Форум Системы безопасности / Форум Видеонаблюдение /
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
13.11.2014 18:19:09
понял. раскладываю по полочкам.
Рассматривая IP-выдеокамеру сразу можно выделить две малосвязанных системы.
Первая система - это получение самого изображения. Результат - картинка того или иного качества. По сравнению с аналоговыми камерами картинка гораздо лучше. Т.о., утверждение что IP-камера дала увеличение качества изображения (по сравнению с аналоговыми) верно.
Вторая система - это канал передачи данных. Для передачи данных выбран протокол IP, в качестве среды передачи данных - медный провод (про wi-fi скажу ниже), и протокол ethernet.
Указанные Вами "уязвимости" относятся только ко второй системе, к системе передачи данных, и обобщать их и переносить на все изделие не совсем корректно (чтобы было яснее давайте попробуем ответить на такие вопросы: есть ли уязвимость, позволяющая редактировать картинку с матрицы? затенять какую-то ее часть? PS хотя скоро и это появится, вплоть до пиксельных масок...).
Вывод: Вы "атакуете" именно транспортную часть системы. Этот вывод досточно важен. Вы с ним согласны? Дальнейший ход мыслей построен именно на этом выводе.
А далее все в целом уже известно и относится к способам защиты информации.
Ethernet сранительно легко снифирится. Это факт.
Но поробуйте так же легко получить доступ к камере по wi-fi. Уже не получится. Почему? да потому что протокол IP там защищен на уровне среды передачи. Попробуйте "перехватить" пароли wi-fi камеры. Не получится.
Но у нас то медь и ethernet, а не эфир. Ничего страшного. Достаточно "закрыть" протокол шифрованием, и подавляющиее большинство "уязвимостей" IP-камеры исчезнут.
И тут мы подходим к очень интересному вопросу: а почему же не шифруют?
Полагаю, что шифруют (вот те и фирменные SDK), причем независимо от стоимости (читай маркетинга) оборудования.
Но вот готовы ли настройщики работать на таком уровне? Надо генерить ключи (сертификаты), надо "заливать" их в сетевые устройства (т.е. в IP камеры). Тут уже совсем другая культура производства, другой уровень. Способно ли нынешнее поколение монтажников на такие работы? На такой уровень?
Вопрос риторический, но ответ известен: монтажники в подавляющей своей массе не способны (а вот сисадмины - способны).
Потому мы и имеем сетевые IP устройства (и даже не только видеокамеры) с таким низким уровнем защиты канала обмена данными.
Резюме: производител осознанно выпускают сетевые устройства с низким уровнем защиты канала обмена.
Что надо для появления защищенных каналов? Да только требование потребителя. Как только появится в ТЗ требование защищать обмен - тут же появятся и видеокамеры с инструментами для шифрования, и специалисты. [Скажется ли это на цене? Вижу проблему только в том, что шифрование потока данных на "лету" требует немалых вычислительных мощностей, и установленный сейчас процессор такой поток может не "потянуть"... Шифровать программно может любой Linux. А для такого рынка, как видеокамера и аппаратный кодер недорого сделать. Так что камеры с шифрованием будут поначалу чуть дороже, чем без шифрования.]
Когда рынок дорастет до таких требований? Призываю не гадать, а констатировать факт: пока рынок защиты не требует. Вот и IP-камеры, находясь в начале своего пути развития, такие решения и не содержат. Потому указанные Вами "уязвимости" - это "детские" проблемы.
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
13.11.2014 18:23:38
Хочу отметить, что уже сегодня проблема имеет несколько решений.
Например, использовать внешнее шифрование. Оно сейчас релизовано в каждом роутере. Смею заверить, что в такую зашифрованную сеть Вы уже не вклинитесь, и даже не озвученные Вами "уязвимости" места иметь не будут.
Если у Вас нет доступа к сети, то даже знание паролей ничего не даст.
