Уязвимости в безопасности IP устройств различных брендов. Hikvision. Часть 1

я верю, что передача видео от камеры до сервера по IP сетям безопаснее, чем в аналоговых системах; но сказать, что такая передача абсолютно безопасна на всех участках (камера - сервер - облако - клиент) не может сейчас никто и не сможет в будущем

Безопасность - это как конь сферический в вакууме... Отправная точка в целом понятна, но как применить и оценить - неясно.

Уязвимости сами по себе, в отрыве от практике, тоже не особо интересны.

Дык может подойти с другой стороны? Давайте сформулируем набор требований, на соответствие которым можно будет оценить оборудование, и укажем почему это важно??

Например, первая заявленная "уязвимость" - передача логина и пароля в открытую. Чем это опасно? Очевидно, тем, что я могу их перехватить и затем зайти на камеру и изменить настройки (или просто выключить). Споры о степени такого риска могут быть долгими и безрезультативными.

Но давайте сформулируем Требование №1: IP камера должна работать в сетях общего доступа. Отсюда следует, что и анализ трафика НЕ ДОЛЖЕН дать возможность выявить логины/пароли, и другие детали вылезут...

Но имея такое требование можно будет каждую камеру "приложить" к этому требованию и дать однозначный ответ: соответсвует или нет.

И тогда мы уже получим практический результат: колонка требований, строка марок, в пересечениях однозначный результат (Да/Нет).

(Гы... этак мы и до независимой лаборатории можем дойти...)

Мысль другая, поэтому отдельным постом пишу.

А чем опасны уязвмости? Мне очевидны следующий варианты:

1. злоумышленник в нужное ему время может выключить видеокамеру. Сам факт отказа, конечно, выявит, но какое-то время данных не будет.
2. подделка видеопотока. Манипулируя настройками камеры выключаю ее (или вывожу из обмена), подключаю какой-то свой девайс, который выводит картинку от якобы работающей видеокамеры. Глюк на 1 секунду, и опять идет видео от камеры. А на самом деле я передается обманная картинка.

Есть формализованные описаниия подобных угроз? Может, я Америки открываю?

Например: я верю, что передача видео от камеры до сервера по IP сетям безопаснее, чем в аналоговых системах;

Какой опасности подвергается передача аналогового сигнала по коаксиальному кабелю ?

Только ненадо примеров из американских блокбастеров " Скорость " и прочих голливудских страшилок .

Реально , кто , где , и как врезался в коаксиальный кабель ? кому известны такие примеры ?

Андрей!

Безопасность - это как конь сферический в вакууме... Отправная точка в целом понятна, но как применить и оценить - неясно

Я не давал определение этому термину, а предложил каждому попытаться озоснать, что это такое применительно к его возможным ситуациям, прошлому опыту. Однако, откачав воздух из колбы, не следует навызать содержимое колбы вакууумом и при этом распространять это же понятие на всё остальное "безвоздушное пространство" за пределами атмосферы.

Уязвимости сами по себе, в отрыве от практике, тоже не особо интересны.

В статье приведены не теоритические, возможные или допустимые выкладки, а строго практические, которые дают пишу для размышлений. Если читатель никогда не сталкивался на практике с подобными ситуациями, то конечно нему сложно понять технические моменты, однако с обывательской стороны думаю не укого не должно остаться сомнений, что это опасно т.к. оборудование уже широко распространо и применяется исключительно для целей независимого фиксирования происходящих событий.

Не думаю, есть иная цель в установке этоого оборудования типа: ради интереса, прикола, выброса денег на ветер и пр.

Чтобы не тратить время своё и других, в статье и в обсуждении, я указал, что устранение уязвимостей - на стороне разработчиков, а создавать рабочие группы, комитеты и пр. не стоит т.к. кто будет читать, а главное прислушиваться к этим материалам; кто будет выявлять такие вещи и контролировать во времени в выходом новых прошивок?

