Não é a primeira vez que os sistemas de vídeo-vigilância são usados para ataques distribuídos super poderosos.
Desta vez, segundo investigadores da Sucuri, há uma botnet a operar à escala mundial, da qual fazem já parte mais de 25 mil equipamento que são usados para ataques de negação de serviço distribuído (DDoS). Portugal está incluído!
A informação foi publicada no próprio site da Sucuri, que revela a existência de uma (grande) botnet constituída essencialmente por câmaras de vigilância e gravadores de vídeo, que fazem parte de circuitos internos de televisão (CCTV).
A botnet foi descoberta devido a um ataque que foi recentemente monitorizado, tendo como alvo um site de jóias. O ataque de negação de serviço foi realizado ao nível da camada 7 do modelo OSI (camada de aplicação), usando simplesmente o protocolo HTTP, tendo sido gerados mais de 35 mil pedidos por segundo (mais do que os servidores conseguiam aguentar).
O site ficou offline, e quando voltou a estar online, detectou-se de imediato um ataque com uma intensidade ainda maior. De acordo com a Sucuri, numa segunda fase houve um pico de 50 mil pedidos HTTP por segundo. O ataque manteve-se durante vários dias.
Os investigadores registaram 25 513 IPs únicos que pertencem a câmaras de vigilância distribuídas por todo o mundo. Como podemos ver no gráfico seguinte, 24% dos IPs registados pertencem a dispositivos localizados em Taiwan, 12% nos EUA e até Espanha está presente no gráfico, com 2%.
Portugal não se encontra representado no gráfico anterior, mas há referência no mapa para a existência de equipamentos que pertencem à botnet.
Nota: O Pplware está a tentar saber mais detalhes sobre qual a percentagem de câmaras de vigilância “infectadas” em Portugal.
Como se descobriu que eram câmaras de vigilância?
Segundo o relatório da Sucuri, a maioria dos pedidos HTTP realizados aos equipamentos devolviam uma página onde constava a informação “DVD Components Download”.
Dos testes HTTP realizados, 46% apresentaram na página com um logo referente a H.264 DVR, 8% com um logo da ProvisionISR e 5% da QSee.
Obviamente que os sistemas de vídeo-vigilância deveriam estar protegidos de acessos do exterior, garantindo a privacidade e a segurança dos locais onde são usados, mas a verdade é que em muitos casos isso não acontece. Os utilizadores compram, instalam e estes estão prontos a funcionar.
A sua instalação acaba por ser feita de forma muito básica, não sendo aplicada a mais simples configuração de segurança: a mudança de password de acesso à interface de gestão.
Se têm sistemas deste tipo não se esqueçam de validar as configurações de segurança e aplicar as medidas necessárias para os protegerem.