Как я уже указывал выше с обновлённой IPC_2xx2_Series_IP_Camera_Firmware_v5.3.0_150513 вначале внедрение пошло не так гладко, как хотелось бы. Причиной тому изменения на стороне Hikvision и изменения вполне приятный напрямую связанные с безопасностью хранения учётных записей, а не в открытом виде! Т.е. могут ведь, когда захотят!!! ;)

Конечно, я цели своей достиг и сервис запустил на чисто чинайской камере с буквами CH в серийном номере и всё нормально. И всё это за один день!

Естественно, это не решает всех проблем связанных с безопасностью по продукту Hikvision и связанным с ними сервисами, однако....

Однако, все эти мелкие и медленные шажки со стороны Hikvision меня очень смущают. Их продукт - это вещь составная и является лицом компании и вот так относится к вопросам беЗопасности собственного продукта???

Возможно, если бы производитель более серьёзно относился бы к своему продукту, то я бы наверное не сделал бы ни одного успешного изыскания, хотя не сказать, что было всё так легко и просто. Просто опыт и с горчичное зёрнышко желания разобраться ;)

Интересно все-таки устроено человеческое сознание. Если находится один человек и кричит "Волки!" - ему не верят. А вот если на сцене появляются представители раскрученного бренда, тогда: "Да-а, это надо же!..".

"Лаборатория Касперского" раскрыла секреты защиты городских видеокамер от киберугроз

Специалисты "Лаборатории Касперского" совместно с американской ИТ-компанией Exigent Systems провели исследование способов передачи информации в городских системах видеонаблюдения. Выводы неутешительны благодаря подключению к сети передачи данных кибермошенники могут с легкостью использовать видеоизображение в своих корыстных целях. Антивирусный эксперт "Лаборатории Касперского" пояснил корреспонденту журнала RUБЕЖ, как уберечь Большого брата от киберпреступников.

Такого вида угрозы характерны для систем с особой архитектурой. Передача видеопотока с камер реализуется в таких системах по беспроводной ячеистой сети, таким образом, «картинка» поступает не напрямую в полицию, а передается с одного ближайшего узла сети на другой до тех пор, пока в не достигнет цели. Преступники могут получить возможность осуществить атаку по схеме "человек посередине".

В качестве примера можно привести ситуацию, в которой злоумышленники способны ввести систему в заблуждение, передав ячеистой сети неверную информацию о том, что отделение полиции находится у них в зоне видимости, и через их узел будет передаваться видео. Такая ситуация возможна при условии, что преступники располагают таким оборудованием и софтом, что и госструктуры.Видео с камер передается в незашифрованном виде, поэтому кибермошенники имеют все шансы заменить существующую «картинку» с видеокамеры на снятую заранее с целью сокрытия противоправных действий.

Денис Легезо, антивирусный эксперт "Лаборатории Касперского" рассказал о RUБЕЖу об основных рецептах защиты от подобных угроз:

• Использовать надежное шифрование, продумать архитектуру сети видеонаблюдения с точки зрения точек обмена трафиком с сетями общего пользования, если такие существуют. То есть необходимо защитить от компрометации каналы передачи данных.
• Установить надежное лицензионное защитное ПО на сервера сбора и обработки данных.
• Обеспечить физическую безопасность самих камер и передачу ими видеоданных только на авторизованные сервера."

http://ru-bezh.ru/content/2015/06/23/laboratoriya-kasperskogo-raskryla

Юрий Михелевич!

Есть то, что существует вне зависимости от нас и от нашего понимания об этом. ;)

Я это осознаю и поэтому не испытываю иллюзий и не бью в набат призывая о конце или начале ..... ;)

А с другой стороны, прочитав эту статью, просто нутро рвало наружу. Видимо конторе совсем не очем написать и они решили поднять свой рейтинг упавший ниже плинтуса после надавнего проникновения к ним.

