Уязвимости в безопасности IP устройств различных брендов. Hikvision. Часть 1

Тот же андроид на тлф без проблем тянет разные виды шифрования). В чем противоречие то?

Даже не откройте по сети, а возьмите и скачайте 16 видео роликов разрешением HD, причем скачайте из и пусть даже не с "бытовым" битрейтом в 60 мб обычным для ВD дисков, а именно с "профессиональным" IP-битрейтом в 5-8 мб, а затем - запустите эти уже локально скаченные 16 файлов на вашем андройдотелефоне все одновременно - воТ затем И поговорим М про противоречия М про то хватит Вам ресурсов или нет на обработку (декодирование) ЗАКОДИРОВАННОГО кодеком h264 потока с 16 ЛОКАЛЬНЫХ видеоФАЙЛОВ. ;-)

Андрей!

Я как раз хотел указать, что пока в IP видео (и не только видео... во все сетевые приборы) не придется типовое шифрование мы будем иметь множество проблем, в т.ч. и указанные Вами.

Опять у Вас пространное заявление ни о чём!!!

Даже без всякой внешней или протокольной шифрации спокойно пишется ПО и обмен между узлами осуществляеся на порядки безопасней и уж точно без авторизации ничего не пройдёт. Тут даже не нужно изобретать колесо, тут надо просто запрограммировать это в соотвествии с посталенными задачами и наложенными ограничениями по безопасноти и не более того!!!

Ничего лишего и не потребуется и это нисколько не затратит процессорное время ни напряжёт систему!

Не нужно ждать ни манны небесной, ни второго пришествия, ни запроса рынка, ни тем более типового шифрование, которое будет вскрыто тут же, раз оно типовое ;)

На мой взгляд, изначально просто незачем создавать самим себе проблемы и тогда их точно не будет, как и статей посвящённых им ;)

Большинство своих систем строим по рпинципу камеры в своей сети не имеющей выход на ружу, клиенты в своей сети и имеют доступ только к серверу трафик между ними кстати шифруется. Хочется услышать насколько при таком построении камеру будут защищены от внешних атак?

Подобная топология оправдана только при наличии у DVR (NVR) двух физически разных LAN портов, в случае же логического деления одного физического LAN порта на два логических сегмента и пусть даже один из них и буде защищен VPN - проблему безопасности для связки IP-ВК+DVR - не решает.

2 Тюрин Вадим

Вы все время сталкиваете тему на декодирование видеопотока. Не могу понять почему?

На уровне канала etherneta есть только пакеты данных. Об их шифровании я и веду речь.

Вот о примерно такой структуре: http://clip2net.com/s/jhfytK

Возрастет зашифрованный трафик? Да, но не намного.

Должны ли шифратор-дешифратор и сервер vpn быть мощными? Нет, ресурсом много не требуется.

Может, Вы имеете в виду тот факт, что сам канал не потянет весь трафик видео? Ну так это не относится к обсуждаемой теме. Коли не тянет трафик - ничего не поделаешь...

Опять у Вас пространное заявление ни о чём!!!

А я Вас пытаюсь понять - и не могу.

Первая "уязвимость" основана на том, что трафик открыт, и видны все пароли.

Да, так и есть. Сниферить трафик просто. Но вот уже все публичные сервисы используеют HTTPS, и проблемы с перехватом пароля - логина нет.

Вторая "уязвимость" основана на слабом алгоритме шифрования. Тоже проблема известная. Дык и решение тоже известно: используй стандартные методы, и процесс взлома затянется на годы...

Третья уязвимость" описано не очень внятно. Окажите честь - изложите ее суть.

Мой тезис как раз в том, что использование стандартных алгоритмов шифрования автоматически ликвидирует эти уязвимости. Вы с этим не согласны разве?

А далее я высказываю мнение почему этого стандартного шифрования нет в видеокамерах.

Что же в моих заявлениях "ни о чем"? Очень даже конретно.

Подобная топология оправдана только при наличии у DVR (NVR) двух физически разных LAN портов, в случае же логического деления одного физического LAN порта на два логических сегмента и пусть даже один из них и буде защищен VPN - проблему безопасности для связки IP-ВК+DVR - не решает.

Вы все время сталкиваете тему на декодирование видеопотока. Не могу понять почему?

Установка роутера за 500 рублей делает у любого NVR, DVR два физически разных порта.

Знаете, - я пойду пока посплю, а вы подумайте про то что есть физический и что есть логический, а так же подумайте - почему для СИСТЕМЫ видеонаблюдения (причем желательно для системы работающей в реальном масштабе времени) - видителе необходимо задумываться комплексно о каких то там, да еще и зачем-то УЖЕ сжатых (закодированных) - IP-видеопотокАХ!

;-)

Андрей!

А я Вас пытаюсь понять - и не могу.

Бывает и такое ;)

Вы в этом так уверены что HTTPS это спасение, возможно вы не просто не в курсе?

А что касается про сниферить трафик, то прочитайте моё сообщения чуть выше и Вам всё станет ясно.

Вторая "уязвимость" основана на слабом алгоритме шифрования. Тоже проблема известная. Дык и решение тоже известно: используй стандартные методы, и процесс взлома затянется на годы...

Интересно, откуда Вы о ней знаете и тем более решение дык для этого тоже? Подскажите Ваше решение производителю непосредственно!

Третья уязвимость" описано не очень внятно. Окажите честь - изложите ее суть.

