Show content

Уязвимости в безопасности IP устройств различных брендов. Hikvision. Часть 1

Форум Системы безопасности / Форум Видеонаблюдение /

13.11.2014 21:27:55

Снимок по естественным соображениям не публикуется, но комментарий прилагается.

Вот теперь рассмотрел...

Сильный аргумент, что тут сказать... и не оспоришь... как Псаки...

13.11.2014 21:28:22

Андрею Бухарову

Если очень коротко - то я именно в этом вижу решение.

Как много, вами собственноручно, запущенно в эксплуатацию, реально работающих, видеосистем на базе сетевых IP видео технологий (IPкамера+NVR+IPклиент)?

13.11.2014 21:32:19

Именно видеосистем - не много.

Работают, не жужжат...

А что?

13.11.2014 21:48:11

Ну раз не много, тогда это многое объясняет.

VPN'у без разницы что там передается.

VPNу-то действительно без разницы.

Только еще раз задаю вопрос: - вы клиенскую чать VPN-на куда собираетесь заталкивать - в каждую камуру и на каждую удаленную(локальную) машину с установленным клинским софтом?

А серверную часть VPN-на куда: - в DVR?

- Так надо полагать?

Так вот: - не в камере, - не тем более в DVR, которому уже сегодня - приходится отрабатывать от 8 до 32 сжатых (а посути уже кодированных) потоков, причем это только от 4-16 основных и от 4 до 16 дополнительные видеопотоки - не считая 4-16 аудиопотоков, а еще и потоков от 4-16 детекторов движения и прочей псевдоаналитики и это только "входящий" тафика без учета исходящего тарфика который будет зависит от количества подключенных удаленных клиентов, так вот - ВЫЧИСЛИТЕЛЬНЫХ РЕСУРСОВ СТОИМОСТЬЮ В 100$ НЕ ХВАТАЕТ на все это дело уже сегодня, - а вы еще собираетесь на этом железе - шифровать! Ну ну - фантазер, вы батенька однако-ж!

13.11.2014 22:06:51

Дык я и говорил, что мощностей видеокамер и NVR может не хватить (а может и хватить... это даже не сильно принципиально. Тот же андроид на тлф без проблем тянет разные виды шифрования). В чем противоречие то?

Надо шифровать каналы каналы связи между устройствами. Сервер VPN можно отдельно поставить. Весьма недорого. А можно и прямо в роутере установить и запустить.

Видеокамеры и NVR и знать ничего о трафике не будут. Они так и будут работать с "открытым" трафиком.

Тогда предметом обсуждения может быть только отрезок между шифратором и видеокамерой. Это - последняя миля. Тут есть задачи и более насущные, нежели перехват трафика...

И если вспомнить с чего начался треп, то напрашивается вывод: хотите защитить трафик? Надо понести затраты на эту защиту. Небольшие, но все же затраты.

А шифрование в видеокамере - честное, с сертификатами - это вопрос только времени, и очень небольшого...

13.11.2014 22:17:33

Вопрос риторический, но ответ известен: монтажники в подавляющей своей массе не способны (а вот сисадмины - способны).

Связка этих двух людей не допускается?

Большинство своих систем строим по рпинципу камеры в своей сети не имеющей выход на ружу, клиенты в своей сети и имеют доступ только к серверу трафик между ними кстати шифруется. Хочется услышать насколько при таком построении камеру будут защищены от внешних атак?

13.11.2014 22:26:34

Андрей! Если очень коротко - то я именно в этом вижу решение. VPN'у без разницы что там передается.Потрясающе!!!Вы так ничего и не поняли и с IP камерами, по видимому, никаких дел не имели.Уязвимости №2 и№3 внутри сети никуда не исчезли и неважно как туда попали. Надеюсь, хоть историю, про завоеваоние Трои Вы слышали?
Раза три эту часть перечитал. Статья Ваша? Где оригинал с картинкой? Как в потоке данных выделена "...область связки логина и пароля..."? Даже если и выявлена - как сам логин и пароль узнать? Они ведь зашифрованы. Предлагаете дешифровкой заняться?
Видимо, Вам очень сложно понять некоторые моменты связанные с безопасностью освеовсещенные в частности в статье и пониманием этого в общем т.к. Вы к этому, ьеме безопасности, не имеете никакоо отношения, судя по вашим высказываниям!Вы точно вскользь прочитали статью, или же вообще её толком не читали, а скорее всего просматривали и не уловили суть т.к. там всё чётко указано, что я ни к чему не призываю, ничего не предлагаю, а указываю, что есть возможность получить искомую информацию и довольно таки просто. Фотоматериалы есть в оригинале статьи, которая есть у меня самого, а на мосту, она опубликована без них, но с пояснениями.Грамотным специалистам, этого достаточно, чтобы понять о чём идёт речь, а тем кто не имеет отнощения к этому делу, даже камасутра с картиками будет также непонятна. Вот теперь рассмотрел... Сильный аргумент, что тут сказать... и не оспоришь... как Псаки...Что и следовало ожидать от Вас.Мотыляет Вас из стороны в сторону и базы аргументрующей у Вас под ногами нет.В итоге Вы сами как Псаки и выражаетесь, только какие-то слухи, домыслы и непонятные заявления, от которых Вы тут же открещиваетесь. Поскольку сказанное Вами нисколько не мешает написанному мной в статье, то пусть оно будет так как есть ;)

13.11.2014 22:30:54

2 Gen

Связка этих двух людей не допускается?

В общем случае нет. Использование сисадмина в качестве монтажника не имеет экономического смысла.

Второй вопрос тоже интересен. Хотелось бы услышать мнения автора топика как он будет ломать такую систему...

13.11.2014 22:36:42

Поскольку сказанное Вами нисколько не мешает написанному мной в статье, то пусть оно будет так как есть ;)

Согласен, что не помешает.

Я как раз хотел указать, что пока в IP видео (и не только видео... во все сетевые приборы) не придется типовое шифрование мы будем иметь множество проблем, в т.ч. и указанные Вами.

13.11.2014 22:39:01

Gens!

Большинство своих систем строим по рпинципу камеры в своей сети не имеющей выход на ружу, клиенты в своей сети и имеют доступ только к серверу трафик между ними кстати шифруется. Хочется услышать насколько при таком построении камеру будут защищены от внешних атак?

Возможно это будет рассмотрено в следующих статях!

Однако, как я неоднократно уже написал про уязвимость №2 и №3, то от них внутри системы Вам не избавится. Другое дело, если Вам сложно понять, почему я именно делаю акцент на это и подчёркиваю именно этот момент, а не вступаю в полемику про защищённые каналы и удорожание из-за VPN встраиваемых сервисов и пр.