Уязвимости в безопасности IP устройств различных брендов. Hikvision. Часть 1

Есть такой встравиаемый сервис и для IP камер бренда хиквижен!

Ivideon - это классический облачный сервис. О каком "встраивании" речь?

И как вы думаете, о чём можно задуматься в связи с приведённым и описынным Вами примером и теми описываемыми в статье уязвимостями? ;) ;) ;)

Нужно не задумываясь, бегом переходить на современные облачные технологии )))). Тогда проблема латания "дыр" ляжет на плечи организатора облака и знания "монтажника+сисадмина" на отдельно взятом объекте будут менее актуальны.

То, что мы ушли в сторону от обсуждения вопросов, поднятых Вами - это естественно. Слишком мало людей на этом ресурсе, которые готовы поддержать тему на заявленном Вами уровне. Пожалуй, кроме Вадима Тюрина - никого. А поговорить около темы, по сходным вопросам - всегда пожалуйста. И услышать мнение о них от специалиста высокого уровня.

Хлорошо бы начать искать дыры в сервисе Ivideon и похожим на него.

SysBez!

Ivideon - это классический облачный сервис. О каком "встраивании" речь?

Вы точно не вкурсе! Пройдите по ссылке. указанной Вами и обратите внимание на изделя, которые предлает iVideon, я конечно же имею ввиду IP камеры с уже встроенным их сервисом и который при этом можно встраивать. Там есть не только оборудование от Хиквижена. Почитайте и Вы поймёте о чем сами второпях написали, да еще и придали классичность этому сервису!!! ;)

Нужно не задумываясь, бегом переходить на современные облачные технологии )))). Тогда проблема латания "дыр" ляжет на плечи организатора облака и знания "монтажника+сисадмина" на отдельно взятом объекте будут менее актуальны.

Не ожидал я услышать такое от Вас!!!

Вы мне кого-то напоминаете прямо, в особенности с темой перекладыванием проблем с одной больной головы, на дргугие. Как-то лихо у Вас получилось. Вы отсрелялись и это Вас больше не волнует и пусть у других голова болит!

Вы наверное забыли, русскую народную мудрость: "Поспешишь - людей насмешишь". ;)

Бегом перейти в облако - всё равно, что живому безумцу кинутся в пылающий костёр, непонимая смысла действия вообще!

Статья написана для всех, а не только для Вадима и довольно-таки простым и понятным языком.

Надо просто хорошенько подумать и главное не попадать в просак того анектода, который любезно предоставил Вадим - мастер шуточных вкраплений в разговор собеседников! ;)

Уважаемый iTuneDVR!

У меня к Вам предложение вот какого рода, не знаю, насколько оно разумно.

На следующей неделе пройдет All-over-IP - само название этого мероприятия говорит о том, что там будет большое число специалистов в области IP-технологий. Грех не воспользоваться такой возможностью.

Мне кажется было бы весьма ценным, если бы Вы смогли сформулировать какие-то вопросы, с которыми рядовые посетители могли бы обратиться к IP-гуру, к специалистам по информационной безопасности, к поставщикам IP-камер и пр.

Как сформулировать, если так можно выразиться, основной вопрос Вашей философии? Или ряд вопросов. И как можно трактовать возможные ответы на эти вопросы?

я конечно же имею ввиду IP камеры с уже встроенным их сервисом и который при этом можно встраивать.

Сервис прекрасно работает и без встраивания в камеру. Уже все здесь знают, что у меня дома поставлены две IP-камеры: одна древняя от D-Link а вторая по современнее. Обе они работают в Ividеone без всякого встраивания. Встраивание позволяет еще более облегчить жизнь неквалифицированному пользователю, но не в этом суть работы облачного сервиса. Попробуйте и все поймете. Потом расскажите.

Вы отсрелялись и это Вас больше не волнует и пусть у других голова болит!

Я,как пользователь облачного сервиса, плачу абонетскую плату (отстреливаюсь ежемесячно), а по сему пусть мне обеспечат безпроблемную для меня работу. Чтобы мне не нужно было вникать в http, RSS, белый адрес, привязки портов роутера и прочую лабуду. Ividеon так и сделал. И многие уже так делают.

А по-поводу поспешности: что ж бывает и такое. Так дайте аргументы, что не так в облачном сервисе Ividеon, у которого уже полмиллиарда абонентов во всем мире?

Юрий Михелевич!

Всё что Вы предлагаете, конечно же разумно.

Вот, что касается греха, то вот тут не соглашусь с Вами и этому есть ряд причин, которые уже прозвучали в обсуждении, написанной мной и опубликованной Вами, статьи. Конечно для статистического вывода выборка мнений небольшая и на на этом основании, конечно нельзя делать какие-то выводы, связанные именно со статистикой.

Вы прекрасно понимаете суть подобных мероприятий в общем и данного конкретного, ВСЕ ВОКРУГ ШЗ, в частности!

Я Вас уверяю, что до последнего хрипа в голосе, участники выставки, Вас будут уверять, что их система самая лучшая и беЗопасная, имеет самые высокие рейтиги продаж и тому подобное, а получив конкретный вопрос от Вас про уязвимости, в ответ будет либо наглое и неприкрытое отрицание этого, либо когда Вы их приперев фактами и ссылками, то невнятное мычание и молчание и ничего другого.

Ответ вполне прост и понятен т.к. задавать вопросы нужно только компетентным специалистам из обсласти заданного вопроса и меющих опыт и навыки именно в данной области. Общение в бойкими менеждерами, которые готовы продать всё, что угодно, не принесёт никому ничего полезного. Да и выставка это не брейн-ринг или клуб "Что -Где-Когда", в которых за короткое время Вам должны или обязаны дать правильный ответ, который сойдётся с тем, что есть на самом деле. Любому специалисту по безопасности нужно время, чтобы вникнуть, обдумать, оценить свои возможные действия и ответы, если он конечно, занимается именно оборудованием данного бренда, по которому и описаны уязвимости. Всё остальное пока неопубликовано по этому бренду и остальным.

Что касается философии, то её как таковой нет.

Я скромный человек и занимаюсь любимым для себя делом - исследованиями вообще и информационными технологиями в частности. Мнения своего не навязываю окружающим и не заставляю никого совершать какие либо действия. Если мне есть, что сказать, по какому либо вопросу, я говорю, а если нет, то нет.

Понимаю, что возможно незачем держать в себе все накопленные секреты и наработки, однако как в любом другом деле, окружающие могут быть не готовы к такому повороту событий, если на них выльется такой огромный поток информации. Поэтому в статьях будет соблюдёно сувсво меры и такта. Они возможно будут просто не готовы, а с другой стороны возможно им это и не нужно совсем.

К тому же на выставке в основном будут преставлены продавцы, а процент именно непосредственно разработчиков, мал, да и со своим уставом в чужой монстырь к ним пихаться и что-то навязывать???. ;)

Я думаю, информацию, которая предоставлена в этой статье и в будующих, несёт общий характер и нацелена исключительно для информирования всех желающих и именно в том виде, в котором она изложена. Опубликованный материал в интернете не имеет рамок как печатная книга и ничем не ограничивается и если бы я избрал иной способ донесения информации, то я бы наверное так и сделал бы.

Вещи, описываемые в статье специфичные для многих, с точки зрения мотивации, и мало кому даже в голову придёт заниматься и исследовать именно эти моменты. Оказалось так, что мне это интересна, да и выгода с этого очень не очевидна. Никто не хочет тратить ни силы, ни средства на исследования, гораздо прозще продавать готовое с наценкой и "Могз в Безопасности" ;)

Посетители высавки и так уже имею свои конкретные цели, её посящения, да и за 2 дня надо всё успеть, а тут еще и уязвимости, о которых никто ни сном ни духом.

Статья написана с учётом, того что уже были некоторые прецеденты с оборудованием хиквижен, которые нашли отражение и в их официальном бюллютене, правда со странной трактовкойдля меня, а также были отражены на разных форумах в ветках, в названиях которых присутствовало слово "Вирус". Никаких побробностей и разъяснений, кроме тех, что я привёл не было, но это не значит, что отвернувшись от проблемы она сама собой решиться!!! ;)

Поэтому возвращаясь к статье, я в ней чётко указал избранный мной рычаг воздействия на ситуацию и способ его применения, выраженный в опубликованной статье в доступной для всех форме.

Поймут или нет и сделают ли выводы - это уже другое дело.

Так что, не знаю как правильно ответить на Ваш вопрос и не знаю какие именно вопросы потготовить для посетителей выставки, чтобы они смогли их задасть её участникам о общем и в частности. ;)

SysBez!

Попробуйте и все поймете. Потом расскажите.

Уде давно пробовал, знаю, потому и пишу, о том, что знаю.

Я нисколько не принижаю слеланное iVideon'ом в целом и общался напрямую с преставителя их конторы, которые вышли на меня сами т.к. их заинтересовали некоторые мои исследования.

Поговорил с их преставителем, составил мнение, много интересного. Да у них есть отдельные программные сервера, которые тянут с практически с любых IP камер видео и перенапрвляют их в облако. Мне даже грозились предоставить беЗлимитный доступ, но как-то что-то у них не срослось ;) Меня это нисколько не смущает.

Применительно к рассматриваемому в статье бренду, я исследовал их встраиваемое рещение и подметил много нюансов в нём!

Поскольку их общие алгоритмы практически одни на всё и так как продукт кросплатформенный, то они его и партируют в разные устройства, при этом подмеченные нюансы по-видимому присутсвуют во всех их решениях. Да и с точки зрения самой безопасности, что может быть хорошего от того что хранить своё видео на серверах принадлежащей американской компании. Думаю тут комментарии излишне.

Но, этой теме тоже найдётся место в серии статей про уязвимость, как в купе с хиквиженом, так и в не него.

Я,как пользователь облачного сервиса, плачу абонетскую плату (отстреливаюсь ежемесячно), а по сему пусть мне обеспечат безпроблемную для меня работу. Чтобы мне не нужно было вникать в http, RSS, белый адрес, привязки портов роутера и прочую лабуду. Ividеon так и сделал. И многие уже так делают.

Хоть в Вашем нике и присутствуют намёртки на специалиста по системной безопасности, прочитав это понимаю, что Вы просто далеки от этого. Безплатный сыр исключительно в мышеловке, а для тех кто совсем не соображает, на тех всегда деньги-то и зарабатывают как раз ;)

А по-поводу поспешности: что ж бывает и такое. Так дайте аргументы, что не так в облачном сервисе Ividеon, у которого уже полмиллиарда абонентов во всем мире?

Стадное чувство присуще животным, а человек, стоящий выше всех остальных, не просто должен, а обязан думать своей головой и понимать, что происходит и не потдаваться стадному чувству подчиняясь этой серой топле.

Однако, у человека, для того и есть свобода выбора, чтобы решать самому, насколько себя погрузить в коричневую субстанцию или быть вообще вдалеке от неё.

Но, решать-то Вам! ;)

я понимаю SYSBEZA

ему всётаки хочется при активной профессиональной жизни увидеть как работает ГрадоХранительное облако ...а чо , нормальное желание , не оставить проект на бумаге и в потом в архив , в раздел " недопонятое недооцененное современниками " ...понимаю .

Это как у архитекторов , кому же из них понравится что все проекты останутся только на бумаге .

Хоть в Вашем нике и присутствуют намёртки на специалиста по системной безопасности, прочитав это понимаю, что Вы просто далеки от этого.

Вы очень легко даете оценки оппонентам, однако затрудняетесь сказать по сути обсуждения. Вопрос был несложным: дать оценку сервису iVideon, в частности его узвимым местам с точки зрения безопасности. Вы вместо этого даете оценки мне.

Безплатный сыр исключительно в мышеловке, а для тех кто совсем не соображает, на тех всегда деньги-то и зарабатывают как раз ;)

Сейчас многие сервисы предлагаются бесплатно для тестирования и во многих случаях это полноценно работающие версии с некоторыми ограничениями. Понравилось - купи полноценную версию. Не понравилось - не покупай и сотри из памяти. А что плохого в том, что фирмы зарабатывают деньги на том, что нравится покупателям,а перед этим дают бесплатно тестировать? В чем подвох?

SysBez!

Вы очень легко даете оценки оппонентам, однако затрудняетесь сказать по сути обсуждения. Вопрос был несложным: дать оценку сервису iVideon, в частности его узвимым местам с точки зрения безопасности. Вы вместо этого даете оценки мне.

По моему, я вполне конкретно написал, про iVideon в целом, и в частности про, то, что это не предмет обсуждения данной статьи, но раз Вы подняли тему, то я и указал, что косвенное отношение в случае встраивания сервиса имеется, однако более глубоко и детально это будет рассматриваться в материалах других статей и в другое время. Имейте терпение ;)

Оценка дана исключительно по сути Ваших высказиывний о статье и вокруг неё. Если мне нечего сказать или я грубоко не в теме, то я и не участвую в дискусссиях грубоко и не доказываю с пеной у рта, что только я прав.

Сейчас многие сервисы предлагаются бесплатно для тестирования и во многих случаях это полноценно работающие версии с некоторыми ограничениями. Понравилось - купи полноценную версию. Не понравилось - не покупай и сотри из памяти. А что плохого в том, что фирмы зарабатывают деньги на том, что нравится покупателям,а перед этим дают бесплатно тестировать? В чем подвох?

Воспользуюсь крылатым выражение Андрея Бухарова, отпущенного им в свободный полёт, но процитировав потом перефразирую: "Потому указанные Вами "уязвимости" - это "детские" проблемы." Ну ей Богу, Вы как малое дитё, не наигравшееся в своей родной дворовой песочнице и прельстившись новыми, красочными и доступно-беЗплатными игрушками в другой песочнице со свеже-насыпанным туда песком и подкрашенным грибочком, рвётесь туда изо всех сил и незамечатете ничего вокруг! ;) ;) ;)

Вы действительно не понимаете смысла написанных мной простых слов и то о чём сами пишите или всё же так прикидыватесь для каких-то своих целей???

Статья iTuneDVR вполне доходчива и понятна.

Было бы неплохо всё-таки в статье отразить своё видение того, что можно сделать штатными средствами для минимизации использования кем-либо указанных уязвимостей, а также предложить производителю оборудования некое оптимальное решение.

Я, например, по первой и второй уязвимости могу предложить производителю использовать digest авторизацию, что несложно в реализации и активно используется на многих веб-ресурсах. По третьей уязвимости я так понял что она зависит от первых двух, т.е. нужно знать логин и пароль, а в случае, если таковые не требуются, то, конечно же, производитель должен позаботиться о безопасности telnet/ssh подключений, используя обязательную авторизацию.

В плане же защиты от текущих напастей рядовым потребителям я могу посоветовать по первой уязвимости использовать, если таковая возможность имеется в камерах Hikvision, протокол HTTPS, т.к. во многих камерах можно добавить сертификат SSL, но серверная часть при этом также должна поддерживать безопасные подключения. Таким образом открыто логин и пароль передаваться не будут, но как будет серверное ПО (DVR) взаимодействовать с камерой остаётся под вопросом, т.к. ПО (DVR) может запросить поток по RTSP (RTP), и авторизация может пройти в открытом виде, поэтому ПО (DVR) дожны уметь получать поток по HTTPS. И даже наличие поддержки с обеих сторон HTTPS не может говорить о должном уровне безопасности, т.к. HTTPS может использовать вполне уязвимые реализации SSL и TLS, которые могут быть подвержены, например, атакам типа человек по середине.

По второй уязвимости как мне кажется всё плохо, так что, если такой функционал не востребован, и есть возможность его отключить в камере, то лучше это сделать. Если отключить стандартными средствами такой функционал невозможно, то можно запретить на уровне сетевого трафика прохождение определённых пакетов.

В случае третьей уязвимости можно просто отключить в камере использование telnet и ssh, а если это невозможно, то опять же запретить это на сетевом уровне.

Из рекомендаций по настройке камер отмечу: желательно использовать статический IP адрес, без указания шлюза и DNS, использовать уникальный пароль, протокол HTTPS с корректным сертификатом, отключить все ненужные и неиспользуемые сервисы, например, UPnP, telnet, ftp и др., а также использовать сетевые коммутаторы 2-го уровня с жёсткими настройками в плане привязки камер по MAC, IP адресу, порту, ограничением типа используемого трафика, а также сегментированием взаимодействия камеры и подключаемых к ней устройств (сервера, клиента, DVR), и конечно же используя не менее безопасное ПО (DVR).

В общем и целом надо взвешенно и всесторонне подходить к не просто реализации системы видеонаблюдения, а к безопасной (защищённой) системе видеонаблюдения, соблюдая и предпринимая вполне доступные, разумные меры.

И обязательно напомню всем известный факт, что чем более защищённой является любая система, тем менее удобной она является в использовании и обслуживании, и наоборот.