Κενό ασφαλείας στην υπηρεσία cloud Hikvision hik-connect

[kioan]

I spy with my little eye... #hakvision

Ένα κενό ασφαλείας που ανακαλύφθηκε από δύο Έλληνες ερευνητές, επέτρεπε στον οποιονδήποτε να παρακάμψει την ασφάλεια στην υπηρεσία cloud της Hikvision (hik-connect.com) και να παρακολουθεί όποια κάμερα επιθυμούσε.

Η υπηρεσία hik-connect προστέθηκε σχετικά πρόσφατα και παρείχε τη δυνατότητα να αποκτήσει κάποιος απομακρυσμένη πρόσβαση στο DVR του, χωρίς να ασχολείται με ρυθμίσεις (port-forwarding κλπ) στον router του.
Εν συντομία το κενό ασφαλείας (έχει πλέον διορθωθεί) οφειλόταν στο ότι η υπηρεσία hik-connect βασιζόταν στο cookie που αποθηκευόταν στον υπολογιστή του χρήστη για να καθορίσει σε ποιο λογαριασμό είχε πρόσβαση ο χρήστης αυτός


Αυτός είναι και ο λόγος που επιμένω στον τακτικό έλεγχο και εγκατάσταση ενημερώσεων του λογισμικού σε τέτοια συστήματα. Όσο χρησιμοποιεί κάποιος τέτοια συστήματα βασισμένα σε cloud, πάντα θα υπάρχει περίπτωση να βρεθούν παρόμοια κενά ασφαλείας.
Επίσης αυτός είναι και ο λόγος που δεν πρέπει να εμπιστευόμαστε παρόμοια προϊόντα από άγνωστους κατασκευαστές και τα οποία συνδέονται στο Internet.

[her]

Καλησπέρα.
Δεν ξέρω αν έχετε παρατηρήσει και εσείς αλλά εγω τουλάχιστον βλέπω καποια προβλήματα με το cloud

1) Δεν σε αφήνει να δεις playback πολλές κάμερες μαζί.
Βλέπεις μια κάμερα μόνο.

2) σε υπολογιστή με ivms 4200 στο playback δεν σου δίνει την δυνατότητα να κάνεις download το συμβάν που θες.

3) Αν σου ζητήσει ο πελάτης κατι άλλο π.χ άλλαξε ώρα ή κανε format τον δίσκο και πολλά άλλα δεν έχεις την δυνατότητα.

Αυτά τα προβλήματα δεν υπήρχαν με τον παλαιό τρόπο Hiddns. Ή με πρόσβαση μέσω τοπικού δικτύου.

Η DAHUA έτσι είναι;

[Papas00zas]

Όταν καταλάβουν ορισμένοι ότι ασφάλεια και ιντερνετ ΔΕΝ πάνε μαζί-και ούτε θα πάνε-θα ξαναγράψω επί του θέματος....
Προσωπικά θα έψαχνα άλλες λύσεις και όχι IP DVR....και πιστεύω ότι υπάρχουν αλλά όχι για τον λόγο που δείχνουν

[george33]

Εγώ που έχω της dahua αυτό που παρατηρώ είναι οτι η εφαρμογή από το κινητό πάει σφαίρα, ενώ απο το λαπτοπ τα ζώα μου αργά...κολλάει συνέχεια και απότι ρώτησα και άλλους μου είπαν το ίδιο...ίσως με καμία αναβάθμιση του λογισμικού να στρώσει,αλλά προς το παρόν μόνο από το κινητό βλέπω. Κατα τα άλλα μια χαρά.

[FreeEnergy]