Возможно, когда накопится соотвествующий материал, его как-то надо будет свести в некую таблицу в перекрестии столбцов и строк, которых будут стоять некие значения, кем-то оцененные. Для этого нужно немало времени и сил, а труд этот никому уже не будет нужен т.к. технологии уже давно ушли вперёд.

Прелесть способа, который я выбрал, как рычаг воздейтвия на ситуацию, заключается в том, что он самодостоточен и эффективен по всем затратам и будет продуктивен, если ко всему этому просто не прислушается. Под продуктивностью я понимаю здесь действия, которые могут быть оказаны извне злоумышленниками на системы безопасности, компонентами которой служат такие IP видеоустройства.

Например: я верю, что передача видео от камеры до сервера по IP сетям безопаснее, чем в аналоговых системах;

TechSupport

Какой опасности подвергается передача аналогового сигнала по коаксиальному кабелю ?

Только ненадо примеров из американских блокбастеров " Скорость " и прочих голливудских страшилок .

Реально , кто , где , и как врезался в коаксиальный кабель для подмены картинки ? кому известны такие примеры ?

Можно угробить любой ящик DVR , NVR , Коммутатор . Взрезав коаксиал или витую пару и подать 220 вольт на провод .

В чём передача IP безопаснее ?

Вот вам и пример ;)

DM: «русские хакеры» следят за британцами через веб-камеры20.11.2014, 08:52 | «Газета.Ru» «Русские хакеры» следят за британскими семьями через веб-камеры, утверждает The Daily Mail со ссылкой на управление комиссара по информации (ICO). По данным газеты, полученное из частных компьютерных сетей видео транслируется на мошеннических сайтах. Это позволяет любому пользователь «шпионить» за британцами в режиме реального времени, добавляет издание.На «русском сайте», с которым ознакомилась газета, можно увидеть записи с сотен камер, установленных в гостиных, спальнях, садах и подъездных дорожках к дому по всей Британии, говорится в статье. Кроме того, на этом портале якобы хранятся видео из британских офисов, магазинов, спортзалов, пабов и других заведений. Самыми шокирующими являются записи с детских мониторов, утверждает издание.Как отмечает газета, на сайте также публикуется точное местоположение камеры и почтовый индекс места, где она установлена. В общей сложности на ресурсе, который изучило издание, можно увидеть данные с 600 камер. Предполагается, что в интернете существуют десятки подобных сайтов, добавляет газета.ICO призывает пользователей сменить пароли или отключить камеры от интернета.

http://www.gazeta.ru/tech/news/2014/11/20/n_6666929.shtml

Я не давал определение этому термину,

Сферический конь в вакууме — выражение, обозначающее некую идеальную концепцию, оторванную от реальной жизни.

Источник

Происхождение и использование

Идиома происходит из анекдота^[10]. Пародируются многочисленные физические выкладки, в которых часто для упрощения делаются допущения, приближающие ситуацию к идеальной. Например, в классической механике часто прибегают к абстрактному понятию абсолютно упругого тела; в электродинамике и оптике используется описание поведения электромагнитных волн в вакууме (что более достижимо, чем абсолютная упругость); в термодинамике газов и аэрогазодинамике распространено применение математической модели идеального газа. Допущения об идеальной сферичности тоже часто можно обнаружить в той или иной области физики. Впоследствии смысл был перенесён на любую ситуацию, в которой упрощённые идеализированные модели выдаются за реальные практические достижения.

При использовании словосочетания в речи слово «конь» может быть заменено другим существительным, подходящим к конкретному случаю.

Тут, как мне кажется, а Юрий Михелевич меня поправит, игра на грани фола. Объективно оценить сложно и принять Соломоново решение в данном вопросе, учитываю, что всё-таки это коммерческий СМИ и цели и задачи тут несколько другие.

Уважаемые коллеги!

Я думаю, что хоть и с опозданием (и не совсем в тему), но все же должен обозначить свою позицию.