Но это опять уже из область защиты информации...
iTuneDVR
Старожил
Сообщений: 547
Рейтинг: 2590
13.11.2014 19:29:19
Андрей!
Вы меня просто удивили своим ответом!
Родная страна, только-только отметила День работников безопасности, в широком смысле этого слова и повидимому забыла обо всём и сразу ;)
Указанные Вами "уязвимости" относятся только ко второй системе, к системе передачи данных, и обобщать их и переносить на все изделие не совсем корректно (чтобы было яснее давайте попробуем ответить на такие вопросы: есть ли уязвимость, позволяющая редактировать картинку с матрицы? затенять какую-то ее часть? PS хотя скоро и это появится, вплоть до пиксельных масок...).
Про аналог я ни словом ни духом, а вы его откудато достали и строите на этом какие-то гипотезы.
Первая система - это получение самого изображения. Результат - картинка того или иного качества. По сравнению с аналоговыми камерами картинка гораздо лучше. Т.о., утверждение что IP-камера дала увеличение качества изображения (по сравнению с аналоговыми) верно.
Когда зараждалось IP это было несомненно верно, однако сейчас про это упоминать не стоит т.к. новомодные HDCVI, AHD, TVI ни в чём не уступают IP качеству картинке, а порой намного лучше.
Вывод: Вы "атакуете" именно транспортную часть системы. Этот вывод досточно важен. Вы с ним согласны? Дальнейший ход мыслей построен именно на этом выводе.
Я ничего не атакую, а ваш предыдущий довод SSL, разбитый напрочь, не стыкуется никак с этим вашим выводом. То ваше реение было всё зашифровать и дело в шляпе, то уже вы начали от Авраами, который родил Якова. Вас уже понесло явно в сторону, но не всё еще из вашего сообшение прокоментировано ;)
Но поробуйте так же легко получить доступ к камере по wi-fi. Уже не получится. Почему? да потому что протокол IP там защищен на уровне среды передачи. Попробуйте "перехватить" пароли wi-fi камеры. Не получится.
Вы наверное действительно в это верите, хотя вами употреблённое слово перехватить обрамлено в кавычки, и я так понимаю, что всё же какая-то неувернность у вас присутвует, хотя в конце фразы, Вы однозначно утверждаете, что неполучиться!
Я не ставлю целью развеить чьи-то сомнения, а специалисты понимаюшие толк в беЗпроводных каналах меня поймут и похихикают, но только тихонько, чтобы остальные сильно не беЗпокоились ;) Вас метает из стороны в сторону. Вы уж чётко определитесь с позицией и отстаивайте её. Программное шифрование канала в камерах хорошо, однако есть и минусы и их больше чем плюсов.
Но у нас то медь и ethernet, а не эфир. Ничего страшного. Достаточно "закрыть" протокол шифрованием, и подавляющиее большинство "уязвимостей" IP-камеры исчезнут.
Опять кавычки!!! Ну нет никакой разницы, шифрованы канал или нет, уязвимости№2 и №3 внутри этих каналах остаются теми же самыми и проблема никуда не исчезают!!! Вы как то про это совсем не подумали ;)
И тут мы подходим к очень интересному вопросу: а почему же не шифруют? Полагаю, что шифруют (вот те и фирменные SDK), причем независимо от стоимости (читай маркетинга) оборудования. Но вот готовы ли настройщики работать на таком уровне? Надо генерить ключи (сертификаты), надо "заливать" их в сетевые устройства (т.е. в IP камеры). Тут уже совсем другая культура производства, другой уровень. Способно ли нынешнее поколение монтажников на такие работы? На такой уровень?Обидев большую половину безруких монтажников, и полуграмотных настройщиков, вы нажили себе, истинных и преданных поклонников , которые будут следить за Вашим творчеством и успехами. Вручную им надо это делать и что за такой нелостижимый уровень для настройщиков???
Резюме: производител осознанно выпускают сетевые устройства с низким уровнем защиты канала обмена.
Для меня это просто откровение №1 !!!
