Violato il servizio Verkada: hacker accedono a 150.000 stream delle telecamere di sorveglianza di ospedali, banche, penitenziari

Un collettivo di hacker ha bucato le misure di protezione di Verkada, startup californiana che offre sistemi di videosorveglianza in cloud. Gli attaccanti sono riusciti ad ottenere l'accesso ai feed video di istituzioni come ospedali, istituti psichiatrici, scuole elementari, carceri, ma anche degli stabilimenti di aziende come Tesla e Cloudflare. Fortunatamente, gli attaccanti non hanno diffuso online queste informazioni: l'obiettivo non era quelli di danneggiare le aziende ma di dimostrare la scarsa sicurezza degli attuali sistemi di sorveglianza. L'aspetto più preoccupante è la semplicità con la quale sono stati bucati i sistemi. 

Chi c'è dietro l'attacco a Verkada?

Non ci sono black hat dietro l'attacco a Verkada, ma un collettivo di hacker del quale fa parte Tillie Kottmann, un ingegnere del software svizzero già noto per altri atti dimostrativi, come la sottrazione di 20 GB di codice sorgente da Intel. Kottmann ha dichiarato di aver collezionato circa 5 GB da Verkada, ma che avrebbe potuto facilmente ottenere molte più informazioni. Non solo: ha dichiarato di aver ottenuto l'accesso di root alle videocamere, non semplicemente agli stream. Poteva di conseguenza eseguire codice su questi dispositivi, comandare da remoto il movimento dei modelli motorizzati o installare malware che avrebbe poi consentito di sfruttarle per futuri attacchi.

Un genio dell'hacking, quindi? Non proprio, dato che il metodo utilizzato per superare le difese era decisamente poco sofisticato. A quanto dichiara, infatti, il problema è nato quando Verkada ha esposto su Internet un sistema di sviluppo non protetto che includeva le credenziali di un account di tipo super admin: usandole ha avuto accesso a oltre 150.000 stream da altrettanti dispositivi, alcuni dei quali in grado di effettuare riconoscimento facciale. 

Il commento di Chris Goettl di Ivanti

Chris Goettl, Director of Product Management and Security di Ivanti, spiega che "Un account Super Admin ha parecchio potere. Questa tipologia di account dovrebbe essere protetta usando meccanismi di autenticazione a più fattori e delle "cassaforti" per password. Ma un solo account non dovrebbe poter garantire l'accesso a tutta l'organizzazione". 

Goettl si sofferma anche sul fatto che gli attaccanti avessero modo di eseguire codice sulle videocamere, senza dover effettuare ulteriori attacchi: questa era praticamente una funzionalità integrata dei dispositivi. "I dispositivi connessi devono essere configurati correttamente, rimuovendo le password predefinite, e devono essere sviluppati tenendo a mente la sicurezza, ed essere costantemente aggiornati. Dovrebbero anche venire eseguiti dei pen test per assicurarsi che non possano risultare dei punti di accesso: non si dovrebbe garantire accesso di root a un dispositivo se non è strettamente necessario. Oltre a questo, i dispositivi IoT dovrebbero essere segmentati all'interno della rete. Dispositivi come macchine del caffè e frigoriferi dovrebbero essere separati dalle reti degli utenti e altre parti sensibili dell'infrastruttura di rete. Le videocamere dovrebbero stare su una rete separata dalle altre presenti in azienda". 

Un aspetto importante che sottolinea Goettl è infine l'importanza di salvare gli archivi di filmati dopo un certo periodo di tempo su differenti sistemi, in maniera sicura, con credenziali di accesso differenti. "I filmati archiviati dovrebbero risiedere su sistemi differenti da quelli usati per le riprese live e non solo per una questione di sicurezza, ma anche per garantirne il recupero in caso di necessità. Un attaccante che riuscisse a violare il sistema di sorveglianza non dovrebbe poter avere accesso anche agli archivi. Se un attaccante volesse facilitare un attacco fisico all'azienda, potrebbe infatti rimuovere le tracce di un furto di materiale accedendo agli stream archiviati".