Я имел честь видеть потроенную систему"Безопасный город" и даже обслуживать таковую. По видимому авторы описывали нечно иное, потому как близко их описание не имеет к ПРАВИЛЬНО ПОСТРОЕННЫМ СИСТЕМАМ ВИДЕНАБЛЮДЕНИЯ такого класса. Если чьи-то головы решили так сделать, а чьи-то руки решили так воплотить это, то это скорее всего исключение, а не общее правило, что так везде и всюду!!!

Конечно, это моё личное мнение.

Вот, например, недавно исследовалось несколько объектов, в связи с обновлениями на предмет уязвимостей, и в очередной раз я убедился, что сплошные дыра на дыре и вовсю уязвимостями погоняют.

А там полный доступ ко всем данным. Это вообще ни в какие ворота!!!

И тут опять делема. По дружески укажешь на проблемы - получишь туже реакцию как уже была от одного воздушно-капельного сервиса. Выльют на тебя нечистоты, да и обвинят во всех смертных. А не укажешь, то не ты один такой и другие воспользуются, потому как владельцам сервиса всё до фонаря, да и ждут, пока не грянет гром, а пострадают конечники, которые вообще не причёт, да ешще и платят за это!!! А если внимательно почитать соглашение любого такого сервиса, то вообще и ни при каких обстоятельствах они ни чем не рискуют. Просто чистое здоровье и очередной способ "честного" отъёма денег у населения ;)

Решил, не делай добра, не получишь зла!

Отвлёткся малость.

Вообщем статейка так себе. ;)

В руки попала оригинальная прошивка 5.3.0 от iVideon.

Релиз чуть другой 150623, а внутри по сути тоже самое.

Мне стоило немного дождаться и мой релиз, который я дела пару месяцев назад http://itunedvr.ru/forum/phpBB3/viewtopic.php?f=14&t=522&sid=5c4f51d498eeccde5e3e2a284ab6ad27 безо всяких доп.переделок заработал бы сейчас, потому как у них обновился код, который качает скрипт, внедрённый в прошивку.

На их официальном сайте, на форуме http://ru.ivideon.com/q2a/18423/proshivka-dlya-kameryi они также пишут, что для чинайских камер эта 530 работать не будет.....

Лукавят ;)

Очень не хотелось комментировать данную статью, так как её изнечальный посыл считаю некорректным, объяснив это Юрию Михайловичу. Но вчера, проверяя папку "Другое" на Facebook (туда попадают сообщения от людей, не являющимися моими друзьями), я обнаружил множество посланий, посвященных моей позиции, озвученной в комментариях на Facebook.

Наиболее интересными из них являются сообщения от человека, представленного здесь как kombinator.

Не буду давать оценочных суждений данному сообщению. Предлагаю каждому самостоятельно составить собственное мнение об авторе, который в своем послании находит возможным применять тезисы и сообщения, которые никогда не постулировались мною в том виде, как они представлены здесь.

Хочется надеяться, что аудитория данного ресурса состоит в большей степени из образованных людей. В противном случае мой диалог обречен на провал, так как мы находимся по разные стороны культурной пропасти.

Итак. По порядку.

1. iTuneDVR пишет и звонит в Ivideon уже на протяжении года. Моим первым впечатлением было то, что он увлеченный человек, который действительно может быть полезен нашей команде. Но, к сожалению, все наши разговоры заканчивались следующим образом.

Я: Да, нам это интересно. Если вы готовы взяться за эту работу, мы готовы её оплатить. Назовите, пожалуйста, условия сотрудничества с вами.

iTuneDVR: "Я обычный пользователь и ни к кому не лезу со своими мыслями и идеями. Заниматься обучением или за Вас решать Ваши проблемы - мне нет до этого дела."

Кстати, это совершенно точная цитата из нашей с ним переписки, если что.

