2017/05/19

Câmaras de vigilância de estabelecimentos portugueses podem ser acedidas por qualquer pessoa - e muitas estão ilegais


A propósito de uma pergunta na nossa mailing list sobre a instalação de câmaras de vigilância numa loja - que necessita de autorização da CNPD (Comissão Nacional de Protecção de Dados) e de seguir um conjunto de regras - um dos leitores especialista em segurança digital fez um relato preocupante de como muitas câmaras em estabelecimentos nacionais podem ser facilmente acedidas por qualquer pessoa... e que em muitos casos estão ilegais ou não cumprem as condições ditadas pela CNPD.

Passo a palavra ao João Pina, que praticamente podemos considerar o nosso hacker residente, e que por múltiplas vezes nos tem chamado a atenção para falhas de segurança informáticas no nosso país.
Tudo começou num post no reddit há uns bons meses atrás. Em determinado subreddit de partilha de IPCams ‘publicas’ ou com 'credenciais conhecidas’ apareceu uma câmara localizada numa casa (de ‘meninas’) portuguesa! Hipoteticamente entrando no IP em determinado porto e colocando as clássicas credenciais admin/admin era possível visualizar algumas áreas comuns daquela casa!

Hipoteticamente esta IPCam foi montada por uma empresa certificada!

Uma das funcionalidades de praticamente todas as IPCams é a configuração do chamado ‘dynamic DNS’ em serviços de terceiros, por exemplo a Dyn. Para usar este serviço é preciso dar as credenciais de acesso à conta da Dyn, um username e uma password à IPCam. Também é um facto que o software destas IPCams é muita vezes muito fraquinho a nível de segurança. Por exemplo, no input de password (da conta da Dyn) na interface da IPCam aparecem os asteriscos, mas quem fez a interface estava efetivamente a escrever a password no value do input, mudando no inspetor o type do input de ‘password’ para ‘text’ revela a password em plain text. :)

Hipoteticamente a empresa certificada que montou a IPCam para controlar remotamente as IPCams usa este serviço de dynamic DNS e colocou as suas credenciais na IPCam! Hipoteticamente é possível aceder à conta dessa empresa certificada na Dyn e ter acesso a ‘todas’ as IPCams instaladas por essa empresa certificada. Hipoteticamente é possível reconhecer dezenas de estabelecimentos nacionais, alguns que até aparecem em revistas e em jornais. :p

A história acabaria aqui... mas ainda há mais uns hipoteticamentes!

Eu, enquanto cidadão que preza pela sua privacidade, questionei a CNPD sobre como funcionava o sistema que regulamenta a instalação de câmaras em espaços comerciais. A primeira questão que fiz foi sobre quem assegura que as autorizações estão a ser bem executadas. Por exemplo, a maior parte das autorizações especifica que os dados recolhidos têm que ser apagados ao fim de 30 dias, os locais exatos de onde estão as câmaras e, muito importante, o controlo de acesso às imagens gravadas. A resposta deles diz apenas que a sua competência se fica pela averiguação apenas depois de ter havido uma queixa, que pode ser feita pela PSP, ASAE e outras entidades.

Outra das questões que levantei foi se a pesquisa no site deles mostra efetivamente todas as autorizações, e se estaria a funcionar bem tecnicamente; isto é, se eu colocasse uma palavra do nome de uma empresa, se essa palavra seria realmente apanhada no meio dos campos da base de dados deles. Foi-me respondido que sim.

Ora... hipoteticamente reconhecendo estabelecimentos de uma hipotética lista de IPCams é possível fazer um cruzamento de dados para saber se efectivamente têm autorização da CNPD para a instalação das ditas câmaras e proceder à captação de imagens. Também é possível verificar se estão a cumprir a regra dos 30 dias de dados, e também é possível verificar se é feito um controlo efetivo de acesso às imagens!

Hipoteticamente comprova-se que há muitos estabelecimentos que não têm autorizações para ter estas câmaras! Hipoteticamente confirma-se que há muitos estabelecimentos que não cumprem as autorizações que têm.

Bem... desde que não haja queixas está tudo bem, certo? Até lá... imagine-se quantas pessoas, em vez de se divertirem a ver os canais de TV tradicionais, preferirão andar a fazer zapping pelas câmaras de lojas e outros estabelecimentos nacionais.

2 comentários:

  1. Num estabelecimento comercial onde dava assistência técnica já me deparei com um casa destes.
    A "empresa especializada em segurança" instalou um sistema de vídeo-vigilancia, com uma conta do DYN, comum a todas as outras instalações... na box de vigilância as senhas eram apresentadas com o método indicado...
    A empresa fez instalação de software em telemóveis e PCs, mas por razões de segurança não forneceu as credenciais (só eles é que instalavam), mas deixaram activo o utilizador "888888" comum a tantas boxes de cctv chinesas!!!
    Em 5 minutos tinha-se "hipoteticamente" acesso à box, na qual se poderia ver a senha de admin e a senha do DYN, dando "hipoteticamente" acesso às cams de todos os clientes daquela empresa!


    Ainda pensei que fosse caso isolado, mas estou a ver que não!

    ResponderEliminar
  2. Mesmo que estejam protegidas com user e passwords diferentes das originais, há sempre acesso pela backdoor "admin" "password of the day" que os chineses tanto gostam de manter para o caso de haver azar. Aceito resets que se façam com acesso físico ao equipamento, mas mandar uma trama de reset de utilizadores pela rede é um pouco mau demais. Eu bem me esforço para demover os meus clientes de comprarem este entulho a que chamam sistemas de CCTV profissionais de segurança, mas se não tiver as habituais marcas DH e HK, a concorrência come-me vivo.

    ResponderEliminar