Security News :: Информационно-аналитическое издание по техническим средствам и системам безопасности
Поиск Контакты Карта сайта
Security News :: информационно-аналитическое издание по техническим средствам и системам безопасности
Security News
Security Focus

Услуги размещения публикаций на сайте Security News
 
 Газета 
 Статьи 
 Зарубежные новости 
 Под знаком PR 
 Новости 
 События отрасли 
 Дайджест СМИ 
 Фоторепортажи 
 Книги 

Получайте новости Security News через Telegram

Получайте новости Security News через Telegram. Это самый оперативный способ читать их с любого устройства.



Security News





Книжная полка профессионала в безопасности
Газета "Security News" / Статьи по системам безопасности / Избранное / Системы видеонаблюдения

Уязвимы по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа


23.05.2012

В заголовке нет ни игры словами, ни преувеличения. Масштабы вскрывшейся проблемы ужасают. Пользуясь лишь общедоступными сетевыми сервисами, сотрудник Security News получил полный доступ к видеорегистратору, стоящему в магазине на соседней улице — не составляло никакого труда не только смотреть видео, но, при желании, стереть архив или вообще выключить камеры. К теме сетевой безопасности видеонаблюдения нас вернул любопытный пресс-релиз. С него и начнем.

Исследовательская лаборатория Gotham Digital Science выпустила новый модуль для своего программного пакета Metasploit Framework. Дополнение под названием cctv_dvr_login предназначено для эффективного подбора паролей к цифровым видеорегистраторам от нескольких производителей — MicroDigital, HIVISION, CTRing, а также от существенного количества других вендоров, продающих OEM-оборудование под собственными марками. Этот инструмент аудита сетевой безопасности разработчик называет оксюмороном "интеллектуальный брутфорсер". Термин brute force ("грубая сила") применяется к методу несанкционированного доступа путем автоматического перебора большого числа паролей, обычно по словарю.

С видеорегистраторами, про которые идет речь, можно работать через клиентское приложение для Windows, мобильное приложение или браузерный интерфейс на основе ActiveX-элемента (эта технология поддерживается только браузером Internet Explorer). Именно авторизацию через ActiveX и эмулирует разработка от Gotham. В блоге лаборатории подробно описан процесс обратного инженеринга: с помощью программы Wireshark аналитики "разобрали" пакеты, которыми обменивается ActiveX-клиент и сервер регистратора. Сначала исследователям бросилось в глаза, что ответ сервера при простом несовпадении пароля отличается от данных, возвращаемых в том случае, когда логина не существует. Ага, задача упрощается. А зная, как формируется пакет с запросом и как должен выглядеть искомый результат, уже не составляет никакого труда написать брутфорсер.

Уязвимости цифровых видеорегистраторов

Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения
Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения

Не будет честным сказать, что регистраторы оказались дырявыми, как дуршлаги. C камерами TRENDNet ситуация была иной — там была обнаружена именно "дырка", уязвимость катастрофических масштабов. А здесь разработчиков можно упрекнуть лишь в том, что они не предусмотрели защиту от быстрого перебора паролей. Иначе говоря, не сделали функцию автоматической блокировки дальнейших попыток входа после нескольких неправильно введенных комбинаций.

Авторизация через ActiveX используется довольно редко — видимо, лаборатория выполняла аудит конкретного продукта. Гораздо чаще логин и пароль надо вводить или в вебформу, или в диалоговое окно браузера — тогда авторизация выполняется стандартными средствами протокола HTTP. Брутфорсеры для HTTP существуют давно. Подбор параметров авторизации перебором — довольно обыденная сторона информационных технологий...

Гораздо важнее другая информация, вскрывшаяся во время этого исследования.

...

Полную версию статьи "Уязвимы по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа" читайте в электронном журнале Security Focus или в сентябрьском выпуске газеты Security News.

Количество показов: 6910

Передний край

ОПЕРАЦИИ КГБ В БРАЗИЛИИ

Спустя некоторое время Security News возвращается к невероятной истории о том, как безопасник из Якутска организовал успешный бизнес на другом конце земного шара. Сегодня наш герой бегло говорит на бразильской разновидности португальского, прекрасно ориентируется в обстановке — и по-прежнему дико занят, полон энергии и сил. И ему по-прежнему везёт. Впрочем, за этим везением стоит чисто русская смекалка, упорный труд и редкий для соотечественников оптимизм.

ВРЕМЯ УЯЗВИМОСТЕЙ

Обновление возможностей технических продуктов, подпитывающее рынок безопасности, почти на сто процентов зависит от развития технологий. Однако прогресс рождает и новые возможности для злоупотреблений. Поэтому в солидных компаниях, прежде чем выпускать на рынок заведомо инновационный продукт, на всякий случай принято проводить экспертизу на предмет того, каким образом можно употребить новинку во зло. Если этого не сделать, разыгравшаяся пользовательская фантазия рано или поздно приведёт к появлению новых угроз и опасностей, непосредственно вызванных этим продуктом...

10 ПРОБЛЕМ ОБЛАКОВ

Специалисты провели опрос заказчиков, проявивших интерес к системам облачного видеонаблюдения, и на основе полученных данных сформулировали своеобразный хит-парад проблематики, которая встаёт перед клиентами в ходе эксплуатации таких систем. Это далеко не исчерпывающий список, однако на начальном этапе освоения облачных технологий этого должно хватить. Не ведитесь на рекламу и не оставляйте в своих представлениях «белых пятен». Тот, кто во всём разберётся, первым двинется дальше.

RSSRSS
Присоединиться в ТвиттереTwitter
Присоединиться в FacebookTelegram
Присоединиться в LinkedInLinkedIn
Присоединиться в FacebookFacebook
Присоединиться в Google+Google+
Присоединиться ВКонтактеВКонтакте
Присоединиться в YoutubeYouTube
Присоединиться в ОдноклассникиОдноклассники
Присоединиться в LiveJournaLiveJournal

Книжная полка


Как правильно хранить, воспроизводить и стирать изображения систем видеонаблюдения

Как правильно хранить, воспроизводить и стирать изображения систем видеонаблюдения




Руководство по составлению эксплуатационных требований к системам видеонаблюдения

Руководство по составлению эксплуатационных требований к системам видеонаблюдения




Практическое руководство по обучению операторов систем видеонаблюдения

Эргономика поста видеонаблюдения




Руководящие указания для заказчиков по обеспечению футбольных стадионов системами видеонаблюдения

Руководящие указания для заказчиков по обеспечению футбольных стадионов системами видеонаблюдения



Hits 44063360
11875
Hosts 4155985
942
Visitors 7563693
1935

41

© «Секьюрити Фокус», 2001-2016.
Свидетельство о регистрации электронного СМИ SECURITY NEWS ЭЛ № ФС 77-33582