Перейти на Sec.Ru
Sec.Ru Интернет портал по безопасности
Мой Sec.Ru
Логин
или e-mail
Пароль
Забыли пароль?
Рейтинг@Mail.ru
Форум по безопасности на Sec.Ru


Популярные темы

О форуме
Регламент

Как пользоваться

Форум / Технические вопросы по безопасности / Уязвимости IP оборудования видеонаблюдения различных брендов. Часть 1
Уязвимости IP оборудования видеонаблюдения различных брендов. Часть 1

подписаться · отослать другу

1
iTuneDVR iTuneDVR (iTuneDVR) 12.11.2014 15:20
Ответить Написать личное сообщение Сообщить модератору

Предлагаю по обсуждать тему:
http://www.security-bridge.com/biblioteka/stati_po_bezopasnosti/uyazvimosti_ip_oborudovaniya_videonablyudeniya_razlichnyh_brendov_chast_1/
2
Уманец Олеся (Олеся) 12.11.2014 16:34
Ответить Написать личное сообщение Сообщить модератору

А на сайте, где статья опубликована, обсуждать некому? почему тогда там публикуетесь?
3
iTuneDVR iTuneDVR (iTuneDVR) 12.11.2014 16:43
Ответить Написать личное сообщение Сообщить модератору

Олеся!
Рад Вас слышать ;)
Не стал никого из Ваших сильно напрягать и решил тут выложить ссылку в рамках ветки обсуждения.
Если Вы сочтёте нужным и важным сделать это как-то в другом формате, то дайте об этом знать.
Я решил сделать один экземпляр и просто дать на него ссылки, в том числе и от себя же, чтобы не плодить версий http://itunedvr.ru/forum/phpBB3/viewtopic.php?f=36&t=380
Потому и дал ссылку или Вы против?

Редактировали: iTuneDVR iTuneDVR I. (iTuneDVR) (12.11.2014 16:46), iTuneDVR iTuneDVR I. (iTuneDVR) (12.11.2014 16:46)
4
Уманец Олеся (Олеся) 12.11.2014 18:39
Ответить Написать личное сообщение Сообщить модератору

Мы не особо приветствуем ссылки на другие СМИ отрасли, т..к считаем их рекламой.
5
iTuneDVR iTuneDVR (iTuneDVR) 12.11.2014 18:55
Ответить Написать личное сообщение Сообщить модератору

Понимаю Вас.
Если считаете нужным, то заметите отредактируйте первую ссылку на ссылку на мой ресурс, который не является ресурсом СМИ отрасли, либо поступите как посчитаете нужным.
Важна суть, а не то, где это размещено.
Но решение целиком за вами, оставить ветку или её удалить!
Благодарствую за понимание! ;)


6
Бендер Сергей (kombinator- 356) 12.11.2014 19:50
Ответить Написать личное сообщение Сообщить модератору

Олеся
А вот между Мостом Безопасности и sec4all никто на моей памяти не высказывал претензии по поводу ссылки между интернет ресурсами .
Но предвижу ваш аргумент что " сек.ру это не волнует ".
Вы считаете рекламой ссылку на похожий форум , а вот на тех ресурсах никто так не сказал в ваш адрес , опять же на моей памяти .
По моему было бы гораздо правильней попросить статью у ITUNEDVR и также разместить у себя .

Редактировали: Бендер Сергей В. (kombinator- 356) (12.11.2014 19:52), Бендер Сергей В. (kombinator- 356) (12.11.2014 19:52)
7
Уманец Олеся (Олеся) 13.11.2014 10:37
Ответить Написать личное сообщение Сообщить модератору

Сергей, везде-то Вы найдете повод дать совет, пожурить, рассказать, как правильно. Как хорошо, что у нас на Форуме гостит такой разносторонне развитый человек, да еще и экстрасенс! Не нарадуюсь прямо-таки. Если уж залезли в тему, лучше бы отклик на статью оставили, для чего тема и заводилась пользователем.

Редактировал Уманец Олеся А. (Олеся) (13.11.2014 10:39)
8
Уманец Олеся (Олеся) 13.11.2014 10:41
Ответить Написать личное сообщение Сообщить модератору

iTuneDVR, тему оставлю, потому что надеюсь, что статья будет интересна специалистам.
9
iTuneDVR iTuneDVR (iTuneDVR) 13.11.2014 10:48
Ответить Написать личное сообщение Сообщить модератору

Источник:Олеся
iTuneDVR, тему оставлю, потому что надеюсь, что статья будет интересна специалистам.

