14 Aprile 2021
Un sistema di videosorveglianza basato su una piattaforma cloud ha molteplici vantaggi - tra cui l'accesso da remoto - ma anche diverse debolezze. Se un malintenzionato riesce a trovare una falla nel sistema può prendere il controllo di un'articolata rete di videocamere e il caso che ha recentemente riguardato Verkada lo dimostra in modo eloquente. Un gruppo di hacker è riuscito a violare la piattaforma di videocamere di sicurezza della startup e ad accedere ai flussi video di oltre 150.000 videocamere di sorveglianza collocate in aziende private e strutture pubbliche come ospedali, stazioni di polizia, carceri e scuole. Tre le vittime illustri ci sono anche il produttore di autovetture elettriche Tesla e Cloudflare, azienda americana che si occupa di CDN (Content Delivery Network) e, ironia della sorte, di servizi di sicurezza internet.
IL FATTO
Il collettivo hacker che ha rivendicato l'attacco si fa chiamare APT 69420 Arson Cats, uno dei suoi membri ha scritto nelle scorse ore su Twitter (ora l'account risulta sospeso): Non credo che l'affermazione "abbiamo hackerato Internet" sia mai stata così accurata come ora.
Ed in effetti la portata dell'attacco non può essere considerata di secondo piano. Il gruppo è riuscito a visionare, tra gli altri, filmati delle videocamere di sorveglianza di ospedali psichiatrici che mostrano personale medico in azione; quelli acquisiti nelle stazioni di polizia con gli agenti impegnati ad effettuare interrogatori; i lavoratori impiegati presso lo stabilimento di Tesla situato a Shanghai mentre sono all'opera presso la catena di montaggio - gli hacker affermano di aver guadagnato l'accesso a 222 videocamere installate presso fabbriche e magazzini dell'Azienda automobilistica. Cosa ancor più grave, alcune delle videocamere di Verkada supportano un sistema di riconoscimento facciale che identifica i soggetti inquadrati, gli hacker sono riusciti ad avere accesso anche a queste informazioni.
Il gruppo dice di aver acquisito complessivamente 5GB di dati dalla piattaforma di Verkada.
COME È STATO POSSIBILE
A rivelare come sia stato possibile mettere a segno un attacco così massiccio è lo stesso esponente del collettivo, Tillie Kottmann. Come purtroppo avviene in altri casi simili, tutto parte da un errore umano che viene sfruttato dai malintenzionati. L'hacker ha infatti spiegato che Verkada ha esposto in Rete un sistema di sviluppo interno non protetto. Il sistema conteneva le credenziali di accesso relative ad un account con i più elevati privilegi per l'amministrazione della rete di Verkanda. È bastato usare queste preziose informazioni per collegarsi alle oltre 150.000 videocamere di sorveglianza.
LA RISPOSTA DI VERKADA
La startup conferma di aver disabilitato tutti gli account amministratore delle rete per evitare accessi non autorizzati e di essere all'opera per stabilire l'esatta portata della violazione:
Abbiamo disattivato tutti gli account amministratore interni per prevenire accessi non autorizzati. Il nostro team di sicurezza interno e un'azienda di sicurezza esterna stanno esaminando la portata del problema che abbiamo segnalato alle forze dell'ordine.
Per ora Verkana conferma che gli hacker sono riusciti ad accedere alle videocamere che monitoravano gli ingressi di un esiguo numero di uffici di Cloudflare - uffici chiusi da quasi un anno, dice la startup. Venuta a conoscenza della violazione, Verkada ha disattivato le videocamere. Nessun dato della clientela è stato compromesso, dice l'azienda.