Όταν καταλάβουν ορισμένοι ότι ασφάλεια και ιντερνετ ΔΕΝ πάνε μαζί

Επέτρεψε μου να διαφωνίσουμε για να αρχίσουμε ένα καλό διάλογο
Καταρχήν με αυτο που έγραψες διαφωνούν όλες οι τράπεζες που έχουν internet banking! Εγώ προσωπικά χρησιμοποιώ internet banking τα τελευταία 6 χρόνια χωρίς κανένα πρόβλημα απολύτως με τον λογαριασμό μου. Το γιατί η Hikvision έκανε ένα τόσο τραγικό λάθος, τυφλή εμπιστοσύνη σε ένα απλο αρχείο κειμένου [cookie] στον υπολογιστή του χρήστη και όχι online ταυτοποίηση ( όπως και θα έπρεπε να γίνεται ) κάθε, μα κάθε φορά που συνδέεται ο χρήστης είναι απορίας άξιο και δείχνει προχειροδουλειά και ασχετοσύνη σε θέματα online ασφάλειας. Για την οικονομία της κουβέντας θα συμφωνήσω ότι το απόλυτα ασφαλές σύστημα είναι αυτό που δεν είναι συνδεμένο σε κανένα δίκτυο και απαιτεί προσωπική επαφή με πολύ συγκεκριμένους ( και ελεγμένους από πριν ) χρήστες. Έτσι σε περίπτωση που γίνει κάτι ξέρεις ποιός το έκανε! Όταν όμως το σύστημα πρέπει να συνδεθεί σε κάποιο δίκτυο, είτε είναι ένα τοπικό δίκτυο, είτε το internet, τότε θα πρέπει να εφαρμόζονται αυστηροί, αυστηρότατοι κανόνες ασφάλειας. Χρήση απαραίτητα https, ταυτοποίηση κάθε φορά που συνδέεται ο χρήστης ( αποτροπή του προγράμματος περιήγησης να αποθηκεύσει τον κωδικό ), όλα τα στοιχεία αποθηκεύονται και διατηρούνται στους εταιρικούς servers και τίποτα απολύτως στον υπολογιστή του χρήστη.
Το παιχνίδι της ασφάλειας στο διαδίκτυο ( ναι παιχνίδι είναι... ) είναι σαν το κυνήγι γάτας - ποντικού. Ας υποθέσουμε η γάτα είναι η ασφάλεια και ο ποντικός ο επίδοξος hacker. Στην πραγματικότητα δεν νικάνε ούτε οι γάτες ( θα είχαν εξαφανίσει τα ποντίκια ) ούτε τα ποντίκια ( θα είχαν πεθάνει από πείνα οι γάτες ). Έτσι είναι και στο διαδίκτυο. Οι εταιρίες που παίρνουν την ασφάλεια των προϊόντων τους πολύ σόβαρα ( διάβαζε: όχι Hikvision ) προσπαθούν να "προλάβουν" τους επίδοξους hackers κάνοντας λεπτομερείς ελέγχους στα προϊόντα τους πριν βγουν στο εμπόριο και διατηρώντας ένα κομμάτι στο τμήμα προγραματισμού έτοιμο να διορθώσει άμεσα τρύπες ασφάλειας. Χρησιμοποιούν δοκιμασμένο ασφαλή κώδικα και δοκιμασμένες πρακτικές. Έχει δημιουργηθεί ολόκληρη βιομηχανία με τα κενά ασφάλειας στις διάφορες εφαρμογές. Δες εδώ https://hackerone.com/googleplay και εδώ https://www.facebook.com/whitehat
Αν δεχτούμε λοιπόν ότι η πρόταση σου ειναι 100% αληθής τότε οποιαδήποτε μεγάλη εταιρία δεν θα έπρεπε να έχει παρουσία στο internet ή για να το κάνω πιο συγκεκριμένο, δεν θα έπρεπε να χρησιμοποιεί το internet για καμια απολύτως συναλλαγή... Δεν απορίπτω εντελώς την πρότασή σου όμως. Θα την διατύπωνα αλλιώς: Όταν καταλάβουν ορισμένοι ότι ασφάλεια, internet και προχειρες δουλειές ΔΕΝ πάνε μαζί. Με αυτό θα συμφωνήσουν τράπεζες, online μαγαζιά, google, microsoft και πολλοί άλλοι

[panosvin]

Οπως και στους συναγερμους υπαρχουν module ιp με κρυπτογραφησεις des.triple des. aes 128 ,192 και 256 και τελος ultrasync caddx με vpn ολα εχουν την τιμη τους ομως.

[exop]

Επέτρεψε μου να διαφωνίσουμε για να αρχίσουμε ένα καλό διάλογο
Θα την διατύπωνα αλλιώς: Όταν καταλάβουν ορισμένοι ότι ασφάλεια, internet και προχειρες δουλειές ΔΕΝ πάνε μαζί.

