Уязвимости в безопасности IP устройств различных брендов. Hikvision. Часть 1

Большое спасибо автору статьи за сообщение. Мне информация показалась интересной и полезной, хотя и грустной. Отдельная благодарность за смелость, поскольку известным брендам предьявлены конкретные претензии и оставить без внимания они это не смогут. Замолчать - да, но не обратить внимания - врядли.

Если всё изложенное - правда, а у меня нет оснований не верить и возможности проверять,- очень жаль. Как ни странно подобные недоработки сразу подхватывают антагонисты:

1) противники "ШЗ", размахивая ими в качестве "доказательтв несостоятельности ШЗ";

2) менакеры от продаж дорогого оборудования в качестве объяснения, отчего оно дороже...

Я поддерживаю пожелания участников оценить сетевую безопасность IP камер других производителей. Можно попробовать помучить и создателей облачных сервисов. Так мои просьбы к Ivideon рассказать подробнее об их сетевой безопасности пока остаются без ответа...

Более того, я готов участвовать в таких оценках и лично и материально (удалённо предоставлю испытуемых); но мне не хватает ни знаний ни опыта подобных действий, поэтому прошу автора статьи взять на себя техническое руководство.

1) противники "ШЗ", размахивая ими в качестве "доказательтв несостоятельности ШЗ";

я не увидел доказательств " несостоятельности ШЗ " ...автор не топчет , не втаптывает в грязь . не отвергает IP технологии в системе видеонаблюдения ...он слегка высвечивает ряд категорически нерешаемых производителями проблем ....

на следующей неделе думаю будет продолжение статьи и оно должно быть более ощутимее на вкус и цвет , и понятнее для пользователей как начинающих так и опытных .

TechSupport!

Большое спасибо автору статьи за сообщение. Мне информация показалась интересной и полезной, хотя и грустной. Отдельная благодарность за смелость, поскольку известным брендам предьявлены конкретные претензии и оставить без внимания они это не смогут. Замолчать - да, но не обратить внимания - врядли.

Благодарствую за Ваш отзыв!

Да, это как один вариантов и приёмов, которые могут быть применены при "очернении" того или иного бренда, как конкурента, если иссякли другие нормальные способы или просто на это таких уязвимостей, те неудобства, которые есть в их оборудовании уже не кажутся такими неудобными, в сравнении с открывшейся информацией об уязвимости у других.

Любую информацию можно использовать, как в одну, сторону, так и в другу.

Я не ставил целей, каким-то образом опорочить, те бренды и организации, ко котороых исложил в статье или буду излагать в других, я лишь пишу так как оно было и есть на самом деле.

Уязвимости будут описаны и у других прозводителей, даже если они продают аналоговые регистраторы, то всё равно как правило они подключаются к ЛВС и могут быть подвержены тем же проблемам и уязвимостям! ;)

Я поддерживаю пожелания участников оценить сетевую безопасность IP камер других производителей. Можно попробовать помучить и создателей облачных сервисов. Так мои просьбы к Ivideon рассказать подробнее об их сетевой безопасности пока остаются без ответа...

Как я и писал, в однм из постов этой ветки, что тоже имел опыт общения с представителями iVideon и есть ряд подмеченных моментов, связанных с их модулем интрегрированным в ПО прошивки для IP камер серии раптор.

Не думаю, что стоит ожидать, каких-то подробностей от них т.к. это может неблагоприятно отразится на их бизнесе, ав вот вгляд изнутри на проблему, может выявить и без их участия что-то интересное и оно уже есть!

Этой теме, в рамках произвоителя Hikvision и инттеграции модуля iVideon, я писал на разных форумах, и этому будет посвящена отдельная статья в рамках серии статей про "Узявимости в безопасностьи IP оборудования. Когда это будет, пока не знаю.

Более того, я готов участвовать в таких оценках и лично и материально (удалённо предоставлю испытуемых); но мне не хватает ни знаний ни опыта подобных действий, поэтому прошу автора статьи взять на себя техническое руководство.

Я не считаю себя гуру в этих вопросах, а просто занимаюсь любимым делом. Если вдруг потребуется чья-то помошщь или ресурсы, то я буду знать к кому обратиться ;)

kombinator!

я не увидел доказательств " несостоятельности ШЗ " ...автор не топчет , не втаптывает в грязь . не отвергает IP технологии в системе видеонаблюдения ...он слегка высвечивает ряд категорически нерешаемых производителями проблем .... на следующей неделе думаю будет продолжение статьи и оно должно быть более ощутимее на вкус и цвет , и понятнее для пользователей как начинающих так и опытных .

