Inicio / Blog / La seguridad física y la ciberseguridad se dan la mano: CCTV

La seguridad física y la ciberseguridad se dan la mano: CCTV

Publicado el 17/11/2015, por Daniel Fírvida (INCIBE)
camaras

En los últimos años han aparecido diferentes noticias relacionadas con ataques a cámaras web y cámaras IP, desde vulnerabilidades propias de cualquier sistema, credenciales embebidas, y el más conocido, cámaras abiertas sin contraseña... y muchos otros ejemplos.

Estos fallos de seguridad no son ajenos a sistemas más profesionales, como grabadores de vídeo o DVR y cámaras de circuitos "cerrados" de televisión o CCTV.

Hace pocos días se ha hecho público un nuevo ataque contra este tipo de sistemas, con la publicación por parte de Incapsula (filial del fabricante Imperva) de una botnet que utiliza cámaras de circuitos "cerrados" de televisión (CCTV) para hacer ataques de DDoS.

En el ataque, detectado por Incapsula, además de informarse del volumen y ubicación de algunas cámaras, se explica cómo se producía el ataque en estos sistemas, pese a no ser algo especialmente novedoso…

Mapa ciberataques

- Geolocalización de dispositivos CCTV afectados -

Estos sistemas ejecutan una pequeña versión Linux como es el caso de BusyBox (como sucede con muchos otros dispositivos) y los atacantes realizan un barrido de IPs buscando Telnet/SSH con contraseñas fáciles, para entrar en el sistema y colocar un binario ELF malicioso (como por ejemplo .btce) con el que seguir atacando a otros sistemas, efectuar DDoS o cualquier otra acción maliciosa.

Esta mecánica es la misma que comentamos recientemente en el post sobre "Routers en el punto de mira" y con el que detectamos más de 100 ataques en 48 horas.

El mecanismo utilizado es tan similar que incluso en los honeypot de INCIBE identificamos la misma campaña que detectó Incapsula, aunque nuestros análisis mostraron que el ataque no solo iba dirigido contra sistemas CCTV, sino que también afectaba a tecnologías como Ubiquiti, utilizadas en el despliegue de redes inalámbricas airMAX y EdgeMAX, a implementaciones de red residenciales como Home Gateway de Tilgin, o un incluso sintonizadores de TV por satélite como MaxDigital XP1000.

Todos estos sistemas contaban con un interfaz de acceso web expuesto públicamente que permitía su identificación de forma inmediata.

airOS

- Interfaz web de dispositivo airMAX -

edge MAX

- Interfaz web de dispositivo EdgeMAX -

tilgin

- Interfaz web de un Home Gateway de Tilgin -

openwebif

- Interfaz web de un sintonizador de TV por satélite MaxDigital XP1000 -

Aunque en muchos artículos que hablan de este tipo de botnet específicas para cámaras de video vigilancia, indican que estos dispositivos son uno de los principales objetivos de los ataques a lo que se conoce como "Internet de las Cosas" (IoT), lo cierto es que además de las cámaras otro elemento bastante atacado son las cajas registradoras o puntos de venta (PoS por sus siglas en inglés) donde ya se han conocido casos como PoSeidon o BrutPOS.

Y aunque el concepto de "Internet de las Cosas" tiene una parte importante de marketing lo cierto es que las cámaras de seguridad a día de hoy conjugan unas características bastante sensibles, ya que son elementos de seguridad física, pero expuestos a ataques propios del mundo de la Ciberseguridad

De hecho, como elementos sensibles de seguridad física que son, el CPNI británico (Centre for the Protection of National Infrastructure) tiene varias publicaciones sobre su seguridad que van más allá de las medidas de seguridad más típicas como son:

  • No usar usuarios o contraseñas por defecto, que sean complejas, no compartirlas y cambiarlas cada cierto tiempo.
  • Actualizar todo el software del CCTV y utiliza antivirus en los PC que operan el sistema
  • Segmentación de estos sistemas y control de accesos remotos a los mismos, incluido cambio de puertos por defecto.
  • Cifrado de la comunicación en estos sistemas, especialmente en comunicaciones inalámbricas.
  • Gestión de logs, conexiones, y eventos detectados en el sistema.

En concreto CPNI tiene publicada una guía de seguridad física sobre sistemas de información, en la que se aborda la problemática de la convergencia de ambas seguridades y los sistemas asociados que incorporan (switches, routers, etc.) tanto los sistemas CCTV, como los de alarmas y detección de presencia ante intrusiones, como los de control de acceso teniendo en cuenta distintas topologías y las ventajas e inconvenientes de cada una, incluidos los accesos remotos o las conexiones con otras redes.

sistema CCTV

- Arquitectura típica de un Sistema CCTV -

Además de esto, CPNI también tiene publicado un video en el que se abordan las principales amenazas de seguridad IT de los sistemas de seguridad física como son los CCTV.