Форум Системы безопасности / Форум Системы контроля доступа /
Юрий Гедзберг
Старожил
Сообщений: 8652
Рейтинг: 32483
29.02.2016 19:57:40
http://www.security-bridge.com/biblioteka/knigi_po_bezopasnosti/bezopasnost_sredstv_bezopasnosti_skud/
Уважаемые коллеги!
Сегодня мы начинаем публикацию книги Евгения Соболева, Генерального директора компании Practical Security Lab. Эта книга посвящена информационной безопасности систем контроля и управления доступом, борьбе с уязвимостями СКУД.
Поскольку в книге присутствуют результаты исследований конкретных образцов СКУД конкретных компаний нашего рынка, то прежде всего я хотел бы предварить наше обсуждение заявлением, что данное исследование - независимое, а публикация этой книги на "Мосту" не имеет своей целью нанести какой-нибудь вред упоминающимся в тексте книги компаниям. На мой взгляд, все сделано в уважительной манере, с достаточным пиететом, и принесет всем участникам рынка несомненную пользу.
С дургой стороны, едва ли уже можно отмахиваться от того факта, что сами системы безопасности, используемые на нашем рынке, бывают весьма уязвимы, а значит, не отвечают в полной мере тем функциям, которые задекларированы их изготовителями.
Нельзя не отметить, что подобные же уязвимости демонстрирует своими публикациями и iTuneDVR, но только в области видеонаблюдения.
Замечу, что (так совпало), совсем недавно мы обсуждали уязвимость домофонов http://www.security-bridge.com/forum/oborudovanie_i_po_po_bezopasnosti/domofony/kak_otkryt_lyuboj_domofon_bez_klyucha/?p=0
Так что, вопросы информационной безопасности самих систем безопасности являются весьма актуальными.
Приятного чтения (страницы книги будут постоянно добавляться). И содержательного обсуждения.
Неизвестный
29.02.2016 20:10:23
:))
Хорошо ли защищены от взлома IP-камеры видеонаблюдения? 17.10.2014Чтобы хоть как-то заставить пользователей и админов защитить оборудование от хакеров, на сетевых ресурсах нередко публикуют перечни логинов/паролей по умолчанию для наиболее популярных марок оборудования. Наиболее полный список для сетевых камер видеонаблюдения на данный момент выглядит следующим образом (login/password):
- ACTi: admin/123456 либо Admin/123456
- American Dynamics: admin/admin либо admin/9999
- Arecont Vision: отсутствует
- Avigilon: admin/admin
- Axis: обычно root/pass; в новых камерах при первом входе требуется задание пароля
- Basler: admin/admin
- Bosch: отсутствует
- Brickcom: admin/admin
- Canon: root/camera
- Cisco: по умолчанию пароль отсутствует, но при первом входе требует задания
- Dahua: admin/admin
- Digital Watchdog: admin/admin
- DRS: admin/1234
- DVTel: Admin/1234
- DynaColor: Admin/1234
- FLIR: admin/fliradmin
- Foscam: admin/<пробел>;
- GeoVision: admin/admin
- Grandstream: admin/admin
- Hikvision: admin/12345
- Honeywell: admin/1234
- IQinVision: root/system
- IPX-DDK: root/admin либо root/Admin
- JVC: admin/jvc
- March Networks: admin/<пробел>;
- Mobotix: admin/meinsm
- Panasonic: admin/12345
- Pelco Sarix: admin/admin
- Pixord: admin/admin
- Samsung Electronics: root/root либо admin/4321
- Samsung Techwin: admin/1111111 (старые модели), admin/4321 (новые модели)
- Sanyo: admin/admin
- Scallop: admin/password
- Sentry360 (mini): admin/1234
- Sentry360 (pro): отсутствует
- Sony: admin/admin
- Speco: admin/1234
- Stardot: admin/admin
- Starvedia: admin/<пробел>;
- Trendnet: admin/admin
- Toshiba: root/ikwd
- VideoIQ: supervisor/supervisor
- Vivotek: root/<пробел>;
- Ubiquiti: ubnt/ubnt
- Wodsee: admin/<пробел>;
Источник:http://www.secnews.ru/articles/20914.htm#ixzz41a826YBFSecurity News
Troll
Старожил
Сообщений: 3294
Рейтинг: 16486
29.02.2016 20:26:12
Вот никогда я не мог понять, что такое "уязвимость СКУД" в принципе? Уязвимость к кому и к чему? К несанкционированному проникновению или к выводу из строя? Если речь о первом, то зачем оно вообще? А если о втором, то зачем подбирать какие-то сложные пароли, какие-то базы данных исследовать, когда простенький набор из кусачек, кувалды, суперклея и сошиал инжиниринга позволяет ломануть практически любую СКУД?
Просто, по-моему, развелось всяких бездельников, которые, от нефиг что-то реально полезное сделать, вот таким вот способом промышляют, в расчёте на авось кто подаст.
Или где?
Юрий Гедзберг
Старожил
Сообщений: 8652
Рейтинг: 32483
29.02.2016 20:32:45
Евгений Юрьевич!
Вот никогда я не мог понять, что такое "уязвимость СКУД" в принципе?
Ну, так для этого книга и публикуется.
Прочтите ее до конца, чтобы потом можно было судить.
Troll
Старожил
Сообщений: 3294
Рейтинг: 16486
29.02.2016 20:34:17
Ужё прочёл; ответа не обнаружил.
Дык?
Неизвестный
29.02.2016 20:51:00
А может стоит для начала определиться для чего вообще нужна СКУД?
ИМХО, основное предназначение СКУД как раз не в ограничении доступа и тем более не "охране", а в увеличение пропускной способности ну скажем того же метро, проходной завода и т.д.
Юрий Гедзберг
Старожил
Сообщений: 8652
Рейтинг: 32483
29.02.2016 21:15:47
Ужё прочёл; ответа не обнаружил.
Читаем дальше (мы публикуем книгу постепенно).
alexander.ryzhov
Бывалый
Сообщений: 130
Рейтинг: 355
01.03.2016 07:57:03
Прокомментирую упомянутый в "исследовании" СКУД Сфинкс:
Речь о том, что у нас пароль на доступ к БД был по-умолчанию пустой. Это правда, но его всегда можно было поменять, в нашем интерфейсе для этого была кнопка.
Также, в свежих версиях нашего ПО, сделано, что при установке системы пароль на БД теперь ставится автоматически случайный, для каждого объекта разный. Так что и описанного эффекта уже нет.
---
Но в целом с общими выводами я согласен - что системы контроля доступа в целом не безопасны сами по себе по обычным IT-шным меркам.
Основной причиной я бы назвал отсутствие спроса на это. Систему зачастую выбирают безопасники, которые про БД думать не умеют.
Но, ситуация меняется, в частности IT специалисты начинают играть большую роль в выборе СКУД.
Такие публикации думаю тоже нужны и помогут движению в правильную сторону.
alexander.ryzhov
Бывалый
Сообщений: 130
Рейтинг: 355
01.03.2016 08:03:40
Кстати, заметная часть уязвимых организаций списана с нашего сайта. При том без разбора и конечные клиенты и монтажники. Так в список уязвимых в статье попала куча фирм, у которых наш СКУД даже не установлен у самих.
Юрий Гедзберг
Старожил
Сообщений: 8652
Рейтинг: 32483
01.03.2016 08:04:34
Такие публикации думаю тоже нужны и помогут движению в правильную сторону.Я думаю, это адекватный ответ уверенной в своих силах компании.