Como implementar segurança em CFTV

Câmeras de segurança e DVRs podem ser invadidos pela Internet

OK, vamos começar por essa afirmação acima. É um fato comprovado que qualquer dispositivo conectado a uma rede IP pode sofrer ataques e invasões por hackers e vírus. E os DVRs e câmeras de segurança instalados pelo mundo estão nessa lista de dispositivos.

Vírus de computador

Vírus podem ter acesso ao seu DVR

Vamos falar agora de um dos maiores problemas encontrados na área de CFTV, a falta de conhecimento técnico especializado em redes.

Já perdi a conta de quantas vezes ouvi a afirmação abaixo:

"Ahhh,.. mas eu entendo de redes, sei configurar o DVR com os IPs e portas e dar acesso remoto ao meu cliente pelo celular, coloco uma senha díficil e troco as portas padrões de acesso. Está 100% seguro."

547 vezes "Eu sou especialista em CFTV..."
132 vezes "Os DVRs são 100% seguros..."

Veja o vídeo abaixo sobre câmeras inseguras na Internet

Gostaria que você leitor desse Blog, entendesse uma coisa básica: a proteção com a troca de senha e portas é básica e suficiente somente para impedir que uma pessoa totalmente leiga tenha acesso ao seu sistema de monitoramento, se um hacker ou vírus chegarem até o seu DVR, as chances de sofrer uma invasão são muito grandes.

Arrogância é um dos maiores problemas

Já ouviu alguém dizendo que trabalha com CFTV há muitos anos e que nunca teve problemas com invasão do DVR ? Muitas vezes batendo no peito e afirmando que somente os profissionais inexperientes têm esse problema e que eles são especializados no assunto.

Arrogante em CFTV

Arrogantes acham que sabem tudo e que estão 100% seguros

Mas a verdade é simples: Tal arrogância é baseada em total achismo, pois ao instalar um sistema de CFTV e colocá-lo disponível na Internet, já está correndo o risco de invasão, não importa se está com outra senha e portas ou está usando um P2P do fabricante.

A maioria dos instaladores de DVRs não têm nem 1% do conhecimento de um hacker que estuda por anos técnicas de invasão de sistemas super complexos. E afirmar que você está seguro contra esse tipo de pessoas é no mínimo ingênuo ou é muita arrogância mesmo.

Eu mesmo comecei na área de TI, trabalhei anos com sistemas de redes, servidores e cheguei a tirar certificados considerados os mais difíceis do mundo na área de redes (Cisco CCNA e CISCO CCNP) os quais obtive estudando durante anos para as provas, e ainda assim não posso afirmar que ao colocar um DVR na rede ele está 100% seguro.

Hacker no laptop

Hackers estudam anos a fio para invadirem sistemas, meio difícil concorrer com eles, não acha ?

Então, se você trabalha na área de CFTV e quer aprender como melhorar a segurança do seu sistema, continue lendo esse artigo, mas tenha em mente que não pode afirmar que é especialista em segurança eletrônica, seja humilde, aprenda e melhore sempre.

Qual o sistema operacional de um DVR ?

Linux, esse é o sistema operacional que está na maioria esmagadora dos DVRs, NVRs e câmeras IPs do mercado. Já usou linux alguma vez ?

Sistema operacional Linux

Sistema operacional Linux está dentro dos DVRs, NVRs e câmeras IPs

Esse sistema operacional ficou muito famoso no mundo de TI pois trouxe a possibilidade de ser utilizado em servidores e dispositivos desenvolvidos por muitos fabricantes, porque é um sistema com um núcleo central e vários outros módulos que podem ser removidos para deixá-lo mais enxuto. Então um DVR tem Linux com os módulos necessários para operar e uma programação extra do fabricante.

Como funciona um sistema de CFTV ?

Hey, finalmente você vai entender um pouco mais sobre o mecanismo de funcionamento de um sistema IP, então vamos lá...

Veja o diagrama abaixo sobre funcionamento de redes IPs

Relação cliente servidor em CFTV

Em sistemas de redes IP consideramos a interação entre dispositivos em uma relação chamada cliente - servidor. Ou seja, há um servidor na rede que oferece serviços e os clientes utilizam esse serviços.

Em CFTV, o servidores podem ser os DVRs, NVRs, servidores de gravação, câmeras IP, encoders, servidores de análise de vídeos e até mesmo servidores de controle de acesso ou alarmes.

Os clientes são os computadores, laptops, celulares, tablets, NVRs. servidores de gravação, interface de controle de acesso, decoders,etc.

DVRs como servidores de vídeo

Mas NVRs e servidores de gravação podem ser clientes também ? 

Sim, dependendo da arquitetura eles podem ser servidores que fornecem vídeos para computadores com software de monitoramento ou podem ser clientes quando estão conectando a uma câmera IP para solicitar fluxo de vídeos (streaming) para fazer a gravação.

Quais as vulnerabilidades de uma rede ?

