Uma série de preocupações foram levantadas recentemente sobre a segurança dos sistemas de vigilância de vídeo IP.
Neste blog vamos discutir estas preocupações sobre como é extremamente importante que elas sejam levadas a sério.

A grande ironia para as empresas é que a implementação de sistemas de  segurança, se tornem seus ativos mais vulneráveis. Portanto, é fundamental que instaladores e integradores tomem um cuidado especial com toda a rede associada nas aplicações de segurança. Em quase todos os países nos referimos a tecnologia como CCTV (circuito fechado de televisão), mas a tecnologia de rede IP torna tudo, menos ‘circuito fechado’. Como todos os aplicativos em rede, sistemas de vigilância de rede são vulneráveis e precisam de proteção.

O nível de proteção irá depender da aplicação e do orçamento disponível. No mínimo de segurança as empresas devem incluir um produto como parte de seu serviço para explicar em detalhes como eles pretendem garantir que os dados não podem ser acessados ou transmitidos, com exceção daquelas pessoas autorizadas a ter acesso. Além disso, departamentos de TI precisam assimilar as aplicações de vigilância, para que eles projetem a infra-estrutura para dar suporte ao aplicativo, garantindo a sua proteção.

Hackers nunca estão parados, eles sempre estão procurando fraquezas para explorar e no fim, eles vão encontrá-las não importa o quanto seguro é ambiente. Então, a proteção é uma tarefa contínua que deve fazer parte de qualquer contrato de manutenção. Na MIRASYS estamos sempre evoluindo nossos produtos para sermos melhores, novas versões e lançamentos de softwares podem conter atualizações que ajudam a melhorar a segurança dos sistemas quanto ao acesso indesejado. A Microsoft também está fazendo o mesmo. Linux e sistemas baseados em Apple são “hackeaveis” também (com Linux sendo aberto, é ainda mais fácil de ficarem desatualizados e desprotegidos). Portanto, é importante que suas atualizações sejam aplicadas assim que estiverem disponíveis.

Então, o que você faria para garantir que seu sistema de rede está a salvo de vulnerabilidades?

  • Senhas

Vemos ainda inúmeros sistemas, câmeras, roteadores, NVRs entre outros, que usam seus logons padrão. Acesse o Google e você encontrará todas as senhas padrão em poucos segundos. Isso é uma coisa tão fácil de fazer, mas, por alguma razão, muitas pessoas ignoram esse importante recurso.

Em primeiro lugar, altere as senhas e até mesmo os nomes das câmeras. Se as câmeras não oferecerem a possibilidade de alterar a senha, considere usar câmeras de outros modelos ou outro fabricante
Em seguida, alterar a senha de administrador padrão no Software Mirasys ou nos NVr´s.

A Mirasys suporta vários níveis de segurança. Crie os usuários de nível de Admin (estes serão capazes de fazer alterações no sistema, então certifique-se de que não sejam muitos). Cada usuário deve ter seu próprio nome de usuário e senha, para que suas ações possam ser auditada pelo sistema. Não é aconselhado utilizar IDs  genéricos.  Dê o login de administração para poucas pessoas. Quanto menor o número de pessoas com o acesso mais seguro o sistema estará. Para ajudá-lo com o processo de atualizações regulares de senhas, o Software Mirasys suporta a integração com o Active Directory da Microsoft. Para evitar um sniffer de rede e facilmente encontrar as senhas, o protocolo HTTPS de transmissão deve ser usado, e com isto irá garantir que as senhas são transmitidas totalmente criptografadas e decifrá-las se tornaria uma tarefa extremamente difícil.

  • Avaliar os riscos de acesso remoto existentes e futuros

O acesso à rede remota pode ser uma ótima maneira para integradores e administradores de rede para economizarem em visitas no local. O acesso à rede remoto pode ser realizado de varias maneiras.

VPN (Rede privada Virtual) pode ser usada para estabelecer conexões seguras entre duas ou mais redes, ou ter uma conexão ponto a ponto bem protegida através da Internet. VPN usa protocolos de criptografia e autenticação, impedindo o acesso a dados entregues entre dois ou mais sites de rede local de computadores desconhecidos. Isso pode funcionar 24 horas e não requer qualquer intervenção do usuário.

  • Segurança para o próximo nível com VLAN e QoS

LANs virtuais as (VLANs) melhoram a segurança, segmentam o tráfego em várias redes virtuais.

Equipamentos de vigilância baseado em IP como câmeras de vídeo ou o tráfego geral do escritório em uma LAN pode acontecer no mesmo switch físico, mas a VLAN garante que as redes são invisíveis uma para a outra e inacessíveis. As VLANs são normalmente implementadas com o recurso (QoS), que dá prioridade de tráfego para que a qualidade do vídeo não seja afetada.

  • Impedir o acesso remoto não autorizado com firewalls

Muitos sistemas de vigilância propositalmente não estão conectados à Internet, em vez disso, eles estão conectados a uma LAN separada. Isto reduz o risco, mas pode dificultar algumas ações como atualizações de softwares e firmwares — neste caso precisam ser carregados através de USB ou outros meios.

Programas e dispositivos de firewall protegem os computadores contra ameaças de segurança cibernética, controlando a comunicação entre locais e redes WAN (Internet). Elas limitam o tráfego específico à endereços IP e portas que foram autorizadas.

  • Manter backups regulares

Ter backups atualizados,  garantirá que qualquer paralisação será mínima. Malware como ransomware estão em ascensão. Ransomware criptografa os arquivos em um sistema e pedem pagamento para desbloquear os dados. Sem backups regulares, seus clientes podem ter de pagar.

  • Desativar no switch portas de rede e quaisquer outros serviços não utilizados

Mais um passo fácil, mas normalmente esquecido é desabilitar todas as portas não utilizadas. Isto reduz o risco de alguém tentar acessar uma sub-rede de segurança simplesmente conectando um cabo de rede em uma porta livre.

Serviços desnecessários nas estações de trabalho e servidores devem ser desligados. Estes podem incluir utilitários de atualização específicos do fabricante, o Microsoft update services, serviços Web, etc. Estes podem atuar como uma porta para hackers ou vírus, consomem memória e processamento e aumentam o tempo de start-up. Devem ser desativados ou ajustados para operar somente quando iniciado manualmente.

Note que isto não necessariamente impede acesso não autorizado, já que alguém poderia desconectar um dispositivo (câmera, estação de trabalho, impressora) de uma porta previamente autorizada ou ponto de acesso, a menos que medidas como filtragem de MACADDRESS ou 802.1 X estejam habilitados.

  • Criar e aplicar uma política de segurança

Todas as etapas acima são ainda mais eficazes quando documentadas como parte de uma política de segurança escrita e rigorosamente aplicadas. Se um usuário final não tem uma política de segurança, nós podemos optar por criar uma como parte da documentação.