Военные хакеры США проникли в российские системы

Андрей!

Конечно, спасение утопающего дело и только в руках самого утопающего и никак по другому на данный момент ;)

Закрывать исходящие порты на роутере. Серьезно??? ;) ;) ;)

В регистраторах Dahua (разные модели, как снятые с производства и поддержки, так и актуальные и поддерживаемые в ряде недавних прошивок) выставленных наружу только медиа портом, одна из уязвимостей такова, что позволяет неавторизованому пользователю, определенными запросами на меда порт, позволяет получить информацию о всех пользователях системы с их хэшами-паролями и другими настройками в открытом виде. Зная алгоритм хешей-паролей их можно сбрутить и получить доспуп к видео данным.

Простые роутеры, которые в большинстве распространеные у обычных пользователей, не позволяют заклядывать в пакеты и анализировать их на лету, принимая решения пущать али нет. Это как правило уже профессиональное сетевое firewall оборудование: fortinet, cisco и т.п., по возвозрастающей, а еще и надо знать как писать такие шаблоны. Нехилые зататы, чтобы обезопасить недорогую железку уже снятую с поддержки и продаж и актуальные тоже.

Как быть? Что делать?

Продано очень много устройств и они так и останутся дырявыми. В новых возможно будет иначе или в тех, которые пока поддерживаются, но как правило тенженция у всех одна, как и цель: продажа нового оборудовния, а иначе им не выжить! ;) А вот поддержка она тянет и затратна, если её делать так как надо!!!

Но, это лишь одна из уязвимостей у одного бренда, а сколько их на самом деле не выясненых?

А сколько уязвимостей у других брендов???

Поясните, плз, что имеете в виду? И что может быть результатом такого воздействия?

В неведении голосуют как правило кошельками, а тут уже предупрежден (в журнале техники безопасности расписался - все остальные проблемы чисто твои ;)?, значит думай! ;)

Внедренцам и инсталяторам проблемы не нужны, дистрибтюторы тоже не хотят паденния продаж, а к уже имеющимся проблемам и нюансам эксплуатации технкики обычными пользователями, а тут еще ниоткуда такие проблемы.

Рычаг воздействия - информирование в широких кругах, а результатом будут правильно отданные голоса кошельков заинтересованных, за оборудование без проблем.

А оно вообще есть такое? Кто-то независимо тестил и составлял объективно картину? Все ли "йогурты" одинаково полезны ;)

Мне кажется, в данном случае, рынку, а в первую очередь потребителю, нужна помощь и поддержка со стороны сильного!

Рычаг воздействия - информирование в широких кругах, а результатом будут правильно отданные голоса кошельков заинтересованных, за оборудование без проблем.

Эти Ваши слова можно трактовать только так: рычага воздействия нет. Ибо:

1. оборудования без проблем нет. Кто может дать гарантию, что оборудование безопасно? Что завтра не выявится новая уязвимость, о которой сегодня мы не знаем. "Мы были искренне в своих заблуждениях!" ?
2. Уязвимости практически не затрагивают интересы потребителя. Эти уязвимости для потребителя несут угрозу не более, чем отказ любой другой техники (HDD, принтера, мобильного телефона). Так что ШЗ видеооборудование можно рассматривать на уровне "интернет вещей".
3. а кошелек всегда говорит одно: если все одинаково, то зачем же платить больше?

Андрей!

Эти Ваши слова можно трактовать только так: рычага воздействия нет.

Уязвимости практически не затрагивают интересы потребителя. Эти уязвимости для потребителя несут угрозу не более, чем отказ любой другой техники (HDD, принтера, мобильного телефона). Так что ШЗ видеооборудование можно рассматривать на уровне "интернет вещей".

Трактовать не нужно, рычаг используют или нет, чтобы сдвинуть огромную каменюгу перед собой и каждый это делает как для себя, так и для и ради других.

