Безопасность средств безопасности: СКУД

http://www.security-bridge.com/biblioteka/knigi_po_bezopasnosti/bezopasnost_sredstv_bezopasnosti_skud/

Уважаемые коллеги!

Сегодня мы начинаем публикацию книги Евгения Соболева, Генерального директора компании Practical Security Lab. Эта книга посвящена информационной безопасности систем контроля и управления доступом, борьбе с уязвимостями СКУД.

Поскольку в книге присутствуют результаты исследований конкретных образцов СКУД конкретных компаний нашего рынка, то прежде всего я хотел бы предварить наше обсуждение заявлением, что данное исследование - независимое, а публикация этой книги на "Мосту" не имеет своей целью нанести какой-нибудь вред упоминающимся в тексте книги компаниям. На мой взгляд, все сделано в уважительной манере, с достаточным пиететом, и принесет всем участникам рынка несомненную пользу.

С дургой стороны, едва ли уже можно отмахиваться от того факта, что сами системы безопасности, используемые на нашем рынке, бывают весьма уязвимы, а значит, не отвечают в полной мере тем функциям, которые задекларированы их изготовителями.

Нельзя не отметить, что подобные же уязвимости демонстрирует своими публикациями и iTuneDVR, но только в области видеонаблюдения.

Замечу, что (так совпало), совсем недавно мы обсуждали уязвимость домофонов http://www.security-bridge.com/forum/oborudovanie_i_po_po_bezopasnosti/domofony/kak_otkryt_lyuboj_domofon_bez_klyucha/?p=0

Так что, вопросы информационной безопасности самих систем безопасности являются весьма актуальными.

Приятного чтения (страницы книги будут постоянно добавляться). И содержательного обсуждения.

:))

Чтобы хоть как-то заставить пользователей и админов защитить оборудование от хакеров, на сетевых ресурсах нередко публикуют перечни логинов/паролей по умолчанию для наиболее популярных марок оборудования. Наиболее полный список для сетевых камер видеонаблюдения на данный момент выглядит следующим образом (login/password):

• ACTi: admin/123456 либо Admin/123456
• American Dynamics: admin/admin либо admin/9999
• Arecont Vision: отсутствует
• Avigilon: admin/admin
• Axis: обычно root/pass; в новых камерах при первом входе требуется задание пароля
• Basler: admin/admin
• Bosch: отсутствует
• Brickcom: admin/admin
• Canon: root/camera
• Cisco: по умолчанию пароль отсутствует, но при первом входе требует задания
• Dahua: admin/admin
• Digital Watchdog: admin/admin
• DRS: admin/1234
• DVTel: Admin/1234
• DynaColor: Admin/1234
• FLIR: admin/fliradmin
• Foscam: admin/<пробел>;
• GeoVision: admin/admin
• Grandstream: admin/admin
• Hikvision: admin/12345
• Honeywell: admin/1234
• IQinVision: root/system
• IPX-DDK: root/admin либо root/Admin
• JVC: admin/jvc
• March Networks: admin/<пробел>;
• Mobotix: admin/meinsm
• Panasonic: admin/12345
• Pelco Sarix: admin/admin
• Pixord: admin/admin
• Samsung Electronics: root/root либо admin/4321
• Samsung Techwin: admin/1111111 (старые модели), admin/4321 (новые модели)
• Sanyo: admin/admin
• Scallop: admin/password
• Sentry360 (mini): admin/1234
• Sentry360 (pro): отсутствует
• Sony: admin/admin
• Speco: admin/1234
• Stardot: admin/admin
• Starvedia: admin/<пробел>;
• Trendnet: admin/admin
• Toshiba: root/ikwd
• VideoIQ: supervisor/supervisor
• Vivotek: root/<пробел>;
• Ubiquiti: ubnt/ubnt
• Wodsee: admin/<пробел>;

Источник:http://www.secnews.ru/articles/20914.htm#ixzz41a826YBFSecurity News

Вот никогда я не мог понять, что такое "уязвимость СКУД" в принципе? Уязвимость к кому и к чему? К несанкционированному проникновению или к выводу из строя? Если речь о первом, то зачем оно вообще? А если о втором, то зачем подбирать какие-то сложные пароли, какие-то базы данных исследовать, когда простенький набор из кусачек, кувалды, суперклея и сошиал инжиниринга позволяет ломануть практически любую СКУД?

Просто, по-моему, развелось всяких бездельников, которые, от нефиг что-то реально полезное сделать, вот таким вот способом промышляют, в расчёте на авось кто подаст.

Или где?

Евгений Юрьевич!

Вот никогда я не мог понять, что такое "уязвимость СКУД" в принципе?

Ну, так для этого книга и публикуется.

Прочтите ее до конца, чтобы потом можно было судить.

Ужё прочёл; ответа не обнаружил.

Дык?

А может стоит для начала определиться для чего вообще нужна СКУД?

ИМХО, основное предназначение СКУД как раз не в ограничении доступа и тем более не "охране", а в увеличение пропускной способности ну скажем того же метро, проходной завода и т.д.

Ужё прочёл; ответа не обнаружил.

Читаем дальше (мы публикуем книгу постепенно).

Прокомментирую упомянутый в "исследовании" СКУД Сфинкс:

Речь о том, что у нас пароль на доступ к БД был по-умолчанию пустой. Это правда, но его всегда можно было поменять, в нашем интерфейсе для этого была кнопка.

Также, в свежих версиях нашего ПО, сделано, что при установке системы пароль на БД теперь ставится автоматически случайный, для каждого объекта разный. Так что и описанного эффекта уже нет.

---

Но в целом с общими выводами я согласен - что системы контроля доступа в целом не безопасны сами по себе по обычным IT-шным меркам.

Основной причиной я бы назвал отсутствие спроса на это. Систему зачастую выбирают безопасники, которые про БД думать не умеют.

Но, ситуация меняется, в частности IT специалисты начинают играть большую роль в выборе СКУД.

Такие публикации думаю тоже нужны и помогут движению в правильную сторону.

Кстати, заметная часть уязвимых организаций списана с нашего сайта. При том без разбора и конечные клиенты и монтажники. Так в список уязвимых в статье попала куча фирм, у которых наш СКУД даже не установлен у самих.

Такие публикации думаю тоже нужны и помогут движению в правильную сторону.