Уязвимости в безопасности IP устройств различных брендов. Hikvision. Часть 1

Но что мешает использовать VPN с поддержкй QoS?

1. Цена

2. Приоритет должен будет поддерживаться на всей протяженности IP ИНТЕРНЕТ сети (т.е. во всех её сегментах), это не реально, т.к. вам эти сегменты не принадлежат!

REM

- Поймите, - потоковое видео - это не файл конечной длины, это именно непрерывный поток, причем поток с весьма приличным объемом данных и жесткими временными требованиями на передачу, т.ч. всё что - хорошо для передачи КОРОТКИХ статусных сообщений, а-ля плюнуть пару байт по сетке, т.е. послать именно статус фиксированной длины, да еще и без особых требований к скорости доставки ШЗ-градоохренятором: - абсолютно не пригодно для передачи БЕСКОНЕЧНОГО потокового вещания требующего жестких верменых рамок доставки информации до получателя.

И если бы все было так просто, как вам хочется, то нах небыла бы нужна разработчикам вся эта потоковая бодяга - RTP, RTSP, VoIP и т.д.

Коенчно же есть путь и помимо VPN.

Можно не шифровать, а подписывать данные.

Но решения проблемы (на мой взгляд) лежит в области криптографии.

Так что отмеченные автором топика "уязвимости" имеют место быть, но их природа - открытый всем и вся трафик. И пока трафик открыт - ничего с этими "уязвимостями" не сделаешь.

Но пока используем то что есть. Надо защищать каналы? Надо. Есть чем? Есть.

Меры противодействия уже и сегодня можно эффективные предпринять.

А обсуждение любопытной темы почему-то вылилось в развешивание ярлыков...

Примеры скрости пусть даже не прохождения, а пусть хотя бы скорости обновления кадров с демонстраций качества получаемой картинки "В СТУДИЮ" - слабо?!

то две сетевые карты воткнутые в одну материнскую и NVR с разными сетевыми интерфейсами тоже не стоит расматривать как физически разные.

Это с чего эт вдруг - если в этом случае у двух сетевых карт, самый основной признак и самый наипервейший механизм комутации пакетов в IP в сети (кому чего) какой?

Это MAC адрес, - если вы еще не поняли!

А в вашем случае (когда вы спрятали камеры и DVR за свич с рутом), он (MAC) один - на всех!

И то что можно было бы гонять по чистому LAN с прямой адресацией по MAC при двух сетевых картах, вы теперь будет гонять через свич с рутером, по средствам множественного форвердига трафика с переформатированием пакетов и передачей их из одного физического порта в другой физический порт вашего свича - со всеми вытекающими.

Предлагаю ознакомиться с сервисом http://ru.ivideon.com/

Очень похож по построению на наш сервис ГрадоХранитель, но только пока одно телевидение. Сотни миллионов подключенных камер, живое потоковое видео, глубокие архивы. Не требуются услуги спесивых "специалистов" : достаточно просто иметь выход в интернет и учетную запись в кабинете. И все это за умеренную плату. А для моих двух камер - бесплатно. Давайте продолжим обсуждение по уязвимости на данном примере. Там как-раз http и прочие современные методы.

Но решения проблемы (на мой взгляд) лежит в области криптографии.

Лежит, то оно лежит, только вот вы, когда-либо, пользовались цифровым, платным (кодированным) ТВ?

Вы при этом на цифровом ресивере переключать каналы кодированные и открытые пробовали?

А время которое ушло на переключение с кодированного на открытый и обратно с открытого на кодированный - не засекали никогда?

А помехоустоичивость на открытых, и при этом не стабильность на закодированных каналов - никогда не оценивали (пусть даже глазом престреляМшись)?

Нет?

Попробуйте, просто ради того чтобы понять - к каким последствиям все это шифрование видеоданных в итоге приводит.

И не каналы нужно шифровать, а обеспечивать не доступностьк линиям связи.