χωρίς να θέλω απλά, να διαφωνήσω, και στα πλαίσια του διαλόγου, ας γράψω και εγώ την άποψη μου (παρόλο που το θέμα είναι τεράστιο):

τα πάντα, πλέον, έχουν ένα λόγο κόστους προς απόδοση.
Αν είναι πιο συμφέρον (οικονομικά ή/και για να "προλάβουν" την όποια "μόδα") η -όποια- εταιρεία θα βγάλει κάποιο προιόν/υπηρεσία στην αγορά, ακόμη και χωρίς κανένα έλεγχο.
Η προσδοκία είναι οτι η (πιθανή) αποσφαλμάτωση, θα γίνει εν καιρώ, και ενώ το "προιόν" βρίσκεται στη διάθεση των καταναλωτών.
η yahoo είναι ένα καλό "παράδειγμα" (που δεν τη λες και μικρή)
http://money.cnn.com/2017/10/03/tech...nts/index.html
Ίσως, ακόμη, να "συντρέχουν" και άλλοι λόγοι. Δεν είναι π.χ. "πρόχειρη δουλειά" από μέρους της cisco (δεν τη λες και μικρή ή/και χωρίς τεχνικό υπόβαθρο) το backdoor που (σκόπιμα; ) υπήρχε:
https://arstechnica.com/information-...lls-for-years/

Από την πλευρά των χρηστών, θα έλεγα οτι η προσπάθεια για "εύκολα" λειτουργικά, άφησε περιθώρια στο να μην "ψάχνονται" και πολύ και να χρησιμοποιούν οτιδήποτε.
η παραπάνω πρόταση δεν είναι "μομφή" για τα παράθυρα - και στο linux υπάρχει "χώρος":
https://www.cvedetails.com/vulnerabi...d-120/SSH.html
και
https://www.openssh.com/security.html

όσον αφορά τις τράπεζες:

θέλοντας να "παρουσιάσουν" web banking - πριν από μερικά (όχι πάρα πολλά) χρόνια πριν, δεν υποστήριζαν άλλο browser πέρα από τον ie 6 (με τα όποια "θέματα" είχε - και ταυτόχρονα, αποκλείωντας τη χρήση άλλου λειτουργικού)
συνήθως δε, έχουν μια "στρατιά" δικηγόρων/νομικών για να μπορούν να "καλύψουν" το όποιο "ατόπημα".

Από την άλλη, βέβαια, δεν είναι δυνατό να "αποκλειστεί" η βοήθεια και η χρήση της τεχνολογίας.
Οπότε και εδώ, μάλλον, ισχύει o λόγος κόστος/απόδοση.



όσον αφορά κρυπτογραφήσεις, η aes 256 μάλλον "παρέδωσε":

https://www.silicon.co.uk/workspace/...1db80a3d8b5673

και

https://www.theinquirer.net/inquirer...hands-off-hack

[aktis]

Καλησπέρα.
Δεν ξέρω αν έχετε παρατηρήσει και εσείς αλλά εγω τουλάχιστον βλέπω καποια προβλήματα με το cloud

1) Δεν σε αφήνει να δεις playback πολλές κάμερες μαζί.
Βλέπεις μια κάμερα μόνο.

2) σε υπολογιστή με ivms 4200 στο playback δεν σου δίνει την δυνατότητα να κάνεις download το συμβάν που θες.

3) Αν σου ζητήσει ο πελάτης κατι άλλο π.χ άλλαξε ώρα ή κανε format τον δίσκο και πολλά άλλα δεν έχεις την δυνατότητα.

Αυτά τα προβλήματα δεν υπήρχαν με τον παλαιό τρόπο Hiddns. Ή με πρόσβαση μέσω τοπικού δικτύου.

