Уязвимости в безопасности IP устройств различных брендов. Hikvision. Часть 1

понял. раскладываю по полочкам.

Рассматривая IP-выдеокамеру сразу можно выделить две малосвязанных системы.

Первая система - это получение самого изображения. Результат - картинка того или иного качества. По сравнению с аналоговыми камерами картинка гораздо лучше. Т.о., утверждение что IP-камера дала увеличение качества изображения (по сравнению с аналоговыми) верно.

Вторая система - это канал передачи данных. Для передачи данных выбран протокол IP, в качестве среды передачи данных - медный провод (про wi-fi скажу ниже), и протокол ethernet.

Указанные Вами "уязвимости" относятся только ко второй системе, к системе передачи данных, и обобщать их и переносить на все изделие не совсем корректно (чтобы было яснее давайте попробуем ответить на такие вопросы: есть ли уязвимость, позволяющая редактировать картинку с матрицы? затенять какую-то ее часть? PS хотя скоро и это появится, вплоть до пиксельных масок...).

Вывод: Вы "атакуете" именно транспортную часть системы. Этот вывод досточно важен. Вы с ним согласны? Дальнейший ход мыслей построен именно на этом выводе.

А далее все в целом уже известно и относится к способам защиты информации.

Ethernet сранительно легко снифирится. Это факт.

Но поробуйте так же легко получить доступ к камере по wi-fi. Уже не получится. Почему? да потому что протокол IP там защищен на уровне среды передачи. Попробуйте "перехватить" пароли wi-fi камеры. Не получится.

Но у нас то медь и ethernet, а не эфир. Ничего страшного. Достаточно "закрыть" протокол шифрованием, и подавляющиее большинство "уязвимостей" IP-камеры исчезнут.

И тут мы подходим к очень интересному вопросу: а почему же не шифруют?

Полагаю, что шифруют (вот те и фирменные SDK), причем независимо от стоимости (читай маркетинга) оборудования.

Но вот готовы ли настройщики работать на таком уровне? Надо генерить ключи (сертификаты), надо "заливать" их в сетевые устройства (т.е. в IP камеры). Тут уже совсем другая культура производства, другой уровень. Способно ли нынешнее поколение монтажников на такие работы? На такой уровень?

Вопрос риторический, но ответ известен: монтажники в подавляющей своей массе не способны (а вот сисадмины - способны).

Потому мы и имеем сетевые IP устройства (и даже не только видеокамеры) с таким низким уровнем защиты канала обмена данными.

Резюме: производител осознанно выпускают сетевые устройства с низким уровнем защиты канала обмена.

Что надо для появления защищенных каналов? Да только требование потребителя. Как только появится в ТЗ требование защищать обмен - тут же появятся и видеокамеры с инструментами для шифрования, и специалисты. [Скажется ли это на цене? Вижу проблему только в том, что шифрование потока данных на "лету" требует немалых вычислительных мощностей, и установленный сейчас процессор такой поток может не "потянуть"... Шифровать программно может любой Linux. А для такого рынка, как видеокамера и аппаратный кодер недорого сделать. Так что камеры с шифрованием будут поначалу чуть дороже, чем без шифрования.]

Когда рынок дорастет до таких требований? Призываю не гадать, а констатировать факт: пока рынок защиты не требует. Вот и IP-камеры, находясь в начале своего пути развития, такие решения и не содержат. Потому указанные Вами "уязвимости" - это "детские" проблемы.

Хочу отметить, что уже сегодня проблема имеет несколько решений.

Например, использовать внешнее шифрование. Оно сейчас релизовано в каждом роутере. Смею заверить, что в такую зашифрованную сеть Вы уже не вклинитесь, и даже не озвученные Вами "уязвимости" места иметь не будут.

Если у Вас нет доступа к сети, то даже знание паролей ничего не даст.

Но это опять уже из область защиты информации...

Андрей!

Вы меня просто удивили своим ответом!

Родная страна, только-только отметила День работников безопасности, в широком смысле этого слова и повидимому забыла обо всём и сразу ;)

Указанные Вами "уязвимости" относятся только ко второй системе, к системе передачи данных, и обобщать их и переносить на все изделие не совсем корректно (чтобы было яснее давайте попробуем ответить на такие вопросы: есть ли уязвимость, позволяющая редактировать картинку с матрицы? затенять какую-то ее часть? PS хотя скоро и это появится, вплоть до пиксельных масок...).

Про аналог я ни словом ни духом, а вы его откудато достали и строите на этом какие-то гипотезы.

