¿Qué puedo hacer si una cámara DVR inteligente solo admite contraseñas predeterminadas?

7

Una gran cantidad de dispositivos en el mercado para la automatización del hogar tienen graves fallas de seguridad, como contraseñas codificadas (¡o ninguna contraseña!). Para empeorar las cosas, es difícil encontrar información en Internet sobre la seguridad de un dispositivo antes de comprarlo, por lo que es fácil comprar algo solo para descubrir que es descaradamente inseguro.

Este artículo sugiere que la única opción en este caso es devolver el dispositivo o tirarlo a la basura:

Por lo tanto, si el dispositivo no tiene contraseña, o no puede cambiar la contraseña que usa, siempre será vulnerable a los ataques. Tendrá que tirarlo y comprar uno nuevo que fue construido con al menos la capacidad de cambiar su contraseña.

Sospecho que podría ser posible reducir el riesgo restringiendo el acceso a mis dispositivos a ciertas IP remotas, aunque no estoy seguro de si eso resolvería por completo cualquier problema futuro.

El producto que me interesa particularmente es el DVR Raysharp, que supuestamente usa contraseñas codificadas y no ofrece ninguna forma de cambiar las credenciales de autenticación. ¿Qué acciones puedo tomar para evitar el acceso no autorizado mientras puedo seguir usando la cámara desde fuera de mi red doméstica?

Aurora0001
fuente
55
Como Helmar lo ha dicho: empacarlo de nuevo y enviarlo a donde sea que provengan dispositivos inseguros
Ghanima
3
Cuéntanos más sobre tu dispositivo IoT. ¿Dónde se usa la contraseña predeterminada? ¿En el portal basado en navegador web? ¿Necesita poder conectarse a este dispositivo desde su red doméstica o solo necesita acceso a Internet con un servidor en particular? Tal vez podría configurar la 'Zona desmilitarizada (DMZ)' en su enrutador para ese dispositivo (para que no sea accesible desde su red personal) y no reenviar puertos a este dispositivo (para que no sea fácilmente accesible desde el Internet).
Defozo
@Defozo vea mi edición para obtener respuestas a sus preguntas.
Aurora0001

Respuestas:

4

Hay dos puntos de entrada obvios para un atacante. Una es la conexión de red local, la otra es la WAN. Incluso si te defiendes de estos, debes asegurarte de que el dispositivo no sepa nada valioso, ya que proporciona un punto de ataque fácil para otros dispositivos.

Una conexión por cable para la red local es más segura, pero solo si está aislada del resto de su red. Si tiene que proporcionar una conexión WiFi, use un SSID dedicado a esta cámara, con secretos únicos.

Para abrir el acceso al segmento de red aislado e inseguro, debe configurar una VPN. Idealmente, la VPN será la única forma de conectarse a este segmento aislado. En la práctica, seguirá siendo vulnerable a los ataques locales.

Asegúrese de no conectar el DVR a ningún otro recurso compartido en su LAN, como el almacenamiento en red.

Sean Houlihane
fuente