Ver Suplemento Temático...

Seguridad Corporativa y Protección del Patrimonio.
Seguridad de la Información y Protección de Datos.

 

Revista de Prensa: Artículos

viernes, 29 de enero de 2016

La seguridad física y la ciberseguridad se dan la mano: CCTV

Daniel Fírvida
IT Security Analyst, CEH, GCFA & CISSP


En los últimos años han aparecido diferentes noticias relacionadas con ataques a cámaras web y cámaras IP, desde vulnerabilidades propias de cualquier sistema, credenciales embebidas, y el más conocido, cámaras abiertas sin contraseña  (se abre en nueva ventana)... y muchos otros ejemplos.

Estos fallos de seguridad no son ajenos a sistemas más profesionales, como grabadores de vídeo o DVR  (se abre en nueva ventana) y cámaras de circuitos "cerrados" de televisión o CCTV  (se abre en nueva ventana).

Hace pocos días se ha hecho público un nuevo ataque contra este tipo de sistemas, con la publicación por parte de Incapsula  (se abre en nueva ventana) (filial del fabricante Imperva) de una botnet que utiliza cámaras de circuitos "cerrados" de televisión (CCTV) para hacer ataques de DDoS.

En el ataque, detectado por Incapsula, además de informarse del volumen y ubicación de algunas cámaras, se explica cómo se producía el ataque en estos sistemas, pese a no ser algo especialmente novedoso…

Mapa ciberataques
Geolocalización de dispositivos CCTV afectados

Estos sistemas ejecutan una pequeña versión Linux como es el caso de BusyBox (como sucede con muchos otros dispositivos  (se abre en nueva ventana)) y los atacantes realizan un barrido de IPs buscando Telnet/SSH con contraseñas fáciles, para entrar en el sistema y colocar un binario ELF malicioso (como por ejemplo .btce  (se abre en nueva ventana)) con el que seguir atacando a otros sistemas, efectuar DDoS o cualquier otra acción maliciosa.

Esta mecánica es la misma que comentamos recientemente en el post sobre "Routers en el punto de mira" y con el que detectamos más de 100 ataques en 48 horas.

El mecanismo utilizado es tan similar que incluso en los honeypot de INCIBE identificamos la misma campaña que detectó Incapsula, aunque nuestros análisis mostraron que el ataque no solo iba dirigido contra sistemas CCTV, sino que también afectaba a tecnologías como Ubiquiti, utilizadas en el despliegue de redes inalámbricas airMAX y EdgeMAX  (se abre en nueva ventana), a implementaciones de red residenciales como Home Gateway  (se abre en nueva ventana) de Tilgin, o un incluso sintonizadores de TV por satélite como MaxDigital XP1000  (se abre en nueva ventana).

Todos estos sistemas contaban con un interfaz de acceso web expuesto públicamente que permitía su identificación de forma inmediata.

airOS
Interfaz web de dispositivo airMAX

edge MAX
Interfaz web de dispositivo EdgeMAX

tilgin
Interfaz web de un Home Gateway de Tilgin

openwebif
Interfaz web de un sintonizador de TV por satélite MaxDigital XP1000

Aunque en muchos artículos que hablan de este tipo de botnet específicas para cámaras de video vigilancia, indican que estos dispositivos son uno de los principales objetivos de los ataques a lo que se conoce como "Internet de las Cosas" (IoT  (se abre en nueva ventana)), lo cierto es que además de las cámaras otro elemento bastante atacado son las cajas registradoras o puntos de venta (PoS por sus siglas en inglés) donde ya se han conocido casos como PoSeidon o BrutPOS  (se abre en nueva ventana).

Y aunque el concepto de "Internet de las Cosas" tiene una parte importante de marketing lo cierto es que las cámaras de seguridad a día de hoy conjugan unas características bastante sensibles, ya que son elementos de seguridad física, pero expuestos a ataques propios del mundo de la Ciberseguridad

De hecho, como elementos sensibles de seguridad física que son, el CPNI británico (Centre for the Protection of National Infrastructure)  (se abre en nueva ventana) tiene varias publicaciones sobre su seguridad que van más allá de las medidas de seguridad más típicas como son:

  • No usar usuarios o contraseñas por defecto, que sean complejas, no compartirlas y cambiarlas cada cierto tiempo.
  • Actualizar todo el software del CCTV y utiliza antivirus en los PC que operan el sistema
  • Segmentación de estos sistemas y control de accesos remotos a los mismos, incluido cambio de puertos por defecto.
  • Cifrado de la comunicación en estos sistemas, especialmente en comunicaciones inalámbricas.
  • Gestión de logs, conexiones, y eventos detectados en el sistema.

En concreto CPNI tiene publicada una guía de seguridad física sobre sistemas de información  (se abre en nueva ventana), en la que se aborda la problemática de la convergencia de ambas seguridades y los sistemas asociados que incorporan (switches, routers, etc) tanto los sistemas CCTV, como los de alarmas y detección de presencia ante intrusiones, como los de control de acceso teniendo en cuenta distintas topologías y las ventajas e inconvenientes de cada una, incluidos los accesos remotos o las conexiones con otras redes.

sistema CCTV
Arquitectura típica de un Sistema CCTV

Además de esto, CPNI también tiene publicado un video en el que se abordan las principales amenazas de seguridad IT de los sistemas de seguridad física como son los CCTV.

Esta noticia ha sido vista por 707 personas.