Первая система - это получение самого изображения. Результат - картинка того или иного качества. По сравнению с аналоговыми камерами картинка гораздо лучше. Т.о., утверждение что IP-камера дала увеличение качества изображения (по сравнению с аналоговыми) верно.

Когда зараждалось IP это было несомненно верно, однако сейчас про это упоминать не стоит т.к. новомодные HDCVI, AHD, TVI ни в чём не уступают IP качеству картинке, а порой намного лучше.

Вывод: Вы "атакуете" именно транспортную часть системы. Этот вывод досточно важен. Вы с ним согласны? Дальнейший ход мыслей построен именно на этом выводе.

Я ничего не атакую, а ваш предыдущий довод SSL, разбитый напрочь, не стыкуется никак с этим вашим выводом. То ваше реение было всё зашифровать и дело в шляпе, то уже вы начали от Авраами, который родил Якова. Вас уже понесло явно в сторону, но не всё еще из вашего сообшение прокоментировано ;)

Но поробуйте так же легко получить доступ к камере по wi-fi. Уже не получится. Почему? да потому что протокол IP там защищен на уровне среды передачи. Попробуйте "перехватить" пароли wi-fi камеры. Не получится.

Вы наверное действительно в это верите, хотя вами употреблённое слово перехватить обрамлено в кавычки, и я так понимаю, что всё же какая-то неувернность у вас присутвует, хотя в конце фразы, Вы однозначно утверждаете, что неполучиться!

Я не ставлю целью развеить чьи-то сомнения, а специалисты понимаюшие толк в беЗпроводных каналах меня поймут и похихикают, но только тихонько, чтобы остальные сильно не беЗпокоились ;) Вас метает из стороны в сторону. Вы уж чётко определитесь с позицией и отстаивайте её. Программное шифрование канала в камерах хорошо, однако есть и минусы и их больше чем плюсов.

Но у нас то медь и ethernet, а не эфир. Ничего страшного. Достаточно "закрыть" протокол шифрованием, и подавляющиее большинство "уязвимостей" IP-камеры исчезнут.

Опять кавычки!!! Ну нет никакой разницы, шифрованы канал или нет, уязвимости№2 и №3 внутри этих каналах остаются теми же самыми и проблема никуда не исчезают!!! Вы как то про это совсем не подумали ;)

Обидев большую половину безруких монтажников, и полуграмотных настройщиков, вы нажили себе, истинных и преданных поклонников , которые будут следить за Вашим творчеством и успехами. Вручную им надо это делать и что за такой нелостижимый уровень для настройщиков???

Резюме: производител осознанно выпускают сетевые устройства с низким уровнем защиты канала обмена.

Для меня это просто откровение №1 !!!

Я долгое время не мог поверить, что такое действительно написали Вы!

Что надо для появления защищенных каналов? Да только требование потребителя. Как только появится в ТЗ требование защищать обмен - тут же появятся и видеокамеры с инструментами для шифрования, и специалисты. [Скажется ли это на цене? Вижу проблему только в том, что шифрование потока данных на "лету" требует немалых вычислительных мощностей, и установленный сейчас процессор такой поток может не "потянуть"... Шифровать программно может любой Linux. А для такого рынка, как видеокамера и аппаратный кодер недорого сделать. Так что камеры с шифрованием будут поначалу чуть дороже, чем без шифрования.]

Тут видна Ваша сильная сторона - стратегическое и глобально планирование, грубокое познание в маркетологических исследования, и ты точно держите руку на пульсе всех событий! ;)

Когда рынок дорастет до таких требований? Призываю не гадать, а констатировать факт: пока рынок защиты не требует. Вот и IP-камеры, находясь в начале своего пути развития, такие решения и не содержат.

Для меня это просто откровение №2.

Рынок не требует защиты!!! Как говорил тов.Черномырдин - это уму нерастяжимо!

Потому указанные Вами "уязвимости" - это "детские" проблемы.

И на последок, опять вы используете забойное словцо для всеобщего вывода и как-то странно его опять обрамляете в кавычки, как я уже описывал выше.

К Вашему сведению, уязвимости без кавычек, совсем не мои! Ваши преложенные способы - недееспособны. Ваше отношение указывает, на то, что вы простос этим не сталкивались, потому с такой лёгкостью и оперируете словами и знаками.

Естественно, я никого и ни в чём переубеждать не собираюсь, а повторю еще раз, что рад буду услышать любые соображения, даже самы невероятные, по опубликованной статьи, в которой рассматривалось уязвимости только IP камеры Хиквижен.

PS.