Η DAHUA έτσι είναι;

Παλιά το θεωρούσα υπερβολή να χρειαστει να κανεις format ένα καταγραφικό απο μακριά . Πριν μια βδομάδα , μετά απο κάποιες διακοπές ρεύματος
ένα dahua έβγαλε σφάλμα disk error . Άντε, να τρεχω λέω τώρα με αλλαγή σκληρού εντός εγγύησης κλπ . ( 3 χρονια εγγυηση έχουν οι άτιμοι ... )
Λεω στον πελάτη πώς να κάνει φορματ
αλλά απο τον πανικό του που εσκουζε συνέχεια το καταγραφικό δεν μπορούσε ούτε login να κάνει με το ποντίκι . Μπαίνω με το smartPSS , λεει hard disk error
κοιτάω στο playback o δίσκος έγραφε αλλα εξακολουθούσε το μπιπ μπιπ . Παω στο disk management σταματαω εγγραφη και κανω format ( από μακριά )
Μετά απο δύο λέπτά με παίρνει τηλ ο πελάτης ... μου λέει σταματησε το μπιπ μπιπ !!! Ανακούφιση . Ξεκινάω ξανά την εγγραφή και όλα ΟΚ
Γλύτωσα και το ταξίδι και την γκρίνια του πελάτη !

Αρα για τον her ... ναι ( προς το παρόν τουλάχιστον , σε dahua ) γίνονται όλα αυτά απο το smartPSS

[Ste7ios]

Η σύνδεση ενός συστήματος / συσκευής σε δίκτυο πάντα θα ενέχει κινδύνους.

Η ασφάλεια όπως ειπώθηκε πριν είναι ένα κυνηγητό χωρίς τέλος, που ίσως μειωθεί κάπως στο μέλλον ή έστω οι επιπτώσεις του αν βρεθούν νέοι τρόποι ανάπτυξης λογισμικού που θα μπορούν να εξαλείψουν κάποιες κατηγορίες σφαλμάτων. Ήδη έχουμε μεθοδολογίες, εργαλεία προς αυτή την κατεύθυνση... DevOps, Agile, κλπ

Είναι επίσης ένα βαρέλι δίχως πάτο οικονομικά, καθώς απαιτούνται μεγάλες επενδύσεις σε hardware, software, χρόνο ανθρώπινο δυναμικό, και άλλα έξοδα... Firewalls, IDS, multitier αρχιτεκτονικές, και δεν συμμαζεύεται... Εκεί που για να παρέχεις μια υπηρεσία χρειαζόσουν π.χ. μόνο έναν server, καταλήγεις με 4-5 και άλλα επιπλέον μόλις μπει το θέμα της ασφάλειας, και φυσικά επιπλέον προσωπικό για να ασχοληθεί με το θέμα... Ευτυχώς που έχουμε το virtualization τώρα πια και γλιτώνεις κάποια σίδερα...

Με όλα αυτά ζυγίζει κανείς το κόστος / όφελος και αποφασίζει πόσο θα επενδύσει στο κομμάτι της ασφάλειας ή αν θα χρησιμοποιήσει κάτι που συνδέεται στο Internet.

Μικρές εταιρίες δύσκολα μπορούν να ανταπεξέλθουν σε κάτι τέτοιο. Στην Ελλάδα απο προσωπική εμπειρία, μόνο μεγάλοι οργανισμοί και εταιρίες είναι σε κάπως καλό σημείο...

Τα οφέλη πάντως δεν νομίζω ότι μπορεί να αμφισβητήσει κανείς είναι πολλά εκτός απο συγκεκριμένες περιπτώσεις που απαιτούν άλλους χειρισμούς, άλλα μέτρα...

[Papas00zas]

Επέτρεψε μου να διαφωνίσουμε για να αρχίσουμε ένα καλό διάλογο
Το γιατί η Hikvision έκανε ένα τόσο τραγικό λάθος, τυφλή εμπιστοσύνη σε ένα απλο αρχείο κειμένου [cookie] στον υπολογιστή του χρήστη και όχι online ταυτοποίηση ( όπως και θα έπρεπε να γίνεται ) κάθε, μα κάθε φορά που συνδέεται ο χρήστης είναι απορίας άξιο και δείχνει προχειροδουλειά και ασχετοσύνη σε θέματα online ασφάλειας.