Как ни ругай цивилизацию и производителей вообще, были и есть очень хорошие примеры с отзывом оборудования (не везде, но всё таки есть). Проблемы в автомобилях с деталями, которы только МОГУТ привести к проблемам с БЕЗОПАСНОСТЬЮ. За нашим "железным зановесом", в цивилизации компании бояться остаться без штанов и пойти по миру из за судебных тяжб и выплат. Тут ведь главное прицедент и сложишваяся практика, а дальше по накатаной, вот и ведет себя производители лояльно понимая, проще отозвать и компенсировать, чем остаться совсем без всего, при этом сделал очень серьезные выводы ;)

1. Всё в наших руках

2. Полное заблуждение, что они не затрагивают интересы потребителя. Как правило только он и страдает, потому, что ни инсталятор, ни продавец с дистрибьютором не несут такой большой отвественности, за то, что они продают, при этом уже получив живые деньги. А потребитель расставшись с деньгами обретает проблему, которую ему еще и не могут решить, даже подсказать куда копать. Получается такая ситуация: купил устройства, как вступил в ГЭ. Конечно можно отмысться, но ......

Не разделяю Вашего спокойствия по поводу отказа любой другой названной Вами техники т.к. это тоже не простые карандаши из ларька "Союзпечать", а банальная потеря данных на HDD - всегда не только неприятна, но и порой катастрофична!!!

3. Скупой платит только один раз если он не тупой ;)

Короче говоря - нужен серьёзный прецендент чтобы все если не серьёзно и глубоко задумались , то хотя бы немного задались вопросом " а что там у этих регистраторов на уме ?" . И желательно чтобы прецендент был не в гаражном кооперативе или садовом товариществе , а где то на серьёзном объекте , в городской структуре , у солидного жирного хозяина , которому есть что потерять как в материальном так и в имиджевом плане .

А то пока не спохватишься , пока глаза не откроешь . Вон как у нас недавно , мы обслуживаем серьёзное административное здание . В СКУД Болид ( С-2000-2 - 39 ПРИБОРОВ ) за несколько лет набралось 77 уровней доступа , и что самое смешное дверь в вип , серьёзную вип зону , оказывается прописана во всех уровнях доступа ))) И что толку от такого СКУД ?))) Ходить туда могут все тысяча с лишним сотрудников ))) Просто не всем туда надо ходить и многие не знают что их карточка запросто вхожа в вип зону ))

Kombinator!

Короче говоря - нужен серьёзный прецендент чтобы все если не серьёзно и глубоко задумались , то хотя бы немного задались вопросом " а что там у этих регистраторов на уме ?" . И желательно чтобы прецендент был не в гаражном кооперативе или садовом товариществе , а где то на серьёзном объекте , в городской структуре , у солидного жирного хозяина , которому есть что потерять как в материальном так и в имиджевом плане .

Конечно, осеняешь себя крестным знамением только при раскатах грома совсем рядышком, однако, дело не в том, что гараж это или не гараж - разницы нет никакой. Не должно быть такой логики, что в гараже пускай, а в других местах - это совсем никак. Одинаково для всех чётко работает, а иначе там где тонко там и порвётся.

Недоглядели в Крыму, но хорошо, что поймали засланцев, которые ....

Сколько запустили и запускаем к себе. Заплатил и попал через каналы гастарбайтеров и ....

А сколько таких скрытых, спящих, или .... ???

Конечно, наши разведчики, а их шпионы, однако, всё таки мы по эту сторону и жить нам здесь!

Не нужны никакие военные хакеры, всё на готовое сделают изнутри такие, а сейчас выкладывают подноготную как есть. Поймали, видимо жить охота, вот и сдали хозяевс потрахами. Борьба за идею? Не думаю.

А то пока не спохватишься , пока глаза не откроешь . Вон как у нас недавно , мы обслуживаем серьёзное административное здание . В СКУД Болид ( С-2000-2 - 39 ПРИБОРОВ ) за несколько лет набралось 77 уровней доступа , и что самое смешное дверь в вип , серьёзную вип зону , оказывается прописана во всех уровнях доступа ))) И что толку от такого СКУД ?))) Ходить туда могут все тысяча с лишним сотрудников ))) Просто не всем туда надо ходить и многие не знают что их карточка запросто вхожа в вип зону ))

выявлено , доведено до сведения отдела безопасности здания , но не исправлено , потому что это Болид и чтобы это исправить надо провести гигантскую подготовительную работу персонально пофамильно " кому куда разрешено проходить и кому какой уровень доступа присвоить , и сколько этих уровней придумать "

а там более полуторатысячи сотрудников , и всю эту подготовительную работу должны не мы проводить , а пользователь СКУД .

