Una videocamera di sorveglianza si intende strumento per la sicurezza perimetrale e fisica, pertanto i suoi flussi (di immagini) devono essere disponibili sono per i proprietari del perimetro o al limite a quei delegati per i compiti di sorveglianza. 

Cosa succede se questi flussi e le videocamere stesse (per esempio attraverso il controllo di quelle motorizzate e quindi la capacità di orientarle altrimenti) cadono nella disponibilità di non aventi diritto? Inutile parlarne. 

I problemi di sicurezza nei sistemi IoT sono endemici, e quelli delle videocamere sono i più frequenti: basta vedere quanto raccoglie uno strumento di ricerca online come Shodan. 

Se dovessero servire conferme, l’argomento di questo articolo potrebbe certamente bastare, ma è comunque da molto tempo che siamo di fronte ad una progressiva trasformazione nella percezione del mondo delle videocamere IoT, una percezione in cui è aumentata una certa forma di diffidenza, in special modo per quelle di fabbricazione cinese. Sarà la catena di produzione, sarà la qualità intrinseca, sarà un certo comportamento refrattario ad aggiustare le debolezze, saranno i grossi volumi, ma quello che è certo è che l’incidente è quasi sicuro. 

Inoltre il concept funzionale di questi dispositivi è sempre più spesso basato su cloud pubblici, e da ciò ne conseguente un passaggio più o meno evidente, più o meno probabile, più o meno possibile dei flussi video attraverso Internet, in luoghi sconosciuti, di proprietà sconosciute. Tutto questo pone una questione di sicurezza basilare, che per alcuni ha trasformato drasticamente l’idea di appetibilità dei prodotti IoT nel campo della sicurezza, anche a dispetto del costo. 

È quanto è risultato evidente a tutti dall’ormai storica inchiesta della trasmissione Report della Rai (del 2021) sull’utilizzo di videocamere della Hangzhou Hikvision Digital Technology, meglio nota semplicemente come Hikvision, proprio all’interno delle sedi Rai. 

La Hikvision, società statale cinese (appunto), costruisce e vende nel mondo videocamere di sorveglianza. I loro prodotti sono venduti ovunque, anche dove sarebbe vietato (come decretato ad esempio nel 2019 dalla FCC per gli Stati Uniti), coprendo una grossa fetta di mercato. Ma questo non ne giustifica un utilizzo senza se e senza ma. 

Oltre al rischio “strutturale” nel suo contattare IP pubblici su Internet, in una ricerca recente è stato rilevato come i dispositivi della società soffrono di un ritardo troppo prolungato nella correzione dei problemi di sicurezza. Una vulnerabilità, vecchia di oltre 11 mesi, affligge oltre 80 mila videocamere Hikvision: si tratta della CVE-2021-36260, una vulnerabilità molto grave (CVSS 9.8) che consente l’injection di comandi. Questo è troppo. 

La prolungata assenza di un rimedio per tale vulnerabilità ha infatti indotto differenti agenti di minaccia a considerare le videocamere Hikvision come obiettivi spendibili, come affiora dalle indagini sui forum del dark web, specialmente russi, dove abbondano le vendite di credenziali rubate dai dispositivi violati. 

È facile pensare quindi come la coincidenza di interessi anche geopolitici tra agenti di minaccia Russi e Cinesi (si ipotizza MISSION2025/APT41, APT10 e i loro affiliati) possa trovare forme di collaborazione nello sfruttamento proprio di questa vulnerabilità ai danni degli avversari, con buona pace di Hikvision che tarda ancora a correggere i problemi di cui soffrono i suoi prodotti.

Tweet