequency-hopping Spread Spectrum con variazione continua della frequenza e miliardi di combinazioni).
La regola generale è comunque quella di utilizzare i collegamenti wireless solo quando non è assolutamente possibile posare anche un semplice cavo Cat.x o microcoassiale.
Ricordiamo che il cavo Cat.x, grazie agli adattatori balun, permette di collegare un massimo di quattro telecamere analogiche SD/HD distanti fino a 500 metri (oltre 1 km con adattatori attivi).
Guido Romani