PS

Хотите еще приведу пример (номер четыре) почему НЕТ НИКАКОГО СМЫСЛА использовать на участе ПЕРЕД камерой НИКАКОЕ внешнее устройство шифрования а-ля там VPN управляемый свич за 500 рублёв (да и покажите мне - где такой можно было бы прикуПить).

Так вот, вопрос на засыпку: - что произойдет с вашей VPN сетью, ну скажем а-ля:

Гоняю с Новосибирска и Москвы в Питер. Проблем нет.

Если я, в городе Новосибирске, в место одной из уличных камер, весящей где нить в полном доступе на уличной стенке - возьму и подключусь через старенький хаб ноутбуком?

Причем если кот-то шибоко умный посчитает что это мои фантазии - поищите и почитайте газетку SecurityNews, так где-то даже комиксы на подобную тему были ;-)

Или еще проще вариант - возьму и воткну не просто старенький хаб, а еще и залупленный (от слова Loop) патч-кордиком?

Что произойдет с вашей хваленной VPN в городе Москва, или в славном городе Питер в этих двух случаях?

А?

Очень похож по построению на наш сервис ГрадоХранитель,

Примеры скрости пусть даже не прохождения, а пусть хотя бы скорости обновления кадров с демонстраций качества получаемой картинки "В СТУДИЮ" - слабо?!

Чуть позже смогу, для этого надо добраться до объекта на котором все это работает.

Уважаемые Коллеги!

Вас понесло от сути проблемы далеко в сторону, хотя это и не так плохо, для общего материала обсуждений.

Напомню еще раз, что уязвимость №2 и №3 внутри сети по преджнему остаются, какую бы Вы не делали беЗопасную внешнюю обёрткую. В опубликованной статье речь и идёт в основном о локальном доступе к устройствам, но примеры приведены с удалённым доступом.

Мне кажется, что всех этих уязвимостей можно было избежать в самом начале построения SDK системы и нам бы с Вами тут и обсуждать ничего бы не пришлось!

SysBez!

То, что автор указывает на какие-то дыры в существующих описываемых им системах видеонаблюдения - само по себе не плохо. Для тех кто эти системы использует может быть и представляет интерес. Однако ошибочно было бы полагать, что не существует хорошо защищенных систем.

Благодарствую за отзыв!

Автор указывает на на дыры, а на уязвимости ине какие-то, на вполне конкретные и ощутимым с различного рода последствиями.

Скорее всего Вы не используете видеосистемы этого бренда, поскольку Вы именно так и построили своё следующее предложение. Любая уязвимость обнаруженная в отраслевом сегменте интересующего оборудования всегда интерена и поучительна, как для специалиста, так и для обывателя и читается как увлекательная истори как минимум.

Над следующим Вашим предложением, я задумался, ибо не припомю в статье подобного, моего предположения, про несуществование хорошо защищённых систем. Речь шла об ошибках, а глубина последствий от их присутствия или проявления и Ваша аналогия отличаются очень многим и целью статьи не было как-то громко заявить или заранее и голословно объявить, что у всех есть проблемы и причём болшие. Речь шла только о том, до чего дошли руки исследователя, об этом и речь. Никаких фантазий, а только жёсткая и порой неприкрытая реалия!

SysBez!

Есть такой встравиаемый сервис и для IP камер бренда хиквижен!

И как вы думаете, о чём можно задуматься в связи с приведённым и описынным Вами примером и теми описываемыми в статье уязвимостями? ;) ;) ;)

И как вы думаете, о чём можно задуматься в связи с приведённым и описынным Вами примером и теми описываемыми в статье уязвимостями? ;) ;) ;)

Идет обезьяна по лесу. Видит на пальме кокосы висят, ну она берет и начинает дерево трясти.

А кокосы все не падают.

Тут ей внутренний голос говорит:

- "Думай, думай"

Ну она подумала, взяла палку и сбила кокосы.

Идет мужик по лесу видит шишки на елке висят.

Ну он и начал пальму трясти.

Тут ему внутренний голос говорит:

-"Думай, думай"

Мужик:

-"Че думать-то прыгать надо!"

:-)