Суть не ясна, потому что Вы просто не в теме данного вопроса, оттого и непонятно о чём речь. Статья рассчитана на широкий круг читателей, но целью не ставит организацию ЛИКБЕЗа (Ликвидации БеЗграмотности), если кому что стало не понятно в результате ей прочтения. Однако предлагаю Вам обратится к Девиду, который Коперфильд и испросить у него оказать Вам честь раскрыть секрет его фокусов, которые не относятся к беЗоасности IP камер Хиквижен в частности. Думаю тут Вы должны понять о чем идёт речь и это и будет ответом на Ваш вопрос касаемый уязвимости №3. про котороую Вы спрашиваете и требуете картинок на протяжении несколькиз постов.

Верояная причина этого Вашего тезиса в том, что Вы никогда не программировали и отсюда все вытекающие последствия. А высказываемое Вами далее мнение, опять же противоретит Вашим ранним высказываниям,тезисам, мнениям и причем многократно, даже в этом же вашем посту, на который я и даю ответ.

Интересно, откуда Вы о ней знаете и тем более решение дык для этого тоже? Подскажите Ваше решение производителю непосредственно!

Откуда знаю об "уязвимости"? Из Вашей статьи знаю. Мы ведь о ней говорим?

"...Шифр односторонний, однако вычисленный алгоритм оказался вполне простым, и на его основе и исключительно для целей исследования был создан генератор, в котором проверяются совпадения и создается их..."

А почему не использовали какой-то типовой, с расчетным временем взлома в несколько столетий.

Да и сам по тот факт, что HTTPS лежит в основе многих банк-онлайн разве не говорит о достаточной его защищенности?

Суть не ясна, потому что Вы просто не в теме данного вопроса, оттого и непонятно о чём речь.

Очень может быть. Надеюсь, что общаяся тут стану более компетентным. Объясните, разжуйте, научите.

Ибо если Вы написали статью для тех, кто в курсе, то она им не нужна - они и так в курсе.

А те, кто не в курсе - ничего не поймут, и им статья не нужна. Зачем писать статью, которая никому не нужна?

Вы утверждаете, что я себе противоречу? Плз, укажите в чем. МОжет, у меня и впрямь что с головой не так...Тогда займусь головой, а не форумом.

Андрей!

Вы сами-то перечитате Ваш пост, который я именно так прокоментировал и поразмышляйте, почему именно я так написал. Использованные Вами обороты, и использованные вами эпитеты заключённые в кавычки, дали однозначное трактование того, что Вам это давно всё известно и из песочницы Вы давным давно выросли, а всё то, что обсуждается просто детский лепет и не стоит внимания.

То, что легко для меня не означает лёгкость для других, однако есть много всего того недоступного и мне. Я простой и скромный исследователь, не обладающий суперпознаниями.

А почему не использовали какой-то типовой, с расчетным временем взлома в несколько столетий.

Предлагаю Вам задать данный вопрос непосредственно производителю именно в таком тоне!!!

Да и сам по тот факт, что HTTPS лежит в основе многих банк-онлайн разве не говорит о достаточной его защищенности?

Да в том то и дело, что не факт ;)

Очень может быть. Надеюсь, что общаяся тут стану более компетентным. Объясните, разжуйте, научите.

Еще раз повторюсь, что цели не преследую ни в статье ни вне неё заниматься ЛИКБЕЗОМ (Ликвидацией Безграмотности). Читаем, пытаемся понять, учимся, но самостоятельно.

Ибо если Вы написали статью для тех, кто в курсе, то она им не нужна - они и так в курсе.

Вы, как я не раз уже заметил, плохо читаете и понимаете написанное, ведь на самом деле статья написана абсолютно для всех, а связка "в курсе" мной была использована дважды в статье и только во второй раз строго в контексте цитируемого далее абзаца: "Для тех, кто хоть раз открывал telnet/ssh cессию на IP камеру Hikvision по делу, тот в курсе, что существуют команды получения информации об устройстве и управления им в среде bash (например: prtHardinfo, resetPasswd, getIp, setIp, getPort, setPort, getMtu, setMtu и др.) и видел результат вывода этих команд на консоль сессии."

Т.е. те кто заходил и видел, те в курсе на счёт наличия внутренних команд, но не в курсе всего остального и статья им как раз таки и нужна для понимания этого. Просто таким пользователя проще понять.

А для тех кто никогда ни разу не был в такой телнет сессии и не знает про такие возможно, тому безполезно об этом было подробно разъяснять в формате статьи т.к. они и не поймут и таких глубоких просветительских целей я не преследовал, но для общего примера привел, чтобы знали, что есть и те, кто в курсе этого и на них ориентировались как на пример ;)

Таким образом, из Ваших слов и следуя Вашей логике, становитяся понятно, что статья никому не нужна т.к. большинство, в том числе и Вы никогда небыли в телнет сессии на таких камерах, не знаете про такие каманды и их действие, не понимаете как этим можно воспользоваться штатно, а тем более нештатно и без какой-либо авторизации, но тем неменее в красках и с лёгкостью нараздавали море советов, конкретных рецептов по устронению уязвимостей, заключённых Вами ковычки, в которых по сути Вы ничего не понимаете!!!

То Вы пишите, что подчерпнули информацию из моей статьи, чего ранне не знали, то пишите, что статья никому не нужна т.к. написана для тех кто в курсе, а им это и даром не надо, но Вы то не относитель к тем кто в курсе!!! ;)

Вы утверждаете, что я себе противоречу? Плз, укажите в чем. МОжет, у меня и впрямь что с головой не так...Тогда займусь головой, а не форумом.

Вы уже сами ответили на заданный Вами же вопрос. Указывать места не стану, а иначе возникнет очень глубокая рекурсия вызовов и Вам из неё будет не выбраться ;)