Telecamera hackerata

[silver57]

Buongiorno a tutti, ho un problema ricorrente, qualcuno si diverte ad entrare in una delle mie telecamere con le quali controllo da remoto la mia casa di vacanze e mi cambia la password di admin per cui non riesco più ad utilizzarla fino a quando non la raggiungo fisicamente (a 300Km di distanza).
La telecamera è una Amcrest di ottima qualità (e prezzo) e si collega via wifi (insieme ad altre tre camere di minor pregio) ad un router con SIM. Uso poi il servizio Dyndns.org per raggiungere da remoto le telecamere ed una centralina di irrigazione. Non entrano indovinando la password (a parte che è robusta), infatti le telecamere mi avvisano via email se qualcuno sta cercando di accedere ed in questo caso non mi ha mai inviato mail di alert. Immagino che entrino sfruttando una falla del firmware. Un anno fa circa mi è successa la stessa cosa (sempre e solo con quella telecamera) e l'hacker non si è limitato a modificare la password d'accesso dell'admin (non ci sono altri user abilitati) ha fatto una cosa che pensavo non fosse possibile, ha cambiato il MAC address della scheda wifi. Quando l'ho collegata fisicamente al pc per ripristinare le condizioni di fabbrica e ricaricare poi il settaggio da backup non riuscivo a farla riconnettere al router e non riuscivo a capire il problema fino a quando non mi sono accorto che il MAC address non era più lo stesso di prima quindi il router non la riconosceva e non le assegnava l'IP. Ho certezza di ciò che dico perché salvo sempre le configurazioni, del resto prima di questo evento il MAC address iniziava con 9C:8E:CD: come tutti gli indirizzi assegnati ad Amcrest ora il MAC inizia con 50:13:95: assegnato ad una ditta cinese che fornisce parti ad Amcrest, per fortuna ho gli screenshot di prima e dopo l'evento, come è potuto succedere questo cambio? Ho cercato senza trovarlo un aggiornamento del firmware e l'assistenza Amcrest si limita a suggerirmi di cambiare password dopo aver ripristinato le impostazioni di fabbrica. Il fatto che non utilizzo una rete fisica con un IP sempre uguale complica un po' la vita all'hacker ma questo evidentemente non basta ad evitarmi il guaio di dover fare 300 Km per ripristinare la telecamera. Ringrazio chiunque abbia avuto la pazienza di arrivare fin qui ed abbia qualche suggerimento da darmi.

[Perseverance]

Che ti si deve dire? Buttala via e cambiala con un'altra: hikvision, ezviz. Dopo 300Km ad ogni guasto, dopo i disservizi, dopo già altri problemi che ti ha dato... non ti sei ancora rotto i coglioni?

Quote:

qualcuno si diverte ad entrare in una delle mie telecamere

Se inizi con queste ipotesi si fà anno nuovo. Può essere un problema di aggiornameti firmware: sai quante volte mi è successo con varie persone che montano marche sconosciute che gli si modificano le impostazioni firmware, gli cambiano cose, settaggi e versione...

Se sei orientato al pensiero verso l'hacking a maggior ragione se credi che sia una falla del firmware cambia telecamera, cambia marca e cambia password e intanto vedi se ti risuccede. E se ti risuccede allora l'accesso lo prendono da qualche altro apparecchio che usi ed ha memorizzati questi dati (cellulare, tablet, computer, account online vari) e forse allora avrai dei problemi di sicurezza altrove.

[dirac_sea]

Quote:

Originariamente inviato da Perseverance

Che ti si deve dire? Buttala via e cambiala con un'altra: hikvision, ezviz. Dopo 300Km ad ogni guasto, dopo i disservizi, dopo già altri problemi che ti ha dato... non ti sei ancora rotto i coglioni?

+ 1... per te.

Però non hai notato di che città è?

[silver57]

Vi ringrazio per il tempo che avete perso a leggere tutto fino in fondo ma se la soluzione fosse semplicemente buttala via non avrei perso il tempo per chiedere consigli al forum. E' vero che vivo a Genova ma non sono genovese e questo comunque non cambia niente perché la camera ha un valore di 650 euro e non è così facile trovarne un'altra con uno zoom ottico 25X che mi è indispensabile per un controllo totale del vasto giardino (1500 mq). Siccome non posso fare a meno di quella telecamera e non avendo voglia di spendere altri 650 euro senza la certezza di non avere altre noie, ho chiesto a chi ne sa più di me se si può fare qualche deduzione utile in base alle informazioni che ho dato. Diversamente aspetterò il momento buono per raggiungere la telecamera e ripristinarne il funzionamento sperando di poterla utilizzare quotidianamente per un altro paio di anni.