Аналоговые регистраторы, подключеные к ЛВС, также подвержены уязвимостям. Это для тех кто забыл это ;)

PP.S

Юрий Михелевич!

Вы как обычно мастерски сумели поддерждать тему, ввернув в неё выражения Андрея Бухарова из соседней ветке путь даже не связанной с данной обсуждаемой темой. Как всегда будет жарко ;)

Андрей!

Вы, видимо, невнимательно читали саму статью и поэтому вы развиваете тему не в том направлении. Как я уже написал в предыдущем сообщении уязвимости №2 и №3 не исчезают внутри самих защищённых канал. Да быть может снаружи в них и сложно попасть, однако изнутри всё двери открыты.

Благодаря Вашему сообщению я полностью представил уровень собеседника.

Вот потому и не хотел ввязывать в этот пустой диспут.

Вместо аргументов раз-два-три наблюдаю глумление.

Вы в статье пишете:

На снимке приводится часть дамп трафика от удалённого клиента, запущенного на ПК, находящегося за роутером по отношению к IP камере Hikvision. Красным подчёркнут искомая связка логин и пароль в зашифрованном формате.

А покажите ка... В статье не нашел этого снимка.

Коллеги!

Очевидно, что тема не простая - не только технически, но и по затрагиваемым интересам многих участников рынка, даже по возможным результатам данного обсуждения.

Поэтому я рад, что обсуждения развивается в русле уважительного общения специалистов. Ну, а эмоции (удивление, улыбка, легкое подтрунивание - это нормально, мы ведь не роботы :-) ... куда от них денешься?

Немного больше терпимости, а главное - постарайтесь аргументировать свои мысли подробнее, чтобы даже такие неподготовленные в этой области люди, как я, могли бы уловить основной смысл. Не бойтесь здесь казаться чрезмерно дидактичными, чрезмерно не получится :-).

Андрей!

Мне не зачем тут над кем-то глумиться и как правильно подметил Юрий Михелевич, всё исключительно культурно, ведь мы же на столичном Питерском форуме!

Если Вы считаете, что то очём Вы говорите истина в последней инстанции и Ваше мнение непререкаемо и когда к Вам не прислушиваются, то Вы этот диалог считаете пустой болтавнёй, в которой Вы уже при немалое участи. Вам своего времени не жалко?

Отвечаю на Ваш вопрос. Возможно Вы невнимательно читали статью. В этом мести статьи чётко написано, цитирую, подчёркиваю и выделяю жирным для понимания сложного меcта.

"В оригинальной статье в этом месте присутствует снимок и комментарий к нему. Снимок по естественным соображениям не публикуется, но комментарий прилагается. На снимке приводится часть дамп трафика от удалённого клиента, запущенного на ПК, находящегося за роутером по отношению к IP камере Hikvision. Красным подчёркнут искомая связка логин и пароль в зашифрованном формате."

Комментарии тут излишни! ;)

iTuneDVR-ру

Благодаря Вашему сообщению я полностью представил уровень собеседника.

Не горячитесь!

А покажите ка... В статье не нашел этого снимка.

ВНИМАНИЕ - не ведись на провокацию, помни про "ацетилен" ;-)!!!!

_REM

_{- Упс, пока писал - немного опоздал, с предостережением!}

PS

Самым правильным по видимому было акцентировать и увести разговор в русло того что проблема СИСТЕМНАЯ, т.е. акцент на то что это проблема не просто DVR, а именно связки IPкамера+DVR(NVR)+IPклиент.

Очень правильно замечание - на каждую камеру VPN сервер не повесишь, ну а если даже и повесивши - проблемы не решишь.

Ну а утверждение:

А для такого рынка, как видеокамера и аппаратный кодер недорого сделать. Так что камеры с шифрованием будут поначалу чуть дороже, чем без шифрования.]

действительно наводит на мысль - что автор этих строк, весьма смутно понимает весь комплекс проблем, которые и сейчас-то есть и связаны они с декодировнием МНОЖЕСТВА потоков СЖАТЫХ видоеданных на стороне приемного устройства (DVR/NVR), которые теперь еще в добавок ко всему - предлагает кодировать.

Очень правильно замечание - на каждую камеру VPN сервер не повесишь, ну а если даже и повесивши - проблемы не решишь.

Если очень коротко - то я именно в этом вижу решение.

VPN'у без разницы что там передается.

Раза три эту часть перечитал.

Статья Ваша? Где оригинал с картинкой?

Как в потоке данных выделена "...область связки логина и пароля..."?

Даже если и выявлена - как сам логин и пароль узнать? Они ведь зашифрованы. Предлагаете дешифровкой заняться?