Mes articles sur le sujet ont mis en évidence les risques existants autour des systèmes CCTV & DVR avec l’émergence de solutions techniques pour exploiter les vulnérabilités associées. Le paysage pourrait sembler assez sombre mais le fait que ces systèmes utilisent somme toute des technologies désormais connues permet de décliner des bonnes pratiques de sécurité classiques.
Tous les risques ne seront pas supprimés, c’est évident, mais la surface d’exposition devrait au moins se réduire fortement.
renforcement du système
Je partirai sur un principe de base inaliénable : ne pas faire confiance à la configuration par défaut des solutions.
La première mesure à prendre sera donc le remplacement intégral de tous les mots de passe par défaut, que cela soit sur les caméras ou les systèmes d’enregistrement et de visionnage centralisés. Cette démarche doit absolument être proactive, les solutions évoquées n’ayant pas encore de mécanismes permettant de forcer ces mises à jour lors des déploiements.
La seconde étape sera d’examiner soigneusement les services activés par défaut pour rechercher tout élément permettant un comportement dynamique (UPnP – hérésie pour la sécurité - est à proscrire !). Ce point est particulièrement important car l’expérience montre qu’un grand nombre de systèmes ont été exposés sur Internet de façon non-maîtrisée et non-désirée via ce type de protocole.
Si les solutions d’administrations permettent de restreindre les droits, un focus particulier sera à apporter sur les accès à la configuration et aux fichiers de logs. Les nombreuses vulnérabilités permettant d’accéder à ces éléments rendent la restriction des accès extrêmement importante pour limiter les risques. Rappelons que les implémentations assez douteuses chez beaucoup d’éditeurs ne prennent pas en compte l’offuscation des mots de passe dans la configuration.
Le sujet des logs ayant été évoqué, il sera également bon de regarder si ces derniers sont paramétrables et peuvent permettre de tracer finement les événements systèmes. Avoir des traces est un point de départ de grande valeur si un incident devait se produire.
Dans le cas hypothétique où les éditeurs auraient corrigé les vulnérabilités passées, une mise à jour de l’ensemble sera bien sûr recommandée. N’oubliez pas de consulter les bases de type CVE et OSVB pour trouver de l’inspiration.
Pas de révolution, mais une tentative pour faire diffuser les bons principes « sécurité » dans un nouvel ensemble technique.
le réseau
Sans surprise, les règles classiques doivent s’appliquer sans concession. Une bonne segmentation et isolation de l’infrastructure devra être réalisée au travers de la mise en œuvre de VLAN. Il est évident que des éléments de filtrage seront également à mettre en œuvre pour analyser les accès aux solutions et les réduire uniquement à la part congrue. Hormis les échanges M to M et les accès administrateurs/opérateurs, il ne me semble pas que les autres flux puissent être justifiés, surtout en provenance d’Internet ou des réseaux utilisateurs.
Dans le cas d’installations sensibles, ou des respects de référentiels sécurité « durs », il sera envisageable d’inclure les infrastructures de type CCTV & DVR en supervision via les équipements IDPS.
La gestion des accès et des flux réseaux de façon périmètrique réduira toujours les risques dans une proportion significative, et cela d’autant plus que les concepts de mobilité si à la mode actuellement ne s’applique pas vraiment à ces solutions.
Et pour revenir aux bases, la désactivation du ping et un changement de ports pour les flux exposés au monde extérieur permettront de brouiller quelque peu les pistes, surtout si les protocoles utilisés ne sont pas sécurisés.
les flux
Les principaux flux de la solution pourront être divisés en trois grands domaines :
- administration
- signalisation
- media
Cette segmentation est classique, mais une rapide analyse montre qu’il faut de nouveau prêter une attention significative et détaillée à ces domaines, les automatismes sains n’étant pas encore implémentés.
Il en ressort donc qu’il faudra essayer d’éviter au maximum les flux sur telnet, ftp ou encore http (what a surprise !?). Les protocoles propriétaires devront également être implémentés avec une couche SSL dans l’idéale. Les chercheurs et acteurs maîtrisent parfaitement le reverse engineering, la sécurité par l’obscurité est donc une illusion et ne peut être considérée que comme un argument irrecevable.
La signalisation devra suivre le même modèle. Le protocole RTSP semble être l’un de ceux que l’on retrouve le plus couramment et se devra donc d’être sécurisé. Le détournement de la signalisation est un excellent moyen d’intercepter des flux ou de détourner le fonctionnement nominal.
en conclusion
La démarche exposée n’a absolument rien de révolutionnaire. Attention, rigueur et bonnes pratiques restent les éléments fondateurs d’une bonne sécurité des systèmes CCTV. Encore faut-il que les équipes en charge des déploiements et de la gestion quotidienne soient sensibilisées ou qu’un travail transverse incluant les bons experts puisse avoir lieu… Sans cela, il sera encore possible pendant longtemps de voir des images de nombreux endroits sans quitter son canapé.
Cedric
Crédit photo : copyright Tiero - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.