Security News :: Информационно-аналитическое издание по техническим средствам и системам безопасности
Поиск Контакты Карта сайта
Security News :: информационно-аналитическое издание по техническим средствам и системам безопасности
Security News
Security Focus

Услуги размещения публикаций на сайте Security News
 
 Газета 
 Статьи 
 Зарубежные новости 
 Под знаком PR 
 Новости 
 События отрасли 
 Дайджест СМИ 
 Фоторепортажи 
 Книги 

Получайте новости Security News через Telegram

Получайте новости Security News через Telegram. Это самый оперативный способ читать их с любого устройства.



Security News





Библи видеонаблюдения - 3
Газета "Security News" / Статьи по системам безопасности / Избранное / Системы видеонаблюдения

Уязвимы по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа


23.05.2012

В заголовке нет ни игры словами, ни преувеличения. Масштабы вскрывшейся проблемы ужасают. Пользуясь лишь общедоступными сетевыми сервисами, сотрудник Security News получил полный доступ к видеорегистратору, стоящему в магазине на соседней улице — не составляло никакого труда не только смотреть видео, но, при желании, стереть архив или вообще выключить камеры. К теме сетевой безопасности видеонаблюдения нас вернул любопытный пресс-релиз. С него и начнем.

Исследовательская лаборатория Gotham Digital Science выпустила новый модуль для своего программного пакета Metasploit Framework. Дополнение под названием cctv_dvr_login предназначено для эффективного подбора паролей к цифровым видеорегистраторам от нескольких производителей — MicroDigital, HIVISION, CTRing, а также от существенного количества других вендоров, продающих OEM-оборудование под собственными марками. Этот инструмент аудита сетевой безопасности разработчик называет оксюмороном "интеллектуальный брутфорсер". Термин brute force ("грубая сила") применяется к методу несанкционированного доступа путем автоматического перебора большого числа паролей, обычно по словарю.

С видеорегистраторами, про которые идет речь, можно работать через клиентское приложение для Windows, мобильное приложение или браузерный интерфейс на основе ActiveX-элемента (эта технология поддерживается только браузером Internet Explorer). Именно авторизацию через ActiveX и эмулирует разработка от Gotham. В блоге лаборатории подробно описан процесс обратного инженеринга: с помощью программы Wireshark аналитики "разобрали" пакеты, которыми обменивается ActiveX-клиент и сервер регистратора. Сначала исследователям бросилось в глаза, что ответ сервера при простом несовпадении пароля отличается от данных, возвращаемых в том случае, когда логина не существует. Ага, задача упрощается. А зная, как формируется пакет с запросом и как должен выглядеть искомый результат, уже не составляет никакого труда написать брутфорсер.

Уязвимости цифровых видеорегистраторов

Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения
Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения

Не будет честным сказать, что регистраторы оказались дырявыми, как дуршлаги. C камерами TRENDNet ситуация была иной — там была обнаружена именно "дырка", уязвимость катастрофических масштабов. А здесь разработчиков можно упрекнуть лишь в том, что они не предусмотрели защиту от быстрого перебора паролей. Иначе говоря, не сделали функцию автоматической блокировки дальнейших попыток входа после нескольких неправильно введенных комбинаций.

Авторизация через ActiveX используется довольно редко — видимо, лаборатория выполняла аудит конкретного продукта. Гораздо чаще логин и пароль надо вводить или в вебформу, или в диалоговое окно браузера — тогда авторизация выполняется стандартными средствами протокола HTTP. Брутфорсеры для HTTP существуют давно. Подбор параметров авторизации перебором — довольно обыденная сторона информационных технологий...

Гораздо важнее другая информация, вскрывшаяся во время этого исследования.

...

Полную версию статьи "Уязвимы по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа" читайте в электронном журнале Security Focus или в сентябрьском выпуске газеты Security News.

Количество показов: 8303

Передний край

РЕШАЕМ ПРОБЛЕМЫ С СЕТЬЮ

Вы купили дорогое и функциональное сетевое устройство, и вам не терпится ввести своё новое приобретение «в бой». Очевидно, что единственный способ заставить покупку работать — подключить её к локальной компьютерной сети (конечно, вы можете использовать IP-камеры как муляжи, но если вы хотите, чтобы устройство функционировало, без сети не обойтись никак). К сожалению, не всегда новый видеорегистратор работает «из коробки» — при интеграции устройств в сетевую инфраструктуру может возникнуть ряд неочевидных трудностей, обусловленных, как правило, самой инфраструктурой. Маркетинговый миф о простоте IP-видеонаблюдения был опровергнут головной болью практического опыта.

ОПТИМИЗАЦИЯ БЮДЖЕТА РЕКЛАМЫ

Как вы, наверное, заметили, газета Security News отличается от множества отраслевых изданий прежде всего наличием определенных амбиций. Хорошо это или плохо — по большому счету, неважно. Важно то, что газета имеет собственную позицию, исходя из которой выработаны основы редакционной и коммерческой политики. В условиях рыночного коллапса, однако, такой подход может показаться избыточным. Отмечено, что новейшая тенденция к так называемому «сокращению непрофильных расходов» коснулась и объемов рекламы. Но мы по-прежнему остаемся достаточно разборчивыми и принципиальными в работе с рекламодателями.

ДРОНЫ: НАЙТИ И ОБЕЗВРЕДИТЬ

Обзор технологий обнаружения и обезвреживания БПЛА. Бум беспилотных летательных аппаратов затронул и индустрию безопасности. Вполне возможно, что вскоре появится спрос на решения по организации «малой противовоздушной обороны» объектов.

RSSRSS
Присоединиться в ТвиттереTwitter
Присоединиться в FacebookTelegram
Присоединиться в LinkedInLinkedIn
Присоединиться в FacebookFacebook
Присоединиться в Google+Google+
Присоединиться ВКонтактеВКонтакте
Присоединиться в YoutubeYouTube
Присоединиться в ОдноклассникиОдноклассники
Присоединиться в LiveJournaLiveJournal

Книжная полка


Практическое руководство по обучению операторов систем видеонаблюдения

Практическое руководство по обучению операторов систем видеонаблюдения




Видеоаналитика: Мифы и реальность

Видеоаналитика: Мифы и реальность




Книга "Проектирование и оценка систем физической защиты", М. Гарсиа

Бестселлер "Проектирование и оценка систем физической защиты"




Основные требования к системам видеонаблюдения

Основные требования к системам видеонаблюдения



Hits 56810632
11952
Hosts 5025434
1480
Visitors 9423658
2520

40

© ИА «Безопасность Сегодня», 2017.
© «Секьюрити Фокус», 2001-2016.
Свидетельство о регистрации электронного СМИ SECURITY NEWS ЭЛ № ФС 77-33582