Angajatii unei companii de servicii de securitate web au descoperit ca un sistem video setat necorespunzator poate fi rampa de lansare a unor atacuri DDoS (Distributed Denial of Service) impotriva siteurilor web.
Sucuri, o companie de servicii de securitate web, a pus la dispozitie o analiza conform careia mai mult de 25.000 de dispozitive CCTV, camere IP, DVR-uri, encodere, NVR-uri au format un botnet pentru atacurile DDoS impotriva unor site-uri web. Un botnet reprezinta o retea de dispozitive cu acces la internet infectate cu un virus de tip bot. Acest virus, permite unor persoane rau intentionate sa initieze atacuri cibernetice asupra unor terti. Botnetul reprezinta infrastructura unor atacuri de tipul DDoS sau prin trimiterea de mesaje spam.
La baza raportului celor de la Sucuri sta solicitarea unei bijuterii, a carei site era inactiv de cateva zile. O prima analiza a rezultat ca siteul acelei companii a fost tinta unui flood HTTP care a generat peste 35.000 de cereri HTTP pe secunda ce au dus la functionarea defectuoasa a serverului de hosting, iar siteul a devenit inactiv. In mod normal, un atac de acest tip dureaza cateva ore, dupa care atacatorii isi aleg o alta tinta, iar site-ul redevine activ. Din pacate pentru aceasta bijuterie atacatorii au revenit cu un al doilea atac mai intens care a contorizat un maxim de 50.000 de cereri HTTP pe secunda. Dintr-un atac de cateva ore s-au ajuns la cateva zile.
In total s-au inregistrat peste 25.000 de adrese IP unice ale unor dispozitive compromise care au luat parte la acest atac DDoS. Sursa atacului a fost concentrata in Taiwan cu peste 24% din adresele IP utilizate, urmat de USA cu 12%, Indonezia cu 9%, Mexic cu 8% si Indonezia cu 6%. Topul primelor 10 tari cu cele mai compromise dispozitive din atac sunt:
75% din IP-uri apartin primelor 10 tari din graficul de mai sus. Restul de 25% s-au impartit intre alte 95 de tari. In totalitate 105 tari cu dispozitive compromise au luat parte la acest atac cibernetic.
Analizand cele 25.000 de IP-uri, specialistii Sucuri au conchis ca in spatele acestora au rulat componente software “Cross web server” cu o pagina http implicita cu titlul “DVR Components”.
Mai mult, in aceste cereri HTTP s-au gasit logo-uri ale producatorilor de sisteme CCTV.
Conform graficului de mai sus, majoritatea contineau logo-ul H.264 DVR (46%), dar exista si companii de renume ale caror echipamente au facut parte din acest atac DDoS ca ProvisionISR, Qsee, QuesTek, etc.
Din pacate nu sunt prea multe lucuri de facut din partea posesorilor de echipamente CCTV, deoarece, putine sunt cazurile in care producatorii au creat patchuri care sa identifice si sa solutioneze aceste vulnerabilitati. Pentru a evita expunerea directa a dispozitivelor se recomanda instalarea acestora in spatele unor routere sau firewall-uri. Daca este necesara monitorizarea si managementul de la distanta, se recomanda utilizarea unor retele private VPN (virtual private network), care permit accesul de la distanta in retea apoi la DVR/NVR/Camera IP.