Олеся!
Благодарствую еще раз, за понимание ;)
Редактировал iTuneDVR iTuneDVR I. (iTuneDVR) (13.11.2014 10:49)
10
Бендер Сергей (kombinator- 356) 13.11.2014 14:18
Ответить Написать личное сообщение Сообщить модератору

Олеся.
Раскрасавица ты наша )))
В данной статье мне например совершенно нечего сказать , я только слушаю и вникаю . Зачем балагурить там в чём не понимаешь . Интересно другое . Спецов IP видео судя по отраслевым СМИ и глянцевым выставкам , ну просто пруд пруди , и каждый трезвонит что " ну никаких проблем " .
И вот обозначены конкретные проблемы , дыры , уязвимости , называйте как хотите . И где голос специалистов по IP и торгашных халёных представителей ?
Да чёрт с ним с этим IP , Олеся , вас тема ВАТТМЕТРА не интересует ?))) Хотите я дома у вас замерию потребляемую мощность всей домашней техники ))) Хочется быть вам полезным не только на форуме .



11
E Alexander (ALEX SE) 13.11.2014 19:35
Ответить Написать личное сообщение Сообщить модератору

Лично для меня примерно половина статьи новостью не стала. Знал и до того. И сам натыкался. Но я IT-шник бывший. И немного-таки мягко говоря имею представление об информационной безопасности. Но вообще согласен с Комбинатором - спецов много а специалистов почти нет. Есть куча наблюдальщиков которые строят сети и ставят серверы но не имеют представления даже об элементарном, например VLAN, шифрование, избыточность и т.п. Т.е. могут максимум обжимать витую пару и втыкать в свичи не понимая даже их отличия от хаба. От кого отзывов ждать?
А вообще статья очень полезная. Мне понравилась.
12
iTuneDVR iTuneDVR (iTuneDVR) 13.11.2014 19:49
Ответить Написать личное сообщение Сообщить модератору

E Alexander (ALEX SE)!
Благодарствую за отзыв!
Осталось только уточнить, о какой половине статьи идёт речь, я имею ввиду про сами уязвимости их 3 и пополам не делятся ;)
Про RTSP я сразу сказал, что не буду останавливаться ибо все знают, а уязвимость №1 легко устанавливается, но тут главное идти в нужном направлении. Про №2 и №3 вообщем-то нигде это не описано, потому и предпринята попытка опубликования статья для соотечественников на понятном великом и могучем. Мне есть чем заниматься, кроме как перепечатывать чьи-то труды.

Соглашусь с Вами по поводу элементарной необразованности в области построения сетей, однако сами изделия и их цена ориентированы на массового покупателя и практически в персональном использовании. И тут естественно странно требовать от простого обывателя, чтобы он предпринимал самостоятельно еще какие-то меры безопасности. Про профессионалов своего дела не беЗпокоюсь т.к. они в силах сами о себе позаботится, ибо получат ЗП за это ;)

Рад что статья понравилась!
13
E Alexander (ALEX SE) 13.11.2014 20:43
Ответить Написать личное сообщение Сообщить модератору

Да и жду продолжения. Про RTSP и прочие потоки - беда кучи оборудования в т.ч. и регистраторов и компьютерных систем. Это (даже при отсутствии возможности на камере или регике) очень легко отсечь на управляемых свичах уровня 2+, но я мало где даже видел защиту от левого DHCP, не говоря уж фильтрации пакетов (не кадров). Знал про слабую парольную защиту и возможность восстановления пароля по нескольким параметрам. Не знал про возможность неавторизованной смены параметров. Я так понимаю что никакими настройками камеры это не исправляется?
У меня с этим проще - я камеры валю в отдельную LAN. Нет нужды производителю озадачивать себя секурностью ибо удорожание есть а спроса нет. Вы верно указали про домашних и я бы добавил мелкоофисных пользователей. Им не нужно все это секурное барахло :) Да и не понимают они в этом.
14
iTuneDVR iTuneDVR (iTuneDVR) 13.11.2014 20:59
Ответить Написать личное сообщение Сообщить модератору