[wrad3n]

Quote:

Originariamente inviato da silver57

un router con SIM. Uso poi il servizio Dyndns.org per raggiungere da remoto le telecamere ed una centralina di irrigazione.

quindi nella casa vacanze hai un abbonamento mobile non nattato e riesci a collegarti dall'esterno?
Se il router 5G/LTE ha un server VPN puoi usarlo per accedere alla rete remota, in modo da evitare l'esposizione diretta su "internet" dell'ipcam e del sistema di irrigazione.

[Alessio.16390]

Quote:

Originariamente inviato da silver57

Buongiorno a tutti, ho un problema ricorrente, qualcuno si diverte ad entrare in una delle mie telecamere con le quali controllo da remoto la mia casa di vacanze e mi cambia la password di admin per cui non riesco più ad utilizzarla fino a quando non la raggiungo fisicamente (a 300Km di distanza).
La telecamera è una Amcrest di ottima qualità (e prezzo) e si collega via wifi (insieme ad altre tre camere di minor pregio) ad un router con SIM. Uso poi il servizio Dyndns.org per raggiungere da remoto le telecamere ed una centralina di irrigazione. Non entrano indovinando la password (a parte che è robusta), infatti le telecamere mi avvisano via email se qualcuno sta cercando di accedere ed in questo caso non mi ha mai inviato mail di alert. Immagino che entrino sfruttando una falla del firmware. Un anno fa circa mi è successa la stessa cosa (sempre e solo con quella telecamera) e l'hacker non si è limitato a modificare la password d'accesso dell'admin (non ci sono altri user abilitati) ha fatto una cosa che pensavo non fosse possibile, ha cambiato il MAC address della scheda wifi. Quando l'ho collegata fisicamente al pc per ripristinare le condizioni di fabbrica e ricaricare poi il settaggio da backup non riuscivo a farla riconnettere al router e non riuscivo a capire il problema fino a quando non mi sono accorto che il MAC address non era più lo stesso di prima quindi il router non la riconosceva e non le assegnava l'IP. Ho certezza di ciò che dico perché salvo sempre le configurazioni, del resto prima di questo evento il MAC address iniziava con 9C:8E:CD: come tutti gli indirizzi assegnati ad Amcrest ora il MAC inizia con 50:13:95: assegnato ad una ditta cinese che fornisce parti ad Amcrest, per fortuna ho gli screenshot di prima e dopo l'evento, come è potuto succedere questo cambio? Ho cercato senza trovarlo un aggiornamento del firmware e l'assistenza Amcrest si limita a suggerirmi di cambiare password dopo aver ripristinato le impostazioni di fabbrica. Il fatto che non utilizzo una rete fisica con un IP sempre uguale complica un po' la vita all'hacker ma questo evidentemente non basta ad evitarmi il guaio di dover fare 300 Km per ripristinare la telecamera. Ringrazio chiunque abbia avuto la pazienza di arrivare fin qui ed abbia qualche suggerimento da darmi.

Ciao.

1) esistono due segnalazioni datate entrambe 2020, la prima è CVE-2020-5735, la seconda CVE-2020-5736 : per cui quello che dici è possibile.
2) entrambe le vulnerabilità nascono dalla porta 37777, la puoi inibire?
3) se non puoi inibire quella porta, ti hanno consigliato di far girare la camera dietro una vpn, in modo che solo TU hai accesso a questa.
4) non ho ben compreso come la stai usando ora, non credo sia una camera cloud, e se hai una sim probabilmente sei dietro nat, dyndns ti sta facendo da ponte o serve solo per restituire un nome a dominio dall'ip?
5) amcrast per le due vulnerabilità sopra riportate ha rilasciato dei fix :

Codice:

"Amcrest_SD-Mao-Rhea_Eng_N_Stream3_AMCREST_V2.623.00AC004.0.R.200316.bin applies to the following models:
IP2M-853EW
IP2M-858W
IP4M-1053EW
IP2M-866W
IP2M-866EW

Amcrest_XVR5x04-X1_Eng_N_Amcrest_V4.000.00AC000.0.R.200218.bin applies to the following models:
AMDV10814-H5

Amcrest_IPC-AWXX_Eng_N_AMCREST_V2.420.AC00.18.R.20200217.bin applies to the following models:
IP2M-841
IPM-721
IPM-HX1

Amcrest_IPC-HX2(1)XXX-Sag_Eng_N_AMCREST_V2.800.00AC000.0.R.200330.bin applies to the following models:
IP8M-2597E

Amcrest_IPC-Consumer-Web-Mao-Molec_Eng_N_AMCREST_V2.800.0000000.6.R.200314.bin applies to the following models:
IP2M-841-V3

Amcrest_IPC-HX5X3X-Rhea_Eng_NP_Stream3_AMCREST_V2.622.00AC000.0.R.200320.bin applies to the following models:
IP8M-2493EB
IP8M-2496EB
IP8M-2454EW
IP8M-T2499EW
IP8M-MT2544EW
IP8M-MB2546EW
"

non hai scritto il modello della tua, quindi non sò, da come scrivi potrebbe essere la IP2M-858W.
Puoi andare qui: https://amcrest.com/firmware


EDIT.

Ho visto ora il tuo topic , quindi hai una sim TIM che ti fornisce IP pubblico, ok.
Quindi avrai anche la possibilità di fare port forwarding.
Guarda, in realtà sicuramente c'è qualche tool di scanning rete alla ricerca della porta vulnerabile "37777", per questo ti trovano sempre. Il range ip di tim è conosciuto, quindi scansionato i range alla ricerca di quella porta, prima o poi vieni fuori. Devi vedere il pannello admin della camera per vedere se puoi cambiare la porta, se la imposti tipo con una porta usata per altri servizi, visto che questa non da un welcome-banner, già abbassi le possibilità di hacking del 99%, ma il consiglio resta quello di far girare la camera dietro un tunnel vpn.

[silver57]

Quote:

Originariamente inviato da wrad3n

quindi nella casa vacanze hai un abbonamento mobile non nattato e riesci a collegarti dall'esterno?
Se il router 5G/LTE ha un server VPN puoi usarlo per accedere alla rete remota, in modo da evitare l'esposizione diretta su "internet" dell'ipcam e del sistema di irrigazione.

Grazie per la risposta.
Si, ho un abbonamento con TIM che mi fornisce un IP pubblico ed uso dyndns per raggiungerlo da remoto. Non sono coperto dal 5G però il router (Cudy LT 400 Outdoor) ha un server VPN (lo scopro solo ora) ma non so bene come si configura e non vorrei fare pasticci e non riuscire più a raggiungere il router. Finora ho utilizzato le VPN solo come client sul cellulare.

Quote:

Originariamente inviato da Alessio.16390

Ciao.

1) esistono due segnalazioni datate entrambe 2020, la prima è CVE-2020-5735, la seconda CVE-2020-5736 : per cui quello che dici è possibile.

Però io ho riconfigurato tutte le porte al primo utilizzo sulle telecamere (tutte Amcrest)

Quote:

Originariamente inviato da Alessio.16390

2) entrambe le vulnerabilità nascono dalla porta 37777, la puoi inibire?

l'avevo cambiata in 3778

Quote:

Originariamente inviato da Alessio.16390

3) se non puoi inibire quella porta, ti hanno consigliato di far girare la camera dietro una vpn, in modo che solo TU hai accesso a questa.

Si, ho abbastanza chiaro il funzionamento della VPN lato client ma oltre a non sapere bene come configurare il server VPN non mi è neppure chiaro in che modo solo io avrei l'accesso alla telecamera, come farebbe la VPN a distinguermi tra tutto il resto del traffico?

Quote:

Originariamente inviato da Alessio.16390

4) non ho ben compreso come la stai usando ora, non credo sia una camera cloud, e se hai una sim probabilmente sei dietro nat, dyndns ti sta facendo da ponte o serve solo per restituire un nome a dominio dall'ip?

Avrai già letto che TIM mi offre un IP pubblico e dyndns mi fornisce l'IP assegnato al router.

Quote:

Originariamente inviato da Alessio.16390

5) amcrast per le due vulnerabilità sopra riportate ha rilasciato dei fix :
non hai scritto il modello della tua, quindi non sò, da come scrivi potrebbe essere la IP2M-858W.
Puoi andare qui: https://amcrest.com/firmware

Hai indovinato è proprio la IP2M-858W ha uno zoom ottico davvero incredibile. Non ricordo bene, perché è da anni che mi sto picchiando contro gli accessi illegali (non solo alle telecamere o ai tre router che utilizzo ma anche al nas), ho sicuramente cercato un aggiornamento del firmware ma non sono certo di aver aggiornato quello della camera in questione.
Resta per me incomprensibile come possano (e perché?) aver cambiato il MAC address della scheda wifi.

Quote:

Originariamente inviato da Alessio.16390

ma il consiglio resta quello di far girare la camera dietro un tunnel vpn.

Già...
ringrazio infinitamente chiunque abbia la pazienza di aiutarmi a configurare correttamente il server VPN. Non vorrei fare errori e giocarmi anche l'accesso al router e di conseguenza alla centralina di irrigazione. In allegato la pagina di configurazione.
Grazie

EDIT:
UDP port 37778

EDIT2:
Temo di aver preso lucciole per lanterne, mi pare di capire che la pagina di configurazione VPN del mio router serva soltanto per impostare l'accesso del router (come client) ad un server VPN

[Alessio.16390]

Buongiorno,
verifica di aver dunque la versione più recente del firmware, come primo step quando andrai in quell'abitazione.

Poi,
per quanto riguarda il tunnel vpn,
ho avuto un Cudy WR2100, dal tuo screenshot mi pare uguale nel menu (è base openwrt con restyle grafica), per cui dovresti avere (vado a memoria..) diverse possibilità; openvpn, wireguard, zerotier.

Secondo me la più facile, con meno sbatti, è proprio quest'ultimo, che pur non essendo il più performante, ti garantisce il servizio di cui hai bisogno.

Devi procedere cosi.

Ti registri sul sito ZeroTier , è gratis per il piano base (mi pare massimo 20 o 25 dispositivi, qualcosa del genere.)

Crei il network "privato" dal loro sito (nome rete, subnet ip, ...)
ti viene fornito un ID univoco.

Lato router imposti il Network ID assegnato, torni sul sito di zerotier ed accetti la richiesta di Join del router, cosi da autorizzarlo.
(vedi qui https://www.cudy.com/it-it/blogs/faq...r-via-zerotier )

Il passo fondamentale è dire a Cudy(OpenWrt) di inoltrare i pacchetti tra interfacce diverse (ZeroTier e LAN). Se hai accesso telnet/ssh puoi dare un

Codice:

net.ipv4.ip_forward=1

ed applichi la modifica

Codice:

sysctl -p

da interfaccia web dovrebbe essere qualcosa cosi

Codice:

Network > Firewall  > General Settings

'opzione "Forward" (Inoltro) impostata su "Accept"

quindi creare le regole iptables, da shell

Codice:

# Sostituisci "eth0" con il nome della tua interfaccia LAN se necessario (su OpenWrt è spesso "br-lan" o similare)
# Sostituisci zt01234567 con il nome effettivo della tua interfaccia ZeroTier
LAN_IFACE="br-lan"
ZT_IFACE="zt01234567"

# 1. Masquerading per il traffico dalla VPN alla LAN
iptables -t nat -A POSTROUTING -o $LAN_IFACE -j MASQUERADE

# 2. Permetti l'inoltro di traffico dalla VPN alla LAN
iptables -A FORWARD -i $ZT_IFACE -o $LAN_IFACE -j ACCEPT

# 3. Permetti l'inoltro di traffico di risposta dalla LAN alla VPN
iptables -A FORWARD -i $LAN_IFACE -o $ZT_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT

e salvarle con:

Codice:

/etc/init.d/firewall save
/etc/init.d/firewall restart

tramite interfaccia web dovrebbe essere qualcosa del genere, tradotto dal web su un forum per un altro cudy

Codice:

Vai su Network - Firewall - Zones.

Crea o modifica la zona associata all'interfaccia ZeroTier (potrebbe essere necessario crearne una o aggiungerla a una zona esistente):Assicurati che il Forward (Inoltro) sia impostato su "Accept".Nella sezione Inter-Zone Forwarding, assicurati che il traffico sia accettato dalla zona ZeroTier alla zona LAN.

Cruciale: Sulla zona della tua LAN (solitamente chiamata lan), assicurati che l'opzione Masquerading sia abilitata. Questo è ciò che permette al router di nascondere l'IP ZeroTier e agire come Gateway.

Configurazione della Managed Route sul sito ZeroTier

devi istruire tutti i client a usare il router Cudy OpenWrt come gateway per la rete LAN.

Vai su my.zerotier.com e seleziona la tua rete.
Vai nella sezione Managed Routes.
Aggiungi questa rotta

Codice:

Destination: 192.168.1.0/24 (o la tua subnet LAN effettiva)
Via: IPROUTER (l'IP ZeroTier del tuo router Cudy)

completati questi passaggi,
su qualsiasi altro dispositivo installi il software zerotier (pc windows, pc linux, macos, smartphone android/iOS) fai il join con il network id, li abiliti sul sito zerotier per vedere il router precedentemente joinato.

se tutto è stato fatto bene,

il dispositivo connesso e autorizzato alla stessa rete ZeroTier del router dovrebbe essere in grado di fare il PING all'indirizzo IP locale della telecamera (es. ping 192.168.1.50).


Fatto questo, puoi disattivare le porte aperte su internet per la telecamera, lasciando inalterato per gli altri device che possiedi.

Cosi solo chi è dentro al tunnel vpn zerotier (abilitati da my.zerotier...) è in grado di vedere la camera.

Sembra difficile, ma in realtà non lo è.
Devi smanettare una trentina di minuti.

[silver57]

Ti ringrazio tantissimo, ora mi studio bene tutto ciò che mi hai scritto e cerco di metterlo in pratica.
Grazie ancora.

[silver57]

Problemino... non ho la scelta di zerotier, cosa mi suggerisci?

[Alessio.16390]

Master di livello zero = zerotier
Non so perché ti traduce così... forse il browser?

[silver57]

Accidenti, non ci ho pensato! Si, è una traduzione automatica del browser.
Grazie