eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plNieruchomościGrupypl.misc.budowanieKamera do monitoringuRe: Kamera do monitoringu
  • Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!3.eu.feeder.erj
    e.net!feeder.erje.net!news2.arglkargh.de!news.mixmin.net!eternal-september.org!
    reader02.eternal-september.org!.POSTED!not-for-mail
    From: heby <h...@p...onet.pl>
    Newsgroups: pl.misc.budowanie
    Subject: Re: Kamera do monitoringu
    Date: Fri, 27 Nov 2020 09:10:18 +0100
    Organization: A noiseless patient Spider
    Lines: 90
    Message-ID: <rpqc9g$tdr$1@dont-email.me>
    References: <rpmabp$mug$1$Jacek@news.chmurka.net>
    <7...@g...com>
    <rpnrh8$v7a$1@dont-email.me> <rpopnp$p2d$1@dont-email.me>
    <rporpi$as4$1@dont-email.me> <rppdeq$1u8$1@dont-email.me>
    <rpq86i$796$1@dont-email.me> <rpqb7p$ncd$1@dont-email.me>
    Mime-Version: 1.0
    Content-Type: text/plain; charset=utf-8; format=flowed
    Content-Transfer-Encoding: 8bit
    Injection-Date: Fri, 27 Nov 2020 08:10:24 -0000 (UTC)
    Injection-Info: reader02.eternal-september.org;
    posting-host="45c64bf843abad96f693984e93f70248";
    logging-data="30139";
    mail-complaints-to="a...@e...org";
    posting-account="U2FsdGVkX1/eJVu4q6VTrTtZajORgV3P"
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101
    Thunderbird/78.5.0
    Cancel-Lock: sha1:w3+kRtZEw5rpRHjuT9LmrVrC2lg=
    In-Reply-To: <rpqb7p$ncd$1@dont-email.me>
    Content-Language: en-US
    Xref: news-archive.icm.edu.pl pl.misc.budowanie:568502
    [ ukryj nagłówki ]

    On 27/11/2020 08:52, ToMasz wrote:
    >> Po pierwsze dlatego, że działa dla 1 kamery.
    > no... nie. jeden, dwa, albo nawet trzy porty każdą z kamer. jak masz
    > nianie, albo dwie, to masz parę potrów

    Ale nie masz detekcji bo nie działaja już na standardowych.

    >> Po trzecie, kamery mają bugi. Czasami graniczące z absurdem. Mogą
    >> być/są wektorem ataku na sieć.
    > tak, zdaję sobie sprawę. ale jak sobie wyobrażasz taki atak na sieć?

    Puszczasz skan. Znajdujesz otwarty port na którym pracuje http. Znając
    zestaw podatności, po chwili znajdujesz wejście na roota. W efekcie tego
    dostajesz dostęp do *wewnętrznej* sieci LAN właściciela. Przy odrobinie
    wprawy możesz teraz wyszukać inne podatności wewnątrzm, włacznie z routerem.

    > sensie - można podglądać kamery bez hasła - to oczywiste. ale czy kamera
    > może dalej funkcjonując zacząć wykonywać jakieś inne szkodliwe działania?

    Tak. Jak masz na niej roota (a masz, pokazane to na prezentacji) to
    możesz wszystko. Od liczenia bitcoinów przez atak na inne urządzenia w LAN.

    Do tego nie trzeba nawet białka. Są automaty realizujące takie ataki.

    >> Nie wolno tak żałosnych kamer przekierowywać
    > żałosnych?

    Tak. Na prezenacji zobaczysz że poziom bezpieczeństwa nie sięga nawet
    przedszkola. To jest wręcz poniżające dla reszty informatyki, jak
    zabezpiecznone są urzadznia embedded, nie dotyczy to tylko kamer. Rynek
    security w embedded tkwi mentalnie w latach 70tych. Fabryczne backdory,
    popsute konfiguracje, magiczne cisteczka, co tylko sobie wymyslisz,
    znajdziesz w kamerach, od tych najtańszych po najdroższe.

    > więc mają te same "dziury". To nie jest problem kilku kamer; Kilka kamer
    > jest wolnych od tego problemu. jeśli mógłbyś wskazać tanie kamery które
    > nie mają problemu z bezpieczeństwem a oferują onvif i rtsp z dziwękiem -
    > daj znać. tanie!

    Najprościej ich *NIE* wystawiać. To uniwersalna zasadna. Właśnie po to
    masz VPN. On jest bezpieczny bo *TY* kontrolujesz to bezpieczeństwo a
    nie chińczyk który nie ogarnia podstaw security.

    >> PiVNP. Kupujesz Raspberry pi w wersji Zero. Dodajesz kartę SD 2GB.
    > (...)
    > Serdecznie dziękuję za wyjaśnienia. jak nie ogarnę to doczytam.
    > z tym że nie widzę sensu stosowania.

    Widzisz sens wystawiania poputego firmware kamery do interentu a nie
    widzisz używania bezpiecznego VPN? Ok, co zrobić.

    > to trochę wyjaśnia, ale dalej nie wiem jaki to ma sens, albo przewagę
    > nad rejestratorem, który może jeszcze rejestrować i wydaje się być
    > tańszy.

    Bezpieczeństwo. Jeśli wystawisz ten rejestrator do sieci to zakłądam że
    ufasz jakosci oprogramowania na nim. Ufasz? Czy zakładasz że ktos się
    tym zajmie?

    Mam "tani rejestrator" w domu. Tydzień po zakupie zanalazłem na necie
    exploita przez www. Bez znajomości hasła. Nie ma update. Wystarczył
    przekierowany port. Witaj w realnym świecie. Kupiłem złom którego nie
    mogę wykorzystać tak jak planowałem.

    > jest po stronie odbierającej, czy trzeba mieć jakiś program do "bycia w
    > tej samej sieci" w ktorej jest PiVPN?

    Na urządzeniu docelowym masz klienta OpenVPN. Od tego jest to wszystko
    jest skonfigurowane zależy odpowiedź na to pytanie. Z grubsza: w
    domyślnej konfiguracji PiVPN dostaniesz inną sieć, ale z działajacym
    routingiem do Twojego LAN. Wbrew pozorom to jest wystarczające dla ONViF
    i w miarę bezpieczne dla osoby nie rozumiejącej detali na tym poziomie
    sieci. Możesz to zmieniać, choć już wymaga rzeźby.

    >> [1] https://www.youtube.com/watch?v=LaI0xjeefpg
    > nie wiem czy wszystko zrozumiałem, ale przez 33 minuty gość tłumaczy ze
    > na większość kamer można się dostać bez hasła. Pokazał że dzięki pozna
    > hasła do banku czy nie?

    Bo jak się dostaniesz do kamery i zrobisz w niej roota to od tego puktu
    masz *NASTĘPNE* filmy pokazujące jak z poziomu dowolnego urządzenia w
    sieci LAN kompromitować dalej. Szczególnie jak dalej jest 6-letni D-Link
    w którym można podmienić www.mojbak.pl na coś innego.

    Koleś pokazuje jak poniżająco dziadowskie jest oprogramowanie w kamerach
    i jakie stanowi zagrożenie wystwianie tego złomu do internetu. W
    momencie kiedy jest w stanie zdalnie wykonać update firmware na kamerze
    powinieneś mieć pełne gacie kiedy myślisz o własnej sieci LAN. Bo to
    będzie tylko początek.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1