2. MIPS. Диалог был построен ровно по тому же сценарию, что и в пункте один.

3. Появляется данная статья. В которой iTuneDVR сообщает о дырявости облачных сервисов (в том числе и нашего), об огромном количестве облачных уязвимостей, но не упоминает ни одной из них. При этом позволяет себе написать следующую фразу "Нежелание остальных прислушиваться к тому, о чём я озвучиваю". А что озвучиваю? Где конкретные факты о проблемах, имеющихся в гнашем сервисе и которые критически влияют на наших пользователей?

Скажите, вы правда не понимаете, почему iTuneDVR неправ? Вы считаете, что обвинение любого человека или компании в чем-то без предоставления конкретных фактов является правильным? Я понимаю, что iTuneDVR пользуется тем, что многие посетители данного форума являются специалистами в области систем видеонаблюдения, но не являются специалистами в области информационной безопасности. Поэтому можно смело разбрасываться технической терминологией, по сути не несущей никакого смысла с точки зрения этой самой безопасности и производить впечатление специалиста для тех, кто этим никогда не занимался.

Поэтому тут как в известном анекдоте. Вы либо снимите крестик, либо наденьте трусы. Что и было предложено Юрию Михайловичу. Либо убрать эту статью с голословными и ничем не подкрепленными обвинениями, либо дополнить её КОНКРЕТНЫМИ фактами.

Владимир!

Очень приятно видеть Вас на этом ресурсе, однако если Вам что-то хотелось сказать мне лично, Вы прекрасно могли это сделать в Скайпе, в котором у Вас есть мой контак в списке активных на данную минут! ;)

К большому сожалению, логи сообщений есть также и у меня , в которых видна хронология событий, понятна частота этих сообщений в Скайпе лично с Вами, почтовых сообщений в службу техподдержки. С Вами мы общались первый раз в скайпе в 2014 году несколько раз, далее молчание, даже по почте. Следующий раз был только лично с глазу на гла в течении часа на выставке МИПС-2015.

Про какие звонки вы ведёте речь - я честно то говоря не знаю!!!

Вырывать фразы из полного контекста беседы не стоит, это не красиво и не делает Вам чести. Намомню, что полные логи есть и у меня. Этими логами я делился со заинтерсованными лицами, которые пытались понять в чём суть Ваших обвинений. Среди них были те, кто знает меня лично, а также и те, кто не знает меня и мнение у всех однозначное и не в Вашу пользу ;)

Поэтому пункт 1, Вашего ответа как-то сдулся, как собственно и пункт 2!!!

Час, вполне деловой, личной, с глазу на глаз беседы на МИПС-2015 из которой я понял, (жали в итоге друг другу руки и расстались дружелюбно), что все недопонимания сняты и Вы сами готовы к нормальному сотрудничеству с физ.лицом, даже сами предлагали бонусы определённые с продаж, у Вас почему-то тогда не вызывал никаких антипатий, претензий, гнева и прочего, что Вы продемонстрировали в обсуждении на фейсбуке в ветке Юрия Михелевича! Любой денежный вопрос, это в моём представлении, есть смысл обсуждать только исходя из полноты представленной технической задачи для обсуждения и решения и только по её итогам цена вопроса и всплывает. По другому никак. По другому как раз называется, как Вы называли ;)

Только с Ваших слов на выставке я и узнал, о Вашем обращении в Лабораторию Касперского, для тестирования Вашего прошивочного решения камер хиквижен. Я сразу Вам сказал, что своих усглуг в этом плане я не предлагаю, чтобы быть не предвзятым, а предложил обраиться Вам в третью контору, для проведения еще одного аудита, потому как названные мне Вами найденные недочёты, выявленные Лабораторией были незначительными и не входили в список накопившихся у меня вопросов, накомпеллых в процессе изучения прошивки хиквижен со встроенным Вашим сервисом!!!

В этом случае уместно привести Вашу фразу из нашей переписки в Скайпе

Да и про тему дахуа, озвученную на МИПС, и утечку по ней, не стоит Вам напоминать лишний раз!!!