Я долгое время не мог поверить, что такое действительно написали Вы!
Что надо для появления защищенных каналов? Да только требование потребителя. Как только появится в ТЗ требование защищать обмен - тут же появятся и видеокамеры с инструментами для шифрования, и специалисты. [Скажется ли это на цене? Вижу проблему только в том, что шифрование потока данных на "лету" требует немалых вычислительных мощностей, и установленный сейчас процессор такой поток может не "потянуть"... Шифровать программно может любой Linux. А для такого рынка, как видеокамера и аппаратный кодер недорого сделать. Так что камеры с шифрованием будут поначалу чуть дороже, чем без шифрования.]
Тут видна Ваша сильная сторона - стратегическое и глобально планирование, грубокое познание в маркетологических исследования, и ты точно держите руку на пульсе всех событий! ;)
Когда рынок дорастет до таких требований? Призываю не гадать, а констатировать факт: пока рынок защиты не требует. Вот и IP-камеры, находясь в начале своего пути развития, такие решения и не содержат.
Для меня это просто откровение №2.
Рынок не требует защиты!!! Как говорил тов.Черномырдин - это уму нерастяжимо!
Потому указанные Вами "уязвимости" - это "детские" проблемы.
И на последок, опять вы используете забойное словцо для всеобщего вывода и как-то странно его опять обрамляете в кавычки, как я уже описывал выше.
К Вашему сведению, уязвимости без кавычек, совсем не мои! Ваши преложенные способы - недееспособны. Ваше отношение указывает, на то, что вы простос этим не сталкивались, потому с такой лёгкостью и оперируете словами и знаками.
Естественно, я никого и ни в чём переубеждать не собираюсь, а повторю еще раз, что рад буду услышать любые соображения, даже самы невероятные, по опубликованной статьи, в которой рассматривалось уязвимости только IP камеры Хиквижен.
PS.
Аналоговые регистраторы, подключеные к ЛВС, также подвержены уязвимостям. Это для тех кто забыл это ;)
PP.S
Юрий Михелевич!
Вы как обычно мастерски сумели поддерждать тему, ввернув в неё выражения Андрея Бухарова из соседней ветке путь даже не связанной с данной обсуждаемой темой. Как всегда будет жарко ;)
iTuneDVR
Старожил
Сообщений: 547
Рейтинг: 2590
13.11.2014 19:35:49
Андрей!
Хочу отметить, что уже сегодня проблема имеет несколько решений. Например, использовать внешнее шифрование. Оно сейчас релизовано в каждом роутере. Смею заверить, что в такую зашифрованную сеть Вы уже не вклинитесь, и даже не озвученные Вами "уязвимости" места иметь не будут. Если у Вас нет доступа к сети, то даже знание паролей ничего не даст. Но это опять уже из область защиты информации...Вы, видимо, невнимательно читали саму статью и поэтому вы развиваете тему не в том направлении. Как я уже написал в предыдущем сообщении уязвимости №2 и №3 не исчезают внутри самих защищённых канал. Да быть может снаружи в них и сложно попасть, однако изнутри всё двери открыты.
Благодаря Вашему сообщению я полностью представил уровень собеседника.
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
13.11.2014 20:12:06
Вот потому и не хотел ввязывать в этот пустой диспут.
Вместо аргументов раз-два-три наблюдаю глумление.
Вы в статье пишете:
На снимке приводится часть дамп трафика от удалённого клиента, запущенного на ПК, находящегося за роутером по отношению к IP камере Hikvision. Красным подчёркнут искомая связка логин и пароль в зашифрованном формате.
А покажите ка... В статье не нашел этого снимка.
Юрий Гедзберг
Старожил
Сообщений: 8651
Рейтинг: 32476
13.11.2014 20:40:41
Коллеги!
Очевидно, что тема не простая - не только технически, но и по затрагиваемым интересам многих участников рынка, даже по возможным результатам данного обсуждения.
