Sicurezza delle cam P2P

Da 01/03/2018Innovazione, News
header-sec

In questo articolo vorremmo porre l’attenzione sulla poca sicurezza che le cam P2P offrono, soprattutto perchè sono quasi sempre basate su protocolli non standard, proprietari e implementati con poca cura.

Cos’è il P2P e come differisce dal sistema di DNS Dinamico

Il sistema di cam P2P è un sistema che permette di accedere alla propria cam utilizzando un server esterno a cui la propria cam si connette e a cui fa riferimento l’app mobile per la visualizzazione. Usando un protocollo P2P non meglio specificato, lo smartphone e la cam entrano in comunicazione senza usare portforward.

Tutto in buona fede

Nell’intento di velocizzare l’installazione sia per l’utente finale, sia per l’installatore, i produttori di cam P2P si sono dimenticati della sicurezza e oggi, con la sempre diffusione di questo tipo di camere, ci troviamo ad avere migliaia di cam che sono aperte al mondo. Infatti alcune cam P2P aprono un canale verso l’esterno su cui fanno lo streaming delle immagini senza nessun controllo delle credenziali.

Qual è l’estensione del fenomeno?

Le dimensioni del fenomeno sono preoccupanti, in quanto comprendono, non solo le cam sconosciute made in china, ma anche quelle di blasonati produttori, che si sono affidati a protocolli e codice non proprio sicuro.

Maggiori informazioni sugli exploit

Già un anno fa sono uscite istruzioni (destinate ad utente esperti) che indicano come si possa entrare in molte cam P2P senza possedere le credenziali. Ad esempio si veda questo articolo su Packetstormsecurity.com  che riporta inoltre una impressionante lista di cam affette da questi buchi di sicurezza.

In questo articolo ad esempio si analizza il problema in dettaglio: 200’000 Cam vulnerabili

Le cam che usano DDNS sono più sicure?

La principale differenza con le cam P2P quando si usa il DNS dinamico è che la connessione avviene direttamente tra smartphone e cam e non interviene nessun server esterno che ha conoscenza del tipo di cam e della disponibilità della stessa. Lo smartphone prende l’indirizzo dal DNS Dinamico e si connette direttamente alla cam. Il Dns dinamico non è a conoscenza di cosa ci sia sull’host e all’indirizzo IP che gestisce. Se la cam è di buona fattura, l’elemento più insicuro del sistema DDNS è la password che l’utente imposta sulla propria cam o dvr.

In attesa di una soluzione…

Dopo un anno da queste segnalazioni, non si vedono però ancora delle azioni da parte dei produttori per risolvere il problema, forse perchè questo tipo di cam a basso costo e di semplice installazione non hanno come primario scopo la sicurezza?

dynDNS.it - DNS dinamico gratuito