Cuando en Securame finalizamos una instalación de CCTV, le entregamos al cliente una documentación, donde constan entre otros datos: las IPs de su grabador y router, su dominio dinámico, que puertos usa el grabador, usuarios y contraseñas, etc. En esta documentación constan una serie de recomendaciones, entre las que quiero destacar la siguiente:
Por motivos de seguridad, es recomendable modificar todas las contraseñas a su antojo.
Por desgracia, es habitual que mucha gente ni siquiera se lea esas recomendaciones; y muchos de los que las leen hacen caso omiso, y no se molestan en cambiar sus contraseñas. Y si bien hasta hace poco un grabador podía permacener relativamente «oculto» al resto mundo, puesto que para conectarnos al equipo necesitabamos saber no solo la IP, sino también el puerto web y el puerto de datos, eso ha cambiado.
Llega el momento en que Dyndns, el servicio más usado en internet de DNS dinámico, pasa a ser de pago, y muchos fabricantes de CCTV adaptan sus equipos para ofrecer servicios de DDNS propios gratuitos. En el caso de Hikvision, se trata de hik-online.com (y su versión europea hikvisioneurope.net), que nos ofrece un servicio de DDNS gratuito para todos nuestros equipos Hikvision. Con este servicio nos facilitan mucho la labor a la hora de conectarnos a nuestro equipo, puesto que ya no tenemos necesidad de servicios DDNS de terceros, pero a la vez hacen mucha mas sencilla la labor de poder encontrar equipos ajenos, puesto que deja de ser necesario conocer ni siquiera los puertos del equipo, ya que hik-online se encarga de redireccionarnos.
En este punto localizar un equipo Hikvision conectado a internet es tan simple como probar un nombre de usuario aleatorio, ya no nos es necesario conocer su puerto web. Por poner ejemplo (de un equipo que si tiene cambiado el password): http://www.hik-online.com/casa
Queda claro que cuantos mas equipos haya online, más trivial va a ser localizar equipos de forma aleatoria. Y si es tan simple llegar hasta el login de un equipo, se hace imprescindible que el password de éste no sea el que viene por defecto, ya que dejamos nuestro equipo abierto a cualquiera. Hemos recopilado un listado de 200 grabadores (externos a nosotros) que utilizan hik-online.com, y hemos comprobado cuales de ellos eran accesibles. Los datos obtenidos son los siguientes:
– En el 57% de los equipos la cuenta de admin estaba activa con el password por defecto, permitiendo acceso completo al grabador (visionado de cámaras en vivo y grabaciones, modificar la configuración del equipo, incluso cambiar las contraseñas del equipo, impidiendo el acceso a su dueño).
– El 43.5% de los equipos usaba el puerto 80 para el acceso web. Es buena medida de seguridad modificar el acceso web a un puerto distinto del standard, de forma que no facilitemos la labor a alguien que se dedique a escanear rangos de IP en busca de servidores web. Entre los puertos web favoritos alternativos utilizados destacan 81, 82, 90, 8001 y 8080.
– El 91% de los equipos usaba el 8000 como puerto de datos. Este dato no es tan sorprendente, puesto que el puerto de datos suele cambiarse menos; y el puerto web mucha gente lo cambia no tanto por seguridad, sinó por necesidad (muchos routers no permiten de forma sencilla el acceso al puerto 80 desde su conexión Wan).
Es por ello que en Securame entregamos todas nuestras instalaciones de videovigilancia con las contraseñas cambiadas; y que recomendamos a todo aquel que tenga un equipo de CCTV conectado a internet (sea del fabricante que sea), que modifique siempre las contraseñas de acceso que vienen con el grabador.