Поэтому я рад, что обсуждения развивается в русле уважительного общения специалистов. Ну, а эмоции (удивление, улыбка, легкое подтрунивание - это нормально, мы ведь не роботы :-) ... куда от них денешься?
Немного больше терпимости, а главное - постарайтесь аргументировать свои мысли подробнее, чтобы даже такие неподготовленные в этой области люди, как я, могли бы уловить основной смысл. Не бойтесь здесь казаться чрезмерно дидактичными, чрезмерно не получится :-).
iTuneDVR
Старожил
Сообщений: 547
Рейтинг: 2590
13.11.2014 20:59:05
Андрей!
Вот потому и не хотел ввязывать в этот пустой диспут. Вместо аргументов раз-два-три наблюдаю глумление. Вы в статье пишете: На снимке приводится часть дамп трафика от удалённого клиента, запущенного на ПК, находящегося за роутером по отношению к IP камере Hikvision. Красным подчёркнут искомая связка логин и пароль в зашифрованном формате. А покажите ка... В статье не нашел этого снимка.Мне не зачем тут над кем-то глумиться и как правильно подметил Юрий Михелевич, всё исключительно культурно, ведь мы же на столичном Питерском форуме!
Если Вы считаете, что то очём Вы говорите истина в последней инстанции и Ваше мнение непререкаемо и когда к Вам не прислушиваются, то Вы этот диалог считаете пустой болтавнёй, в которой Вы уже при немалое участи. Вам своего времени не жалко?
Отвечаю на Ваш вопрос. Возможно Вы невнимательно читали статью. В этом мести статьи чётко написано, цитирую, подчёркиваю и выделяю жирным для понимания сложного меcта.
"В оригинальной статье в этом месте присутствует снимок и комментарий к нему. Снимок по естественным соображениям не публикуется, но комментарий прилагается. На снимке приводится часть дамп трафика от удалённого клиента, запущенного на ПК, находящегося за роутером по отношению к IP камере Hikvision. Красным подчёркнут искомая связка логин и пароль в зашифрованном формате."
Комментарии тут излишни! ;)
Неизвестный
13.11.2014 21:02:02
iTuneDVR-ру
Благодаря Вашему сообщению я полностью представил уровень собеседника.
Не горячитесь!
А покажите ка... В статье не нашел этого снимка.
ВНИМАНИЕ - не ведись на провокацию, помни про "ацетилен" ;-)!!!!
REM
- Упс, пока писал - немного опоздал, с предостережением!
PS
Самым правильным по видимому было акцентировать и увести разговор в русло того что проблема СИСТЕМНАЯ, т.е. акцент на то что это проблема не просто DVR, а именно связки IPкамера+DVR(NVR)+IPклиент.
Очень правильно замечание - на каждую камеру VPN сервер не повесишь, ну а если даже и повесивши - проблемы не решишь.
Ну а утверждение:
А для такого рынка, как видеокамера и аппаратный кодер недорого сделать. Так что камеры с шифрованием будут поначалу чуть дороже, чем без шифрования.]
действительно наводит на мысль - что автор этих строк, весьма смутно понимает весь комплекс проблем, которые и сейчас-то есть и связаны они с декодировнием МНОЖЕСТВА потоков СЖАТЫХ видоеданных на стороне приемного устройства (DVR/NVR), которые теперь еще в добавок ко всему - предлагает кодировать.
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
13.11.2014 21:12:14
Очень правильно замечание - на каждую камеру VPN сервер не повесишь, ну а если даже и повесивши - проблемы не решишь.
Если очень коротко - то я именно в этом вижу решение.
VPN'у без разницы что там передается.
Андрей Бухаров
Старожил
Сообщений: 814
Рейтинг: 3678
13.11.2014 21:18:03
Раза три эту часть перечитал.
Статья Ваша? Где оригинал с картинкой?
Как в потоке данных выделена "...область связки логина и пароля..."?
Даже если и выявлена - как сам логин и пароль узнать? Они ведь зашифрованы. Предлагаете дешифровкой заняться?