Что касается Вашего третьего пункта, то к сожалению, Вы изначально невнимательно прочитали тот пост, ввиду чего и родился Ваш гневный опус в фейсбуке. Перечитайте его снова и пожалуйста внимательно и Вам должно стать ясно, что во второй части сообщения содержится обобщённая мысль с перечислением нескольких воздушно-капельных недоразумений. Это собирательный образ, а Вы всё это приняли целиком и полностью на себя!!!

Например: проблемы, обнаруженные у IPEYE и Спейскам, у Вас отсутствуют, а проблемы обнаруженные у Вас, отсутсвуют у них. Причин этому много, как и подходов к построению решений в целом и в частности. Поэтому, еще раз предлагаю перечитать изначальный пост, чтобы снять груз недопонимания, который висит у Вас до сих пор. Ваши негативные слова, брошенные в мой адрес - это Ваше дело и как с этим быть и жить Вам - решать уж точно не мне! ;)

Любую проблему можно перевести в класс задач и спокойно её решать, ровно как и вести диалог.

Как Вы правильно процитировали мою фразу, правда вырванную из контекста, но я дейтсвительно простой человек и ни к кому не лезу со своими идеями. Я пишу о том, что сделал сам, что увидел лично, о чём наработал личный опыт. В 2014 Вы мне сами сулили беЗлимитный аккаут для тестов (есть логи сообщений), однако я предложил вам придержать коней и не разбрасываться подарками!!! ;)

Однако, я не оказываю благотворительной помощи коммерческим организациям и для коммерческих целей.

Вот это и является огромным валуном ????преткновения????, который, всегда мешает другой стороне беЗплатно принять чужие наработки, исслеования, мысли, идеи, готовый материал, для как Вы праивльно писали в комментариях в фейсбуке https://www.facebook.com/yuri.gedzberg/posts/749849818460739?comment_id=750021345110253&offset=0&total_comments=9&notif_t=feed_comment

ПОКАЖИТЕ МНЕ, ПОЖАЛУЙСТА, ГДЕ ЭТИ ПРОБЛЕМЫ И МЫ ИХ С РАДОСТЬЮ ИСПРАВИМ!

Личный претензий, тем более обид к Вам не испытывал и не испытываю. Цели у всех разные и обижаться из-за этого не стоит на кого-то, тем более произносить фразы, которые надолго останутся на интернет страницах и представят Вас в таком свете и составят о Вас такую картину. Вы лицо и на Вас смотрят. Достаточно прочитать внимательно первые слова, написанные Вами в комментарии в фэйсбуке. Ссылка чуть выше. Отсутствия уважения ведёт к падению.

Берегите себя! ;)

3. Появляется данная статья. В которой iTuneDVR сообщает о дырявости облачных сервисов (в том числе и нашего), об огромном количестве облачных уязвимостей, но не упоминает ни одной из них. При этом позволяет себе написать следующую фразу "Нежелание остальных прислушиваться к тому, о чём я озвучиваю". А что озвучиваю? Где конкретные факты о проблемах, имеющихся в гнашем сервисе и которые критически влияют на наших пользователей?

Вова.

Деньги на телефоне кончились? Где ещё смски ?))))

Что касается мной выделенного фрагмента, почему именно этот фрагмент я выделил , остальное всё ерунда , прелюдия и хождение вокруг да около . При всех обещаю тут , что не озвучу назване облачного сервиса которое вскрылось как дешёвая консервная банка .

Сервис сам недогадывается что он контролируется и может быть управляем извне .

Ах вы глупые газели

Вы бы лучше не галдели

А пошли б и посмотрели

На качели карусели .

Но не слушают газели .

iTuneDVR вы уникальный человек. Мне интересно, вы правда верите в то что здесь сейчас написали или пытаетесь умело манипулировать словами с целью запутать аудиторию данного ресурса?

