Не гарантийный случай или низкое качество оборудования? Не гарантийный случай или низкое качество оборудования?
 Повышение точности подсчета посетителей с использованием 3D-технологий Повышение точности подсчета посетителей с использованием 3D-технологий
20 лет Спецлаб: Есть ли жизнь без рекламы? 20 лет Спецлаб: Есть ли жизнь без рекламы?
Линейка видеодомофонов от компании Телеметрика Линейка видеодомофонов от компании Телеметрика
Как фактически измеряется конечная польза от системы видеонаблюдения? И можно ли вывести эту пользу на новый уровень? Как фактически измеряется конечная польза от системы видеонаблюдения? И можно ли вывести эту пользу на новый уровень?
Главная » Новости » Новости "Моста Безопасности" » Уязвимости IP оборудования видеонаблюдения различных брендов. Часть 1

Уязвимости IP оборудования видеонаблюдения различных брендов. Часть 1

Уязвимости IP оборудования видеонаблюдения различных брендов. Часть 1

11.11.2014
Уязвимости IP оборудования видеонаблюдения различных брендов. Часть 1

iTuneDVR

Статья публикуется в авторской редакции

Аксиома Робертса: Существуют только ошибки

Следствие Бермана:Что для одного ошибка, для другого - исходные данные

Безопасность в любой сфере жизнедеятельности всегда стоит на первом месте наравне с выживаемостью. Подверженность различного рода напастям присуще для всего того, что создано человеческими руками, потому как подвержено в максимальной степени риску допущения ошибок – как сознательного так и беЗсознательного характера.

На протяжении длительного времени изучая различные системы и программное обеспечение, связанного с ними, у меня накопилось много наблюдений и опыта, некоторыми из которых могу поделиться. Поскольку целью подобных занятий всегда был исключительно познавательный процесс, и всё, что делалось когда-либо мной, было всегда с удовольствием. Это и дало множество интересных результатов, в которых нет корыстной составляющей, наживы на счёт и за счёт этого.

В последнее время меня заинтересовали задачи, связанные с темой систем видеонаблюдения, коих на сегодняшний день очень много, в особенности, чинайского происхождения и производства.

Большинство систем построено на основе различных ядер линукс. Практически каждый из производителей таких систем это ставит в заслугу именно своей системы, непременно рассыпая весь букет достоинств, надёжности и безопасности системы и пр. Но, как оказалось, не всё так хорошо, надёжно и спокойно не только в датском королевстве, но и за его пределами.

Занимаясь внедрением информационных технологий, мне пришлось копнуть чуть глубже и погрузится в изучение прошивок различных производителей и их непосредственной работы на самих системах видеонаблюдения.

В зависимости от поставленных мной задач и строилось изучение той или иной системы, с которой приходилось реально сталкиваться в процессе внедрения. Многое из оборудования, что представлено на рынке продукции видеонаблюдения, попало под пристальное моё внимание, и некоторым производителям этой техники будет посвящены серии статей на вышеуказанную тему, которые открылись на момент их обнаружения.

Нюансов в работе различных систем бывает много, однако, нюансов в безопасности работы систем видеонаблюдения, просто не должно быть.

Обнаруженные нюансы и подмеченная информация, долгое время лежали без использования в надежде, что залатают "дыры" и исправят недочёты.

Прошло какое-то время, а воз и ныне там, а это значит, что работой над ошибками производитель не занимается. Конечно, этому может быть целый и вполне объективный ряд причин. Но, возможно, опубликованный ряд статей придаст некий импульс в данном направлении.

Обращаться напрямую к производителю – не вижу большого смысла. В условиях рынка мощным рычагом управления является покупательская способность, не всегда связанная с благосостоянием, но не последнюю роль в которой играет надёжность и безопасность этой продукции от воздействий извне. Этим инструментом я и предполагаю воспользоваться, опубликовав ряд статей на различных форумах со сходной тематикой.

Я не собираюсь сражаться с ветряными мельницами и целью этой серии статей будет исключительно информирование всех заинтересованных сторон. Выбор способа я оставляю за собой.

Конечно, в этих статьях я не собираюсь выкладывать конкретные рецепты т.к. использование их в текущей ситуации крайне негативно скажется на всех, однако общее описание простым литературным языком позволит внимательней отнестись всем к своим решаемым задачам.

Возможно, кому-то это покажется наивным или надуманным, глупым или опасным, а кого-то это вообще не будет волновать, но, по моему мнению, это касается всех имеющих отношение к цепи "Производитель-Дистрибьютор-Дилер-Инсталлятор-Потребитель". Я выражаю лишь своё мнение, без навязывания его кому-либо.

Первоначальное название серии было "Дыры IP оборудования видеонаблюдения", но в позже решил сменить на "Уязвимости", которые, как предполагаю, устранят.

Уязвимости IP камер Hikvision

Прежде, чем озвучить лишь некоторые обнаруженные уязвимости этого производителя, заранее оговорюсь и напомню. Единственной целью данных статей будет исключительно информирование всех причастных сторон о некоторых, на мой взгляд в данном случае, сквозных отверстиях в системе безопасности, позволяющий получить несанкционированный доступ и возможность манипулировать параметрами IP камер бренда Hikvision и всех остальных устройств, созданных на его основе под иными брендами, но с тем же, по сути, кодом. В данной статье сознательно не приводятся конкретные примеры вызовов и обращении к IP камерам, логи, листинги кода, дабы избежать негативных последствий непосредственного использования информации для всех пользователей этих устройств.

Вопросы безопасности очень щепетильны, и всегда болезненны и неприятны, когда это касается открывшихся обстоятельств, позволяющих, вне зависимости от мотивов и целей стороннего наблюдателя/пользователя, как получить несанкционированный доступ к устройству и воспользоваться данным обстоятельствам в своих целях, так и, вняв данной информации, провести соответствующие организационные мероприятия по возможным противодействиям данным уязвимостям. Оценку этих целей я не даю, т.к. каждый должен понимать значение слова безопасность и никакой выгоды для себя не преследую.

Конечно, для написания статей, не обошлось и без вдохновения некоторой информацией, коей достаточно в свободном доступе в сети интернет; остальное же – собственный опыт, исследования и выводы из них собственного помола и замеса. Что из этого выйдет, посмотрим. ;)

Для начала, абстрагируясь от конкретного производителя IP камер, можно сказать, что их выбор покупателем обусловлен множеством различных факторов.

На мой взгляд, один из них:

наличие или отсутствие возможностей авторизации типа логин/пароль для доступа к ресурсам устройства, а также получение служебной информации об устройстве, предполагается быть надёжным в персональном использовании, но, в тоже самое время, и безопасным при передаче данных параметров в сети или использоваться с заранее известными оговорками, озвученными производителем публично и о которых должен быть в курсе сам потребитель данного изделия.

 

Итак начнём ;).

Уязвимости IP оборудования видеонаблюдения различных брендов. Часть 1 >>>

IP, видеонаблюдение

« Предыдущая новость |Следующая новость »

 

Регистрация

Рассылка

Подпишитесь на электронную газету: она будет приносить новости на Ваш компьютер.
Охранные системы

Ближайшие выставки по безопасности

Календарь выставок
закрыть