I ricercatori di Forescout hanno voluto mettere alla prova diverse telecamere IP per la videosorveglianza richiamando l’attenzione di utenti e professionisti su un aspetto che viene troppo spesso ignorato: i protocolli che questi dispositivi utilizzano per trasferire il flusso audio video.
Come si spiega in quest’analisi, troppo spesso le telecamere utilizzano i protocolli RTP (real-time transport) e RTSP (real-time streaming protocol) con i dati in transito che fluiscono in forma non crittografata.
Nel loro video i ricercatori dimostrano come un aggressore, in grado di collegarsi alla stessa rete locale all’interno della quale sono installate le telecamere IP, possa registrare una porzione di flusso video e inviarlo all’NVR al posto dei pacchetti dati realmente provenienti dalla videocamera.
Trattandosi di dati non crittografati, un malintenzionato può facilmente lanciare un attacco man-in-the-middle e alterare il flusso multimediale in transito.
Gli esperti di Forescout evidenziano che quando l’NVR tenta di stabilire una connessione, esso invia una serie di comandi. Se l’aggressore interferisce con questi messaggi l’NVR non è più in grado di stabilire una connessione.
Quando l’NVR prova a connettersi di nuovo il malintenzionato può intercettare la richiesta e modificare la porta utilizzata dal client reindirizzandola verso un’altra. In questo modo l’aggressore può mostrare un flusso in streaming che non è quello proveniente dalla telecamera.
Cercando port:554 rtsp
su Shodan (vedere Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti) è facile rendersi conto di come 4,3 milioni di dispositivi siano pubblicamente esposti sulla rete Internet attraverso l’utilizzo del protocollo RTSP, con tutti i dati che viaggiano in chiaro senza l’utilizzo di alcun algoritmo crittografico.