Aercom.by - Новости безопасности в Беларуси и СНГ

27 мая 2018 г., воскресенье

Отраслевые мероприятия (Беларусь)

27 мая, 2018

Технологии в промышленности — выставка «ТехИнноПром» и «Белорусский промышленный форум-2018»

25 мая, 2018

Защита персональных данных в Деловой программе выставки-форума «Центр безопасности. 2018»

23 мая, 2018

Секция «Пожарная безопасность в Деловой программе и экспозиции выставки-форума «Центр безопасности. 2018»

23 мая, 2018

Macroscop представит новинки ПО на выставке в Минске 29-30 мая

21 мая, 2018

Сегмент СКУД – отвечая требованиям заказчика

Системы видеонаблюдения на выставке-форуме «Центр безопасности. 2018»-160x90
17 мая, 2018

Системы видеонаблюдения на выставке-форуме «Центр безопасности. 2018»

Отраслевые мероприятия (зарубежные)

23 мая, 2018

Пост-релиз «XI CISO FORUM 2020: взгляд в будущее»

14 апреля, 2018

Итоги Securika Moscow: 18 379 посетителей за 4 дня – стабильно высокий результат работы

13 марта, 2018

Securika Moscow: более 100 новых участников и рост экспозиции на 10%

12 января, 2018

XI Межотраслевой Форум «CISO FORUM 2020: взгляд в будущее» пройдет 23-24 апреля 2018 года в Москве

3 января, 2018

Конкурсы проектов в России, Беларуси и Казахстане!

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Уязвимы по умолчанию. Большинство цифровых видеорегистраторов открыты для удаленного доступа
8 июня, 2012

В заголовке нет ни игры словами, ни преувеличения. Масштабы вскрывшейся проблемы ужасают. Пользуясь лишь общедоступными сетевыми сервисами, сотрудник Security News получил полный доступ к видеорегистратору, стоящему в магазине на соседней улице — не составляло никакого труда не только смотреть видео, но, при желании, стереть архив или вообще выключить камеры. К теме сетевой безопасности видеонаблюдения нас вернул любопытный пресс-релиз. С него и начнем.

Исследовательская лаборатория Gotham Digital Science выпустила новый модуль для своего программного пакета Metasploit Framework. Дополнение под названием cctv_dvr_login предназначено для эффективного подбора паролей к цифровым видеорегистраторам от нескольких производителей — MicroDigital, HIVISION, CTRing, а также от существенного количества других вендоров, продающих OEM-оборудование под собственными марками. Этот инструмент аудита сетевой безопасности разработчик называет оксюмороном «интеллектуальный брутфорсер». Термин brute force («грубая сила») применяется к методу несанкционированного доступа путем автоматического перебора большого числа паролей, обычно по словарю.

С видеорегистраторами, про которые идет речь, можно работать через клиентское приложение для Windows, мобильное приложение или браузерный интерфейс на основе ActiveX-элемента (эта технология поддерживается только браузером Internet Explorer). Именно авторизацию через ActiveX и эмулирует разработка от Gotham. В блоге лаборатории подробно описан процесс обратного инженеринга: с помощью программы Wireshark аналитики «разобрали» пакеты, которыми обменивается ActiveX-клиент и сервер регистратора. Сначала исследователям бросилось в глаза, что ответ сервера при простом несовпадении пароля отличается от данных, возвращаемых в том случае, когда логина не существует. Ага, задача упрощается. А зная, как формируется пакет с запросом и как должен выглядеть искомый результат, уже не составляет никакого труда написать брутфорсер.

Уязвимости цифровых видеорегистраторов

Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения
Брутфорсер от Gotham в работе. Салатовые буквы на черном фоне дают +10% к вероятности успешного проникновения

Не будет честным сказать, что регистраторы оказались дырявыми, как дуршлаги. C камерами TRENDNet ситуация была иной — там была обнаружена именно «дырка», уязвимость катастрофических масштабов. А здесь разработчиков можно упрекнуть лишь в том, что они не предусмотрели защиту от быстрого перебора паролей. Иначе говоря, не сделали функцию автоматической блокировки дальнейших попыток входа после нескольких неправильно введенных комбинаций.

Авторизация через ActiveX используется довольно редко — видимо, лаборатория выполняла аудит конкретного продукта. Гораздо чаще логин и пароль надо вводить или в вебформу, или в диалоговое окно браузера — тогда авторизация выполняется стандартными средствами протокола HTTP. Брутфорсеры для HTTP существуют давно. Подбор параметров авторизации перебором — довольно обыденная сторона информационных технологий...

Гораздо важнее другая информация, вскрывшаяся во время этого исследования.

У хакеров есть свой Google

Шокирующий факт состоит в том, что в подавляющем большинстве случаев перебора-то и не требуется. В пресс-релизе от Gotham Digital Science утверждается, что в 70% видеорегистраторов, видимых из внешней сети, для доступа к веб-интерфейсу используется пароль по умолчанию. То есть тот пароль, который стоял сразу после покупки устройства. Он же указан в руководстве пользователя. Неправдоподобно? Такие цифры у отраслевого профессионала вызывают острый дискомфорт в районе копчика. Нет, этого не может быть — «просто лаборатория Gotham Digital Science наводит страху, так рекламируя свои услуги по аудиту безопасности!»

Проверить факт оказалось несложно — в редакции Security News решили потратить несколько часов на свое мини-исследование. После печальной истории с TRENDNet мы знаем о сервисе ShodanHQ — поисковике, умеющем находить служебные IP-устройства по характерным HTTP-заголовкам. Вуаля! Перед нами IP-адреса видеорегистраторов разных моделей. Примеры запросов приводить будет совсем уж неэтично, они и так подбираются очень просто. И действительно, в приблизительно 70% случаев на видеорегистраторах стоял пароль по умолчанию — «admin» для логина «admin». А пару раз подошел другой, но тоже очень простой — «12345». Такое вот доказательство жизнеспособности идеи с брутфорс-атакой.

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.