Olvidando la seguridad en equipos de video vigilancia
Hace tiempo cuando instalábamos cámaras de video vigilancia a ciertos clientes o hacíamos que tuviera salida a internet, por que aunque no lo crean en la localidad para muchos proveedores era un reto lograrlo ya que el ISP de nuestra localidad tocaba los firmware de los routers.El caso es que hace dos o tres días vagando por la web me encontre un tema de chema alonso que mencionaba un website del voyeur lo que me hizo recordar el 2010 cuando todo negocio quería cámaras de seguridad en sus establecimientos comerciales y algunos en residencia.
El caso es que siempre que dábamos mantenimientos a equipos que no instalábamos nosotros nos y muchas veces nos encontrábamos con unas fallas terribles de seguridad en estos equipos, para empezar los sistemas de video vigilancia tenían la configuración de login por default:
- user: admin password:admin
- user: admin password: password
Había algunos que no tenían salida a internet pero eran usados en una red local de todo el corporativo, ni siquiera aislada en una VLAN (solamente con acceso a seguridad) para evitar que usuarios no autorizados pudieran hacer uso de este sistema de video vigilancia. El caso es que lo tenían en la VLAN nativa donde cualquier individuo con un poco de curiosidad podía ingresar a estos sistemas, obviamente como las credenciales eran default, se tenían privilegios para borrar logs, bajarse vídeos o inclusive borrar vídeos, de esta manera tenían facilidad de cometer una falta y borrar las evidencias.
Otro caso que nos encontramos era un establecimiento comercial con un sistema de video vigilancia de 16 cámaras y micrófonos, tenia salida a internet, credenciales por default y todavía estaba en la misma red que solían compartir a sus clientes cuando estuvieran en su establecimiento, cualquier individuo que hiciera un footprinting sencillo se iba a dar cuenta que en la misma red estaban las cámaras y por naturaleza del ser humano (morbo) tratarían el admin, admin sin saber que tendrían éxito. También como el caso anterior se tenían permisos de administrador así se podía obtener el Dominio del equipo y de esta manera tendrían acceso desde fuera Y por si fuera poco un cifrado WEP en el AP para los que quisieran romperla.
Esta mala configuración permitirá a un delincuente obtener información de entradas y salidas, a que hora se hace el corte de caja, quien sale, quien entra. Esto es una tema muy delicado que las empresas que proveen esos servicios no se preocupen por la seguridad del cliente, pero en una parte no es culpa del proveedor por que hay veces que el cliente dice "A mi ni me digas nada que no se, con que nada mas jale", "No me pongas ese password por que se me olvida".
El caso es que realize una búsqueda por medio del navegador shodan y sigue habiendo un gran números de equipos de video vigilancia con las credenciales por default:
De esta manera se encuentran sitios aun con las credenciales por defualt permitiendo que casi cualquiera pueda ingresar al sistema de video vigilancia.
Tenemos que hacer consciencia tanto los proveedores como los clientes, cuidar los pequeños detalles que puedan comprometer la seguridad e integridad de personas, establecimientos, estamos en tiempos donde la privacidad casi casi se ha ido y mas rápido se ira de nosotros si permitimos que por errores de terceros, o descuidos de nosotros mismos nos hagan vulnerables ante cualquiera.
0 comentarios:
Publicar un comentario