METTERE A NUDO LA FRAGILITÁ DI UN SISTEMA
Per dare un po' di contesto alla vicenda può essere utile ricordare chi è il sopraccitato Tillie Kottmann: è lo stesso ingegnere informatico che lo scorso anno è riuscito ad entrare in possesso e a condividere in rete oltre 20GB di dati riservati riconducibili a Intel. Tra le vittime dei suoi attacchi ci sono altri nomi noti del mondo tech, tra cui AMD, Microsoft, Adobe, Lenovo Qualcomm e Motorola. La tecnica è sempre la stessa: individuare le credenziali di accesso contenute in piattaforme e archivi messi in rete senza le opportune precauzioni.
L'attacco, oltre a dimostrare la fragilità di una piattaforma cloud, vuole evidenziare quanto stiano diventando capillari e penetranti i sistemi di videosorveglianza.
Commenti
Bravo ;)
non hai inteso bene la metafora. ;)
https://uploads.disquscdn.c...
Segregazione degli ambienti, Per D1o!
Manco un software di DLP questi avevano..
Trump cosa ne pensa? Meglio questi made in usa o quelli cinesi?
Internet of Things was a mistake
Scherzi a parte, lavorando spesso con server, cloud, ecc... io ho idea che i moderni sistemi di cloud "easy to use" abbiano fatto si che dilettanti allo sbaraglio si improvvisino sistemisti e poi capitano le cialtronate. Ormai è diventato normale dire "tira su un'istanza AWS che testiamo"... si, facile e rapido, però il fatto che sia abbastanza facile che lo può fare chiunque vuol dire che appunto lo può fare chiunque... anche chi non ha idea di cosa sta facendo.
E' il rischio del "tutto connesso"
2 considerazioni:
- polli come sempre a esporre un servizio del genere senza protezioni, meriterebbero di chiudere
- rassicurante (e sono ironico) sapere che non solo un governo o un'autorità pubblica possono accedere ma anche la società stessa in modo totalmente trasparente all'utente.
Anche se in casa sto montando per comodità un sistema blink, sono sempre più convinto che l'unica sia gestire tutto, dalle registrazioni agli accessi, su un sistema locale con telecamere che non accedono a internet ed esporre online solo il nas/servizio/container accedendo solo a quello.
Dai miei corsi informatici, la prima cosa che dico sempre è : "un pc sicuro è un pc spento" e volendo potete aggiungere anche senza alimentazione.
questa mia frase si applica a qualsiasi cosa.
Magari anche la proposta di monetizzare il video
Nel peggiore dei casi arriva una mail @pornhub.com
Cmq è sempre bello vedere come a seguito di un qualunque data breach le dichiarazioni dell'azienda colpita è sempre in sostanza una minimizzazione di quello che è successo e che si affrettano a dire quali dati non sono stati violati.. Tipo qui che l'unico caso confermato è quello di Cluodfire che "guardacaso" aveva gli uffici chiusi!! E poi ci sono sempre dati non violati da sbandierare ("Nessun dato della clientela è stato compromesso").
Altra cosa bellissima è come i sistemi di sicurezza/autenticazione fanno ridere i polli e fanno acqua da tutte le parti ma i sistemi di LOG invece sono sempre perfetti perchè sanno sempre cosa è stato violato e SOPRATTUTTO cosa non lo è stato!!
Se dedicassero ai sistemi di sicurezza 1/4 delle attenzioni che dedicano a quelli di log probabilmente non si avrebbero più problemi!!!
Ogni tanto faccio l'elicottero con il pisello davanti le mie ezviz, non si sa mai
Effetto machine di Person of Interest - fantastico.
Tralasciando che non sono di quella linea di pensiero e che alla mia privacy ci tengo ma non ne faccio una ragione di vita, per certi versi posso capire chi critichi.
Alla fine, in effetti, visto che non siamo personaggi famosi o di rilevanza sociale o politica, la nostra privacy possiamo anche prenderla alla leggera, che non vuol dire fregarsene.
Immagina di essere un Capo di Stato o un nobile, o ancora un importante CEO, in quel caso sarebbe un bel problema.
"Ke mi importa io non ò niente da naskondere hihihih!!!11!!"
in arrivo entro 3... 2... 1...