Δεν έχεις άδικο.Πώς γίνεται όμως ΠΑΝΤΑ ΤΥΧΑΙΑ να υπάρχουν προχειρότητες από εταιρίες επιπέδου ρωτάω με τη σειρά μου; ΕΙΔΙΚΑ σε τέτοιες εφαρμογές

Για την οικονομία της κουβέντας θα συμφωνήσω ότι το απόλυτα ασφαλές σύστημα είναι αυτό που δεν είναι συνδεμένο σε κανένα δίκτυο και απαιτεί προσωπική επαφή με λύ συγκεκριμένους ( και ελεγμένους από πριν ) χρήστες. Έτσι σε περίπτωση που γίνει κάτι ξέρεις ποιός το έκανε! Όταν όμως το σύστημα πρέπει να συνδεθεί σε κάποιο δίκτυο, είτε είναι ένα τοπικό δίκτυο, είτε το internet, τότε θα πρέπει να εφαρμόζονται αυστηροί, αυστηρότατοι κανόνες ασφάλειας. Χρήση απαραίτητα https, ταυτοποίηση κάθε φορά που συνδέεται ο χρήστης ( αποτροπή του προγράμματος περιήγησης να αποθηκεύσει τον κωδικό ), όλα τα στοιχεία αποθηκεύονται και διατηρούνται στους εταιρικούς servers και τίποτα απολύτως στον υπολογιστή του χρήστη.

Σαφώς και μάλιστα δεν αντιλέγω.Αλλά και πάλι δεν είσαι καλυμμενος-για μενα τουλαχιστον.Αλήθεια εχεις σκεφτει ποτε ΠΟΙΟΣ εχει πρόσβαση σε τετοιο σερβερ και γιατι; Εκτός απο εσενα φυσικά.Και δεν μιάω για προσωπικο συντηρησης

Το παιχνίδι της ασφάλειας στο διαδίκτυο ( ναι παιχνίδι είναι... ) είναι σαν το κυνήγι γάτας - ποντικού. Ας υποθέσουμε η γάτα είναι η ασφάλεια και ο ποντικός ο επίδοξος hacker. Στην πραγματικότητα δεν νικάνε ούτε οι γάτες ( θα είχαν εξαφανίσει τα ποντίκια ) ούτε τα ποντίκια ( θα είχαν πεθάνει από πείνα οι γάτες ). Έτσι είναι και στο διαδίκτυο. Οι εταιρίες που παίρνουν την ασφάλεια των προϊόντων τους πολύ σόβαρα ( διάβαζε: όχι Hikvision ) προσπαθούν να "προλάβουν" τους επίδοξους hackers κάνοντας λεπτομερείς ελέγχους στα προϊόντα τους πριν βγουν στο εμπόριο και διατηρώντας ένα κομμάτι στο τμήμα προγραματισμού έτοιμο να διορθώσει άμεσα τρύπες ασφάλειας. Χρησιμοποιούν δοκιμασμένο ασφαλή κώδικα και δοκιμασμένες πρακτικές. Έχει δημιουργηθεί ολόκληρη βιομηχανία με τα κενά ασφάλειας στις διάφορες εφαρμογές. Δες εδώ https://hackerone.com/googleplay και εδώ https://www.facebook.com/whitehat
Αν δεχτούμε λοιπόν ότι η πρόταση σου ειναι 100% αληθής τότε οποιαδήποτε μεγάλη εταιρία δεν θα έπρεπε να έχει παρουσία στο internet ή για να το κάνω πιο συγκεκριμένο, δεν θα έπρεπε να χρησιμοποιεί το internet για καμια απολύτως συναλλαγή... Δεν απορίπτω εντελώς την πρότασή σου όμως. Θα την διατύπωνα αλλιώς: Όταν καταλάβουν ορισμένοι ότι ασφάλεια, internet και προχειρες δουλειές ΔΕΝ πάνε μαζί. Με αυτό θα συμφωνήσουν τράπεζες, online μαγαζιά, google, microsoft και πολλοί άλλοι

Online μαγαζιά μπορεί...google με τιποτα αλλα αυτό είναι αλλο θεμα.Δεν διαφωνώ με αυτά που λες απλά η δυσπιστία μου έγκειται στο ότι γενικά κάτι τέτοιο είναι μάλλον απλά για βιτρίνα.

Οπως και στους συναγερμους υπαρχουν module ιp με κρυπτογραφησεις des.triple des. aes 128 ,192 και 256 και τελος ultrasync caddx με vpn ολα εχουν την τιμη τους ομως.

Από συναγερμούς δεν ξέρω πολλά αλλά σαφώς υπάρχουν και τέτοια είδη(δεν έτυχενα ασχοληθώ με αυτά).

χωρίς να θέλω απλά, να διαφωνήσω, και στα πλαίσια του διαλόγου, ας γράψω και εγώ την άποψη μου (παρόλο που το θέμα είναι τεράστιο):

τα πάντα, πλέον, έχουν ένα λόγο κόστους προς απόδοση.
Αν είναι πιο συμφέρον (οικονομικά ή/και για να "προλάβουν" την όποια "μόδα") η -όποια- εταιρεία θα βγάλει κάποιο προιόν/υπηρεσία στην αγορά, ακόμη και χωρίς κανένα έλεγχο.
Η προσδοκία είναι οτι η (πιθανή) αποσφαλμάτωση, θα γίνει εν καιρώ, και ενώ το "προιόν" βρίσκεται στη διάθεση των καταναλωτών.
η yahoo είναι ένα καλό "παράδειγμα" (που δεν τη λες και μικρή)
http://money.cnn.com/2017/10/03/tech...nts/index.html
Ίσως, ακόμη, να "συντρέχουν" και άλλοι λόγοι. Δεν είναι π.χ. "πρόχειρη δουλειά" από μέρους της cisco (δεν τη λες και μικρή ή/και χωρίς τεχνικό υπόβαθρο) το backdoor που (σκόπιμα; ) υπήρχε:
https://arstechnica.com/information-...lls-for-years/

Από την πλευρά των χρηστών, θα έλεγα οτι η προσπάθεια για "εύκολα" λειτουργικά, άφησε περιθώρια στο να μην "ψάχνονται" και πολύ και να χρησιμοποιούν οτιδήποτε.
η παραπάνω πρόταση δεν είναι "μομφή" για τα παράθυρα - και στο linux υπάρχει "χώρος":
https://www.cvedetails.com/vulnerabi...d-120/SSH.html
και
https://www.openssh.com/security.html

όσον αφορά τις τράπεζες:

θέλοντας να "παρουσιάσουν" web banking - πριν από μερικά (όχι πάρα πολλά) χρόνια πριν, δεν υποστήριζαν άλλο browser πέρα από τον ie 6 (με τα όποια "θέματα" είχε - και ταυτόχρονα, αποκλείωντας τη χρήση άλλου λειτουργικού)
συνήθως δε, έχουν μια "στρατιά" δικηγόρων/νομικών για να μπορούν να "καλύψουν" το όποιο "ατόπημα".

Από την άλλη, βέβαια, δεν είναι δυνατό να "αποκλειστεί" η βοήθεια και η χρήση της τεχνολογίας.
Οπότε και εδώ, μάλλον, ισχύει o λόγος κόστος/απόδοση.



όσον αφορά κρυπτογραφήσεις, η aes 256 μάλλον "παρέδωσε":

https://www.silicon.co.uk/workspace/...1db80a3d8b5673

και

https://www.theinquirer.net/inquirer...hands-off-hack

Σχετικά με τις προστασίες πάντα είναι θέμα χρόνου να σπάσουν.Όσο για το άλλο που λες αναφέρθηκα και πιο πάνω σχετικά με τα και καλά τυχαια backdoor.Παρόμοια περίπτωση τα mcaffee norton και-ποια άλλη(το παραδέχτηκε και μόνη της....η NSAmsung.Όσο για τη cisco ομολογώ οτι δεν το περίμενα αλλά μετά απο αυτό κέρδισε μόνιμο ban από εμενα(η και καλά τυχαία περίπτωση του κενού....)Πολύ πιθανον και το android καθότι αν και linux είναι google made αλλά μπορεί και να τροποποιείται αυτο με καλές γνωσεις)Yahoo δεν δουλεύω και ούτε υπάρχει περίπτωση γιατί ξεψαχνίζει τι γράφεις αλλά τουλάχιστον το έχει στους όρους χρήσης.
Σκοπομότητα δεν ξέρω αν υπάρχει στο web banking με τέτοιες αδυναμίες αλλά πολύ πιθανόν αυτά που γράφεις να ίσχυαν στα αρχικά στάδια(εδώ στην Ελλάδα νομίζω έει το πολύ 15 χρόνια).Δεν μπορώ να ξέρω διότι δεν χρησιμοποιώ (και για την ώρα δεν μου χρειάζεται σε κατι).Τα νομικά τα εχουν διότι πληρώνουν αδρά.