Уязвимости в безопасности IP устройств различных брендов. Hikvision. Часть 1

И обязательно напомню всем известный факт, что чем более защищённой является любая система, тем менее удобной она является в использовании и обслуживании, и наоборот

Откуда берутся такие утверждения, да еще так безапелляционно?

Я, как и миллионы людей, делаю покупки через интернет, перевожу деньги родственникам и пр. Все делается в два клика. Никаких сложностей для пользователя нет. Гораздо сложнее сделать это лично через оператора в банке. Опять же пример с Ivideon: ну какие там сложности? А если Вы утверждаете, что защита там слабая, то продемонстрируйте это. Не нужно делать таких голословных утверждений, основываясь на своем лишь опыте работы с устаревшеми технологиями.

ГХ облако работает: я это не только вижу, но и использую,как и многие другие. Работает ровно так же как и другие облачные сервисы других производителей, поскольку используются одни и те же технологии и компоненты. Используется потому-что это удобно и выгодно. А не только потому, что я удовлетворяю свои технические амбиции, хотя и не без этого ))). Не скрою, что удовлетворен работой своей команды. Мы сделали достойный продукт на современном техническом уровне. Достигнут ли продажи такого уровня, как например у того же ivideon - не знаю. Продажи это не простое дело и здесь следующий ход за другими специалистами.

Кстати про продукцию ivideon: облачный сервис мне очень нравится, а вот пользовательское железо - нет. Ни одну из камер, предлагаемых в их "маазине" я бы не купил. Поскольку их фукционал меня, как пользователя, не устраивает, да и цены не маленькие.

Было бы неплохо всё-таки в статье отразить своё видение того, что можно сделать штатными средствами для минимизации использования кем-либо указанных уязвимостей, а также предложить производителю оборудования некое оптимальное решение.

Я, например, по первой и второй уязвимости могу предложить производителю использовать digest авторизацию, что несложно в реализации и активно используется на многих веб-ресурсах.

По третьей уязвимости я так понял что она зависит от первых двух, т.е. нужно знать логин и пароль, а в случае, если таковые не требуются, то, конечно же, производитель должен позаботиться о безопасности telnet/ssh подключений, используя обязательную авторизацию.

В плане же защиты от текущих напастей рядовым потребителям я могу посоветовать по первой уязвимости использовать, если таковая возможность имеется в камерах Hikvision, протокол HTTPS, т.к. во многих камерах можно добавить сертификат SSL, но серверная часть при этом также должна поддерживать безопасные подключения. Таким образом открыто логин и пароль передаваться не будут, но как будет серверное ПО (DVR) взаимодействовать с камерой остаётся под вопросом, т.к. ПО (DVR) может запросить поток по RTSP (RTP), и авторизация может пройти в открытом виде, поэтому ПО (DVR) дожны уметь получать поток по HTTPS. И даже наличие поддержки с обеих сторон HTTPS не может говорить о должном уровне безопасности, т.к. HTTPS может использовать вполне уязвимые реализации SSL и TLS, которые могут быть подвержены, например, атакам типа человек по середине.

По второй уязвимости как мне кажется всё плохо, так что, если такой функционал не востребован, и есть возможность его отключить в камере, то лучше это сделать. Если отключить стандартными средствами такой функционал невозможно, то можно запретить на уровне сетевого трафика прохождение определённых пакетов.

В случае третьей уязвимости можно просто отключить в камере использование telnet и ssh, а если это невозможно, то опять же запретить это на сетевом уровне.

SysBez!

Откуда берутся такие утверждения, да еще так безапелляционно? Я, как и миллионы людей, делаю покупки через интернет, перевожу деньги родственникам и пр. Все делается в два клика. Никаких сложностей для пользователя нет. Гораздо сложнее сделать это лично через оператора в банке. Опять же пример с Ivideon: ну какие там сложности? А если Вы утверждаете, что защита там слабая, то продемонстрируйте это. Не нужно делать таких голословных утверждений, основываясь на своем лишь опыте работы с устаревшеми технологиями.

Рад, что Вы всегда на коне и с технологиями завтрашнего дня вы уже вчера имели дело!

Замки придуманы от хороших людей. Подумайте над этим ;)

ГХ облако работает: я это не только вижу, но и использую,как и многие другие. Работает ровно так же как и другие облачные сервисы других производителей, поскольку используются одни и те же технологии и компоненты. Используется потому-что это удобно и выгодно. А не только потому, что я удовлетворяю свои технические амбиции, хотя и не без этого ))). Не скрою, что удовлетворен работой своей команды. Мы сделали достойный продукт на современном техническом уровне. Достигнут ли продажи такого уровня, как например у того же ivideon - не знаю. Продажи это не простое дело и здесь следующий ход за другими специалистами.

Сколько пафоса!!!

Ну, раз Вы, так легко обобщили все облака, то есть чинайские облака, работающие из России через пень-колоду ;)

Да и облаками их не нахвать, однако они называются так ;) ;)

Премию коллективу выпишите новогоднюю, раз так всё замечательно ;) ;) ;)Если по теме у Вас ничего нет, то предлагаю Вам закончить.

SysBez, Вы сами то верите что покупки через инети ividion и ГХ безопасно?

ГХ облако работает: я это не только вижу

На момент написания этого поста, не работает.

Насчет уязвимостей Хика, ИМХО при всех перечисленных уязвимостях при защите камер от атак снаружи, внутри сети для 99% систем имеющийся защиты достаточно. Поскольку для чего может понадобится любая из 3-ех уязфимостей?

Обычному пользователю в обычной ситеме видеонаблюдения, только так поглазеть на картинку с камер. От таких достаточно правильно построить сеть и + штатная защита камер.

Злоумышленики, этим может понадобится вывод из строя системы, подмена картинки и так далее. Но уровень таких злоумышленников должен быть достаточно высоким что-бы все это осуществить. Значит круг объектов для которых это становится уже, особо охранняемые или режимные объекты.

Ну не станет ни кто подменять картинку на заводе ЖБИ. Там поступят проще, этим самым ЖБИ камеру снесут если появится такая необходимость.

Gens!

Насчет уязвимостей Хика, ИМХО при всех перечисленных уязвимостях при защите камер от атак снаружи, внутри сети для 99% систем имеющийся защиты достаточно. Поскольку для чего может понадобится любая из 3-ех уязфимостей?

В статье перечислено только 3, но это не значит, что их ровно столько и они так идут. Какие я посчитал, такие я и опубликовал! ;)

На момент написания черновика у меня тыда мысль написать "Уязвимость № N+1, Уязвимость № N+2,Уязвимость № N+3,", но решил, что так будет сложно для понимания ;)

Я так понимаю, что Вы строите системы видеонаблюдения для коопрративных заказчиков и конечно прилагаете к этому необходимое доп.оборудование, средства и используете методики по обеЗпечению безопасного использования.

Однако, очень много простых пользователей, которые купили такие IP камеры для частного использования и не то, что не хотят обезопасить себя, а просто не знают как, да и зачем платить еще за что-то, ведь пароль они поставили и никому постороннему не сказали!!! Заходят на камеру или от себя или с телефона, как им стандартно настроили или они это сделали по инструкции производителя.

Они-то в чём виноваты?

ITUNEDVR

предлагаю продолжить это интересное обсуждением опубликованием ещё статьи про какие-нибудь уязвимости и недочёты у других брендов , или чего пожелаешь нужным осветить .

может в продолжении темы , аудитория подойдёт к краю заглянет вообще в бездну )) с твоей помощью .

а то помоему разговор уже топчется на месте .

пускай я покажусь смешным , но может построить обсуждение как то иначе .

расставить приоритеты уязвимостей .

какие то уязвимости на первом месте , они достаточно легко проходимые и их впервую очередь надо опасаться ,

а какие то уязвимости очень глубокого заложения и до них могут дойти единицы , десятки , ну сотни , и то ради интереса донырнуть . увидеть и всплыв забыть . всёравно 99 процентов недонырнут .

может не всё так страшно ? ну по аналогии что в организме любого человека есть раковые клетки , туберкулёзные палочки , холестерин , ещё куча всякой хрени в умеренном количестве , но не в каждом же человеке наличие этих неискоренимых паразитов принимает форму смертельной болезни .

может как то с такой точки зрения посмотреть на уязвимости айпи подключённых устройств , в нашем случае камер , регистраторов ...

kombinator!

Конечно продолжение будет и по этому бренду и по остальным, но не всё сразу и так быстро, а край можно увидеть и не сходя со своего места даже и в том, что опубликовано. Главное не замыкаться на теме, что https панацея и там безопасно, а VPN шифрованные каналы решать все проблемы.

В вопросах безопасности не бывает мелочей, ведь неуязвимый Ахилес был сразили стрелой, именно в то единственное место (направленно, а вернее точечно), которое оставалось всё это время УЯЗВИМЫМ!!! ;) ;) ;)

Да, возможен и такой вариант изложения.

Но, при этом, надо потратить уйму времени на оценочно-статистическую-сравнительную деятельность, а потом нибудь профессура будет пытаться вбить клинять где они не одну докторскую защитили и ни одного такого завалили вопросами не относящимися к теме, но на которые не получили ответов. Это и так неблагодарный труд, да и зачем это делать если уже знаешь где грабли лежат.

Простому обывателю нужен комфорт-удобство-безопасность и не вникать в детали перепетий производителя-продавца. Брак или проблема, так пусть устраняют раз есть гарантия или даже если её нет, раз это так было изначально.

Вот тут конечно же помог бы зарубежный опыт, с отзывом всей партии автомобилей, из-за черезмерного нагревания прикуривателя, но тут всё МАДЕ ИН ЧИНА и рскрад несколько иной. Конечно отзывать никто ничего не будет, однако это рынок как ни крути и тут действуют другие законы! ;)

Не совсем удачный пример, да и если задуматься, по сути совокупности даже озвученных всего лишь трёх уязвимостях, то даже штатное устранение их производителем повлечёт очень большие изменения!!!

Надо только задуматься и понимание масштаба обязатено придёт, хотя и это совсем не обязательно т.к. всё уже разжовано в самой статье! ;)