Security News :: Информационно-аналитическое издание по техническим средствам и системам безопасности
Поиск Контакты Карта сайта
Security News :: информационно-аналитическое издание по техническим средствам и системам безопасности
Security News
Security Focus

Услуги размещения публикаций на сайте Security News
 
 Газета 
 Статьи 
 Зарубежные новости 
 Под знаком PR 
 Новости 
 События отрасли 
 Дайджест СМИ 
 Фоторепортажи 
 Книги 

Получайте новости Security News через Telegram

Получайте новости Security News через Telegram. Это самый оперативный способ читать их с любого устройства.



Security News





Библи видеонаблюдения - 3
Газета "Security News" / Статьи по системам безопасности / Избранное / Системы видеонаблюдения

Видеонаблюдение по-китайски: риски и подвохи


17.04.2017

Некоторые из этих рисков пока ещё остаются гипотетическими. А некоторые вполне реальны и, возможно, уже реализованы. Мы можем об этом лишь догадываться. До серьёзного обсуждения и выработки стратегии противодействия этим рискам пока ещё не дошло. Возможно, зря.

В Интернет-расследовании «Сюрпризы китайских прошивок: IP-камеры и видеорегистраторы», проведённом информационным агентством «Безопасность Сегодня», мы уделили внимание некоторым теневым практикам, сформировавшимся вокруг продукции китайской частно-государственной компании Hikvision. Знает ли руководство компании о том, что вокруг продуктов бренда успела сложиться целая система полулегальных экономических отношений? Рискнём предположить, что всё это не составляет тайны. Однако вытаскивать эту тему на поверхность китайским боссам невыгодно, поскольку все стороны «имеют свой навар». В конце концов, товар продаётся и по «белому», и по «серому» каналам, и объёмы продаж вполне прогнозируемы. Правда, после целой череды скандалов, связанных с вопросами безопасности использования китайской сетевой электроники, профессиональные сообщества целого ряда отраслей забили тревогу.

Действительно, после активизации крупных компаний из КНР на западных рынках с их продукцией стали происходить непривычные нам вещи. Смартфоны поступали в продажу с предустановленными приложениями, которые негласно шпионили за пользователями — фиксация онлайн-покупок, подслушивание разговоров и прочие виды слежки. В ноутбуках и настольных ПК китайской компании, перекупившей когда-то компьютерное подразделение IBM, обнаружилась «задняя дверца» на уровне начального загрузчика BIOS. Совершенно ясно, что мы имеем дело с тенденцией, и, наконец, настаёт время задуматься над тем, какими рисками она может обернуться для охранной индустрии. Точнее, для той её части, что напрямую завязана на сетевые технологии.

Видеонаблюдение по-китайски: риски и подвохи

«Пакет смерти». Эта страшилка давно кочует по айтишным форумам. Как известно, комбинации единиц и нулей пересылаются между Ethernet-устройствами в порциях-пакетах. Технически возможно создать сетевое устройство, которое, получив специально подготовленный пакет данных, выполнит определённые функции без ведома конечного пользователя. Например, отключит камеру либо остановит запись на всех каналах видеорегистратора именно в тот момент, когда на объект планируется вторжение.

До намеренной реализации IP-устройств, превращающихся в кирпичи по получении определённых пакетов, пока ещё не дошло. Однако стоит упомянуть о том, что некоторые модели сетевых карт Intel внезапно отключаются при поступлении на них Ethernet-пакета определённого содержания. Производитель об этом, судя по всему, понятия не имел.

Намеренно «дырявая» прошивка. Бреши в защите не всегда оставляют в злонамеренных целях. Иногда с их помощью производитель решает свои вопросы. Например, пытается таким образом упростить процедуры удалённого технического обслуживания. Один из видов прорех в защите — заведомо слабые элементы ПО, неустойчивые, например, к атакам на переполнение буфера памяти. Или хитро реализованный генератор случайных чисел, позволяющий сетевому злоумышленнику при необходимости раскодировать протокол шифрования данных.

Отсутствие паролей по умолчанию или наличие вшитых паролей также можно квалифицировать как «чёрный ход». Примерно год назад неутомимые хакеры обнаружили в видеорегистраторах Zhuhai RaySharp вшитый пароль для пользователя root — комбинацию цифр 519070, на поверку оказавшуюся почтовым индексом города Чжухай, где расположена штаб-квартира компании. В группу риска по взлому попало как минимум сорок тысяч подключенных к Интернету аппаратов этого производителя, не считая ОЕМ-продуктов ещё семи вендоров, использующих ту же самую прошивку.

Особого смысла в вышеперечисленном мало: если предположить, что «китайский хакерский заговор» существует, возникает нестыковка с использованием этих же самых моделей IP-камер и видеорегистраторов внутри страны. То есть, технически возможен и ответный удар, «тем же самым по тому же месту».

Просто халтурная прошивка. Этого добра в отрасли хоть отбавляй. Баги встречаются даже у самых именитых производителей. Заботящийся о своей репутации вендор как можно скорее отреагирует на обнаруженную ошибку, признает свою вину и поспешит с обновлениями. Китайцы же нередко лукавят, пытаясь ввести отраслевое сообщество в заблуждение. Семитысячная армия исследователей и разработчиков Hikvision не смогла предотвратить взлом простецких видеорегистраторов? Нет, коллеги, тут что-то не так. Или инженеров не столько. Или столько, но не инженеров. Или подразделение вовсе не исследовательское. Тем более что его 38-летний руководитель Пу Ши Лян параллельно занимает должность в Министерстве общественной безопасности КНР, возглавляя технологическую лабораторию.