Давайте опустим пункт 1 и 2. К данной статье он не имеет никакого отношения. То что я посвятил вам 3 часа своего времени в течении года - для меня считаю это много. Но ваша субъективная оценка "мало" отраженная в предыдущем посте все же является субъективной.Более того, на выставке вы говорили более 4-х часов, что с нашими сотрудниками, что с сотрудниками Dahua и Hikvision. Кстати, наша оценка результатов общения с ними полностью совпадает.

Меня интересует другой вопрос. Третий пункт. Вы утверждаете, что в Ivideon и в других облачных сервисах есть проблемы в безопасности. Вы о них кричите, но вас не слушают.

Почему вы их не назвали ни в статье ни в личном общении? Не готовы бесплатно помогать коммерческим организациям? А кто вам предлагал это делать бесплатно? В прошлом году вам предлагали работу с конкретными обязанностями и хорошей зарплатой. А на выставке я задал конкретный вопрос. Какое ваше коммерческое предложение и в чем оно состоит. Было дело? Нет?

Простите, но если у вас есть вся переписка, то вам не составит труда привести здесь ваше коммерческое предложение. Но вся проблема в том, что его нет. Точно также как и нет проблем, о которых вы тут пытаетесь писать.

И, кстати, а почему переписка обрывается на самом важном моменте?

И я еще раз спрашиваю, какие преследуются цели? Если деньги за описание проблем о которых мы не знаем - назови цену.

Если нет, то назови эти проблемы бесплатно.

Но я считаю, что человек, который не делает ни то, ни другое, а просто бегает и везде пишет, что "я там везде нашел дыры", но не скажу какие является.... Впрочем, каждый сам может сделать соответствующие выводы!

Kombinator он же Сергей. Я был уверен, что это место сообщество профессионалов которое не будет опускаться до подобного рода инсинуаций. Вы понимаете, что ваше предыдущее сообщение характеризует вас не как опытного инженера, желающего разобраться в сути, найти истину и выявить объяктивность причин, которые привели к написанию подобного рода сообщения, утверждающего, что в нашем сервисе есть проблемы безопасности?

Тогда как напротив, ваш эмоциональный выпад "При всех обещаю тут , что не озвучу назване облачного сервиса которое вскрылось как дешёвая консервная банка ." демонстрирует вашу незрелость, причем не только в профессиональном плане.

И вот почему. Если это неправда (а это неправда), то как-бы так делают в детском саду.

А если это правда, то вы ставите под удар более чем 1 000 000 пользователей и с точки зрения любых моральных и этических норм вы не имеете на это право, если являетесь нормальным и адекватным человеком.Вам выбирать. Мне только интересно, что вами движет?

А если это правда, то вы ставите под удар более чем 1 000 000 пользователей и с точки зрения любых моральных и этических норм вы не имеете на это право, если являетесь нормальным и адекватным человеком.Вам выбирать. Мне только интересно, что вами движет?

Это не я ставлю под удар 1 миллион пользователей облачного сервиса , это сам сервис их подставляет . Хорошо что сервис вскрыт порядочными людьми которые не преследуют обнародованием личных записей и переделкой паролей пользователям . Сервис вскрыт и напротив него просто поставлена галочка . Выявлены принципы как устроена защита , практически пройдены пути как это сделать и доказано что защита в этом конкретном облачном серисе ВСКРЫ-ВА-Е-МА-Я . А все облачные сервисы дружно хором и в упоении трындят о сверхзащите против взлома .

Я кстати без понятия сколько пользователей у этого сервиса , но если всем этим пользователям скинуть по сообщению и скриншоту с их камер , как в доказательство , то сервис быстро обнулится в количестве пользователей .

Это не угроза , не шантаж , это просто констатация факта .

Ладно . Пойду прогуляюсь до киношки.

Citizenfour: Правда Сноудена (с 9 июля во всех кинотеатрах )