голову они уже при нас почесали и сказали глубокомысленное " Мда " ))) скорее всего это будет после нового года ...

выявлено , доведено до сведения отдела безопасности здания

В, случае, если вы облуживали эту систему, по наследству - вы свою часть работы сделали.

Подготовительная работа и ввод в экс-ю отдельная песня, за отдельные денюжки :).

а что там у этих регистраторов на уме

- А, х.е.з. я полагаю, что до поры до времени, ни кто не узнает, ЧТО прописано в камушках на уровне команд. А, то, что железки вполне себе куда-то тянуться - это нормально, или отвлекающий манёвр (дабы не копали глубжее)

Какой-то табун троянских лошадей: и сами их к себе затягиваем, и угрозы понимаем, а как противостоять угрозе - непонятно...

У Айзека Азимов в трилогии Основании есть сюжет: Основание (планета такая) поставляет всем соседям разные умные вещи (скороварки, летающие кресла, средства связи и т.п. Все для быта). Один из соседей нападает на Основание. Вооруженный конфликт. Основание отвечает тем, что (помимо боевых действий) все эти умные вещи на территории соседа перестают работать. И на территории соседа зреет гражданское неповиновение: с фронта привозят убитых, а тут еще и дома ни встать, ни сесть (ничего не работает, уровень комфорта резко упал). И население начинает проводить акции протеста против войны с Основанием...

Азимов написал эту трилогия в период 1942-1953 год... 75 лет назад...

Если преломить сюжет через призму технлогий, то 70 лет назад Азимов описал нынешнее состояние общества в части ШЗ устройств и сервисов.

Общего в книге и в окружающем нас мире то, что мелкие неудобства персонально каждого человека выливаются (могут вылиться) в массовое недовольство населения целой страны. То, что не опасно одному человеку, становится опасно в рамках группы людей.

К чему это я? А к тому, что мы до сих пор не сформулировали модел угроз. Уязвимости сами по себе ни о чем нам не скажут.

Предлагаю сформулировать угрозы (а не стращать прецендетами).

Угроза Высокий трафик.

Суть угрозы: ШЗ устройства могут создать высокий трафик в локальной сети, что приведет к отказу других ШЗ систем (системы управления, связи, жизнедеятельности).

Меры противодействия:

1. автоматический контроль объема трафика с сигнализацией о его превышении. Это не сложно, многие роутеры имеют такую возможность,
2. предусмотреть меры по изоляции устройств (сетей) на этапе проектирования.

совокупность 1 и 2 позволит выявить угрозу и предотратить ее путем блокировки шлюза (или выдергиванием провода из разъема).

Андрей, на самом деле формулироване угроз во многом складывается из прецендентов. Но, вы правы:

даже в отдельно выделенной сети (на физическом уровне) отдельные шз в\к могут создать высокий трафик;

в данном случае отслеживать поток могут управляемые коммутаторы;

далее: второй порт регистратора, уже как правило подключается в общую сеть предприятия, где в свою очередь отслеживается управляемыми коммутаторами предприятия. Одно из слабых мест - главный управляющий коммутатор т.н. ядро, при выходе из строя (банально по питанию) которого, клиентские ПК просто не работают. Мы тупо не получаем пинг. При этом хорошо, если имеется в грячем резерве коммутатор с аналогичной картой маршрутизации; а, если нет? ядровые коммутаторы - дорогое удовольствие и позволить их себе могут не многие.

Хорошо, если у нас реализовано прямое управление регистратором и лишь второстепенные клиенты получают видео по сети; а, если все клиенты сидят на сетке? Какой нибудь Домик и пр. ПК платформенные решения? Приплыли?