Истории с выявлением уязвимостей в прошивках происходят с завидной периодичностью и у других китайских компаний, теснящих друг друга на международном рынке. Хакер Bashis, выявивший бэкдор во встроенном софте целого ряда моделей камер и видеорегистраторов Dahua, в запальчивости выложил «отмычку» в публичный доступ, не поставив предварительно производителя в известность. Специалист пришёл в ужас от того, насколько просто извлечь из локального веб-сервера комбинацию логина и пароля. Дыру зашили, но сколько ещё сюрпризов таится в китайском коде — остаётся только гадать.

И, наконец, главный из факторов риска, не имеющий, как все упомянутые выше, технической подоплёки. Это стиль деловой активности «товарищей с Востока». Нельзя сбрасывать со счетов то, что в Китайской Народной Республике, управляемой Коммунистической Партией Китая, бытуют иные, чем во всём остальном мире, понятия о конкуренции, интеллектуальной собственности и бизнесе как таковом.

Все успешные китайские компании так или иначе связаны с партийными структурами и военной машиной. И это сказывается на построении деловых отношений с каждой из них. Во-первых, за компаниями маячит государство, предоставляя финансовую помощь. Оцените сами масштабы этой помощи: всё та же компания Hikvision, на 42% принадлежащая госструктурам КНР, получила в 2015 году почти три миллиона долларов в виде займа плюс кредитную линию на такую же сумму от двух государственных банков — Банка Развития и Импорто-Экспортного. Во-вторых, привычный нам принцип «клиент всегда прав» здесь не работает. Лояльность поддерживается прежде всего к партии и родине, на зарубежных бизнес-партнёров она может и не распространяться, а на конечника этого добра уже точно не хватит. Поговорите по душам с теми, кому приходилось работать с крупными компаниями «оттуда». Вот что приходится слышать чаще всего: структура закрытая, планы туманны, плюс нет никакой уверенности в том, что завтра бренд не свернёт поставки по команде из Пекина.

Хотелось бы избежать обвинений в ксенофобии: китайцы — древний уважаемый народ с безумно интересной и богатой культурой. Поэтому вполне вероятно, что демонстрируемое рыночными гигантами из КНР пренебрежение к западному потребителю — всего лишь ответ на нашу собственную жадность, на неуёмное стремление купить подешевле. И над этим, пожалуй, стОит подумать, прежде чем связываться с продукцией Made in PRC.

Компания:  ИА Безопасность Сегодня / Hikvision / Dahua


Последние публикации компании:

Новости
Статьи
Передний край

ЭПОХА СТАРТАПОВ

Крупные корпорации, как известно, в рыночном смысле несколько неповоротливы и инертны. А данные о высокой эффективности операций, почерпнутые из отчётов перед акционерами, зачастую выглядят не слишком правдоподобно. На этапе становления рынка крупным компаниям всегда легче: уже сложилась репутация, установилась клиентская база, выработаны навыки ведения переговоров. Когда рыночный пирог поделен «крупняком», мелким игрокам остаётся лишь подбирать крошки.

H.265 — МАРКЕТИНГОВЫЙ ТРЮК?

За прошедшие годы доминирующим видеокодеком в отрасли безопасности стал Н.264, но в последнее время ряд производителей и экспертов принялись весьма интенсивно «продавливать» Н.265. В связи с приходом нового кодека возникает ряд вопросов. Прежде всего общественность интересуется двумя: когда HEVC станет общеупотребительным и надолго ли всё это. Однако редакцию интересуют чуть более глубоко зарытые вещи: например, кто получит основные выгоды от перехода на новый стандарт кодирования, и не является ли это очередным маркетинговым трюком, позволяющим сдвинуть рыночный баланс в сторону определённых игроков.

ЗАЩИТА ОТ ВЗЛОМА IP-КАМЕР

Информация о взломах компьютерных систем давно уже перестала считаться фантастикой. Переход на сетевое видеонаблюдение поставил безопасность IP-камер под закономерный вопрос: можно ли при желании обойти защиту, и есть ли она как таковая? Парольная защита предусмотрена во всех без исключения моделях камер видеонаблюдения. Однако уровень её исполнения у разных производителей может оказаться разным. Не секрет, что во многих системах пароли по умолчанию остаются на долгие годы — по сути, до первого прецедента взлома.

RSSRSS
Присоединиться в ТвиттереTwitter
Присоединиться в FacebookTelegram
Присоединиться в LinkedInLinkedIn
Присоединиться в FacebookFacebook
Присоединиться в Google+Google+
Присоединиться ВКонтактеВКонтакте
Присоединиться в YoutubeYouTube
Присоединиться в ОдноклассникиОдноклассники
Присоединиться в LiveJournaLiveJournal

Книжная полка


Видеоаналитика: Мифы и реальность

Видеоаналитика: Мифы и реальность




IP-видеонаблюдение: наглядное пособие

IP-видеонаблюдение: наглядное пособие




Системы защиты периметра

Системы защиты периметра




Руководство по составлению спецификаций на системы контроля доступа (СКУД)

Руководство по составлению спецификаций на системы контроля доступа (СКУД)



Hits 60250611
14801
Hosts 5349153
1547
Visitors 10118001
2650

47

© ИА «Безопасность Сегодня», 2017.
© «Секьюрити Фокус», 2001-2016.
Свидетельство о регистрации электронного СМИ SECURITY NEWS ЭЛ № ФС 77-33582