Дело не в несостоятельности, а в том что, как я уже описал чуть выше, просто этим могут воспользоваться для увеличения своих продаж, тыкая носом в статью или обсуждение, даже может ыть до коца не понимая сути написанного. Типа : у них так всё плохо и вумные люди писать дурного не станут просто так, а у нас всё хорошо т.к. нигде и ничего такого не написано ;)

Проблемы у всех могут быть куда глубже т.к. многие использую старые ядра линукс без, которые подвержены разным напастям. Конечно есть и те, кто идёт в ногу и использует новые ядра линукс, но и это может не являться 100% гарантией защиты, безопасности и устойчивости работы.

Я полагаю, что о 100% гарантии безопасности говорить серьезно вообще не приходится для любых технологий. Здесь, мне кажется, нужно говорить о бОльшей или мЕньшей безопасности технологий, которые решают одинаковые, или близкие задачи. Например: я верю, что передача видео от камеры до сервера по IP сетям безопаснее, чем в аналоговых системах; но сказать, что такая передача абсолютно безопасна на всех участках (камера - сервер - облако - клиент) не может сейчас никто и не сможет в будущем. Здесь можно только оценивать вероятность перехвата, фальсификации, или повреждения информации и то такие оценки будут не точными. Наверное реальным результатом оценки безопасности камер и СВН вцелом может стать свод правил, что можно сделать, чтобы повысить безопасность и рекомендации, какие технологии сетевой безопасности обязательно нужно спрашивать при выборе оборудования.

TechSupport!

Я полагаю, что о 100% гарантии безопасности говорить серьезно вообще не приходится для любых технологий. Здесь, мне кажется, нужно говорить о бОльшей или мЕньшей безопасности технологий, которые решают одинаковые, или близкие задачи.

Мне кажется, всё зависит от преследуемых целей производителя и поставленных задач непосредственно разработчикам таких систем. Можно спорить до хрипоты в горле, что может быть безопасным, уже сделано безопасным и стоит делать безопасным вообще, приводя разные тому доводы. Как вода найдёт брешь там где она есть и разрушит плотину безопасности, сметая всё на своём пути, так и уязвимости в широкораспространённых системах могут привести к разного рода негативным последствиям. Речь ведь не идёт о карандашах из ларька Союзпечать, а об объективных, независимых, неподкупных системах видеофиксации и наблюдения, всё таки!

Наверное реальным результатом оценки безопасности камер и СВН вцелом может стать свод правил, что можно сделать, чтобы повысить безопасность и рекомендации, какие технологии сетевой безопасности обязательно нужно спрашивать при выборе оборудования.

Да, но кто-ж об этом скажет покупателю? И где?

Как Вы уже сделали намёк в предыдущем Вашем посте, рынок может расставить всё по своим местам, если кто-то сыграет на опережение и использует эти идеи и мысли, как повод устранения у себя подобного, продвижения своей продукции, за счёт указания на "уязвимости" у других и так далее. Кто покупается, тот и успешен, а договорится тут, как это иногда бывает по одинаковым ценам на оборудование в розницу, думаю тут не получится.

В бизнесе нет понятие дружбы, и каждый начнт тянуть одеяло исключительно на себя, воспользовавшись предоставившемся ему шансом, однако и он может не устоять так как всего лишь продаёт временно, о чём еще не написали про его уязвимости.

Пример, из недавнего прошлого "дутая проблема 2000". Покупатель отдавал предпочтение тому, у кого этой проблемы не было или он готов был отдать деньги для того чтобы ему её устранили, но это уже другая тема! ;)

Да, но кто-ж об этом скажет покупателю? И где?

TechSupport!

Кто: Вы... ну и мы "подпоём". Где: здесь, на сайтах участников.

;)

Конечно, я не настаиваю на своём мнении, а лишь только его выражаю. Будет оно услышано, принято на вооружение или пропушено мимо ушей - сказать сложно.

Я думаю, что Юрий Михелевич не будет возражать против рейтинга "безопасности сетевых камер" на Мосту, или чего-то подобного

Тут, как мне кажется, а Юрий Михелевич меня поправит, игра на грани фола. Объективно оценить сложно и принять Соломоново решение в данном вопросе, учитываю, что всё-таки это коммерческий СМИ и цели и задачи тут несколько другие.

На своём сайте, на его формуме, на странице в контакте, я могу спокойно излагать свои мысли и не держать ни перед кем отчёта, а как тут отразятся эти мысли - не знаю ;)

Объективно оценить сложно и принять Соломоново решение в данном вопросе, учитываю, что всё-таки это коммерческий СМИ и цели и задачи тут несколько другие.

kombinator!

Если надо принять Соломоново решение то позовём Юлия Соломоновича Гусмана ))

;)