1. Для меня честь (и в какой-то мере законное удовлетоврение от многих лет работы по созданию творческой атмосферы на "Мосту"), что грамотные и неравнодушные специалисты выбирают наш портал в качестве места для серьезных и бескомпромиссных обсуждений реальных проблем.

2. Я не преследую цели создания какой бы то ни было ажиотажности вокруг обсуждаемых на Форуме проблем (активность на сайте хороша, но не любой ценой: мне претит популярность скандального типа). Выбор того, что и как обсуждать, остается за вами.

3. Уверен, что и автор публикации, iTuneDVR, и читатели статьи не преследуют цели свести счеты с кем-то из возможных конкурентов, либо выставить какую-то конкретную компанию в невыгодном свете и т.п. Но и не может быть серьезного обсуждения без конкретики ("если кто-то кое-где у нас порой..."). Гарантом объективного, независимого подхода может быть равное внимание ко всем производителям IP-оборудования.

4. Обрадуются ли производители такому вниманию? Едва ли. Во всяком случае поначалу можно ожидать либо замалчивания проблем, либо негативной реакции (потом, с осознанием полезности затрагиваемых в обсуждении вопросов, я думаю, такая позиция может/должна измениться).

5. Рассказывать лишь о достоинствах IP-видеонаблюдения и при этом умалчивать о возможных дырых в безопасности самого оборудования, создаваемого для повышения безопасности людей и объектов, я считаю, по меньшей мере, несерьезно, по большому счету преступно. Это как подарить человечеству электричество или рентгеновскую технологию и при этом не предупреждать о возможных опасностях здоровью и жизни человека.

6. Мои коммерческие успехи/неуспехи в связи с данной (да и вообще любой) публикацией пусть вас, уважемые коллеги, не тревожат. Самое большее - какие-то компании не будут давать на "Мосту" свою рекламу (мы готовы это пережить). Поэтому обращаюсь ко всем: мы уверены, что вы сохраните приверженность здравому смыслу, искреннему желанию разобраться в непростых проблемах, чтобы помочь всем - и покупателям, и продавцам оборудования для IP-видеонаблюдения добиваться наилучших результатов. Если посчитате, что для этого полезным окажется рейтинг безопасности - давайте создавать такой рейтинг. Если можно выработать какие-то простейшие рекомендации по выявлению "дыр" - создавайте подобные рекомендации (уверен, они будут приняты с благодарностью)

Смело общайтесь без оглядки!

Уверен, что это на пользу всем нам.

Андрей!

Сферический конь в вакууме — выражение, обозначающее некую идеальную концепцию, оторванную от реальной жизни.

Я про термин безопасность, которая сплошь и рядом бьёт по всем местам и очень практически и очень больно если пренебрегать ей ;) ;) ;)

Я думаю, что Юрий Михелевич не будет возражать против рейтинга "безопасности сетевых камер" на Мосту, или чего-то подобного

А я бы на месте Юрия Михелевича возражал. Не встречал еще ни одного форума ни по какой-либо теме, где какие-либо попытки выявления "лучшего" не заканчивались банальной склокой. Даже на моих любимых охотничьих и собачьих форумах. Как только следует вопрос какого-либо новичка (старожилы ничего подобного никогда не поднимают): "Какое ружье лучшее...?", "Какая собака лучшая...?", один из первых ответов: "Сейчас начнется...."

Во-первых, значимость критериев, которая (значимость) может быть очень и очень различной в зависимости от задачи, и то, что один оппонент может ставить во главу угла, другому может оказаться вообще "до фонаря". Второе - методики определений. Да, просто компетентность в вопросах определений параметров.

Сам насмотрелся на тех же АПВСах - "лучший кабель" - UTP, потому что импортный. Включаем на монитор и тащимся от контраста изображения, абсолютно не затрагивая ни "судьбу" синхроимпульса, ни гасящего. В общем, в конце непременно махач с ненормативной лексикой. Думаю, здесь все закончится тем же.