E Alexander (ALEX SE)!
В плане секурности немного подискутирую.
Уровень языков программирования и развитые и готовые и доступные алгоритмы на сегодняшний день позволяют сделать всё что угодно и это нисколько ни затратно для программистов и никакого удорожания за собой не влечёт.
Хоть заснифери ты трафик, а ничего не увидишь даже в обычной ситуации или будет разбираться очень сложно.
Про другие бренды я не писал, а рассмотрел на сегодняшний день один из популярных и найденные именно в нём уязвимости, а не в каких-то нонеймах на заре, где про это вообще и не думал!!!
Солидный бренд, позиционируют его продукцию для систем безопасности, вот это и вызвало недоумение.
Проблема уязвимости №2 и №3 внутри закрытых каналов не исчезают и подвержены.
А не буду приводить тут способы и рассматривать варианты.
На счёт секурного барахла, как Вы выразились, я соглашусь, но только в том случае, если оно будет уже внутри и никак не будет обременять, напрягать и без того неподготовленного пользователя.
А то получается, что к информации о продукции надо честно добавлять производителю, побочные эффекты как у лекарств: лёгкий вход посторонних лиц, неавторизованное управление параметрами устройства, удалённый вывод его из строя.
Вот тогда будет всё по чеснаку, но тогда такое точно никому не будет нужно!!!
15
E Alexander (ALEX SE) 13.11.2014 21:13
Ответить Написать личное сообщение Сообщить модератору

Ага. И тут же лежит нонейм в 2 раза дешевле и без таких приписок. В итоге в мою же контору этот нонейм и попрет. Который работает пока есть свет и нет перепада погоды... На самом деле поднятый вопрос очень серьезный. Просто мало кто обращает внимание. Если сейчас начать писать про регистраторы там не менее плачевна ситуация. Платформы нонейм, никакого резервирования компонентов, что такое избыточность - не известно, более того я только один раз видел настроенный бакап базы метаданных на регистраторе. Из 20 примерно. Но все это виртуальные размышления по установщиков. И так во многих местах.
Пример. Издалека. 1С. 7.7 распространенная. Имеет какие-то механизмы защиты данных? Нет не имеет и об этом все прекрасно знают. Это просто открытая для всех кто может видеть сеть база данных. Но в то же время в каждом втором проекте - там разделение доступа. Откуда - не понятно. Но есть. Тут то же самое. Если есть пароль значит есть защита.
Меня как-то раз едва не уволили с работы когда я сказал что введенный пароль Windows не знает и не хранит. И для проверки текущего пароля не обязательно системе знать исходный.
16
iTuneDVR iTuneDVR (iTuneDVR) 13.11.2014 21:19
Ответить Написать личное сообщение Сообщить модератору

Согласен, что серьёзный, однако, предлагаю для интереса почитать комментарии на форуме ресурса, на котором изначально размещена статья. Ветка называется так же.
Я думаю будет приятное удивление переходить в смех, а порой и в хохот.
Увлекательного чтива, а потом поделитесь комментарием, если конечно захочется! ;)
17
iTuneDVR iTuneDVR (iTuneDVR) 24.11.2014 11:49
Ответить Написать личное сообщение Сообщить модератору

http://habrahabr.ru/company/pt/blog/243047/?utm_campaign=email_digest&utm_source=email_habrahabr&utm_medium=email_week_20141118&utm_content=link2post
18
iTuneDVR iTuneDVR (iTuneDVR) 24.11.2014 11:50
Ответить Написать личное сообщение Сообщить модератору

Вот еще добавочка, почитателям иллюзорных защитных зонтиков SSL ;)

Статья совсем недавняя http://habrahabr.ru/company/dsec/blog/240499/

До недавнего времени SSLv3 не использовался в сертификатах Hikvision, однако, ко мне поступил вопрос, в котором есть необходимость использования именно этого сертификата для IP камеры т.к. это такое требование в его решаемой задаче. На данный момент в IP камерах Hikvision использует другой сертификат

С перепиской можно ознакомиться тут http://itunedvr.ru/forum/phpBB3/viewtopic.php?f=28&t=367
19
iTuneDVR iTuneDVR (iTuneDVR) 24.11.2014 11:52
Ответить Написать личное сообщение Сообщить модератору

Вдогонку еще малость добавлю из зарубежного источника. Думаю аглицкий все знают и поймут о чём речь ;)

http://www.ipcamtalk.com/showthread.php?1624-Hikvision-security-aspects

Пройтись по ссылкам внутри тоже интересно! ;)
Редактировал iTuneDVR iTuneDVR I. (iTuneDVR) (24.11.2014 11:52)

Новости
SearchInform представила новые разработки для ведения расследований инцидентов ИБ

Honeywell открыла исследовательскую лабораторию промышленной кибербезопасности

Компания «Техносерв» использовала решения Avaya в проекте по созданию «Национальной платформы Гелиос ТС-112»


 
--{ team void }-- Rambler's Top100 Рейтинг@Mail.ru