São várias, desde as mais simples até outras mais avançadas que podem ser exploradas por um verdadeiro hacker (chamado de cracker quando é um invasor com más intenções). Veja a lista abaixo:

Possíveis ataques a um DVR, NVR ou Câmera IP:

  • Interceptação de senha entre cliente e servidor (man-in-the-middle)
  • Ataque de força bruta (tentar uma sequência de possíveis senhas)
  • Ataque de dicionário (tentar uma sequência de palavras como senhas)
  • Exploração de vulnerabilidade em serviços (como o WebServer)
  • Ataque de negação de serviços (solicitar muitas conexões simultâneas)
  • Engenharia social (conseguir informações através de pessoas)
  • Varredura de rede e uso de senhas padrões do fabricante
  • Invasão por vírus criados especialmente para esses dispositivos
  • Ex técnicos, funcionários ou outras pessoas sabotando o sistema

Note abaixo um exemplo de um ataque bem comum utilizado por hackers há muitos anos, chamado "man-in-the-middle" (homem no meio) onde o atacante de posiciona entre o cliente e servidor de dentro da rede interna ou através da Internet. Ao receber uma cópia da senha, não importa se ela é difícil ou não, pode ser a senha mais longa e complexa do universo que ainda assim ela será exibida para o hacker.

Um ataque como esse pode ser evitado através da criptografia da senha enviada entre cliente e servidor e também através de conexão segura via Virtua Private Network (tema visto no curso de redes IPs).

Hacker intercepta senha de DVR

Em ataques de força bruta e ataques de dicionário o hacker usa programas para enviar uma sequência rápida de senhas para o DVR até acertar, é uma questão de tentativas e erros feitas por computador.

Um programa desenvolvido para essa finalidade pode tentar milhares de combinações em questões de minutos até encontrar a senha correta do sistema. Esse ataque pode ser prevenido com uma política de senhas que combinam letras, números e caracteres especiais.




Mas novamente tenha em mente que isso não garante que possa ter segurança 100%, porque no ataque mencionado anteriormente (man-in-the-middle) o atacante pode obter a senha mesmo que seja difícil.

Estamos falando então de um passo a mais para ajudar a proteger o sistema como um todo, combinando senha forte com criptografia ou VPN por exemplo para diminuir o risco de ataques bem sucedidos.

Hacker tenta acesso de dicionário em DVR

Exploração de serviços do dispositivo também é bem comum entre os hackers, note que estou falando daqueles caras que realmente sabem o que estão fazendo, são programadores que possuem habilidades de desenvolvimento de software e que sabem como estudar o sistema operacional e serviços que rodam dentro da câmera, e gravadores.

É possível para um hacker comprar um DVR e estudar os módulos do Linux que estão disponíveis para encontrar as vulnerabilidades para fazer um posterior ataque certeiro, Isso pode ser evitado com atualizações de firmware criadas pelos fabricantes, o problema está no fato de que vários deles não dão muita atenção para esse fator, especialmente as marcas mais baratas e desconhecidas.

Há também a questão dos clientes que dificilmente irão pagar por uma manutenção periódica que incluem atualização de firmware. Na prática o que ocorre é que os clientes sofrem invasões e nem mesmo sabem, pois o hacker pode simplesmente logar na câmera, ver o que precisa, exportar a gravação e sair do sistema tranquilamente, pode inclusive apagar os LOGs de evidências que esteve logado no equipamento. 

Até mesmo grandes fabricantes têm esses problemas de serviços com vulnerabilidade, as duas maiores fabricantes chinesas por exemplo tiveram problemas chamados tecnicamente de "Buffer overflow" e outro chamado de "RTSP stream authentication"  que permitem acesso de administrador nos NVRs e câmeras, e apesar do fato de correrem atrás para resolver o problema, ainda há muitos equipamentos instalados que possuem o firmware antigo e iráo ficar assim por toda a eternidade, pois uma vez instalados os clientes não atualizam.

Hacker atacando câmera de CFTV

Até mesmo equipamentos de grandes empresas chinesas do CFTV foram hackeados

Finalmente há a questão física e de engenharia social, pois se as pessoas que possuem senhas ou acesso direto ao sistemas não se preocupam com a segurança, um invador certamente poderá explorar essa falha, encontrando senhas anotadas, falando com pessoas ou tendo acesso a equipamentos logados previamente pelo usuário.

Para finalizar esse artigo, quero dizer que não há como implementar uma segurança que seja 100%, porém há maneiras de diminuir os riscos e se você ainda não tem conhecimento profundo na área de TI, pode pelo menos aplicar as regras mais simples, relacionadas ao uso de senha segura, uso de marcas de equipamentos mais seguros e confiáveis e atualizações constantes de firmwares, talvez posso mostrar para seu cliente a necessidade de um contrato de manutenção do sistema que inclua atualizações de firmware ou equipamentos.

Uma boa maneira de convencer seu cliente sobre o perigo dos sistemas de CFTV desprotegidos é explicar que o discurso do seu concorrente sobre senhas fortes nem sempre é suficiente, também pode convencê-lo ao mostrar o famoso site insecam.org onde há milhares de câmeras hackeadas por todo o mundo, quem sabe seu cliente possa até estar nessa lista ou a ponto de entra nela.

Acesse http://www.insecam.org/ escolha um país (countries) e veja as câmeras hackeadas por todo o mundo, e torça para não ter nenhum sistema que já tenha instalado disponível nesse site 🙂

Câmerae inseguras

Site que mostra as câmeras ao redor do mundo

Ahhh, e não esqueça de compartilhar esse artigo, estou contribuindo para sua formação profissional, que tal contribuir compartilhando ? 😉

Também pode deixar seus comentários a respeito do artigo...

Tags:

Comments

  1. Responder

    Beleza Claudemir. Trabalho com CFTV desde o tempo que utilizava câmeras de gravação VHS adaptadas. Até hoje continuamos atendendo clientes corporativos e industriais. Seu trabalho é muito bom. Continue assim. Parabéns.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *