In questo video vedremo come è possibile controllare quali sono i canali di comunicazione che la telecamera Hikvision apre con i computer all’esterno della nostra rete.
Se avete visto la trasmissione televisiva Report di Rai 3 del 10 Maggio, saprete che dai test che hanno fatto in RAI, le telecamere Hikvision aprivano canali di comunicazione con indirizzi non censiti in Cina.

Switch TP-Link TL-SG108E Switch
Telecamera hikvision DS-2CD2323G0-I
Nano Router TP-Link TL-WR802N

Sottotitoli del video
vai al minuto 0:00:15
Nel programma televisivo di Report, che potete  vedere anche su YouTube nel video dal titolo: l’occhio del dragone, affermano che se si apre il sistema ad internet, in pochi minuti si possono vedere migliaia di tentativi di comunicazione con l’esterno.
 
vai al minuto 0:00:30
Se avete delle telecamere Hikvision e volete controllare personalmente questi tentativi di connessione, potete farlo molto facilmente, perché è sufficiente uno switch con la funzione di port mirror ed un tools gratuito come WireShark.

vai al minuto 0:00:40
Ora vi mostro come si può fare.
Questa è la mia telecamera della Hikvision che è alimentata a 12Volt ed collegata in rete tramite un cavo  

vai al minuto 0:00:52
Ethernet, questo di colore blu.
Il cavo della telecamera è collegato sulla porta numero 4 dello switch.
Nella descrizione vi lascio il modello dello switch.
 
vai al minuto 0:01:02
Il cavo Ethernet di colore giallo, collegato alla porta numero 6 dello switch, è quello del computer utilizzato per l’analisi  del traffico.
Lo switch è stato configurato in modo tale che tutto il traffico della porta numero 4 verrà inviato anche alla porta numero 6.

vai al minuto 0:01:18
Sulla porta numero 1 è stato collegato un dispositivo Wireless in modalità client.
Questo dispositivo mi permette di collegate lo switch a questo router 4G per la connessione a internet.
 
vai al minuto 0:01:29
Ora vediamo come configurare lo switch per il mirroring del traffico.
Questa è l’interfaccia web di gestione dello switch.
Tra le funzioni di monitoraggio troviamo la voce Port Mirror.

vai al minuto 0:01:41
Nella sezione Port Mirror, dobbiamo scegliere la porta che deve ricevere il traffico duplicato, o meglio, la porta sulla quale è collegato il computer con il programma per l’analisi del traffico di rete. Nel mio caso ho scelto la porta 6.

vai al minuto 0:01:58
Nella sezione subito sotto, troviamo la lista delle porte il cui traffico deve essere analizzato.
Scegliamo la porta numero 4 in cui è collegata la telecamera.

vai al minuto 0:02:03
Come vedete la porta 6 non è selezionabile, perché funziona già da porta mirror.
Alla destra della porta, possiamo scegliere se inviare alla porta 6 solo il traffico in uscita o in entrata dalla porta 4.

vai al minuto 0:02:18
Io ho scelto di inviare il traffico che transita in entrambi le direzioni.
Prima di iniziare ad analizzare il traffico di rete della telecamera, accertatevi di aver abilitato l’accesso alla piattaforma dall’interfaccia web di gestione.
 
vai al minuto 0:02:30
L’accesso alla piattaforma ci permette di poter accedere alla telecamera da remoto quando non disponiamo di un indirizzo IP pubblico che ci permette di poter accedere direttamente a determinati servizi all’interno della nostra rete.
 
vai al minuto 0:02:42
Nel mio caso, con una connessione 4G della Tre, se non utilizzo l’accesso alla piattaforma, non ho altro modo per accedere alla telecamera da remoto.
Abilitando la piattaforma, autorizziamo la telecamera a creare una connessione in uscita dalla nostra rete al server di hikvision.

vai al minuto 0:02:56
L’indirizzo a cui accede lo trovate nel campo Indirizzo IP server.
Prima di avviare la cattura dei pacchetti con WireShark spegnete la telecamera e accendetela quando la cattura è stata avviata, in questo modo andremo ad analizzare anche i pacchetti che la telecamera genera all’accensione.

vai al minuto 0:03:12
Per visualizzare solo il traffico che ci interessa ho applicato dei filtri.
Nei primi due gruppi delimitati dalle parentesi tonde visualizzo le interrogazioni DNS della telecamera.
L’indirizzo IP della telecamera è 192.168.1.129 e il servizio DNS risponde sulla porta udp numero 53.

vai al minuto 0:03:33
Nell’ultima parentesi visualizzo solo i pacchetti della telecamera che hanno il FLAG SYN impostato. 
Siccome avevo aperto l’interfaccia di gestione della telecamera sul computer con indirizzo IP 192.168.1.101 che generava parecchie connessioni verso la telecamera, con l’ultimo parametro ho escluso anche questi pacchetti.

vai al minuto 0:04:00
Ho escluso anche le connessioni generate con IP destinazione 192.168.1.253, perché sono dispositivi della mia rete e sono interessato solo al traffico destinato ai server esterni alla mia rete.
Ho selezionato solo i pacchetti con il flag SYN, perché sono quelli che vengono generati alla richiesta di una nuova connessione.

vai al minuto 0:04:21
Abilitando l’accesso alla piattaforma, dovremmo vedere questi pacchetti con l’indirizzo IP di destinazione del server della piattaforma Hik.connect.com che abbiamo visto nella configurazione.
Appena la telecamera si accenderà inizieremo a vedere qualche pacchetto.

vai al minuto 0:04:38
I primi che vediamo sono quelli del servizio DNS sulla porta 53.
C’è la richiesta della telecamera di risolvere il dominio del servizio di posta di libero perché sulla telecamera ho configurato l’invio della mail al rilevamento del movimento.

vai al minuto 0:04:53
Subito dopo c’è la richiesta DNS per il server della piattaforma.
Come vedete il nome di dominio è lo stesso che è stato inserito nella configurazione della telecamera. 

vai al minuto 0:05:03
Come possiamo vedere dalla risposta, il dominio del server della piattaforma è solo un alias che fa riferimento ai server di Amazon che hanno un nome di dominio lunghissimo.
Sarà il domini di quinto livello di Amazon ad essere poi risolto in tre diversi indirizzi IP.

vai al minuto 0:05:26
Sotto le interrogazioni DNS possiamo vedere il primo pacchetto di richiesta di connessione verso il server Amazon, che fornirà, appunto, il servizio cloud per Hikvision.
Se poi utilizziamo il comando nslookup da DOS per risolvere l’indirizzo IP di destinazione del pacchetto nel nome di dominio, possiamo vedere che si tratta di un server Amazon.

vai al minuto 0:05:44
Possiamo verificare anche il secondo indirizzo IP: 52.213.8.106.  
Si tratta sempre di un server Amazon.
Dopo qualche minuto è apparsa ancora una richiesta di connessione all’indirizzo IP 162.62.57.218.

vai al minuto 0:06:13
Proviamo a risolverlo con il comando nslookup.
Per questo indirizzo non esiste un nome di dominio.
Se siete curiosi e volete sapere dove si trova questo indirizzo, da chi è stato registrato e quando ecc… copiate l’indirizzo IP e utilizzatelo nel campo di ricerca del portale Whois Lookup.
 
vai al minuto 0:06:36
Da questo portale possiamo vedere che si tratta di un indirizzo di Singapore e che è stato registrato dalla società Tencent.
Il dominio della società lo possiamo ricavare anche dall’indirizzo mail.

vai al minuto 0:06:45
Dal nome della mail e dalla descrizione possiamo intuire che questa società fornisca il servizio cloud.
Possiamo anche dare un occhiata al sito della società per vedere che cosa fanno.  
Infatti Tra i loro servizi possiamo vedere che c’è anche il cloud.
 
vai al minuto 0:07:00
Questa invece è l’interrogazione sull’indirizzo IP del cloud di Amazon.
In questo caso l’indirizzo risiede a Dublino.
Trovo strano che la telecamera apra una connessione ai cloud situati a Singapore quando sta già utilizzando i cloud di Amazon situati a Dublino.
 
vai al minuto 0:07:15
Ora vediamo se queste connessioni vengono generate se disabilitiamo l’accesso alla piattaforma.
Sempre nell’interfaccia di gestione della telecamera disabilitiamo l’opzione.
Dopo aver salvato le modifiche spegniamo e riaccendiamo la telecamera.
 
vai al minuto 0:07:31
Dal programma di analisi avviamo una nuova sessione e attendiamo i nuovi pacchetti.  
Questa volta è presente solo la richiesta DNS per il server di posta e non quella per il cloud.
Ho atteso un paio d’ore e non sono state generate richieste di connessione a server esterni.
 
vai al minuto 0:07:52
Come avete visto le richieste di connessione avvengono solo se abilitiamo l’accesso alla  piattaforma, condizione necessaria se intendiamo utilizzare il sevizio per l’accesso remoto alla telecamera, ma questo, solo se non disponete di un indirizzo IP pubblico.